Инструкция по использованию Fortinet SSL VPN Client.
Fortinet SSL VPN Client обеспечивает безопасный удаленный доступ к серверам компании. Используя любой канал связи, технология позволяет подключаться клиентам с операционной системой Windows, MacOS, Linux, Ipad, Iphone и Android. Данную технологию не блокируют провайдеры и сетевые маршрутизаторы. Установка и настройка клиента или плагина займет 15 минут единожды, далее следует просто производить уже настроенное подключение.
Существует несколько альтернативных способов подключения:
Через браузер, используя установленный плагин
Через программу FortiClient
Подключение вручную
Подключение к корпоративной сети VPN через браузер:
Открыть браузер, в адресной строке ввести https://IP-адрес или доменное имя вашего VPN/
При появлении сообщения нажать продолжить все равно:
Ввести полученный логин и пароль:
При появлении сообщения нажать Всегда запускать на этом сайте
В окне Tunnel Mode нажать на ссылку Click here to download and install the plugin
После того, как плагин скачается, его надо запустить:
Если появится окно UAC, нажать Запустить
Установка плагина началась. Необходимо нажать Run as administrator:
Нажать Install
Плагин начал устанавливаться:
По завершении нажать Close
Далее зайдя через браузер в соответствии с пунктом 1 справа появится возможность подключаться к корпоративной сети:
Необходимо нажать кнопку Connect
Соединение будет держаться до тех пор, пока вы не закроете страницу или не нажмете кнопку Disconnect
Подключение к корпоративной сети VPN через приложение FortiClient
Открыть браузер, в адресной строке ввести https:///
При появлении сообщения нажать продолжить все равно:
При появлении сообщения нажать Всегда запускать на этом сайте
В окне FortiClient Download выбрать клиент в соответствии с вашей операционной системой (в большинстве случаев FortiClient Windows)
Запустить скаченный клиент:
Если появится окно UAC, нажать Да
Скачивание образа начнется
Нажать галочку Yes, I have read and accept и нажать Next
Нажать Next, Next, Install, Finish
После завершения установки найти FortiClient в пуске и запустить его:
Клиент начнет обновляться
На вкладке Remote Access нажать configure vpn, ввести адрес подключения, свой логин и пароль, выбрать save login и нажать ОК
Создастся новое подключение, осталось ввести пароль и нажать Connect
Если появится сообщение нажать Да
Поздравляем, вы успешно соединились с корпоративной сетью.
Источник
Настройка forticlient vpn android
Удаленный доступ через FortiGate с помощью SSL VPN
Настройка удаленного доступа
Далее создадим группу пользователей, которая сможет воспользоваться технологией SSL VPN. Для этого будем использовать пользователей, созданных в предыдущей статье .
Рисунок 4. Настройка SSL портала
Настройка режима web (h2)
Рисунок 5. Настройка режима web
Покажем на примере, как создать централизованную закладку, например для подключения к удаленному рабочему столу:
Здесь необходимо выбрать внешний интерфейс, на который будут приходить соединения от удаленных пользователей (в нашем случае port3) и порт, по которому пользователи будут подключаться.
В поле Restrict Access необходимо выбрать параметр Allow access from any hosts. При необходимости, можно указать конкретные хосты, с которых можно производить подключение.
Можно выбрать период бездействия, после которого пользователь будет принудительно отключаться от VPN’а, в нашем случае это 300 секунд. Также необходимо подгрузить SSL сертификат (в нашем случае используется встроенный).
Если в вашем хранилище сертификатов нет CA сертификата, который подписал текущий SSL сертификат — будет выдаваться предупреждение о том, что сертификат некорректен. Дальнейшая же работа при этом возможна. Также можно проверять сертификаты удаленных пользователей (опция Require Client Certificate).
