راهنمای گام‌به‌گام؛ تامین امنیت دورکاری با FortiGate و FortiClient

راه‌حل‌های تامین امنیت دسترسی از راه دور بر پایه فایروال‌های فورتی‌گیت و فورتی‌کلایت، یک رویکرد یکپارچه و مدرن برای اتصال امن کاربران خارج از سازمان به منابع داخلی است. این راهکار، فورتی‌گیت را به عنوان سرور امن (معمولا SSL VPN) در لبه شبکه قرار می‌دهد تا ترافیک ورودی را بررسی، رمزنگاری و خاتمه دهد. در سمت کاربر، فورتی‌کلاینت نه تنها تونل رمزنگاری شده را برقرار می‌کند، بلکه به عنوان یک عامل اعتماد صفر (Zero Trust) عمل کرده و وضعیت سلامت و انطباق دستگاه (مانند به‌روز بودن آنتی‌ویروس و سیستم عامل) را به طور مداوم به فورتی‌گیت گزارش می‌دهد. سپس، فورتی‌گیت با استفاده از قابلیت Host Check، پالیسی‌های دسترسی را نه تنها بر اساس هویت کاربر (با استفاده از MFA)، بلکه بر اساس سلامت دستگاه او اعمال می‌کند. این امر تضمین می‌کند که حتی در صورت لو رفتن رمز عبور یا آلوده بودن دستگاه، از دسترسی غیرمجاز و گسترش تهدیدات به شبکه داخلی جلوگیری شود. این هم‌افزایی بین سرور و کلاینت، امنیت را به سطح بالاتری ارتقا داده و مدیریت دسترسی‌های از راه دور را ساده می‌کند.

کنترل دسترسی مبتنی بر رویکرد اعتماد صفر (Zero Trust)

قبل از شروع، باید مفاهیم اصلی را درک کنیم. شبکه خصوصی مجازی (VPN) یک تونل رمزنگاری شده بین یک دستگاه و شبکه است که به کاربر اجازه می‌دهد از راه دور به منابع داخلی دسترسی پیدا کند. این روش از دیرباز مورد استفاده بوده، اما مدل اعتماد صفر (Zero Trust) رویکرد را تغییر داده است. در مدل Zero Trust، هیچ کاربری، چه داخل و چه خارج از شبکه، به طور پیش‌فرض قابل اعتماد نیست. دسترسی فقط بر اساس هویت کاربر و وضعیت امنیتی دستگاه او اعطا می‌شود.

قبل از آن‌که به تشریح رویکرد فوق بپردازیم، اجازه دهید در قالب یک سناریو نمونه، این الگوی امنیتی را مورد بررسی قرار دهیم. این سناریو نحوه عملکرد یکپارچه فورتی‌گیت و فورتی‌کلاینت را برای اعمال پالیسی‌های اعتماد صفر بر اساس “وضعیت امنیتی” دستگاه کاربر، نمایش می‌دهد. هدف این است که دسترسی به شبکه داخلی فقط به دستگاه‌هایی اعطا شود که از نظر امنیتی تایید شده هستند.

۱. پیش‌فرض‌ها و تنظیمات اولیه

۲. شروع فرآیند و احراز هویت

کارمند (حمید) در خانه لپ‌تاپ خود را روشن کرده و برای اتصال به شبکه شرکت از طریق FortiClient اقدام می‌کند. این فرآیند بر مبنای مراحل زیر انجام می‌شود

1. اتصال VPN: حمید نام کاربری و رمز عبور خود را وارد کرده و سپس کد (FortiToken MFA) را ارائه می‌دهد.
2. احراز هویت اولیه: فورتی‌گیت هویت حمید را تایید می‌کند (او کیست).
3. اعمال Host Check: در این لحظه، فورتی‌گیت هنوز دسترسی نهایی را اعطا نکرده است. فورتی‌کلاینت به فورتی‌گیت پیام می‌دهد و وضعیت امنیتی کامل دستگاه را ارسال می‌کند (این کار به عنوان Host Check یا Posture Assessment شناخته می‌شود).

۳. سناریوی الف: دستگاه سالم

فرض: لپ‌تاپ حمید تمام الزامات امنیتی تعریف شده را برآورده می‌کند. آنتی‌ویروس در حال اجرا است و سیستم‌عامل به‌روز است.

۴. سناریوی ب: (دستگاه مشکوک)

فرض: حمید از هفته گذشته آنتی‌ویروس را غیرفعال کرده است تا نرم‌افزار خاصی را نصب کند، و هنوز سیستم‌عامل را به‌روزرسانی نکرده است.

۵. نتیجه‌گیری و ترمیم (Remediation)

این سیستم اطمینان حاصل می‌کند که هیچ دستگاهی که پتانسیل آسیب‌رسانی دارد، نمی‌تواند به شبکه متصل شده و تهدید را منتشر کند.

