FortiGate Security SSL-VPN FortiOS 7.0 © Copyright Fortinet Inc. All rights reserved. Last Modified: 2 June 2023 Lesson Overview Describe SSL-VPN Modos de implementación SSL-VPN Configuración de SSL-VPN Reinos y marcadores personales Fortalecimiento del acceso SSL-VPN Monitoreo y resolución de problemas Describe SSL-VPN Objectives • Definir una red privada virtual (VPN) • Describir las diferencias entre SSL-VPN e IPsec VPN ¿Qué son las VPN? • Una VPN extiende una red privada a través de una red pública • Conecte de forma segura LAN y dispositivos remotos • Empleados que viajan • De sucursales a servidores en una oficina central • Transmita datos privados de forma segura a través de Internet • A prueba de manipulaciones • Los atacantes no pueden cambiar un mensaje o archivo • Cifrar • Los usuarios no autorizados no pueden escuchar a escondidas • Autenticar • Solo los usuarios conocidos pueden acceder a la red privada Public Network Private Network 4 Comparando SSL-VPN e IPsec VPN SSL-VPN Tunnel type: Puede estar entre: IPsec VPN • HTTPS tunnel o SSL/TLS layer • IPsec tunnel o ESP layer • Navegador y FortiGate • FortiClient y FortiGate • FortiClient y FortiGate • FortiGate y FortiGate • Puerta de enlace VPN IPsec de terceros compatible y FortiGate • FortiGate y clientes VPN IPsec de terceros compatibles • Página web HTTPS en Inicie FortiGate sesión a • FortiClient través de: • adaptador virtual fortissl SSL IPsec • Cliente IPsec • Sitio a sitio no requiere cliente IPsec 5 Comparación de SSL-VPN e IPsec VPN (cont.) SSL-VPN Categoría • Específico del proveedor Configur ar Mejor para: IPsec VPN • Estándar en la industria • No requiere instalación • Configuración más sencilla • Solo cliente a FortiGate • Sin ajustes configurados por el usuario • Soporte técnico menos solicitado • Requiere instalación • Configuración flexible • Topologías de malla y estrella • Para clientes o puertas de enlace del mismo nivel • Basado en el rendimiento: la encriptación IPsec es más rápida en FortiOS • Mejor para usuarios, cibercafés, bibliotecas, etc. • Tráfico de oficina a oficina • Centros de datos SSL IPsec 6 Modos de implementación SSL-VPN Objectives • Describe las diferencias entre los modos SSL-VPN. Modos de implementación SSL-VPN • Modo túnel VPN > SSL-VPN Portals • Accedido a través de un FortiClient • Requiere un adaptador virtual en el host del cliente • Modo web • Requiere solo un navegador web • Admite un número limitado de protocolos: • FTP, HTTP / HTTPS, RDP, SMB / CIFS, SSH, Telnet, VNC y Ping config edit set set end vpn ssl web portal <portal-name> tunnel-mode [enable|disable] web-mode [enable|disable] 8 Modo web • Conéctese al portal FortiGate SSL-VPN desde cualquier navegador • El portal web muestra el estado de SSL-VPN • SSL-VPN permanece activo solo mientras la página del portal SSL-VPN está abierta • Acceda a los recursos de la red interna fácilmente usando: • Marcadores • Conexión rápida • Desventajas: • Interacción con la red interna exclusivamente por navegador • A través del portal SSL-VPN • Las aplicaciones de red externas no pueden enviar datos a través de la VPN • Número limitado de protocolos admitidos 9 Modo web (cont.) 1. Remote users connect to the SSL-VPN portal—HTTPS web page on FortiGate 2. Users authenticate. 3. Users access resources through the Quick Connection launcher or Bookmarks La IP de origen del usuario se reemplaza por la dirección IP interna de FortiGate 10 Modo túnel • Conéctese a FortiGate a través de FortiClient • El túnel está activo solo mientras el cliente SSL-VPN está conectado • FortiClient agrega un adaptador de red virtual llamado fortissl • FortiGate establece el túnel • Asigna una dirección IP virtual al cliente de un grupo de direcciones reservadas • Todo el tráfico está encapsulado con SSL / TLS • Ventaja: • Cualquier aplicación de red IP en el cliente puede enviar tráfico a través del túnel. • Desventaja: • Requiere la instalación de un cliente VPN http://www.forticlient.com/ 11 Modo túnel (cont.) 1. Los usuarios remotos se conectan a la puerta de enlace SSL-VPN a través del cliente SSL-VPN 2. Los usuarios se autentican 3. El adaptador virtual crea el túnel 4. Los