Источник
FortiClient Web Security для Android
Разработчик:
Fortinet (США)
Лицензия:
Бесплатно
Версия:
6.0.3.0197
Обновлено:
2019-11-06
Системы:
Android 5.0 и выше
Интерфейс:
английский
Рейтинг:
Ваша оценка:
О программе
Что нового
Новое в версии 6.0.3.0197 (06.11.2019)
Системные требования
Полезные ссылки
Также посмотрите
Подробное описание
FortiClient Web Security — мобильное приложение FortiClient v5.0 Endpoint Security для платформы Android.
FortiClient для Android позволяет не только безопасно подключаться к корпоративному устройству безопасности FortiGate (через IPSEC или SSL VPN).
В настоящее время приложение также предлагает возможности веб-защиты с компонентом Web Security, который защищает ваш смартфон или планшет от вредоносных веб-сайтов и позволяет блокировать нежелательный веб-контент.
Основные возможности FortiClient для Android
• Функция Web Security помогает блокировать вредоносные веб-сайты и доступ к нежелательным ресурсам. • Туннельный режим IPSec и SSLVPN • Двухфакторная аутентификация с использованием FortiToken • Сертификаты клиента • Поддержка автосоединения и постоянного подключения VPN • Поддержка IPSec local ID • Поддержка английского, китайского и корейского языка • Endpoint Provisioning / Центральное управление • Улучшенный интерфейс
FortiClient позволяет создать безопасное подключение к виртуальной частной сети (VPN), используя туннельный режим соединения IPSec или SSL VPN между вашим Android-устройством и FortiGate. Ваше соединение будет полностью зашифровано, и весь трафик будет передаваться по защищенному туннелю.
Функция управления Endpoint Control может быть использована для предоставления клиентам возможности удаленного использования устройства FortiGate. Функция Web Security помогает держать телефон в безопасности от вредоносных сайтов или другого нежелательного веб-контента (сайты для взрослых, ресурсы с азартными играми, и т.д.).
Как скачать FortiClient Web Security для Android
Перейдите на страницу загрузки и выберите версию для вашего устройства.
Источник
Обеспечение безопасности удалённых рабочих мест при помощи продуктов Fortinet
Общеизвестные обстоятельства сделали актуальной задачу обеспечения безопасности удалённой работы. Компания Fortinet входит в число вендоров, чьи продукты и технологии позволяют защитить удалённые рабочие места; рассмотрим эти решения и некоторые сценарии их применения.
Введение
С каждым годом дистанционная работа становится всё популярнее. Это связано прежде всего с развитием коммуникационных технологий. Ещё 20 лет назад было сложно представить, что мы сможем эффективно работать из любой точки мира без привязки не только к рабочему компьютеру, но и к проводному интернету.
В 2020 году из-за пандемии коронавируса вопрос об удалённом доступе сотрудников к корпоративным сервисам приобрёл особенную актуальность. Администраторы по всему миру проделали большую работу по настройке доступа для миллионов сотрудников, чтобы поддержать непрерывность бизнес-процессов и позволить компаниям работать как раньше.
Важным аспектом стала безопасность дистанционной работы. Если раньше специалисты полностью контролировали периметры корпоративных сетей, то сейчас рабочими станциями становятся устройства, находящиеся вне их досягаемости. Кроме того, подключение к корпоративным сервисам должно быть не только безопасным, но и быстрым.
Сегодня мы изучим и разберём несколько способов подключения удалённых сотрудников к защищаемой сети на базе решений компании Fortinet.
Решения Fortinet, обеспечивающие безопасную работу вне офиса
Платформа Fortinet Security Fabric объединяет популярные сетевые технологии и средства обеспечения безопасности, предоставляя механизмы интеграции для удалённых сотрудников. Все решения Fortinet подключаются к Fortinet Security Fabric и используют единую панель конфигурации и мониторинга. Подробнее о платформе Fortinet Security Fabric рассказано в нашем обзоре.
В основу Fortinet Security Fabric заложены межсетевые экраны следующего поколения FortiGate, которые анализируют сетевой трафик организации без потери производительности. В их состав входит интегрированный VPN-шлюз (IPsec VPN и SSL VPN), выступающий в качестве конечной точки для зашифрованных соединений с удалёнными сотрудниками.
