In breve, abbiamo molti utenti che hanno l’opzione di lavorare da casa accedendo al desktop del loro PC tramite RDP. La nostra soluzione attuale prevede che il personale acceda a un sito web e effettui il login nel sistema usando le proprie credenziali/MFA. Poi scarica uno strumento chiamato MotionPro che deve essere installato localmente, ma una volta installato, possono effettuare l’accesso e accedere al loro desktop tramite RDP. Abbiamo una macchina Linux sul sito che gestisce l’autenticazione utente e le sessioni.
Mi chiedo se esiste un modo per usare il Fortigate e le credenziali utente per facilitare questo tipo di connessione senza bisogno di una macchina Linux separata. So che possiamo fare RDP tramite VPN, ma presumo che ciò richieda che il personale abbia installato FortiClient sul proprio PC domestico e si connetta prima di avviare una sessione RDP verso il proprio PC di casa.
Idealmente, cerchiamo una soluzione che non richieda un’installazione locale di FortiClient. Sono disposto se viene richiesto di scaricare un piccolo utility al primo accesso, ma non vogliamo che lo staff debba essere connesso a FortiClient prima di accedere ai loro PC remoti. È possibile eliminare il server Linux e configurare qualcosa di simile? Oppure richiede sicuramente un client VPN locale connesso prima di usare RDP dal PC di casa?
MODIFICA: Grazie per i suggerimenti, tutti. Siamo riusciti a testare con successo una soluzione in cui lo staff può accedere al firewall dall’esterno della rete usando MFA e poi accedere remota al PC in sede tramite un segnalibro sul firewall per quel dispositivo. Il problema che stiamo affrontando ora è che la sessione remota è ristretta a una piccola finestra nel browser, ma lo staff vorrebbe utilizzare entrambi i monitor in modalità a schermo intero, e non un display più piccolo in una sola schermata. Stiamo ancora esplorando soluzioni per risolvere questo.
Il FortiGate offre qualcosa chiamato SSL VPN Web Mode. Permette a una sessione autenticata di accedere a servizi selezionati, inclusi RDP, tramite un browser web.
Non menzioni la tua infrastruttura RDP ma se usi un’installazione completa e corretta di RD Gateway/servizi, puoi usare un DNAT semplice sul firewall per inoltrare il traffico RDP al Gateway RD. Questo sarebbe molto meglio che RDP direttamente a un server interno, anche se la tecnologia RDP stessa è soggetta a costanti attacchi, e ci sono carenze note nel protocollo che potrebbero essere sfruttate.
Se hai l’infrastruttura Fortinet necessaria (FGT/EMS/FCT), puoi usare ZTNA - questo può utilizzare l’autenticazione SSO per facilitare l’autenticazione.
Puoi configurare l’accesso a RDP tramite SSL VPN in modalità solo web, dove lo staff riporterà al browser l’indirizzo endpoint SSL VPN, e se hai pubblicato l’app RDP da lì, potrebbe connettersi a una risorsa tramite RDP.
Puoi anche far connettere gli utenti tramite una connessione IPsec sui loro dispositivi (Windows) usando la funzione integrata del sistema operativo.
Tuttavia, non ho molta esperienza con IPsec client-to-site, quindi non posso dire se sia facile da gestire per i tuoi clienti. La modalità Web VPN SSL funziona bene, l’abbiamo usata qualche volta quando i dispositivi Mac OS hanno problemi con FortiClient.
Se il sistema non permette abbastanza connessioni Web SSL VPN, puoi usare IPSEC VPN (che permetterebbe agli utenti di configurare Windows per connettersi - evitando di installare qualsiasi cosa sul dispositivo personale… non conosco le capacità dei tuoi utenti, quindi potrebbe non essere fattibile per loro…), impostare le regole per consentire l’accesso da quella VPN ai server RDP (negando tutto il resto interno, se necessario)…
Non sono sicuro se MS RDWeb sia ancora in uso in produzione, ma puoi pubblicare RDS gateway tramite un sito web e tutto il traffico sarà avvolto in TLS sulla porta 443.
La maggior parte delle implementazioni che ho fatto sono iniziate con la modalità Web SSL e poi sono migrate a F5 BIG-IP APM, protetta tramite firewall e politiche IPS di FortiGate, quando gli utenti hanno iniziato a usare RDP come modo normale di accesso remoto.
In questo modo, gli utenti erano esposti solo alla loro sessione RDP in modo controllato, a seconda delle loro attribuzioni IdP, ad esempio [email protected] accesso RDP a PC interna di usera.
Dai un’occhiata a FortiRDP (https://github.com/jnmeurisse/fortirdp). È un software standalone per Windows senza dipendenze che crea un tunnel SSLVPN con il FortiGate e avvia il client RDP, inoltrando il protocollo RDP attraverso il tunnel. Questo software ha alcune limitazioni: non supporta IPv6, non è compatibile con SAML.
È importante considerare anche le risorse di sistema. Un FGT di bassa gamma inizierà presto a fare fatica quando più di pochi clienti utilizzeranno la modalità web.
Ho sentito voci che questa funzione potrebbe essere eliminata. È intensiva in risorse (non tanto da quando hanno abbandonato Guacamole) e generalmente non raccomandata dai SE sul campo.