Описание удаленного доступа

Использование VPN позволяет организовать безопасный удаленный доступ сотрудников через интернет к корпоративным сервисам и данным, размещаемым в инфраструктуре Selectel. Используя аппаратный межсетевой экран FortiGate в Selectel, можно настроить удалённый доступ к частным сетям организаций на основе технологий SSL, IPsec и L2TP over IPsec, с использованием различного ПО, устанавливаемого на компьютеры, ноутбуки и мобильные телефоны удалённых пользователей, такие как:

  • клиент FortiClient от Fortinet;
  • клиент от Cisco;
  • средствами операционной системы.

Для создания VPN туннеля на межсетевом экране требуется, чтобы уже были настроены (подробнее о базовой настройке):

  • внешний интерфейс, через который будут подключаться устройства;
  • внутренняя сеть;
  • доступ к веб-интерфейсу FortiGate.

Глоссарий

Термины Определение
SSL (Secure Sockets Layer) Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат Одним из распространенных примеров является использование SSL для безопасной связи между веб-браузером и веб-сервером (HTTPS)
IPsec Набор протоколов, который используется для аутентификации и шифрования трафика между двумя одноранговыми узлами. Три наиболее часто используемых протокола в наборе:
Internet Key Exchange (IKE) — выполняет “рукопожатие”, обслуживание туннеля и отключение;
Encapsulation Security Payload (ESP) — обеспечивает целостность данных и шифрование.
Authentication Header (AH) — предлагает только целостность данных, но не шифрование.

FortiGate использует только ESP для передачи полезной нагрузки пакета. AH не используется FortiGate
IKE (The Internet Key Exchange)* Стандартный протокол набора протоколов IPsec, используемый для обеспечения безопасности взаимодействия в VPN, то есть IKE устанавливает туннель IPsec VPN.
Для того, чтобы протоколы в составе IPsec могли выполнять свою работу по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение — безопасную ассоциацию (Security Association, SA).
SA определяет аутентификацию, ключи и настройки, которые будут использоваться для шифрования и расшифрования пакетов

* IKE определяет две фазы (Phase 1 и Phase 2):

  • Phase 1 — согласование параметров безопасного обмена данными о настройках, что происходит, когда каждая конечная точка туннеля подключается и начинает настраивать VPN.
    В Phase 1 происходит аутентификация обоих концов туннеля на основе общего ключа (Pre-Shared Key) или цифровой подписи (сертификата), создание одной двунаправленной IKE SA для определения безопасного канала и согласование настроек (проверка и гарантирование, что на каждом конце туннеля будет использоваться одинаковый Pre-Shared Key), обмен ключами по алгоритму Диффи-Хеллмана, которые будут использоваться в Phase 2.
    После того, как в Phase 1 установлен в некоторой степени безопасный канал и закрытые ключи, начинается Phase 2;
  • Phase 2 — согласование параметров защиты передаваемого трафика между конечными точками, согласовываются параметры безопасности для двух однонаправленных IPsec SA — не путать с IKE SA.
    Это SA для Phase 2, которые уже ESP использует для передачи данных между LAN.
    Phase 2 не заканчивается, когда начинается ESP. Phase 2 периодически пересматривает криптографию для поддержания безопасности.

Каждая Phase 1 может иметь несколько Phase 2, например, если требуется использовать разные ключи шифрования для каждой подсети, трафик которой пересекает туннель.

По окончании Phase 2 устанавливается VPN-подключение.

Сравнение SSL-VPN и IPsec-VPN

SSL находится на более высоком уровне в сетевом стеке, чем IP, и, следовательно, обычно требуется больше битов — большая пропускная способность — для заголовков SSL-VPN.

IPsec использует некоторые специальные протоколы. Основным протоколом является ESP, который инкапсулирует и шифрует UDP, RDP, HTTP или другие протоколы, находящиеся внутри туннеля IPsec. Кроме того, IPsec VPN — это стандарт. Он может взаимодействовать с несколькими поставщиками и поддерживает одноранговые узлы, которые являются устройствами и шлюзами, а не только пользовательскими клиентами только с FortiGate, как это делает SSL-VPN.

