Testreihe VPN-Gateways, Teil 4: Fortinet
Vielseitiger Wächter
Die Fortigate-Appliances von Fortinet unterstützen mehrere VPN-Protokolle und -Topologien. Sie stellen zudem eine Firewall mit umfangreichen Sicherheitsfunktionen bereit. Im LANline-Test nahmen wir Fortinets Funktionalität für IPSec- und SSL-VPNs sowie für die VPN-Standortkopplung unter die Lupe.
Der Firewall- und Sicherheitsspezialist Fortinet ist seit vielen Jahren am Markt vertreten. Die Produktpalette reicht von kleinen Firewall-Appliances mit VPN-Gateway-Funktion bis zu Enterprise-Fire- walls der Fortigate 4000- und 6000-Familie. Die Systeme sind auch als virtuelle Appliances erhältlich, um VMware-Umgebungen oder bei Cloud-Providern wie AWS, Azure oder Google laufende Systeme abzusichern. Zudem bietet Fortinet zahlreiche Softwarelösungen an, die Bereiche wie Cloud-Security, Secure Access Service Edge (SASE) und Zero-Trust Network Access abdecken.
Zur LANline-VPN-Testreihe trat Fortinet mit zwei Appliances vom Typ Fortigate 61E an, die sich für kleinere Unternehmen und zur Zweigstellenanbindung eignen. Die Testgeräte verfügten über zwei WAN-Ports, einen DMZ-Port (Demilitarisierte Zo- ne) und sieben GbE-Ports, die individuell konfigurierbar sind. Ein USB-Port ermöglicht den Anschluss eines 3G/4G-USB-Modems für eine redundante WAN-Anbindung per Mobilfunk. Das 61E-Modell ist auch mit integriertem WLAN-Access-Point oder als Power-over-Ethernet-Variante erhältlich. Für besonders raue Umgebungen bietet Fortinet die Fortigate 60D Rugged an.
Für die Verwaltung größerer Umgebungen steht die Software Fortimanager bereit. Sie lässt sich wahlweise auf Hardware installieren, als virtuelle Appliance betreiben oder als SaaS-Lösung nutzen. Die Cloud-Management-Anwendung Fortigate Cloud ist vor allem für kleinere Kunden gedacht, die nicht den kompletten Funktionsumfang von Fortimanager benötigen. Kleine Unternehmen können die Geräte auch über die integrierte Web-Konsole oder die Kommandozeile verwalten. Die Anbindung von Applikationen anderer Hersteller ist per API möglich.
Beim Test standen die VPN-Funktionen der Fortigate-Appliances im Vordergrund. Die Geräte lassen sich für sichere Remote-Zugriffe mobiler Mitarbeiter wie auch für die Standortkopplung per Site-to-Site-VPN konfigurieren. Zudem stellen sie zahlreiche weitere Sicherheitsfunktionen bereit, darunter eine Firewall mit Application Control, SSL/SSH-Inspection, Intrusion Prevention und Data Leakage Prevention. Antivirus-Funktionen sowie Web-, DNS-, File- und E-Mail-Filter werden ebenfalls unterstützt. Die Appliances lassen sich zudem als SD-WAN (Software-Defined WAN) konfigurieren, das zum Beispiel ein Load-Balancing und Leitungsredundanz liefert.
Einfache Inbetriebnahme
Für die Grundkonfiguration verwendeten wir ein Notebook, dem wir eine IP-Adresse aus dem Default-Netz der Fortigate-Box192.168.1.0 zugewiesen hatten. Wir schlossen es per LAN-Kabel an Port 1 der Fortigate-Box an. Den ersten der zwei WAN-Ports verbanden wir mit dem DSL-Modem unseres 1&1-Internet-Anschlusses. Dann gaben wir in einem Web-Browser die werkseitig eingestellte IP-Adresse 192.168.1.99 ein, woraufhin sich die Log-in-Maske der Appliance öffnete.
Bei der ersten Anmeldung muss der Administrator das Standardpasswort ändern. Dann startete automatisch ein Assistent, der uns Schritt für Schritt durch die Grundkonfiguration führte. Wir gaben unter anderem die Management-IP-Adresse für das Testnetz ein und konfigurierten die Zugangsdaten für die PPPoE-Verbindung (Point-to-Point Protocol over Ethernet), die via 1&1-DSL-Modem Zugriff auf das Internet ermöglichte. Nun konnten wir mit dem an der Firewall angeschlossenen Notebook im Web surfen.
Die Fortigate-Systeme unterstützen mehrere VPN-Protokolle und -Topologien. Der sichere Zugriff von mobilen Mitarbeitern auf das Firmennetz ist über Remote-Access-VPNs möglich, die Verschlüsselung erfolgt wahlweise mit SSL oder IPSec. Für die Standortkopplung kommen Site-to-Site-VPNs zum Einsatz, bei denen sich die Datenübertragungen mit Pre-Shared Keys oder mittels Zertifikaten verschlüsseln lassen. Die Systeme beherrschen zudem redundante VPN-Tunnel und ein Load-Balancing mehrerer WAN-Anbindungen. VPN-Verbindungen lassen sich auch zu Azure-Gateways und zu Cisco-ASA-Firewalls einrichten. Bei Cloud-basierten Lösungen vereinfacht das sogenannte Overlay Controller VPN (OCVPN) die Einrichtung und Verwaltung mehrerer VPN-Standorte und teilt Konfigurationsänderungen automatisch allen Geräten mit.