• اثر نهایی: فورتی‌گیت بر اساس وضعیت دستگاه، “اعتماد” خود را به آن به صورت پویا تنظیم می‌کند.
• اقدام لازم: حمید برای بازیابی دسترسی کامل، باید آنتی‌ویروس خود را فعال کرده و سیستم‌عامل را به‌روزرسانی کند. به محض اینکه فورتی‌کلاینت وضعیت Compliant را گزارش دهد، فورتی‌گیت به طور خودکار او را به پالیسی ۱ (دسترسی کامل) منتقل می‌کند.

این فرآیند، جوهره معماری اعتماد صفر که مبتنی بر “هرگز اعتماد نکن، همیشه تأیید کن.” را شامل می‌شود، نشان می‌دهد.

پیاده‌سازی گام به گام تامین امنیت دسترسی از راه دور با محصولات فورتی‌نت

اکنون، قصد داریم این سناریو را به شکل دقیق‌تری مورد بررسی قرار دهیم. هدف از این پیاده‌سازی، ایجاد یک اتصال امن و قابل اعتماد بین کاربر از راه دور و شبکه داخلی شرکت، همراه با اجرای دقیق سیاست‌های اعتماد صفر است.

1. معماری و مولفه‌های کلیدی (Architecture and Key Components)

این راهکار متکی بر سه مولفه اصلی است که به صورت هماهنگ کار می‌کنند. همان‌گونه که اشاره شد، بازیگر اصلی فایروال فورتی‌گیت است که وظیفه اصلی آن مدیریت و پایان دادن دادن به تونل VPN، اجرای عملیات نظارتی پیشرفته، مسیریابی و اعمال پالیسی‌های دسترسی مبتنی بر هویت است. مولفه بعدی فورتی‌کلاینت، نرم‌افزاری که بر روی دستگاه کاربر نصب شده، تونل رمزنگاری‌شده را ایجاد می‌کند و اطلاعات حیاتی وضعیت امنیتی دستگاه (Posture و Compliance) را به سرور گزارش می‌دهد. دو مولفه بعدی FortiAuthenticator / FortiToken وظیفه تامین یک لایه امنیتی اضافی با استفاده از توکن‌های یکبار مصرف (OTP) برای جلوگیری از نفوذ از طریق رمزهای عبور سرقت رفته را برعهده دارند.

2. تنظیمات فورتی‌گیت: ایجاد گیت‌وی امن

پیکربندی در فورتی‌گیت باید به صورت دقیق و با رعایت اصول امنیت صورت گیرد. این فرآیند در اولین گام بر مبنای ایجاد تونل SSL VPN انجام می‌شود. در مرحله بعد یک پورت TCP مشخص (معمولا 10443 یا 443 در صورت عدم تضاد) برای گوش دادن به اتصالات SSL VPN تعریف می‌شود. دقت کنید که VPN باید به یک رابط فیزیکی (WAN) که آدرس آی‌پی عمومی دارد، متصل شود. در ادامه یک محدوده آدرس آی‌پی خصوصی (مثلا 192.168.200.0/24) در فورتی‌گیت تعریف می‌شود تا به هر کاربر راه دور متصل، یک آدرس اختصاص دهد. این آدرس‌ها باید از محدوده‌های LAN اصلی متمایز باشند. پس از انجام این‌کار نوبت به ایجاد یک گروه کاربری در فورتی‌گیت (به عنوان مثال Remote_VPN_Users) و اتصال آن به سرور احراز هویت مرکزی (LDAP یا RADIUS شرکت) یا به صورت داخلی در فورتی‌گیت می‌رسد. در مرحله بعد یک VPN Portal ایجاد شده و تعیین می‌کند کاربران پس از اتصال به چه منابعی دسترسی دارند. در این مرحله کارشناسان شبکه می‌توانند از رویکردهایی مثل دسترسی به Split Tunneling یا Full Tunneling استفاده کنند.

4. اعمال پالیسی‌های فایروال

یکی از مهم‌ترین اقدامات در این مرحله تعیین پالیسی‌هایی است که فرآیند ورود و خروج ترافیک بر مبنای آن‌ها انجام شود. تعیین یک پالیسی که ترافیک ورودی از اینترفیس SSL-VPN را به سمت اینترفیس داخلی (Internal/LAN) هدایت کند. در این پالیسی، گروه کاربری Remote_VPN_Users به عنوان سورس تعریف شده و سرویس‌ها (پورت‌ها/پروتکل‌ها) و مقاصد (Destination – آدرس‌های سرورهای داخلی) مجاز مشخص می‌شوند. به طوری که تمام ترافیک VPN باید از موتورهای امنیتی فورتی‌گیت عبور کند. شایان ذکر است پروفایل‌های آنتی‌ویروس، فیلتر وب، و جلوگیری از نفوذ برای بازرسی ترافیک کاربران راه دور بر روی این پالیسی فعال می‌شوند.

