Saltar al contenido

Configurar VPN SSL en equipos Fortigate

Compartir en:

Como configurar una SSL VPN en Fortigate y no morir en el intento.


SSL VPN Fortigate

VPN SSL proviene de Virtual Private Network (VPN) y Secure Sockets Layer, básicamente hace referencia a la tecnología utilizada para asegurar las comunicaciones entre dos puntos. En este post configuraremos una VPN SSL una para permitir el acceso doble (por el cliente Fortigate VPN además del portal WEB).

Primero, ya en la interfaz de configuración, centraremos la acción en los 2 apartados que hacer referencia a las SSL-VPN.

Fortigate SSL-VPN Portals

SSL-VPN Portal es por así decirlo el sitio donde definimos las configuraciones propias y a donde vamos a redirigir a un grupo de usuarios cuando intenten conectarse a la VPN.

SSL-VPN Settings sin embargo, es donde se define la configuración general de todas las conexiones VPN y donde se mapean los portales. Es en este apartado donde vamos a decirle al Forti que usuarios debe dirigir a que Portal concreto.

Antes de nada hemos creado 2 usuarios para utilizar en los portales, Juan y pepito, los usaremos para nuestra VPN.

Fortigate SSL-VPN

Configuración SSL-VPN Portal

Comenzaremos creando un nuevo portal para Juan y pepito, para esto es necesario darlo de alta en el menú de configuración del Forti mediante el botón:

El primer paso para proceder con la configuración es determinar un nombre para el portal, intentar que sea significativo para que sea claro tanto en las políticas como en la configuración posterior. Además en este primer apartado debemos decidir si permitimos múltiples conexiones de usuario al portal, o no.

Esto es útil para por ejemplo dar acceso a una empresa externa que tiene un usuario genérico, en este caso como solo hay un usuario y no es genérico le diremos que las limite.

Fortigate SSL-VPN

Aquí se nos plantean 2 opciones: Tunnel Mode y Enable Web Mode. Dependiendo de que acceso queramos permitir debemos configurar uno o ambos.

Tunnel Mode hace referencia a la conexión mediante el cliente VPN y un tunel, es similar a una conexión IPSEC a efectos prácticos, pero varía el modo de conexión y encriptación.

Enable Web Mode sin embargo nos da la posibilidad de habilitar un portal WEB donde se nos brindan servicios de Conexión hacia nuestra LAN con SSH, RDP etc.

Empecemos por el Tunnel Mode:

Fortigate SSL-VPN

Como podemos ver, al activar el botón de Tunnel Mode (1), se nos permite acceder a la configuración del túnel.

En primer lugar nos encontramos con la configuración de Split Tunneling, que básicamente consiste en decirle a la VPN que subredes debe canalizar hacia la VPN y cuáles no.

Esto es importante por ejemplo si no queremos que nuestros usuarios conectados utilicen nuestra línea de internet para navegar, sino que el tráfico externo utilice su propia conexión. En nuestro ejemplo supondremos que la organización tiene servicios en la subred 10.1.90.0/24.

En segundo lugar (4), definiremos un Source IP Pool, básicamente es un rango de direcciones que el Forti asigna a los clientes que acceden. Os da uno por defecto, yo os recomiendo que pongáis uno propio para tenerlo controlado (podéis definir subredes también), en el ejemplo daremos a la VPN 10 IP`s 10.1.80.10-10.1.80.20. La configuración quedaría así:

Fortigate SSL-VPN

En el apartado 5 «Tunnel Mode Client Options» tenemos opciones de comportamiento para el cliente, como permitir guardar la contraseña etc. Yo os recomiendo que no permitáis este tipo de cosas, ya que aparte de no ser muy seguras, en las cada vez más habituales auditorias son las primeras cosas que se fijan.

Quedaría así listo el «Perfil» para configurar posteriormente nuestra conexión.

El modo Portal o modo WEB

El portal es mucho más sencillo de configurar si no queremos hacer florituras, basta con activar funciones:

Fortigate SSL-VPN Config

Destacar la funcionalidad de los Bookmarks, en los que podemos definir acciones para que los usuarios no dependan de conocer direcciones o protocolos. Por ejemplo, configuremos el acceso a una web interna de la organización desde el propio portal:

De esta manera, el usuario podrá ver este acceso directo en el portal aparte de los servicios que tengamos activados.

