Общеизвестные обстоятельства сделали актуальной задачу обеспечения безопасности удалённой работы. Компания Fortinet входит в число вендоров, чьи продукты и технологии позволяют защитить удалённые рабочие места; рассмотрим эти решения и некоторые сценарии их применения.
- Введение
- Решения Fortinet, обеспечивающие безопасную работу вне офиса
- Сценарии работы пользователей в концепции Fortinet Security Fabric
- 3.1. Обычный пользователь
- 3.2. Опытный пользователь
- 3.3. Суперпользователь
- Подключение по VPN
- 4.1. Настройка FortiGate
- 4.2. Обеспечение удалённого доступа с помощью FortiClient VPN
- 4.3. Контроль безопасности конечных точек FortiClient EMS
- 4.4. Настройка многофакторной аутентификации с помощью FortiToken
- 4.5. Проверка подлинности с помощью FortiAuthenticator
- Безопасное беспроводное подключение через FortiAP
- Выводы
Введение
С каждым годом дистанционная работа становится всё популярнее. Это связано прежде всего с развитием коммуникационных технологий. Ещё 20 лет назад было сложно представить, что мы сможем эффективно работать из любой точки мира без привязки не только к рабочему компьютеру, но и к проводному интернету.
В 2020 году из-за пандемии коронавируса вопрос об удалённом доступе сотрудников к корпоративным сервисам приобрёл особенную актуальность. Администраторы по всему миру проделали большую работу по настройке доступа для миллионов сотрудников, чтобы поддержать непрерывность бизнес-процессов и позволить компаниям работать как раньше.
Важным аспектом стала безопасность дистанционной работы. Если раньше специалисты полностью контролировали периметры корпоративных сетей, то сейчас рабочими станциями становятся устройства, находящиеся вне их досягаемости. Кроме того, подключение к корпоративным сервисам должно быть не только безопасным, но и быстрым.
Сегодня мы изучим и разберём несколько способов подключения удалённых сотрудников к защищаемой сети на базе решений компании Fortinet.
Решения Fortinet, обеспечивающие безопасную работу вне офиса
Платформа Fortinet Security Fabric объединяет популярные сетевые технологии и средства обеспечения безопасности, предоставляя механизмы интеграции для удалённых сотрудников. Все решения Fortinet подключаются к Fortinet Security Fabric и используют единую панель конфигурации и мониторинга. Подробнее о платформе Fortinet Security Fabric рассказано в нашем обзоре.
В основу Fortinet Security Fabric заложены межсетевые экраны следующего поколения FortiGate, которые анализируют сетевой трафик организации без потери производительности. В их состав входит интегрированный VPN-шлюз (IPsec VPN и SSL VPN), выступающий в качестве конечной точки для зашифрованных соединений с удалёнными сотрудниками.
Помимо поддержки VPN для организации дистанционной работы сотрудников Fortinet предлагает:
- защиту конечных точек и мониторинг их состояния с помощью FortiClient;
- многофакторную аутентификацию (MFA) с помощью аппаратных, программных, почтовых и мобильных токенов FortiToken;
- проверку подлинности пользователей и идентификаторов средствами FortiAuthenticator;
- расширенную защиту от угроз с помощью FortiSandbox, сетевой «песочницы», анализирующей потенциально вредоносные программы и подозрительный контент в изолированной среде;
- поддержку безопасных беспроводных соединений через FortiAP. Решение разворачивается автоматически и сразу готово к работе благодаря функции Zero Touch Deployment, позволяющей специалистам по безопасности настраивать FortiAP до его доставки на удалённый объект;
- поддержку безопасных беспроводных точек доступа средствами FortiWiFi;
- VoIP-телефонию средствами FortiFone. Контроль и защита трафика в этом случае возложены на межсетевой экран FortiGate. FortiFone предоставляется в виде программного клиента и нескольких аппаратных модулей;
- централизованную платформу управления и контроля политик FortiManager, которая аккумулирует информацию обо всех угрозах безопасности и сведения о трафике во всей сети предприятия;
- систему сбора и анализа событий информационной безопасности в корпоративной сети FortiSIEM, позволяющую быстро обнаружить потенциальные угрозы и нейтрализовать их.
Сценарии работы пользователей в концепции Fortinet Security Fabric
Fortinet предусмотрела разграничение прав пользователей, разделив их на 3 категории: обычные пользователи, опытные пользователи, суперпользователи.
Обычный пользователь
Обычный пользователь — рядовой сотрудник компании, который для выполнения своих профессиональных обязанностей использует электронную почту, интернет, сетевые хранилища.
Доступ в корпоративную сеть осуществляется по VPN через FortiClient. Этот продукт обеспечивает защиту терминалов и предоставляет широкий спектр механизмов безопасности:
- карантин конечных точек,
- расширенную защиту от сложных угроз,
- защиту от вредоносных программ и эксплойтов,
- обеспечение соответствия требованиям (compliance),
- обнаружение угроз, использующих облачные сервисы,
- выявление и исправление уязвимостей,
- взаимодействие с сетевой песочницей FortiSandbox,
- веб-фильтрацию,
- межсетевой экран приложений,
- поддержку IPSec VPN и SSL VPN,
- взаимодействие с FortiGuard и автоматическое получение обновлений безопасности,
- контроль USB-устройств и установленных приложений.
FortiClient поддерживает все популярные операционные системы, в том числе и мобильные.
Рисунок 1. Сценарий работы обычного пользователя через FortiClient
Пользователь проходит многофакторную аутентификацию с помощью FortiToken.
В случае угрозы безопасности корпоративной сети со стороны удалённого работника администратор может изолировать его рабочее место, поместив его на карантин, через FortiClient с помощью сервера Enterprise Management Server (FortiClient EMS).
FortiClient EMS обеспечивает видимость всей сети для безопасного обмена информацией и назначения профилей безопасности для конечных точек, находящихся под защитой FortiClient. Сервер включает в себя автоматизированные механизмы управления устройствами и устранения неполадок. FortiClient EMS также работает с расширением FortiClient Web Filter для обеспечения веб-фильтрации на устройствах Google Chromebook.
Опытный пользователь
Опытный пользователь — сотрудник компании, который для выполнения своих обязанностей использует более широкий доступ к корпоративным ресурсам, нежели его «обычный» коллега. Как правило, опытные пользователи работают в нескольких ИТ-средах. Это могут быть системные администраторы и специалисты технической поддержки.
Для таких сотрудников Fortinet предлагает развернуть точку доступа FortiAP на удалённом рабочем месте, обеспечивая возможность связываться с корпоративной сетью по защищённому туннелю. FortiAP подключается к межсетевому экрану следующего поколения FortiGate, стоящему на границе корпоративной сети. При необходимости к FortiAP можно подключить корпоративный телефон для связи с главным офисом. Дополнительно пользователю предоставляется раздельное туннелирование для облачных или SaaS-приложений с прямым интернет-соединением.
Рисунок 2. Сценарий работы опытного пользователя через FortiAP
Суперпользователь
Суперпользователь — сотрудник компании, которому должен быть предоставлен доступ к конфиденциальным данным и ресурсам в любой момент времени. Такие сотрудники обрабатывают информацию с высоким уровнем значимости для компании. Это могут быть привилегированные администраторы, специалисты технической поддержки, высшее руководство, ключевые партнёры.
Для таких пользователей Fortinet предлагает настраивать полноценное рабочее место с расширением функций безопасности за счёт интеграции с FortiGate или FortiWiFi для безопасного беспроводного соединения со встроенной защитой от потери данных. Для телефонных переговоров суперпользователю предлагается использовать устройства VoIP-телефонии FortiFone или программный клиент.
