Guías técnicas

Host Check en accesos VPN SSL

En esta nota técnica, ante las cuestiones relativas a cómo poder utilizar diversas variables de un PC Windows para implementar un acceso más granular vía VPN SSL, explicamos cómo configurar algunos parámetros vía CLI para la versión de FortiOS 6.0 denominados “host check”, ya que el caso de uso es en particular para clientes que no están en condiciones de poder actualizar a FortiOS 6.2 y se encuentran actualmente en versiones 6.0.x.

En primer lugar, vía CLI se pueden añadir requerimientos específicos de software en aras de verificar que el host cumple con ello. Es decir, ejecutando los siguientes comandos:

config vpn ssl web host-check-software

 edit <software_name>

  set guid <guid_value>

  set type <av | fw>

  set version <version_number>

end

Dónde el GUID es el identificador único global que Windows utiliza para identificar una aplicación en el Registro, y que se puede encontrar bajo HKEY_CLASSES_ROOT, podemos comprobar si el host tiene una versión concreta de un software que por ejemplo sabemos tienen todos los equipos corporativos. Otra opción puede ser buscar una clave de registro concreta, ya que muchas imágenes de SO que las empresas suelen desplegar vienen con claves de registro propias que permiten identificar de manera unívoca que ese equipo es de la compañía, para ello ejecutar:

config vpn ssl web host-check-software

  edit <computer_name>

   config check-item-list

    edit 1

     set target “Introducir aquí la clave de registro concreta por ejemplo HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\xxxx….”

     set type registry 

   next

  end

 next

end

Incluso se puede verificar si existe una determinada aplicación en el equipo final (en este ejemplo la calculadora de Windows):

config vpn ssl web host-check-software

 edit “calc”

  config check-item-list

   edit 1

     set target “calc.exe”

     set type process

   next

  end

 next

end

Por último, comentar que también se puede verificar la versión de sistema operativo Windows concreta que tiene instalada el cliente en aras de permitir o denegar el acceso vía VPN SSL, o incluso solo permitir el acceso si el SO tiene un service pack concreto (permite definir una versión y un nivel de parche mínimo que debe tener el equipo para conectarse por SSL VPN). Así pues, cuando el usuario intenta conectarse al portal web, FortiOS comprueba la versión de Windows que tiene instalada el usuario, y si no cumple con los requerimientos mínimos definidos, la conexión es denegada.

Para configurarlo, vía CLI:

config vpn ssl web portal

  edit <portal_name>

   set os-check enable

    config os-check-list [windows-2000 | windows-xp | windows-vista | windows-7 | windows-10]

  set action [allow | check-up-to-date | deny]

  set latest-patch-level [disable | 0 – 255]

  set tolerance <tolerance_num>

 end

end

Dónde el nivel mínimo de parche aceptado es latest-patch-level menos la tolerancia (tolerance). Es decir, si latest-patch-level es 3 y la tolerancia 1, el 2 es el mínimo nivel de parche aceptado.

Por último, para ver la lista de sesiones SSL VPN activas podremos ir a Monitor > SSL-VPN Monitor.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *