Este artículo aborda cómo permitir o bloquear a los usuarios de FortiClient la conexión a la VPN de FortiGate (VPN IPsec o SSL) según la versión del software de FortiClient que tengan disponible. Este tema es relevante para los administradores que buscan implementar políticas que mantengan a FortiClient actualizado en los ordenadores de los usuarios finales. A continuación, se detallarán las opciones disponibles para gestionar el acceso a la VPN de manera efectiva.
Descripción del problema
El uso de diferentes versiones de FortiClient por parte de los usuarios puede representar un riesgo para la seguridad y la integridad de las conexiones VPN. Es importante asegurarse de que todos los usuarios estén utilizando la versión correcta para garantizar la compatibilidad y la seguridad óptimas al conectarse a la VPN de FortiGate.
Alcance
Este artículo se aplica a los siguientes productos: FortiGate, FortiClient y EMS (Enterprise Management Server).
Solución recomendada
Se explicarán las opciones disponibles tanto para los usuarios de EMS FortiClient de pago como para los usuarios gratuitos de FortiClient VPN, así como las opciones que están restringidas solamente a los usuarios de EMS FortiClient.
Opción 1a: Restringir el acceso a la VPN basado en etiquetas ZTNA (solo EMS FortiClient; soporta SSL VPN e IPsec)
- En EMS (bajo Perfiles de Endpoint -> Acceso remoto -> Túneles VPN -> Configuración avanzada) es posible especificar un conjunto de etiquetas ZTNA que permitirán o bloquearán al usuario de conectarse a la VPN.
- Esto se puede combinar con una regla de etiquetado ZTNA (en EMS: Etiquetas de Zero Trust -> Reglas de etiquetado de Zero Trust) que utiliza el tipo de regla ‘Versión de FortiClient’ para identificar la versión de FortiClient y aplicar una etiqueta adecuada. Esta etiqueta se puede utilizar para permitir o denegar el acceso del usuario a la VPN hasta que estén usando una versión aceptable (es decir, pueden ser bloqueados si tienen una versión inferior a la esperada o permitidos si están en la versión esperada o superior).
- Para más información, consulte el siguiente documento: Aumentando la seguridad de la VPN con etiquetas ZTNA
Opción 1b: Restringir el acceso a la VPN solo para FortiClient gestionados por EMS (solo EMS FortiClient; solo SSL VPN)
- Esta es una opción complementaria que permite a los administradores restringir el acceso a la VPN SSL únicamente a los usuarios de FortiClient gestionados por EMS (es decir, bloquear a los usuarios gratuitos de FortiClient) utilizando ZTNA en FortiGate:
config vpn ssl setting
set ztna-trusted-client {enable | disable}
end
- Esta característica requiere que FortiClient proporcione un certificado válido firmado por EMS a FortiGate durante el proceso de autenticación de la VPN. Sin un certificado adecuado (es decir, un FortiClient dado de baja o un FortiClient-VPN gratuito), se niega el acceso. Consulte la siguiente documentación para obtener más información: Verificación del certificado del dispositivo ZTNA de EMS para conexiones SSL VPN 7.2.1
- La combinación de Opción 1a y Opción 1b resultará en una configuración de SSL VPN que bloquea a los usuarios de FortiClient-VPN gratuitos y solo permite a los usuarios de FortiClient gestionados por EMS que estén utilizando versiones aceptables del software.
Opción 2: Usando verificaciones de host de FortiGate (VPN gratuita y EMS FortiClient; solo SSL VPN)
- Las reglas de verificación de host pueden configurarse en FortiGate para permitir o denegar el acceso a la VPN SSL si el cliente cumple ciertos requisitos. Durante la fase de conexión inicial para la VPN SSL, FortiClient recibirá estas reglas de verificación de host de FortiGate y evaluará si cumple con las reglas o no.
- La siguiente documentación cubre los parámetros generales que se pueden revisar tanto en el FortiClient-VPN gratuito como en el FortiClient gestionado por EMS:
Verificación de host impulsada por FortiGate para el cliente VPN gratuito 7.0.3
Configuración de verificación de OS y de host
- En este caso, es posible que FortiGate verifique una versión específica de FortiClient que se esté ejecutando en el cliente de la VPN SSL antes de permitir que la VPN se establezca completamente. A continuación se muestra un ejemplo de una regla que coincide con clientes basados en Windows y verifica una instancia en ejecución de ‘FortiClient.exe’ en la versión 7.4.1 b1736:
config vpn ssl web host-check-software
edit <host_check_name>
set os-type windows
set type fw
config check-item-list
edit 1
set action require
set type process
set target «FortiClient.exe»
set version «7.4.1.1736»
next
end
config vpn ssl web portal
edit <portal name>
set host-check custom
set host-check-policy <host_check_name>
end
- Las verificaciones de host se aplican de forma individual por portal y admiten el uso de múltiples conjuntos de reglas de verificación de host, pero debe tenerse en cuenta que se evalúan en un formato AND en lugar de OR (es decir, regla de verificación de host 1 AND regla de verificación de host 2).
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!