5. امنیت نقطه پایانی از طریق فورتی‌کلاینت (Endpoint Security via FortiClient)

فورتی‌کلاینت نقشی دوگانه ایفا می‌کند: کلاینت اتصال و جمع‌آوری‌کننده وضعیت امنیتی. بر همین اساس، در این مرحله ما نیازمند پیکربندی و مدیریت فورتی‌کلاینت هستیم. در بیشتر موارد کارشناسان امنیتی از FortiClient EMS به جای پیکربندی دستی استفاده می‌کنند. EMS به صورت متمرکز فورتی‌کلاینت را نصب، به‌روزرسانی و تمام تنظیمات VPN را به کلاینت‌ها هدایت می‌کند. همچنین، به عنوان یک سرور مرکزی برای جمع‌آوری وضعیت امنیتی عمل می‌کند.

• تنظیم Endpoint Telemetry: در فورتی‌کلاینت باید یک پروفایل تله‌متری برای ارتباط مستمر با فورتی‌کلاینت (معمولا از طریق EMS) فعال شود تا وضعیت لحظه‌ای امنیتی دستگاه کاربر دریافت گردد. هنگامی که روند فوق با موفقیت به اطمینان رسید، فرآیند تعیین الزامات سلامت دستگاه (Compliance) می‌رسد. در فورتی‌گیت یا EMS، الزامات حداقل سلامت دستگاه تعریف می‌شود. به عنوان مثال، آیا فورتی‌کلاینت نصب و فعال است، آیا ویندوز/مک به صورت کامل به‌روزرسانی شده است، آیا نرم‌افزار آنتی‌ویروس شرکت در حال اجرا است؟
• کنترل دسترسی مبتنی بر وضعیت: فورتی‌گیت از این اطلاعات برای اعطای دسترسی استفاده می‌کند. این کار از طریق Dynamic Access Control انجام می‌شود. به بیان دقیق‌تر، اگر دستگاه تایید شده باشد، کاربر دسترسی کامل به منابع مجاز در LAN را دارد. اگر وضعیت دستگاه مشکوک باشد، یا دسترسی کلا مسدود می‌شود یا کاربر به یک شبکه قرنطینه (Quarantine Network) با دسترسی محدود به سرور وصل می‌شود تا نقص امنیتی خود را برطرف کند.

6. تقویت امنیت: احراز هویت چندعاملی (MFA)

برای جلوگیری از حملات فیشینگ و مهندسی اجتماعی، MFA ضروری است. این‌کار از طریق به کارگیری FortiToken سخت‌افزاری یا نرم‌افزاری یک کد یکبار مصرف انجام می‌شود. کاربر هنگام اتصال VPN، ابتدا رمز عبور خود و سپس کد OTP را وارد می‌کند. با توجه به این‌که در بیشتر موارد، تعداد کاربران یک سازمان زیاد هستند، راهکار ساخت‌یافته قدرتمند FortiAuthenticator است. این دستگاه به عنوان یک سرور RADIUS مرکزی عمل کرده و پالیسی‌های پیچیده احراز هویت و MFA را مدیریت می‌کند و سوابق دسترسی را ثبت می‌کند. بر مبنای رویکردی که اشاره کردیم، شبکه سازمانی از طریق یک راهکار امنیتی یکپارچه و هوشمند (Security Fabric) محافظت می‌شود، که در آن امنیت به طور مداوم وضعیت هر دستگاه راه دور را قبل و حین اتصال بررسی می‌کند.

کلام آخر

به طور کلی، پیاده‌سازی این راهکار به دو مولفه اصلی نیاز دارد. اول فایروال فورتی‌گیت که در لبه شبکه سازمانی قرار می‌گیرد و به عنوان سرور VPN عمل می‌کند. این دستگاه مسئول برقراری تونل امن، احراز هویت کاربران و اعمال پالیسی‌های امنیتی دسترسی است. دومین مولفه، فورتی‌کلاینت است که نرم‌افزار نصب‌شده بر روی دستگاه کاربر نهایی (لپ‌تاپ یا کامپیوتر) است. این نرم‌افزار تونل VPN را با فورتی‌گیت ایجاد می‌کند و می‌تواند وضعیت امنیتی دستگاه را به سرور گزارش دهد. پیاده‌سازی این راهکار یکپارچه، مزایای متعددی دارد:

• امنیت بالا: با استفاده از MFA و کنترل دسترسی بر اساس وضعیت امنیتی دستگاه، ریسک حملات به شدت کاهش می‌یابد.
• مدیریت متمرکز: تمام جنبه‌های VPN، از جمله احراز هویت و اعمال پالیسی‌ها، از طریق فورتی‌گیت و FortiManager مدیریت می‌شود.
• تجربه کاربری ساده: فورتی‌کلاینت یک رابط کاربری ساده دارد که راه‌اندازی و استفاده از آن برای کاربران غیرفنی آسان است.

در نهایت، این راهکار به سازمان‌ها اجازه می‌دهد با اطمینان کامل، امکان کار از راه دور را برای کارمندان خود فراهم کنند، در حالی که امنیت شبکه را در بالاترین سطح ممکن حفظ ‌کنند.

حمیدرضا تائبی