Рисунок 3. Сценарий работы суперпользователя через FortiGate / FortiWiFi
Далее рассмотрим настройку двух вариантов подключения удалённых пользователей.
Подключение по VPN
Настройка FortiGate
Рассмотрим настройку подключения удалённых пользователей к корпоративной сети по SSL VPN через FortiGate. Поддерживаются два вида туннелирования: полное (full tunnel) и разделённое (split tunnel). В полном туннельном режиме VPN-клиент шифрует весь трафик с удалённого клиентского компьютера и отправляет его в FortiGate через туннель SSL VPN между пользователем и FortiGate. В разделённом режиме доступ в интернет осуществляется напрямую, в то время как взаимодействие с корпоративной сетью шифруется.
Для подключения удалённых сотрудников на соответствующем интерфейсе FortiGate создаётся соответствующая подсеть.
Рисунок 4. Настройка сетевого интерфейса и подсети на FortiGate для подключения удалённых сотрудников
Затем настраиваются пользователи и их группы, задаются параметры веб-портала SSL VPN.
Рисунок 5. Настройка веб-портала SSL VPN. Для данного типа соединений включён режим разделённого туннелирования
В строке «Routing Address» задаётся сеть назначения, которая будет маршрутизироваться через туннель. Если параметр не определён, то туннелирование будет осуществляться в соответствии с политиками межсетевого экрана.
Далее задаются настройки SSL VPN — интерфейсы, порт и т. д. При желании можно установить параметр «Ограничить доступ» и указать адреса узлов, которым разрешено подключаться к этой виртуальной частной сети. По умолчанию в качестве сертификата сервера используется «Fortinet_Factory».
Рисунок 6. Настройка параметров SSL VPN
Далее задаются настройки политики безопасности: устанавливаются интерфейсы и адреса, настраиваются необходимые разрешения.
Рисунок 7. Создание новой политики межсетевого экранирования для SSL VPN
Обеспечение удалённого доступа с помощью FortiClient VPN
На рабочем месте удалённого сотрудника устанавливается и настраивается FortiClient VPN. Бесплатная версия приложения обеспечивает базовые подключения IPsec VPN и SSL VPN без регистрации на сервере EMS.
Рисунок 8. Стартовый экран FortiClient VPN
Далее на странице параметров удалённого подключения по VPN пользователь задаёт соответствующие значения. Сертификат клиента может быть предоставлен непосредственно при подключении или же выбран из выпадающего списка «Client Certificate».
Рисунок 9. Параметры удалённого подключения по VPN
Контроль безопасности конечных точек FortiClient EMS
Межсетевой экран FortiGate может подключаться к серверу FortiClient EMS и FortiClient EMS Cloud (облачное решение) для автоматизации администрирования и мониторинга конечных точек. На странице глобальных настроек Security Fabric можно добавить до трёх серверов EMS, в том числе FortiClient EMS Cloud.
Рисунок 10. Параметры Security Fabric в интерфейсе администратора FortiGate. Параметры подключённого сервера FortiClient EMS
FortiClient EMS предоставляет подробную информацию о состоянии конечных точек, обнаруженных уязвимостях и применяемых политиках безопасности.
Рисунок 11. Интерфейс администратора FortiClient EMS. Перечень контролируемых конечных точек
Рисунок 12. Интерфейс администратора FortiClient EMS. Событие безопасности от веб-фильтра на контролируемой конечной точке
Настройка многофакторной аутентификации с помощью FortiToken
Для многофакторной аутентификации применяются токены FortiToken. Мобильное приложение FortiToken позволяет генерировать одноразовые пароли для подключения к корпоративной сети.
Для каждого конкретного пользователя администратор на межсетевом экране FortiGate задаёт разрешение на использование MFA и выбирает соответствующий токен.