Помимо поддержки VPN для организации дистанционной работы сотрудников Fortinet предлагает:
защиту конечных точек и мониторинг их состояния с помощью FortiClient;
многофакторную аутентификацию (MFA) с помощью аппаратных, программных, почтовых и мобильных токенов FortiToken;
проверку подлинности пользователей и идентификаторов средствами FortiAuthenticator;
расширенную защиту от угроз с помощью FortiSandbox, сетевой «песочницы», анализирующей потенциально вредоносные программы и подозрительный контент в изолированной среде;
поддержку безопасных беспроводных соединений через FortiAP. Решение разворачивается автоматически и сразу готово к работе благодаря функции Zero Touch Deployment, позволяющей специалистам по безопасности настраивать FortiAP до его доставки на удалённый объект;
поддержку безопасных беспроводных точек доступа средствами FortiWiFi;
VoIP-телефонию средствами FortiFone. Контроль и защита трафика в этом случае возложены на межсетевой экран FortiGate. FortiFone предоставляется в виде программного клиента и нескольких аппаратных модулей;
централизованную платформу управления и контроля политик FortiManager, которая аккумулирует информацию обо всех угрозах безопасности и сведения о трафике во всей сети предприятия;
систему сбора и анализа событий информационной безопасности в корпоративной сети FortiSIEM, позволяющую быстро обнаружить потенциальные угрозы и нейтрализовать их.
Сценарии работы пользователей в концепции Fortinet Security Fabric
Fortinet предусмотрела разграничение прав пользователей, разделив их на 3 категории: обычные пользователи, опытные пользователи, суперпользователи.
Обычный пользователь
Обычный пользователь — рядовой сотрудник компании, который для выполнения своих профессиональных обязанностей использует электронную почту, интернет, сетевые хранилища.
Доступ в корпоративную сеть осуществляется по VPN через FortiClient. Этот продукт обеспечивает защиту терминалов и предоставляет широкий спектр механизмов безопасности:
карантин конечных точек,
расширенную защиту от сложных угроз,
защиту от вредоносных программ и эксплойтов,
обеспечение соответствия требованиям (compliance),
обнаружение угроз, использующих облачные сервисы,
выявление и исправление уязвимостей,
взаимодействие с сетевой песочницей FortiSandbox,
веб-фильтрацию,
межсетевой экран приложений,
поддержку IPSec VPN и SSL VPN,
взаимодействие с FortiGuard и автоматическое получение обновлений безопасности,
контроль USB-устройств и установленных приложений.
FortiClient поддерживает все популярные операционные системы, в том числе и мобильные.
Рисунок 1. Сценарий работы обычного пользователя через FortiClient
Пользователь проходит многофакторную аутентификацию с помощью FortiToken.
В случае угрозы безопасности корпоративной сети со стороны удалённого работника администратор может изолировать его рабочее место, поместив его на карантин, через FortiClient с помощью сервера Enterprise Management Server (FortiClient EMS).
FortiClient EMS обеспечивает видимость всей сети для безопасного обмена информацией и назначения профилей безопасности для конечных точек, находящихся под защитой FortiClient. Сервер включает в себя автоматизированные механизмы управления устройствами и устранения неполадок. FortiClient EMS также работает с расширением FortiClient Web Filter для обеспечения веб-фильтрации на устройствах Google Chromebook.
Опытный пользователь
Опытный пользователь — сотрудник компании, который для выполнения своих обязанностей использует более широкий доступ к корпоративным ресурсам, нежели его «обычный» коллега. Как правило, опытные пользователи работают в нескольких ИТ-средах. Это могут быть системные администраторы и специалисты технической поддержки.
Для таких сотрудников Fortinet предлагает развернуть точку доступа FortiAP на удалённом рабочем месте, обеспечивая возможность связываться с корпоративной сетью по защищённому туннелю. FortiAP подключается к межсетевому экрану следующего поколения FortiGate, стоящему на границе корпоративной сети. При необходимости к FortiAP можно подключить корпоративный телефон для связи с главным офисом. Дополнительно пользователю предоставляется раздельное туннелирование для облачных или SaaS-приложений с прямым интернет-соединением.
