Описание удаленного доступа
Использование VPN позволяет организовать безопасный удаленный доступ сотрудников через интернет к корпоративным сервисам и данным, размещаемым в инфраструктуре Selectel. Используя аппаратный межсетевой экран FortiGate в Selectel, можно настроить удалённый доступ к частным сетям организаций на основе технологий SSL, IPsec и L2TP over IPsec, с использованием различного ПО, устанавливаемого на компьютеры, ноутбуки и мобильные телефоны удалённых пользователей, такие как:
- клиент FortiClient от Fortinet;
- клиент от Cisco;
- средствами операционной системы.
Для создания VPN туннеля на межсетевом экране требуется, чтобы уже были настроены (подробнее о базовой настройке):
- внешний интерфейс, через который будут подключаться устройства;
- внутренняя сеть;
- доступ к веб-интерфейсу FortiGate.
Глоссарий
| Термины | Определение |
|---|---|
| SSL (Secure Sockets Layer) | Стандартизованная технология для установления зашифрованного канала связи между веб-сервером и браузером клиента. Такой тип связи подразумевает, что все данные, переданные между сервером и клиентом, остаются приватными и неизвестными никому, кроме этих двух сторон. Для создания SSL-соединения требуется SSL-сертификат Одним из распространенных примеров является использование SSL для безопасной связи между веб-браузером и веб-сервером (HTTPS) |
| IPsec | Набор протоколов, который используется для аутентификации и шифрования трафика между двумя одноранговыми узлами. Три наиболее часто используемых протокола в наборе: Internet Key Exchange (IKE) — выполняет “рукопожатие”, обслуживание туннеля и отключение; Encapsulation Security Payload (ESP) — обеспечивает целостность данных и шифрование. Authentication Header (AH) — предлагает только целостность данных, но не шифрование. FortiGate использует только ESP для передачи полезной нагрузки пакета. AH не используется FortiGate |
IKE (The Internet Key Exchange)* |
Стандартный протокол набора протоколов IPsec, используемый для обеспечения безопасности взаимодействия в VPN, то есть IKE устанавливает туннель IPsec VPN. Для того, чтобы протоколы в составе IPsec могли выполнять свою работу по защите передаваемых данных, протокол IKE устанавливает между двумя конечными точками логическое соединение — безопасную ассоциацию (Security Association, SA). SA определяет аутентификацию, ключи и настройки, которые будут использоваться для шифрования и расшифрования пакетов |
* IKE определяет две фазы (Phase 1 и Phase 2):
- Phase 1 — согласование параметров безопасного обмена данными о настройках, что происходит, когда каждая конечная точка туннеля подключается и начинает настраивать VPN.
В Phase 1 происходит аутентификация обоих концов туннеля на основе общего ключа (Pre-Shared Key) или цифровой подписи (сертификата), создание одной двунаправленной IKE SA для определения безопасного канала и согласование настроек (проверка и гарантирование, что на каждом конце туннеля будет использоваться одинаковый Pre-Shared Key), обмен ключами по алгоритму Диффи-Хеллмана, которые будут использоваться в Phase 2.
После того, как в Phase 1 установлен в некоторой степени безопасный канал и закрытые ключи, начинается Phase 2; - Phase 2 — согласование параметров защиты передаваемого трафика между конечными точками, согласовываются параметры безопасности для двух однонаправленных IPsec SA — не путать с IKE SA.
Это SA для Phase 2, которые уже ESP использует для передачи данных между LAN.
Phase 2 не заканчивается, когда начинается ESP. Phase 2 периодически пересматривает криптографию для поддержания безопасности.
Каждая Phase 1 может иметь несколько Phase 2, например, если требуется использовать разные ключи шифрования для каждой подсети, трафик которой пересекает туннель.
По окончании Phase 2 устанавливается VPN-подключение.
Сравнение SSL-VPN и IPsec-VPN
SSL находится на более высоком уровне в сетевом стеке, чем IP, и, следовательно, обычно требуется больше битов — большая пропускная способность — для заголовков SSL-VPN.
IPsec использует некоторые специальные протоколы. Основным протоколом является ESP, который инкапсулирует и шифрует UDP, RDP, HTTP или другие протоколы, находящиеся внутри туннеля IPsec. Кроме того, IPsec VPN — это стандарт. Он может взаимодействовать с несколькими поставщиками и поддерживает одноранговые узлы, которые являются устройствами и шлюзами, а не только пользовательскими клиентами только с FortiGate, как это делает SSL-VPN.
| SSL-VPN | IPsec-VPN | |
|---|---|---|
| Тип туннеля | HTTPS | IPsec |
| Может быть между | Браузер и FortiGate FortiClient и FortiGate |
FortiClient и FortiGate FortiGate и FortiGate FortiGate и совместимый сторонний IPsec VPN шлюз FortiGate и совместимый сторонний IPsec VPN клиент |
| Вход через | HTTPS веб-панель на FortiGate FortiClient |
IPsec client (Site-to-site не требует клиента) |
| Настройка | Не требует установки Упрощенная организация (только client-to-FortiGate, нет настраиваемых пользователем параметров) |
Требуется установка Гибкая организация (для различных топологий, для клиентов или шлюзов |
| Категория | Определяется вендором | Стандарт |
Режимы SSL-VPN
| Термины | Определение |
|---|---|
| Tunnel-mode | Режим, при котором клиент SSL VPN шифрует весь трафик с удаленного клиентского компьютера и отправляет его в FortiGate через туннель SSL VPN по каналу HTTPS между пользователем и FortiGate. Tunnel-mode поддерживает множество протоколов и приложений. Для туннельного режима для подключения к FortiGate требуется автономный клиент SSL-VPN, FortiClient. FortiClient добавляет на компьютер пользователя виртуальный сетевой адаптер, обозначенный как fortissl. Этот виртуальный адаптер динамически получает IP-адрес от FortiGate каждый раз, когда FortiGate устанавливает новое VPN-соединение. Внутри туннеля весь трафик инкапсулирован в SSL / TLS. Основное преимущество туннельного режима перед веб-режимом заключается в том, что после установки VPN любое сетевое IP-приложение, работающее на клиенте, может отправлять трафик через туннель. Основным недостатком является то, что для туннельного режима требуется установка программного клиента VPN, для которого требуются права администратора |
| Web-mode | Режим, при котором обеспечивается доступ к сети с помощью веб-браузера со встроенным шифрованием SSL. Пользователи проходят аутентификацию в веб-панеле SSL VPN от FortiGate, который обеспечивает доступ к сетевым службам и ресурсам, включая HTTP / HTTPS, Telnet, FTP, SMB / CIFS, VNC, RDP и SSH. Раздел Bookmarks на странице портала SSL-VPN содержит ссылки на все или некоторые ресурсы, доступные пользователю для доступа. Виджет Quick Connection позволяет пользователям вводить URL или IP-адрес сервера, к которому они хотят подключиться. Пользователь web-SSL-VPN использует эти два виджета для доступа к внутренней сети. Основное преимущество веб-режима заключается в том, что он обычно не требует установки дополнительного программного обеспечения. Данный режим имеет следующие ограничения: - все взаимодействие с внутренней сетью должно осуществляться исключительно с использованием браузера (через веб-портал). Внешние сетевые приложения, работающие на компьютере пользователя, не могут отправлять данные через VPN; - это безопасный механизм шлюза HTTP / HTTPS, который работает не для доступа ко всему, а только к нескольким популярным протоколам, таким как HTTP, FTP и общие ресурсы Windows |
| Split mode | Режим туннелирования, включённый в tunnel mode, который направляет трафик только в указанную сеть через FortiGate. Когда включено split tunneling, через туннель маршрутизируется только трафик, предназначенный для частной сети за удаленным FortiGate. Весь остальной трафик отправляется по обычному зашифрованному маршруту |
| Full mode | Режим туннелирования, когда split tunneling отключено, весь IP-трафик, генерируемый клиентским компьютером, включая интернет-трафик, направляется через туннель SSL-VPN в FortiGate. Это устанавливает FortiGate в качестве шлюза по умолчанию для хоста. Вы можете использовать этот метод для применения функций безопасности к трафику на этих удаленных клиентах, а также для отслеживания или ограничения доступа в интернет. Это увеличивает задержку и увеличивает использование полосы пропускания |