наша компания использует SSL VPN для всех наших удаленных сотрудников с момента пандемии. Недавно мы приобрели FortiClient EMS, и я ищу способы оптимизации нашей настройки VPN (или стоит перейти на ZTNA?).
У меня есть:
Windows, все на месте (кроме O365), классический файловый сервер, смонтированный как сетевые диски, Active Directory с GPO, …
Использование RADIUS-сервера с сертификатами для автоматической аутентификации FortiAP в нашем офисе.
FortiGate 120G, FortiClient EMS с достаточным количеством лицензий для всех наших клиентов.
Наша текущая настройка — SSL VPN, локальные пользователи FortiGate с LDAP-аутентификацией и двухфакторный код по электронной почте на личный адрес.
Я протестировал SSL VPN с настройкой SSO через Microsoft Entra в качестве IdentityProvider. Хорошо работает и использует второй фактор Microsoft.
Но я не уверен, лучше ли использовать IPSec и как резервный вариант — SSL VPN?
Я ищу настройку, которая позволяет подключаться через VPN до входа пользователя в систему…
В то время как в конце дня мы всегда придерживаемся требований клиентов, мы советуем всем существующим клиентам перейти с SSL-VPN, и как минимум — на Dial-Up VPN. Однако мы всегда предлагаем это решение (описанное ниже) при миграции и первому клиенту:
Продукты:
FortiAuthenticator — для аутентификации входа в систему на компьютере
FortiEMS и FortiClient — ZTNA
Рабочий процесс:
На экране входа:
Устройство подключается к сети через известный Wi-Fi или через кабель.
Перед входом пользователя, FortiClient устанавливает соединение ZTNA.
Пользователь пытается войти на устройство.
(один из двух рабочих процессов)
Метод 1:
Используя соединение ZNTA, запрос аутентификации передается в FortiAuthenticator.
FortiAuthenticator отправляет уведомление в приложение FortiAuthenticator на телефоне клиента.
Пользователь принимает и входит в устройство.
Метод 2:
Используя соединение ZNTA, запрос аутентификации передается в FortiAuthenticator.
Пользователь вводит OTP, используя аппаратный токен.
Если пользователь не может подключиться к известному Wi-Fi, и устройство настроено так, что не позволяет выбрать Wi-Fi перед локальной аутентификацией, тогда у пользователя есть возможность вручную ввести OTP из приложения FortiAuthenticator или с аппаратного токена.
Со всем вашим описанием — ZTNA будет удобнее для конечного пользователя. Со стороны бэкенда это все еще вызывает больше вопросов для устранения неполадок, чем VPN. ZTNA стал куда лучше по сравнению с 2 годами назад, должен признать.
Что касается IPSec vs SSL VPN. Всё зависит от личных предпочтений и того, что вы использовали ранее. Для меня SSL VPN все еще более удобен в работе, однако Fortinet рекомендует переходить на IPSec.
Если вы останетесь с SSL VPN — будьте внимательны к последним уязвимостям. За последние несколько лет было несколько критических CVE.
Проблема IPSec в том, что он блокируется во многих сетях. Это усложняет работу клиентского VPN. Fortinet должен предложить Wireguard и OverlayVPN с поддержкой Wireguard в качестве альтернативных решений.
Заранее спасибо!