Configuración SSL-VPN Settings

Pasemos por tanto a la configuración de las opciones generales de las VPN:

En primero lugar debemos definir la interfaz de escucha de las SSL VPN, es decir, por donde van a entrar nuestras conexiones, generalmente es la conexión WAN configurada (1) (en mi caso es una LAN de pruebas -> 192.168.8.2).

Posteriormente debemos definir el puerto (2), este apartado suele generar dudas, ya que habitualmente se configura el puerto 443 por defecto. Esto tiene ventajas e inconvenientes, el puerto 443 puede ser una buena opción para empleados que suelen conectarse en hoteles o ciertos sitios que controlan los puertos en sus redes, ya que este, estará seguramente abierto para la navegación HTTPS. Sin embargo, al configurar este puerto dejamos condenado el acceso por este y por ejemplo no podríamos habilitar un servidor Web en nuestra DMZ mediante 443.

En la opción 3 los Hosts, normalmente indicamos que se permite el acceso desde cualquier host, es inusual conocer de que direcciones IP can a acceder los usuarios a una VPN.

Vemos también que debemos seleccionar un certificado, aquí mi recomendación es clara, haceros con un buen certificado e instalarlo en el Firewall.

Nos da un aviso diciéndonos básicamente que no es una buena idea utilizar el certificado de fábrica. Como esto es una prueba, dejaremos este, pero hacerme caso, es dinero bien invertido.

Por último nos permite utilizar los certificados de usuario para la autenticación, como la haremos mediante un usuario local lo dejamos sin activar. Quedando esta primera parte de la siguiente manera:

El siguiente apartado configura la manera en que el Forti ofrece direcciones IP en el modo Tunnel:

Podemos añadir rangos de IP y configurar DNS específicos, dejaremos estos valores por defecto exceptuando el rango de direcciones, que si recordáis es el que habíamos establecido en la configuración del SSL-VPN Portal.

Finalmente vamos a ligar la configuración inicial con los usuarios a los que permitimos el acceso. En Authentication/Portal Mapping es donde establecemos la relación de la configuración de SSL-VPN Portals con los usuarios o grupos de usuarios que van a acceder. Si recordamos habíamos llamado a la configuración “VPN_Juan”.

¿Qué quiere decir esto? Cada vez que juan o pepito accedan a la IP externa y al puerto que hemos configurado, utilizarán la definición de VPN_Juan, que les permite conectarse tanto por el cliente VPN y establecer un túnel o mediante el portal Web establecido por el Firewall.

En este aspecto, podemos tener varias configuraciones de portal, y dependiendo que usuario sea el que acceda se le redirigirá a una configuración de SSL-VPN Portals u otra, dependiendo del propio usuario que sea.

Finamente y no menos importante, tenemos que definir las reglas pertinentes para que nuestro sistema funcione. El propio Forti nos avisa que no tenemos reglas.

En mi caso he configurado una política muy sencilla que permite acceder al rango que habíamos configurado a nuestra LAN. En este punto es importante recordar que hay que definir políticas de acceso que se alineen con las estrategias de seguridad de la compañía, normalmente bajo el paraguas de acceso mínimo necesario.

Es muy importante que en el origen de la regla se añadan los usuarios que se intenta configurar, si esto no es así, la conexión NO FUNCIONARÁ.

Pruebas y conexión

Bien, ya tenemos todo listo para probar nuestro sistema, accedemos por tanto primero al portal WEB mediante nuestra dirección externa y el puerto que hemos configurado:

Veremos algo como esto, y al entrar, primero se nos mostrarán los accesos creados (la WebInterna):

Y si pinchamos en Quick Connection, veremos todas las opciones que se permiten, como SSH, RDP etc.

Podemos también configurar y probar el cliente y establecer un túnel como hemos establecido en la configuración, de esta manera los empleados pueden acceder de manera óptima a los sistemas de manera privada.

Conclusión

Como hemos visto, la configuración de los portales VPN SSL en Forti son bastante sencillas, y nos aportan un grado de versatilidad para utilizar las conexiones mediante Túnel o Portal que puede ayudar a nuestras organizaciones a crecer de manera ordenada.

El hecho de que sea sencillo hacer una configuración básica no quiere decir que no debamos esforzarnos por definir políticas ajustadas, instalar certificados correctos y velar por una configuración de trabajo óptima alineada con la seguridad de la empresa.


Juan Ibero

Inmerso en la Evolución Tecnológica. Ingeniero Informático especializado en la gestión segura de entornos TI e industriales, con un profundo énfasis en seguridad, arquitectura y programación. Siempre aprendiendo, siempre explorando.

Compartir en:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *