Blog

Verificando cumplimiento en clientes VPN al hacer teletrabajo

Por Maximiliano Noce, Architect SE SoLA East

El COVID-19 ha llegado y planea quedarse al menos por algún tiempo más. Más allá de todas las cuestiones ligadas a la salud y a la economía, esta nueva realidad ha puesto a correr a todas las áreas de IT con el desafío de implementar la solución del teletrabajo para los usuarios de forma urgente.

Implementar Acceso Remoto Seguro no es trivial. En términos generales, implica añadir un nuevo vector de amenaza sobre nuestra infraestructura. Lo que es más desafiante aún es que en ciertos escenarios se permitirá la conexion de dispositivos que no son de la compañía y están totalmente fuera del alcance de nuestra gestión.

Las siguientes funcionalidades permiten realizar un control de acceso granular sobre la estación de trabajo que se conectará a la organización y permiten también, en base al estado de cumplimientación, limitar dicho acceso.

Alternativa 1

VPN SSL Host Check cuenta con las siguientes características:

  • No requiere de ningún tipo de licencia adicional para funcionar.
  • Es aplicable sólo a VPN SSL Tunnel Mode
  • Permite configurar vía CLI exclusivamente
  • Permite definir políticas mediante el Portal Web
  • Ofrece controles para revisión de Antivirus especifico instalado y Firewall especifico instalado
  • Dispone políticas de control de acceso en base a SO utilizado y actualización de últimos parches

Material de respaldo
Otros documentos

Alternativa 2

FortiClient Compliance Policy cuenta con las siguientes características:

  • Requiere licencias de Telemetría en FortiOS 5.6 & 6.0 (Endpoint Telemetry & Compliance License subscription)
  • Aplicable a interfaces de red regulares, VPN IPsec y VPN SSL Tunnel mode.
  • Configuración vía GUI
  • Definición de múltiples perfiles, asociados a tipo de dispositivo, IP origen y grupo de usuario
  • Mayor cantidad de controles:
    • Antivirus instalado, validación de firmas actualizadas y control de real time.
    • Firewall instalado y perfiles aplicados
    • Estado de vulnerabilidades
    • Versión de FortiClient
    • Procesos activos
  • Información reflejada en Fortigate
  • Validación desde Fortigate o EMS

Material de respaldo

Adicionalmente a estas dos alternativas, a partir de FortiOS 6.2.3 y EMS 6.2.3 podemos contar con “Dynamic Compliance Policies”, que permiten una mayor granularidad con respecto al nivel de acceso, en base al cumplimiento de políticas en tiempo real. Los detalles de configuración de dicha modalidad ya los hemos tratado en un artículo previo.

Esperamos con esto haber llevado un poco de claridad acerca de los controles de acceso posibles en un escenario de acceso remoto…

Tags

Contenidos relacionados

2 comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *