SSLVPN – Fortigate – Host Check

הסבר:

SSLVPN – Secure Sockets Layer (SSL) VPN הוא למעשה שירות המאפשר לנו את היכולת לגשת מרחוק ולהתחבר לרשת הפנימית ומשאבי הרשת של החברה או הארגון, באופן בטוח ומאומת.
ההתחברות לרשת נעשית בצורה מוצפנת – SSL (הצפנה בשכבת ה- Presentation במודל ה-OSI).
בפתרון זה המידע בין משתמש (מקור הבקשה) לבין היעד מוצפן.

בכדי לאפשר תוספת אבטחה לחיבור מסוג זה, ניתן להגדיר Host Check.
Host Check מאפשר לנו לוודא שהתחנה ממנה בוצע חיבור ה-SSLVPN מאובטחת במידה סבירה.
הבדיקות שניתן לבצע על התחנה הן בדיקת קיום Anti-Virus , Firewall (בנוסף ניתן לבצע הגדרה עבור תוכנות ספציפיות, לדוג' לאפשר רק עבור Anti-Virus מיצרן מסוים , גרסאות ספציפיות, בדיקת Services פעילים, קיום קבצים ועוד).

בכדי לצפות במדריך להגדרת SSLVPN לחץ על הקישור הבא:

https://cybersecil.com/2019/02/14/sslvpn-fortigate/

בכדי לצפות במדריך ההתחברות באמצעות SSLVPN בשיטת Tunnel-Access לחץ על הקישור הבא:

https://cybersecil.com/2019/02/14/sslvpn-fortigate-%d7%94%d7%aa%d7%97%d7%91%d7%a8%d7%95%d7%aa-%d7%9e%d7%a9%d7%aa%d7%9e%d7%a9/

במדריך זה נגדיר Host Check עבור חיבור SSLVPN, אשר מוגדר עבור full-access" portal" .
ההגדרה שנבצע היא בדיקת Anti-Virus + Firewall בתחנה (ברירת המחדל), כאשר הבדיקה מתבצעת גם בעת החיבור הראשוני, ומדי 120 שניות.


שלבי הגדרה:

  1. הגדרת החיוב ב-Host Check לחיבור ה-SSLVPN עבור full-access" portal" :

config vpn ssl web portal
edit full-access
set host-check av-fw
set host-check-interval 120
end

2. בדיקת חיבור כאשר ה-Firewall של Windows כבוי + קבלת שגיאה:

Firewall כבוי
קבלת הודעת שגיאה

3. חיבור SSLVPN כאשר Firewall פעיל + Anti-Virus פעיל:

חיבור SSLVPN + ביטול ה-Firewall לאחר החיבור

נראה שהחיבור צלח. כעת ביטלתי את ה-Firewall והמתנתי 120 שניות .

כעבור 120 שניות. נראה שבוצע בדיקת Host Check בשנית שנכשלה, וה-SSLVPN נותק.

למתקדמים:

ניתן לייצר Custom Rule ולאפשר גישה רק עבור מערכות אנטי-וירוס ספציפיות ומגרסאות מסוימות ומעלה. בנוסף ניתן לאפשר גישה רק ממערכות הפעלה מסוימות, בדיקת Service פעילים, קיום קבצים ועוד.

בדוגמא שלהלן נאפשר בדיקת Anti-Virus של Avast ומגרסה 18.

  1. בדיקת ה- GUID  של מערכת ה-Anti-Virus : https://kb.fortinet.com/kb/documentLink.do?externalID=FD39129
  2. כדי לאפשר זאת נכנס ב-CLI ל-FIREWALL ונריץ:
    2.1 הגדרת ה-Avast-Check:

config vpn ssl web host-check-software
edit AVAST-Check
set guid "8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF"
set version "18"
end

2.2 שיוך ה-Avast-Check עבור full-access" portal":

config vpn ssl web portal
edit full-access
set host-check custom
set host-check-policy Avast-Check
end

בהצלחה!

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

Gravatar
הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

ביטול

מתחבר ל-%s

אתר מבית WordPress.com. ערכת עיצוב: Baskerville 2 של Anders Noren.

למעלה ↑

%d בלוגרים אהבו את זה: