VPN - Virtual Private Network
Série článků, která obsahuje obecný popis technologie VPN. Rozebírá jednotlivé typy VPN, jako je Site to Site VPN a Remote Access VPN. A popisuje konfigurace na různých zařízeních.
VPN 1 - IPsec VPN a Cisco
Úvodní díl seriálu, který se věnuje technologii VPN. Naleznete zde stručný popis VPN a jejich typů. Dále se více popisuje VPN založená na protokolu IPsec, primárně typ Remote Access VPN. Celý popis je obecný, ale do budoucna se zaměřuje na nasazení na Cisco zařízeních, primárně Cisco ASA. Na konci jsou zmíněny parametry, které podporují klienti Cisco VPN Client, integrovaný klient na Google Android a ve Windows XP/Vista/7.
10.04.2011 | Samuraj - Petr Bouška | sítě | 74 729x | Komentáře [15]
VPN 2 - Úvod do Cisco ASA a možnosti VPN
Po prvním teoretickém dílu se podíváme, opravdu jen lehce, na bezpečnostní appliance Cisco ASA, kterou budeme v dalších dílech používat pro konfiguraci různých VPN. Zmíníme i několik důležitých bodů, které využijeme příště při konfiguraci IPsec Remote Access VPN. U Cisco ASA se budeme dívat pouze na vlastnosti, které se týkají VPN. ASA v současnosti znamená řada ASA 5500 (já pracuji s ASA 5510). VPN ale můžeme provozovat i na většině routerů.
17.04.2011 | Cisco admin | 27 061x | Komentáře [7]
| VPN 3 - Konfigurace IPsec Remote Access VPN na Cisco ASA
Máme za sebou teoretický popis celé problematiky IPsec Remote Access VPN i základní úvod (řekněme úvodní konfiguraci) Cisco ASA. Dnes se budeme věnovat praktické konfiguraci zmíněného rozšířeného typu VPN pro přístup uživatelů do firemního prostředí. V první části článku si popíšeme jednotlivé stavební bloky, které budeme na Cisco ASA konfigurovat, a jejich vzájemné vazby. V druhé části jsou již odkazy na jednotlivé položky v ASDM, které musíme nastavit.
22.04.2011 | Cisco admin | 26 199x | Komentáře [2]
| VPN 4 - Konfigurace Cisco Clientless SSL VPN na Cisco ASA
SSL VPN se dnes považují za moderní typ VPN připojení. Mají řadu výhod, hlavně oproti tradičnímu IPsec protokolu. U Cisca si ale nejprve musíme zjistit informace o licencování, protože AnyConnect licence jsou dost drahé. Clientless SSL VPN je speciální typ VPN, kdy nepotřebujeme klienta (na to nám poslouží webový prohlížeč). Nemá úplně stejné možnosti jako standardní VPN, ale může být vhodná pro řadu situací. Základní funkce nám bezpečně zprostředkuje interní webové a souborové servery. Na to se podíváme dnes. Dále je možné využít různé pluginy, které například umožní přístup přes SSH či RDP. A objevují se další rozšířené funkce, jako je například Smart Tunnel.
11.05.2011 | Cisco admin | 14 552x | Komentáře [0]
| VPN 5 - Clientless SSL VPN a rozšířené funkce
Minule jsme se věnovali základním funkcím Clientless SSL VPN na Cisco ASA. Ta nám umožňuje přistupovat na některé firemní zdroje z internetu z počítače, na kterém nepotřebujeme administrátorská práva a stačí nám webový prohlížeč a Java nebo ActiveX. Nyní se podíváme na moderní funkce, které nám přidají další vlastnosti z oblasti přístupu (Port Forwarding a Smart Tunnels) a bezpečnosti (Cisco Secure Desktop). Popis jednotlivých funkcí je stručný a nevěnuje se všem možnostem.
17.06.2011 | Cisco admin | 15 591x | Komentáře [1]
| VPN 6 - Konfigurace SSL Remote Access VPN na Cisco ASA
Cisco již v podstatě nepodporuje klasickou IPsec VPN pro vzdálené připojení uživatelů (a klienta VPN Client). Místo toho používá nového klienta AnyConnect a k němu (moderní) SSL VPN nebo IPsec IKEv2. V tomto článku se podíváme na princip SSL VPN v podání firmy Cisco a ukážeme si konfiguraci pomocí ASDM.
09.03.2014 | Cisco admin | 15 193x | Komentáře [4]
| VPN 7 - SSL VPN a Host Scan
Tento článek navazuje na minulý díl, kde jsme vytvářeli SSL VPN. Nyní si ukážeme možnosti, jak zvýšit bezpečnost připojení nebo lépe řečeno určit, za jakých podmínek se může uživatel připojit. Když má uživatel povoleno přihlášení do VPN, tak po korektní autentizaci je připojen. Popíšeme si možnosti, jak kontrolovat různé parametry připojovaného zařízení a podle nich povolit, omezit nebo úplně zakázat připojení. Využívat budeme Cisco Secure Desktop komponentu Host Scan a Dynamic Access Policies.
15.03.2014 | Cisco admin | 9 107x | Komentáře [0]
| VPN 8 - Dvou-faktorová autentizace s certifikátem
Cisco ASA nabízí řadu možných způsobů autentizace klienta, který se připojuje do VPN. Nejčastěji se využívá autentizace uživatele pomocí jména a hesla vůči různým zdrojům (lokálně, LDAP, RADIUS). Můžeme použít i dvou fázovou autentizaci (Double Authentication), kdy se uživatel ověřuje vůči dvěma různým zdrojům. Také můžeme provést autentizaci pomocí certifikátu a kombinovat do více faktorové autentizace. V článku se nejprve podíváme na trochu teorie a v druhé polovině se budeme věnovat autentizaci certifikátem a zároveň jménem a heslem.
25.03.2014 | Cisco admin | 12 155x | Komentáře [1]
| FortiGate autentizace certifikátem do SSL VPN
Minule jsme si popsali uživatelské účty na FortiGate a ověření lokálně či vůči vzdáleným serverům (LDAP). Dnes se podíváme na možnosti vícefaktorové autentizace (MFA). Speciálně využití digitálního certifikátu pro přihlášení do SSL VPN. Ukážeme si, jak můžeme využít běžnější uživatelský, ale také počítačový certifikát.
21.04.2020 | Fortinet admin | 10 169x | Komentáře [3]
| FortiGate dvoufaktorová autentizace s použitím OTP
Další pokračování, které se věnuje možnostem vícefaktorové autentizace (MFA) na FortiGate. Podíváme se na dvoufaktorovou autentizaci (2FA) pomocí OTP (One-time Password) zaslaného na email nebo jako SMS zpráva. Použití je pro přihlášení do SSL VPN, ale můžeme využít i jinde.
21.04.2020 | Fortinet admin | 7 611x | Komentáře [0]
| FortiGate konfigurace SSL VPN
Po několika úvodních článcích, které se věnovali autentizaci uživatelů, je tu rozsáhlý díl o konfiguraci SSL VPN. Snažil jsem se udělat popis hodně komplexně, protože oficiální dokumentace je pro mne nedostatečná. Pro vytvoření základního VPN připojení stačí pár jednoduchých kroků (příklady jsou v oficiální dokumentaci). Tento článek by měl ukazovat i všechny speciální možnosti, které můžeme nastavit. Věnuje se vazbám mezi jednotlivými částmi konfigurace. A snaží se o globální pohled, který přechází do popisu detailů.
07.05.2020 | 29.04.2020 | Fortinet admin | 20 135x | Komentáře [1]
| FortiGate SSL VPN Host Check - kontroly klienta při připojení
V tomto článku doplníme poslední část k dříve popsanému vytvoření SSL VPN na FortiGate. Budeme se věnovat kontrolám klienta při připojení do SSL VPN. Na klientovi můžeme ověřit řadu věcí a podle výsledku kontroly rozhodnout, zda se může nebo nemůže připojit do VPN. Kontroly můžeme provádět pouze na operačním systému Windows (něco málo na Macu). Ověřovat můžeme verzi operačního systému, přítomnost antiviru a firewallu, klientskou MAC adresu, existenci určitého souboru, procesu nebo klíče v registrech.
03.05.2020 | Fortinet admin | 8 731x | Komentáře [3]
| FortiGate IPsec VPN, debug a problémy
Pokusil jsem se dát dohromady stručný popis fungování IPsec protokolu pro navazování VPN. Primárně se článek zaměřuje na Site to Site VPN s využitím IKEv2 (a ESP). Nestudoval jsem RFC, informace jsou z různých článků na internetu, nejčastěji od výrobců (zaměřeno na Fortinet). Teorie se zaměřuje na jednotlivé termíny a bodový popis. Následuje orientační popis konfigurace IPsec VPN na FortiGate. Zbytek článku se věnuje tomu, jak provádět dohled, zjišťovat informace a řešit problémy (Troubleshooting), včetně ladění (Debugging). Zmiňuje také problémy, na které jsem narazil.
26.04.2021 | 14.04.2021 | Fortinet admin | 12 563x | Komentáře [2]
| FortiGate problémy s připojením do SSL VPN přes FortiClient
Podíváme se na starý známý problém, kdy se FortiClient připojování do SSL VPN na FortiGate zasekne či ukončí na 98 procentech. Tento problém měl být vyřešen ve FortiClient 5.6.0. Podle diskusí se však stále objevuje i v novějších verzích. Jsou různé rady na vyřešení, ale v našem prostředí nakonec pomohlo to, co jsem nikde zmiňovat neviděl. Vypnout DTLS a připojovat se klasicky pomocí TLS. Podíváme se také na debug SSL VPN na FortiGate.
20.06.2021 | Fortinet admin | 17 793x | Komentáře [1]
|