usuarios acceden a los recursos a través de un túnel cifrado (SSL / TLS) La dirección IP de la fuente de tráfico del usuario es asignada por FortiGate, como IPsec SSL-VPN Tunnel 12 Modo de túnel: túnel dividido • Discapacitado: • Todas las rutas de tráfico a través de un túnel SSL-VPN a un FortiGate remoto, luego al destino. Esto incluye el tráfico de Internet. • Se requiere una política de firewall de salida • Se pueden aplicar funciones de seguridad e inspección de tráfico • Activado: • Solo el tráfico destinado a la red privada se enruta a través del FortiGate remoto • El tráfico de Internet utiliza la puerta de enlace local; ruta sin cifrar • Conserva el ancho de banda y alivia los cuellos de botella SSL-VPN Tunnel Túnel dividido habilitado Túneles divididos deshabilitados 13 Configuración de SSL-VPN Objectives • Definir autenticación para usuarios de SSL-VPN • Configurar portales SSL-VPN • Configure los ajustes de SSL-VPN • Definir políticas de firewall para SSL-VPN Configuración de SSL-VPN 1. Configurar cuentas de usuario y grupos para usuarios remotos de SSL-VPN 2. Configurar portales SSL-VPN 3. Configure los ajustes de SSL-VPN 4 5 4. Cree una política de firewall hacia y desde la interfaz SSL-VPN • • Acepta y descifra paquetes Permite el tráfico de clientes SSL-VPN a la red interna y viceversa Opcionalmente : 2 5. Cree una política de firewall para permitir el tráfico SSL-VPN a Internet • Útil para permitir el tráfico de todos los clientes a través de FortiGate a Internet cuando el túnel dividido está desactivado • FortiGate se puede utilizar para aplicar perfiles de seguridad 3 1 15 Paso 1: configurar cuentas de usuario y grupos 1. Definir cuentas de usuario y grupos. 2. Configurar métodos de autenticación SSL-VPN : • Autenticación de contraseña local • Autenticación de contraseña remota o autenticación basada en servidor como LDAP, RADIUS, TACACS + • Autenticación de dos factores 1 • Mejor seguridad que solo contraseñas 2 Nombre de usuario con contraseña (un factor) Código de token (dos factores) 16 Paso 2: configurar el portal SSL-VPN VPN > SSL-VPN Portals Modo túnel • Los portales SSL-VPN determinan los perfiles de acceso • Configurar portales para diferentes usuarios o grupos • Los portales SSL-VPN pueden operar en: • Modo túnel • Active el túnel dividido en el campo Dirección de enrutamiento • Asigne una dirección IP al adaptador de red virtual del usuario final en el grupo de IP de origen: fortissl Modo web Marcadores definidos por el administrador • Modo web • Utilice conexión directa o marcadores a varias aplicaciones como: FTP, HTTP / HTTPS, RDP, SMB / CIFS, SSH, TELNET, VNC 17 Reinos y marcadores personales Objectives • Configurar reinos para el portal SSL-VPN • Configurar marcadores personales para el portal SSL-VPN Cómo encontrar la configuración de Realms y marcadores personales System > Feature Visibility • De forma predeterminada, todos los usuarios de SSL-VPN que utilizan el mismo portal verán los mismos marcadores • Habilite funciones para personalizar dominios y marcadores de usuario: • Reinos SSL-VPN • Marcador personal SSL-VPN • De forma predeterminada, estas funciones están ocultas • Para que la función sea visible en la GUI, haga clic en Sistema> Visibilidad de la función • Mostrado en el menú VPN 19 Configurar reinos • De forma predeterminada, todos los usuarios se conectan a la misma página de inicio de sesión para el portal SSL-VPN • https://10.0.1.254:10443 VPN > SSL-VPN Realms Ruta de URL personalizada • Personalizar URL para portales especializados (reinos) • https://10.0.1.254:10443/Accountants vpn ssl web realm • config https://10.0.1.254:10443/Teachers edit Accountants set max-current-users 500 set login page <HTML content> next end Límite de usuarios Página de inicio de sesión personalizada 20 Aplicar reinos • En Configuración de SSL-VPN, aplique dominios en la página Autenticación / Mapeo del portal • Personalice portales para cada usuario / grupo con reinos. VPN > SSL-VPN Settings 1 2 Nueva opción para reinos 3 21 Marcadores personales SSL-VPN VPN > SSL-VPN Portals SSL-VPN Portal (Web Mode) • Muestre los marcadores agregados por el usuario a través del portal web SSL-VPN • Habilite la opción en VPN> página del portal SSLVPN • Estos no son los marcadores definidos por el administrador • Los administradores pueden: VPN > SSL-VPN Personal Bookmarks • GUI: vea y elimine los marcadores de usuario • CLI: crea marcadores para un usuario específico • Admite SSO para cualquier enlace que requiera autenticación config vpn ssl web user-bookmark edit Accountant-1#Accountants config bookmarks edit Finance-FTP set apptype ftp set folder ftp://[email protected]/Invoices set sso disable next 22 Fortalecimiento del acceso SSL-VPN Objectives • Configurar la verificación de la integridad del cliente • Aplicar la autenticación de dos factores mediante certificados de seguridad • Restringir clientes por dirección IP y MAC Comprobación de la integridad del cliente • La puerta de enlace SSL-VPN verifica la integridad del cliente • Requiere Microsoft Windows • Detecta aplicaciones de seguridad del cliente reconocidas por el Centro de seguridad de Windows • Software antivirus y cortafuegos • Atributos de seguridad registrados en la computadora del cliente • Comprueba el estado de las aplicaciones a través de su identificador único global (GUID) • Comprobaciones de host personalizadas • Determina el estado de las aplicaciones. • Activo inactivo • Número de versión actual • Actualizaciones de firmas 24 Configurar la verificación de integridad del cliente • El software de proveedores externos garantiza la integridad del cliente FortiClient, AVG, CA, F-Secure, Kapersky, McAfee, Norton, Symantec, Panda, Sophos, Trend-Micro, Zone Alarm,… config vpn ssl web host-check-software show VPN > SSL-VPN Portals > portal-name • Compruebe si el software está instalado en el cliente host • Configurar a través de CLI o GUI • El software debe ser actualizado y reconocido por el Centro de seguridad de Windows • None – No host checking • av – verifica si hay algún software antivirus config vpn ssl web portal edit <portal_name> • fw – Verifique si hay algún software de firewall set host-check [none|av|fw|av-fw|custom] • av-fw – Verifique si hay software antivirus y firewall • Custom – Verificar software personalizado o propietario set host-check-interval <seconds> • De lo contrario, FortiGate rechaza el intento de conexión SSL-VPN end Los administradores deben tener un conocimiento profundo del sistema operativo Windows para usar y mantener esta función. 25 Autenticación de dos factores mediante certificados de seguridad 1. Solicitar los certificados de un cliente • Los clientes se autentican mediante certificados • Instale un certificado local en el navegador de un cliente • Instale el certificado CA correspondiente en FortiGate config vpn ssl settings set reqclientcert enable end FortiGate solicita al navegador del cliente su certificado del lado del cliente 2. Uso de certificados emitidos por FortiGate • Utilice el certificado FortiGate CA • Instale el certificado FortiGate CA en el navegador de un cliente • El certificado predeterminado es Fortinet_CA_SSL config vpn ssl settings set servercert <certificate> end Utilice el certificado que usa FortiGate para identificarse ante los clientes SSLVPN 26 Restricción de hosts por dirección IP • Configure reglas de restricción de IP para permitir hosts específicos VPN > SSL-VPN Settings • Usando la GUI: • Seleccione Limitar el acceso a hosts específicos • Usando la CLI, ingrese: • set source-address • Configure reglas de restricción de IP para excluir hosts específicos por CLI config vpn ssl setting set source-address REMOTE_WINDOWS end config vpn ssl setting set source-address-negate [enable|disable] set source-address6-negate [enable|disable] end 27 Restricción de hosts por dirección MAC • Verifique con la dirección MAC del cliente • Asegúrese de que solo equipos o dispositivos específicos se conecten a SSL-VPN • Vincular clientes a portales específicos por dirección MAC • Se conecta al Centro de seguridad de Windows config vpn ssl web portal edit <portal-name> set mac-addr-check [enable|disable] set mac-addr-action [allow | deny] config mac-addr-check-rule edit <rule-id> set mac-addr-list 01:01:01:01:01:01 08:00:27:d4:06:5d set mac-addr-mask 48 end end 28