Рисунок 2. Сценарий работы опытного пользователя через FortiAP
Суперпользователь
Суперпользователь — сотрудник компании, которому должен быть предоставлен доступ к конфиденциальным данным и ресурсам в любой момент времени. Такие сотрудники обрабатывают информацию с высоким уровнем значимости для компании. Это могут быть привилегированные администраторы, специалисты технической поддержки, высшее руководство, ключевые партнёры.
Для таких пользователей Fortinet предлагает настраивать полноценное рабочее место с расширением функций безопасности за счёт интеграции с FortiGate или FortiWiFi для безопасного беспроводного соединения со встроенной защитой от потери данных. Для телефонных переговоров суперпользователю предлагается использовать устройства VoIP-телефонии FortiFone или программный клиент.
Рисунок 3. Сценарий работы суперпользователя через FortiGate / FortiWiFi
Далее рассмотрим настройку двух вариантов подключения удалённых пользователей.
Подключение по VPN
Настройка FortiGate
Рассмотрим настройку подключения удалённых пользователей к корпоративной сети по SSL VPN через FortiGate. Поддерживаются два вида туннелирования: полное (full tunnel) и разделённое (split tunnel). В полном туннельном режиме VPN-клиент шифрует весь трафик с удалённого клиентского компьютера и отправляет его в FortiGate через туннель SSL VPN между пользователем и FortiGate. В разделённом режиме доступ в интернет осуществляется напрямую, в то время как взаимодействие с корпоративной сетью шифруется.
Для подключения удалённых сотрудников на соответствующем интерфейсе FortiGate создаётся соответствующая подсеть.
Рисунок 4. Настройка сетевого интерфейса и подсети на FortiGate для подключения удалённых сотрудников
Затем настраиваются пользователи и их группы, задаются параметры веб-портала SSL VPN.
Рисунок 5. Настройка веб-портала SSL VPN. Для данного типа соединений включён режим разделённого туннелирования
В строке «Routing Address» задаётся сеть назначения, которая будет маршрутизироваться через туннель. Если параметр не определён, то туннелирование будет осуществляться в соответствии с политиками межсетевого экрана.
Далее задаются настройки SSL VPN — интерфейсы, порт и т. д. При желании можно установить параметр «Ограничить доступ» и указать адреса узлов, которым разрешено подключаться к этой виртуальной частной сети. По умолчанию в качестве сертификата сервера используется «Fortinet_Factory».
Рисунок 6. Настройка параметров SSL VPN
Далее задаются настройки политики безопасности: устанавливаются интерфейсы и адреса, настраиваются необходимые разрешения.
Рисунок 7. Создание новой политики межсетевого экранирования для SSL VPN
Обеспечение удалённого доступа с помощью FortiClient VPN
На рабочем месте удалённого сотрудника устанавливается и настраивается FortiClient VPN. Бесплатная версия приложения обеспечивает базовые подключения IPsec VPN и SSL VPN без регистрации на сервере EMS.
Рисунок 8. Стартовый экран FortiClient VPN
Далее на странице параметров удалённого подключения по VPN пользователь задаёт соответствующие значения. Сертификат клиента может быть предоставлен непосредственно при подключении или же выбран из выпадающего списка «Client Certificate».
Рисунок 9. Параметры удалённого подключения по VPN
Контроль безопасности конечных точек FortiClient EMS
Межсетевой экран FortiGate может подключаться к серверу FortiClient EMS и FortiClient EMS Cloud (облачное решение) для автоматизации администрирования и мониторинга конечных точек. На странице глобальных настроек Security Fabric можно добавить до трёх серверов EMS, в том числе FortiClient EMS Cloud.
Рисунок 12. Интерфейс администратора FortiClient EMS. Событие безопасности от веб-фильтра на контролируемой конечной точке
Настройка многофакторной аутентификации с помощью FortiToken
Для многофакторной аутентификации применяются токены FortiToken. Мобильное приложение FortiToken позволяет генерировать одноразовые пароли для подключения к корпоративной сети.
Для каждого конкретного пользователя администратор на межсетевом экране FortiGate задаёт разрешение на использование MFA и выбирает соответствующий токен.
Рисунок 13. Разрешение многофакторной аутентификации для пользователя «sslvpnuser1» по токену FortiToken
После разрешения MFA на электронный адрес пользователя «sslvpnuser1» придёт письмо с инструкциями по установке мобильного приложения FortiToken Mobile и активации токена.
После активации FortiToken Mobile у пользователя появляется возможность генерировать одноразовые пароли.
Рисунок 15. Мобильный токен FortiToken. Генерация одноразового пароля для подключения
В режиме многофакторной аутентификации при подключении через FortiClient VPN появляется поле «Token», запрашивающее одноразовый пароль FortiToken, который генерируется мобильным устройством.
Проверка подлинности с помощью FortiAuthenticator
FortiAuthenticator входит в состав платформы Fortinet Security Fabric и применяется для проверки подлинности токенов FortiToken, используемых удалёнными работниками для подключения к корпоративной сети.
Рисунок 17. Интерфейс администратора FortiAuthenticator. Токены FortiToken, зарегистрированные в системе
Безопасное беспроводное подключение через FortiAP
Перед основной настройкой доступа сотрудников с удалённых рабочих мест с помощью FortiAP необходимо настроить соответствующие разрешения на межсетевом экране FortiGate.
На внешнем интерфейсе FortiGate, с которым будет связываться FortiAP, следует разрешить подключение к Fortinet Security Fabric (для устройств под управлением FortiOS 6.2.3 или выше) либо использование CAPWAP — туннельного протокола, применяемого для взаимодействия между точками беспроводного доступа и контроллером (в нашем случае это FortiGate). Второй вариант предназначен для устройств под управлением операционной системы FortiOS 6.2.2 или ниже.
Рисунок 18. Разрешение подключения FortiAP к корпоративной сети через FortiGate
Для сотрудников, работающих удалённо, создаётся отдельный профиль FortiAP для применения раздельного туннелирования и шифрования к устройствам в этом профиле.
Рисунок 19. Параметры профиля FortiAP
Для SSID, который применяется для созданного профиля FortiAP, необходимо разрешить разделённое туннелирование.
Рисунок 20. SSID для FortiAP
Настройка FortiAP может осуществляться с использованием облачного решения FortiAP Cloud, которое оснащено функциями по управлению автономными точками доступа FortiAP. FortiAP Cloud поддерживает выделение ресурсов, мониторинг, устранение неполадок и оптимизацию развёртывания оборудования FortiAP. Лицензионный ключ FortiAP Cloud входит в комплект поставки каждой точки доступа FortiAP, за счёт чего администратор может оперативно развернуть последние.
Рисунок 21. Контролируемые точки доступа FortiAP в интерфейсе администратора FortiAP Cloud
Рисунок 22. Подробная информация о точке доступа FortiAP
В интерфейсе администратора FortiGate также приводится информация о подключённых точках беспроводного доступа FortiAP.
Рисунок 23. Подключённые точки доступа FortiAP в интерфейсе администратора FortiGate
Рисунок 24. Детальная информация о точке доступа FortiAP
Выводы
Как видно, Fortinet предлагает широкий спектр продуктов для обеспечения безопасности при дистанционной работе сотрудников компаний любого размера. Механизмы мониторинга и управления, применяемые совместно с решениями Fortinet, облегчают работу администраторов и специалистов по безопасности, предоставляя подробную информацию и обеспечивая прозрачность подключения удалённых устройств.
На российском рынке хорошо известны межсетевые экраны FortiGate, многие компании ещё до пандемии интегрировали их в свою ИТ-инфраструктуру. Владельцы FortiGate могут быстро организовать удалённую работу своих сотрудников по VPN без дополнительных затрат (поскольку существуют бесплатные версии FortiClient) и с минимальными изменениями в конфигурациях устройств.
Существует несколько альтернативных способов подключения:
