IPsec VPN w rozwiązaniach Fortinet
Czym jest IPsec VPN?
Technologia wirtualnej sieci prywatnej (VPN) umożliwia zdalnym użytkownikom łączenie się z prywatnymi sieciami komputerowymi w celu uzyskania bezpiecznego dostępu do swoich zasobów. Na przykład pracownik podróżujący lub pracujący z domu może korzystać z VPN, aby bezpiecznie uzyskać dostęp do sieci biurowej przez Internet.
Zamiast zdalnie logować się do sieci prywatnej za pomocą niezaszyfrowanego i niezabezpieczonego połączenia internetowego, korzystanie z VPN zapewnia, że nieupoważnione osoby nie mają dostępu do sieci biurowej i nie mogą przechwycić żadnych informacji wymienianych między pracownikiem a biurem. Często używa się również VPN do łączenia prywatnych sieci dwóch lub więcej biur.
FortiGate Unified Threat Management (UTM) oraz w pakiecie aplikacji FortiClient Endpoint Security.
Firma Fortinet oferuje funkcje VPN w urządzeniu FortiGate Unified Threat Management (UTM) oraz w pakiecie aplikacji FortiClient Endpoint Security. Urządzenie FortiGate można zainstalować w sieci prywatnej, a oprogramowanie FortiClient można zainstalować na komputerze użytkownika. Możliwe jest również użycie urządzenia FortiGate do połączenia z siecią prywatną zamiast korzystania z oprogramowania FortiClient.
Konfiguracje VPN współdziałają z firewall urządzenia FortiGate. Musi istnieć polityka bezpieczeństwa, aby zezwalać na przepływ ruchu między siecią prywatną a tunelem VPN.
Zasady bezpieczeństwa dla VPN określają:
- Interfejs FortiGate, który zapewnia fizyczne połączenie ze zdalną bramą VPN, zazwyczaj podłączony do Internetu
- Interfejs FortiGate, który łączy się z siecią prywatną
- Adresy IP powiązane z danymi, które muszą być zaszyfrowane i odszyfrowane
- Opcjonalnie harmonogram, który ogranicza czas działania sieci VPN
- Opcjonalnie usługi (rodzaje danych), które można przesłać
Kiedy do urządzenia FortiGate dotrze pierwszy pakiet danych spełniający wszystkie warunki polityki bezpieczeństwa, może zostać zainicjowany tunel VPN, a następnie szyfrowanie lub deszyfrowanie danych jest wykonywane automatycznie. Aby uzyskać więcej informacji, zobacz Definiowanie zasad bezpieczeństwa VPN.
Tam, gdzie to możliwe, powinieneś tworzyć sieci VPN oparte na trasach. Ogólnie rzecz biorąc, sieci VPN oparte na trasach są bardziej elastyczne i łatwiejsze w konfiguracji niż sieci VPN oparte na zasadach — domyślnie są one traktowane jako interfejsy. Jednak te dwa typy VPN mają różne wymagania, które ograniczają miejsca, w których można ich używać.
Rodzaje VPN
Sieci VPN FortiGate mogą być oparte na zasadach lub trasach. Między tymi dwoma typami jest niewielka różnica. W obu przypadkach określasz ustawienia Fazy 1 i Fazy 2. Istnieje jednak różnica we wdrażaniu. Sieć VPN oparta na trasach tworzy wirtualny interfejs sieciowy IPsec, który w razie potrzeby stosuje szyfrowanie lub deszyfrowanie do każdego przesyłanego ruchu. Dlatego Virtual Private Network oparte na trasach są również znane jako sieci VPN oparte na interfejsach. Oparta na zasadach sieć VPN jest wdrażana za pomocą specjalnej zasady zabezpieczeń, która stosuje szyfrowanie określone w ustawieniach fazy 1 i fazy 2. Poniżej szczegółowy opis różnic między sieciami VPN(Virtual Private Network).
Sieci VPN oparte na trasach
W przypadku sieci VPN opartej na trasach tworzy się dwie zasady zabezpieczeń między wirtualnym interfejsem IPsec a interfejsem łączącym się z siecią prywatną. W jednej z zasad źródłem jest interfejs wirtualny. W drugiej polityce docelowym jest interfejs wirtualny. Tworzy to zasady dwukierunkowe, które zapewniają przepływ ruchu w obu kierunkach przez VPN.
Sieć VPN oparta na trasach jest również znana jako sieć VPN oparta na interfejsie.
Każdy tunel VPN IPsec oparty na trasach wymaga wirtualnego interfejsu IPsec. W związku z tym liczba możliwych sieci VPN IPsec opartych na trasach jest ograniczona przez rozmiar tabeli system.interface. Rozmiar tabeli system.interface dla większości urządzeń wynosi 8192.
Sieci VPN oparte na zasadach
W przypadku sieci VPN opartej na zasadach jedna zasada bezpieczeństwa umożliwia komunikację w obu kierunkach. Włączasz ruch przychodzący i wychodzący zgodnie z potrzebami w ramach tej zasady lub tworzysz wiele zasad tego typu, aby w różny sposób obsługiwać różne typy ruchu. Na przykład ruch HTTPS może nie wymagać takiego samego poziomu skanowania jak ruch FTP.
Sieć VPN oparta na zasadach jest również znana jako sieć VPN działająca w trybie tunelu.
Porównanie sieci VPN opartych na zasadach lub trasach
Dla obu typów VPN tworzysz konfiguracje fazy 1 i fazy 2. Oba typy są obsługiwane w warstwie bezpieczeństwa inspekcji stanowej, zakładając, że nie ma IPS ani AV.
Główna różnica polega na polityce bezpieczeństwa.
Sieć VPN opartą na zasadach tworzy się, definiując zasadę zabezpieczeń IPSEC między dwoma interfejsami sieciowymi i kojarząc ją z konfiguracją tunelu VPN.
Sieć VPN opartą na trasach tworzy się, tworząc wirtualny interfejs IPsec. Następnie definiuje się zwykłą zasadę zabezpieczeń ACCEPT, aby zezwolić na przepływ ruchu między wirtualnym interfejsem IPsec a innym interfejsem sieciowym. I na koniec skonfiguruj trasę statyczną, aby umożliwić ruch przez VPN.
Tam, gdzie to możliwe, powinieneś tworzyć sieci VPN oparte na trasach. Ogólnie rzecz biorąc, sieci VPN oparte na trasach są bardziej elastyczne i łatwiejsze w konfiguracji niż sieci VPN oparte na zasadach — domyślnie są one traktowane jako interfejsy. Jednak te dwa typy VPN mają różne wymagania, które ograniczają miejsca, w których można ich używać.
Planowanie VPN
Dobrym pomysłem jest zaplanowanie konfiguracji VPN z wyprzedzeniem. Pozwoli to zaoszczędzić czas później i pomoże poprawnie skonfigurować VPN.
Wszystkie konfiguracje VPN składają się z wielu wymaganych i opcjonalnych parametrów. Zanim zaczniesz, musisz ustalić:
- Skąd pochodzi ruch IP i gdzie należy go dostarczyć
- Które hosty, serwery lub sieci należy uwzględnić w sieci VPN
- Które urządzenia VPN uwzględnić w konfiguracji
Autor tekstu:
Paweł Myślicki
IT Systems Engineer
tel. 575 390 330, pawel_m@ht.poznan.pl