Embedded Files
SSLVPN annab võimaluse sisselogida internal võrku krüpteeritud tunnelite abil. SSL VPNi kasutab sertifikaadi ja parooli autentimist. Parim praktika näitab, et sertifikaadiga autentimine on turvalisem ning mugavam.
Antud seadistusel kasutame algul parooliga autentimist. Selleks tuleb navigeeruda "VPN > SSL VPN Settings"
Lülita sisse SSL VPN ning määra võrguliideseks WAN võrk ( kui teed labi siis määra lokaalne liides).
Testimiseks seadistame "Restrict Access" > "Allow Access from any host". Juhul kui tegemist on päris WAN võrguga siis hea praktika koostada eraldi seadmete nimekiri ning lisada SSL VPN alla, et tõkestada volitamata ühendusi VPNi.
Kui infrastruktuuris on kasutusel autentimise sertifikaadid siis määra "Require Client Certificate". Parooli autentimiseks lülitame sertifikaadi autentimist välja.
DNS serveri jaoks seadistame tava Cloudflare Malware Protection aadressid "1.1.1.3 ja 1.0.0.3"
Lisa SSL VPNile Kasutajate grupp. Anna ligipääs "Tunnel Access", testimiseks võime seadistada ka web-access.
Kui kõik seadistused on tehtud siis vajutame "Apply"
Edasi tuleb seadistada tulemüüri reeglid, mis lubab välis ühendused. Navigeeru "Policy & Object" > "Create New".
Valime Incoming interface: "SSLVPN tunnel ssl.root"
Outgoing interface: "Trusted"
Source: "ALL", "Local Firewall Group"
Destination: "Trusted IP"
Service: "ALL"
Log Allowed Traffic: "All Sessions"
Paigalda klient seadmele SSL VPN tarkvara, ning tee baasilised seadistused. SSL VPN vali "Add New VPN".
Ühenduse nimeks "fortiwan.hari.intra"
Remote Gateway: "192.168.8.6"
Customize Port: "10443"
Client certificate: "None"
Vajuta "Save" ning proovi luua ühendust.
Kui võrgulaboris seade asub wan või muu võrgus siis piisab SSL VPN Setting wan liides, kui seade on lokaalses võrgus siis tuleb SSL VPNile määrata ka lokaalne võrgu liides ehk "Trusted".
FortiClient VPNi autentimise katse, kasutades konto ja parooli.
Eduka ühendumisel peab näitama tunneli staatust ning IP-aadressit
SSL VPN turbe tugevdamise seadistused
SSLVPNi tugevdamiseks tuleb teha järgmised seadistused:
Sertifikaadi autentimine
Ligipääsu piiramine
RADIUS/LDAP seadistamine
SAML/SSO autentimine kasutades AD/EntraID
Võrgupordi ümbersuunamine
Web tunneli piiramine
Regiooni ligipääsu piiramine
SSL VPNi loopback võrguliidese migreerimine
SSLVPN Loopback liidese loomine
Nimeta loopback liidest: "SSLVPN"
Aadressiks seadista "172.16.1.1/32"
Seejärel vajuta "OK".
Seejärel loome 1:1 virtual IP, mille abil saame teha välja suunamist WAN võrku ning seadistada tõhustamad turbe profiilid nagu IPS ja Anti-Malware.
VIP: IPv4
Name: "SSLVPN"
Interface: "Any"
Type: "Static NAT"
External IP address: "192.168.8.6" (WAN static IP)
Map to: "172.16.1.1"
Port Forwarding: " TCP" > "One to One" > "10443, 10443"
Teeme uue tulemüüri reegli, millel lubame VirtualIP suunata välja kasutades Loopback liidest.
Tulemüüri reegli nimi, incoming interface valime virtual-wan-link (juhul kui tegemist on sd-wan, kui mitte siis tavaline WAN liides). Outgoing "SSLVPN" liides. Source "ALL", Destination "SSLVPN" virtual ip profiil. Service "all" ja action "Accept". NAT lülitame välja.
Seadistame järgmised UTM infoturbe profiilid:
Antivirus "TLN-AV-profiil-01"
Web Filter "Veebilüüs-Leevendatud"
Application "Trusted tarkvara sensor"
IPS "high_security"
File Filter "Advanced File Detection Profile"
SSL Inspection: "Hariduse Deep Inspection"
Navigeeru tagasi SSLVPN settings
Lisa võrguliidesele "SSLVPN" liides
Antud juhul ei piirdu meie seadistused lõpule. Et kasutajad saaksid ligipääsu veebiliidesele tuleb erandina teha uue tulemüüri reegli, kus lubad Trusted -> Loopback SSLVPN
Page updated
Google Sites
Report abuse