Assistent für VPN-Konfiguration
Für den Test Remote-Zugriff mobiler Clients konfigurierten wir ein IPSec- und ein SSL-VPN. Die Web-Konsole der Fortigate stellt die Konfigurationsbereiche am linken Fensterrand in einer Baumstruktur übersichtlich dar. Unter dem Menüpunkt VPN findet sich ein IPSec-Wizard, mit dem sich neue Site-to-Site-, Hub-and-Spoke- und Remote-Access-VPNs einrichten lassen. Die Web-Konsole ermöglicht per Icon auch den Direktzugriff auf die Kommandozeile der Systeme. Das sehr umfangreiche Handbuch umfasst rund 1.650 Seiten und beschreibt alle Konfigurationsoptionen ausführlich.
Bevor wir den VPN-Assistenten starteten, legten wir zunächst auf der Fortigate-Box einen neuen Benutzer und eine Benutzergruppe an. Das System unterstützt den Verzeichnisdienst LDAP (Lightweight Directory Access Protocol) sowie das Active Directory (AD), sodass sich unter anderem vorhandene AD-Gruppen direkt für die Firewall-Policies nutzen lassen. Dann wählten wir im IPSec-VPN-Wizard für den ersten Test das Remote-Access-VPN. Unter Remote Device Type lässt sich vorgeben, ob die Verbindung von einem Fortinet-, einem Cisco- oder den nativen VPN-Clients von Windows, Android oder iOS aufzubauen ist. Wir verwendeten die Default-Einstellung Forticlient, wählten die Testbenutzergruppe und gaben einen Pre-Shared Key für die VPN-Verschlüsselung ein. Im letzten Schritt benötigt der Assistent noch Angaben, welches IP-Netz die Remote-Clients nutzen sollen und auf welche internen Netze sie zugreifen dürfen.
Danach installierten wir auf einem Test-Notebook den Forticlient. Beim Öffnen des VPN-Clients gibt der Benutzer seine Login-Daten und die IP-Adresse oder den DNS-Namen der Fortigate-Box an, mit der die VPN-Verbindung entstehen soll. Wir konnten uns mit dem Test-Notebook über das Internet mit der Fortigate-Appliance verbinden und auf die Testrechner des lokalen Netzes per RDP zugreifen. Um Remote-Zugriffe per Handy zu testen, installierten wir auf einem Android-8.0-Gerät die Forticlient-App und konfigurierten die VPN-Settings für den IPSec-Zugriff. So konnten wir uns auch vom Handy aus über das Internet mit der Fortigate-Box verbinden und mit einer RDP-App an einem PC im lokalen Testnetz anmelden.
SSL- und Site-to-Site-VPNs
Die Einrichtung von SSL-VPNs erfolgt über die Menüpunkte SSL-VPN Settings und SSL-VPN Portals. Wir konfigurierten ein neues SSL-VPN und ein Web-Portal, über das sich Clients remote mit dem VPN verbinden können.
Neben den benötigten WAN- und Client-Netz-IP-Adressen muss der Administrator eine Firewall-Regel hinzufügen, die den SSL-Zugriff zulässt. Nachdem der Konfiguration öffneten wir auf dem Test-Notebook den Fortinet-Client und fügten eine neue SSL-Verbindung hinzu. Nun konnten wir uns via Internet mit der Fortigate-Appliance verbinden und auf einen Rechner im lokalen Testnetz zugreifen, für den wir vorher in der VPN-Portal-Konfiguration den RDP-Zugriff aktiviert hatten.
Die SSL-Verbindung ließ sich auch direkt über das Web-Portal herstellen, indem wir im Web-Browser die HTTPS-Adresse der Fortigate-Box mit Port 10443 eingaben. Das Portal zeigte auf dem Notebook ein Icon für die RDP-Verbindung an, über das wir uns an dem Rechner im lokalen Testnetz anmelden konnten. Der RDP-Zugriff über das Icon im SSL-VPN-Portal funktionierte mit dem Forticlient auch vom Handy aus auf Anhieb. Zum Abschluss richteten wir mit dem Wizard ein Site-to-Site-VPN mit IPSec und Pre-Shared Key ein. Der Administrator muss diese Konfiguration auf beiden Boxen durchführen und unter anderem die WAN-IP-Adressen der Gegenstelle eintragen. Nachdem wir das Site-to-Site-VPN auf beiden Fortigate-Appliances eingerichtet hatten, konnten wir mit unseren Testrechnern auf die an der Gegenstelle angeschlossenen Server und PCs zugreifen. Die WAN-Verbindung stellten wir dabei über einen WAN-Simulator her, der das Routing zwischen den beiden Netzen durchführte.
Fazit
Fortinets Fortigate-Appliances bieten zahlreiche Sicherheits-Features, um Fernzugriffe auf das Firmennetz sowie Standortkopplungen abzusichern. Die Systeme unterstützen mehrere VPN-Protokolle und -Topologien und ermöglichen auch eine Cloud-Integration. Hilfreich sind die integrierten Assistenten für die VPN-Konfiguration. Im LANline-Test ließen sich die verschiedenen VPN-Zugriffswege schnell einrichten. Das SSL-VPN-Portal bietet für Clients eine komfortable Zugriffsmöglichkeit per Web-Browser. Preisangaben zu den Fortigate-Appliances machen Fortinet-Partner auf Anfrage.
Lesen Sie mehr zum Thema