Рисунок 13. Разрешение многофакторной аутентификации для пользователя «sslvpnuser1» по токену FortiToken
После разрешения MFA на электронный адрес пользователя «sslvpnuser1» придёт письмо с инструкциями по установке мобильного приложения FortiToken Mobile и активации токена.
Рисунок 14. Мобильный токен FortiToken. Стартовая страница
После активации FortiToken Mobile у пользователя появляется возможность генерировать одноразовые пароли.
Рисунок 15. Мобильный токен FortiToken. Генерация одноразового пароля для подключения
В режиме многофакторной аутентификации при подключении через FortiClient VPN появляется поле «Token», запрашивающее одноразовый пароль FortiToken, который генерируется мобильным устройством.
Проверка подлинности с помощью FortiAuthenticator
FortiAuthenticator входит в состав платформы Fortinet Security Fabric и применяется для проверки подлинности токенов FortiToken, используемых удалёнными работниками для подключения к корпоративной сети.
Рисунок 16. Параметры Security Fabric в интерфейсе администратора FortiGate. Параметры подключённого FortiAuthenticator
Рисунок 17. Интерфейс администратора FortiAuthenticator. Токены FortiToken, зарегистрированные в системе
Безопасное беспроводное подключение через FortiAP
Перед основной настройкой доступа сотрудников с удалённых рабочих мест с помощью FortiAP необходимо настроить соответствующие разрешения на межсетевом экране FortiGate.
На внешнем интерфейсе FortiGate, с которым будет связываться FortiAP, следует разрешить подключение к Fortinet Security Fabric (для устройств под управлением FortiOS 6.2.3 или выше) либо использование CAPWAP — туннельного протокола, применяемого для взаимодействия между точками беспроводного доступа и контроллером (в нашем случае это FortiGate). Второй вариант предназначен для устройств под управлением операционной системы FortiOS 6.2.2 или ниже.
Рисунок 18. Разрешение подключения FortiAP к корпоративной сети через FortiGate
Для сотрудников, работающих удалённо, создаётся отдельный профиль FortiAP для применения раздельного туннелирования и шифрования к устройствам в этом профиле.
Рисунок 19. Параметры профиля FortiAP
Для SSID, который применяется для созданного профиля FortiAP, необходимо разрешить разделённое туннелирование.
Рисунок 20. SSID для FortiAP
Настройка FortiAP может осуществляться с использованием облачного решения FortiAP Cloud, которое оснащено функциями по управлению автономными точками доступа FortiAP. FortiAP Cloud поддерживает выделение ресурсов, мониторинг, устранение неполадок и оптимизацию развёртывания оборудования FortiAP. Лицензионный ключ FortiAP Cloud входит в комплект поставки каждой точки доступа FortiAP, за счёт чего администратор может оперативно развернуть последние.
Рисунок 21. Контролируемые точки доступа FortiAP в интерфейсе администратора FortiAP Cloud
Рисунок 22. Подробная информация о точке доступа FortiAP
В интерфейсе администратора FortiGate также приводится информация о подключённых точках беспроводного доступа FortiAP.
Рисунок 23. Подключённые точки доступа FortiAP в интерфейсе администратора FortiGate
Рисунок 24. Детальная информация о точке доступа FortiAP
Выводы
Как видно, Fortinet предлагает широкий спектр продуктов для обеспечения безопасности при дистанционной работе сотрудников компаний любого размера. Механизмы мониторинга и управления, применяемые совместно с решениями Fortinet, облегчают работу администраторов и специалистов по безопасности, предоставляя подробную информацию и обеспечивая прозрачность подключения удалённых устройств.
На российском рынке хорошо известны межсетевые экраны FortiGate, многие компании ещё до пандемии интегрировали их в свою ИТ-инфраструктуру. Владельцы FortiGate могут быстро организовать удалённую работу своих сотрудников по VPN без дополнительных затрат (поскольку существуют бесплатные версии FortiClient) и с минимальными изменениями в конфигурациях устройств.