SSL-VPN IPsec-VPN
Тип туннеля HTTPS IPsec
Может быть между Браузер и FortiGate
FortiClient и FortiGate
FortiClient и FortiGate
FortiGate и FortiGate
FortiGate и совместимый сторонний IPsec VPN шлюз
FortiGate и совместимый сторонний IPsec VPN клиент
Вход через HTTPS веб-панель на FortiGate
FortiClient
IPsec client (Site-to-site не требует клиента)
Настройка Не требует установки
Упрощенная организация (только client-to-FortiGate, нет настраиваемых пользователем параметров)
Требуется установка
Гибкая организация (для различных топологий, для клиентов или шлюзов
Категория Определяется вендором Стандарт

Режимы SSL-VPN

Термины Определение
Tunnel-mode Режим, при котором клиент SSL VPN шифрует весь трафик с удаленного клиентского компьютера и отправляет его в FortiGate через туннель SSL VPN по каналу HTTPS между пользователем и FortiGate.
Tunnel-mode поддерживает множество протоколов и приложений. Для туннельного режима для подключения к FortiGate требуется автономный клиент SSL-VPN, FortiClient. FortiClient добавляет на компьютер пользователя виртуальный сетевой адаптер, обозначенный как fortissl. Этот виртуальный адаптер динамически получает IP-адрес от FortiGate каждый раз, когда FortiGate устанавливает новое VPN-соединение. Внутри туннеля весь трафик инкапсулирован в SSL / TLS.
Основное преимущество туннельного режима перед веб-режимом заключается в том, что после установки VPN любое сетевое IP-приложение, работающее на клиенте, может отправлять трафик через туннель. Основным недостатком является то, что для туннельного режима требуется установка программного клиента VPN, для которого требуются права администратора
Web-mode Режим, при котором обеспечивается доступ к сети с помощью веб-браузера со встроенным шифрованием SSL. Пользователи проходят аутентификацию в веб-панеле SSL VPN от FortiGate, который обеспечивает доступ к сетевым службам и ресурсам, включая HTTP / HTTPS, Telnet, FTP, SMB / CIFS, VNC, RDP и SSH.
Раздел Bookmarks на странице портала SSL-VPN содержит ссылки на все или некоторые ресурсы, доступные пользователю для доступа. Виджет Quick Connection позволяет пользователям вводить URL или IP-адрес сервера, к которому они хотят подключиться. Пользователь web-SSL-VPN использует эти два виджета для доступа к внутренней сети.
Основное преимущество веб-режима заключается в том, что он обычно не требует установки дополнительного программного обеспечения.

Данный режим имеет следующие ограничения:
- все взаимодействие с внутренней сетью должно осуществляться исключительно с использованием браузера (через веб-портал). Внешние сетевые приложения, работающие на компьютере пользователя, не могут отправлять данные через VPN;
- это безопасный механизм шлюза HTTP / HTTPS, который работает не для доступа ко всему, а только к нескольким популярным протоколам, таким как HTTP, FTP и общие ресурсы Windows
Split mode Режим туннелирования, включённый в tunnel mode, который направляет трафик только в указанную сеть через FortiGate. Когда включено split tunneling, через туннель маршрутизируется только трафик, предназначенный для частной сети за удаленным FortiGate. Весь остальной трафик отправляется по обычному зашифрованному маршруту
Full mode Режим туннелирования, когда split tunneling отключено, весь IP-трафик, генерируемый клиентским компьютером, включая интернет-трафик, направляется через туннель SSL-VPN в FortiGate. Это устанавливает FortiGate в качестве шлюза по умолчанию для хоста. Вы можете использовать этот метод для применения функций безопасности к трафику на этих удаленных клиентах, а также для отслеживания или ограничения доступа в интернет. Это увеличивает задержку и увеличивает использование полосы пропускания