SSL VPN

Este capítulo fornece informações sobre como configurar os recursos de SSL VPN no dispositivo de segurança Dell SonicWALL. Os recursos de SSL VPN da Dell SonicWALL fornecem acesso remoto seguro à rede usando o cliente NetExtender.

O NetExtender é um cliente de SSL VPN para usuários de Windows, Mac ou Linux que é baixado transparente e que permite que você execute qualquer aplicativo com segurança na rede da empresa. Usa PPP (Point-to-Point Protocol). O NetExtender permite que clientes remotos tenham acesso sem igual aos recursos na sua rede local. Usuários podem acessar o NetExtender de duas maneiras:

• Fazendo login no portal da web do Virtual Office fornecido pelo dispositivo de segurança Dell SonicWALL e clicando no botão NetExtender.

• Iniciando o cliente do NetExtender independente.

O cliente NetExtender independente é instalado na primeira vez que você iniciar o NetExtender. Depois disso, ele pode ser acessado diretamente do menu Iniciar em sistemas Windows, da pasta de Aplicativo ou acoplar-se em sistemas MacOS ou pelo nome do caminho ou na barra de atalho em sistemas Linux.

Este capítulo contém as seguintes seções:

SSL VPN NetExtender Visão geral

Configuração de Usuários para Acesso SSL VPN

SSL VPN > Status

SSL VPN > Configurações do Servidor

SSL VPN > Configurações do Cliente

SSL VPN > Configurações do Portal

SSL VPN > Virtual Office

Acesso ao Portal Dell SonicWALL SSL VPN

Uso do NetExtender

Configuração de marcadores SSL VPN

Uso de Marcadores SSL VPN

 

SSL VPN NetExtender Visão geral

Esta seção fornece uma introdução ao recurso SonicOS Enhanced SSL VPN NetExtender. Esta seção contém as seguintes subseções:

O quê é SSL VPN NetExtender?

Benefícios

Conceitos do NetExtender

O quê é SSL VPN NetExtender?

O recurso SSL VPN NetExtender da Dell SonicWALL é um aplicativo de software transparente para usuários Windows, Mac e Linux que permite que usuários remotos se conectem com segurança à rede remota. Com o NetExtender, os usuários remotos podem executar qualquer aplicativo com segurança na rede remota. Os usuários podem subir e baixar arquivos, montar unidades de rede e acessar os recursos como se estivessem na rede local. A conexão NetExtender usa uma conexão por protocolo PPP (protocolo ponto a ponto).

Benefícios

O NetExtender fornece aos usuários remotos acesso total à sua rede interna protegida. A experiência é virtualmente idêntica daquela que usa um cliente IPSec VPN tradicional, mas o NetExtender não requer qualquer instalação manual do cliente. Em vez disso, o cliente NetExtender Windows é instalado automaticamente no PC de um usuário remoto por um controle ActiveX ao usar o navegador Internet Explorer ou com o plug-in XPCOM quando usar o Firefox. Em sistemas MacOS, os navegadores suportados usam controles de Java para instalar automaticamente o NetExtender a partir do portal Virtual Office. Os sistemas Linux também podem instalar e usar o cliente NetExtender.

Após a instalação, o NetExtender inicia-se automaticamente e conecta-se a um adaptador virtual para acesso seguro a ponto a ponto SSL-VPN para hosts permitidos e sub-redes na rede interna.

 

Conceitos do NetExtender

As seções a seguir descrevem os conceitos avançados do NetExtender:

Cliente independente

Rotas de cliente

Modo Todos túneis

Scripts de Conexão

Configuração de proxy

Dell SonicWALL Mobile Connect

Cliente independente

O NetExtender é um aplicativo leve instalado no navegador que fornece acesso remoto abrangente sem exigir que os usuários baixem e instalem o aplicativo manualmente. A primeira vez que um usuário inicia o NetExtender, o cliente autônomo do NetExtender é instalado automaticamente no PC ou Mac do usuário. O instalador cria um perfil com base nas informações de login do usuário. A janela do instalador fecha e inicia automaticamente o NetExtender. Se o usuário tem uma versão herdada do NetExtender instalada, o instalador primeiro desinstalará o NetExtender antigo e instalará a nova versão.

Quando o cliente autônomo do NetExtender tiver sido instalado, os usuários Windows podem iniciar o NetExtender diretamente de seus PCs, no menu Iniciar > Programas e configurar o NetExtender para iniciar quando o Windows for inicializado. Os usuários Mac podem iniciar o NetExtender das suas pastas de Aplicativos do sistema ou arrastar o ícone para o painel de controle para acesso rápido. Nos sistemas Linux, o instalador cria um atalho na área de trabalho em /usr/share/NetExtender. Isso pode ser arrastado para a barra de atalhos em ambientes como Gnome e KDE.

Rotas de cliente

Rotas de cliente NetExtender são usadas para permitir e negar acesso aos usuários de SSL VPN a diversos recursos de rede. Objetos de endereço são usados para dinamicamente e facilmente configurar o acesso aos recursos da rede.

Modo Todos túneis

O modo Todos os túneis controla todo o tráfego de e para o usuário remoto através do túnel SSL VPN NetExtender — incluindo o tráfego destinado para rede local do usuário remoto. Isso é feito adicionando as seguintes rotas à tabela de roteamento do cliente remoto:

Endereço IP

Máscara de sub-rede

0.0.0.0

0.0.0.0

0.0.0.0

128.0.0.0

128.0.0.0

128.0.0.0

O NetExtender também adiciona rotas para as redes locais de todas as conexões de rede conectadas. Essas rotas são configuradas com métricas mais altas do que todas as rotas existentes para forçar o tráfego destinado para a rede local através do túnel SSL VPN. Por exemplo, se um usuário remoto tem o Endereço IP 10.0.67.64 na rede 10.0. *. *, a rota 10.0.0.0/255.255.0.0 é adicionada para rotear o tráfego por meio do túnel SSL VPN.

O modo Todos os túneis está configurado na página SSL VPN > Rotas de cliente.

Scripts de Conexão

O Dell SonicWALL SSL VPN fornece aos usuários a capacidade de executar scripts de arquivos em lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos ou sites da Web. Os Scripts de Conexão NetExtender podem oferecer suporte a quaisquer comandos de arquivo em lotes válidos.

Configuração de proxy

O Dell SonicWALL SSL VPN oferece suporte a sessões do NetExtender usando configurações de proxy. Atualmente, há suporte apenas para proxy HTTPS. Ao iniciar o NetExtender do portal da Web, se seu navegador já está configurado para acesso ao proxy, o NetExtender herda automaticamente as configurações de proxy. As configurações de proxy também podem ser manualmente configuradas nas preferências de cliente do NetExtender. O NetExtender pode detectar automaticamente as configurações de proxy para servidores proxy que suportam o WPAD (Web Proxy Auto Discovery).

O NetExtender fornece três opções para definir as configurações de proxy:

Detectar automaticamente as configurações - para usar essa configuração, o servidor proxy deve oferecer suporte a WPAD (Web Proxy Auto Discovery), que pode enviar automaticamente o script de configurações de proxy para o cliente.

Usar script de configuração automática -se você souber o local do script de configurações de proxy, você pode selecionar esta opção e fornecer o URL do script.

Usar o servidor proxy -você pode usar esta opção para especificar o Endereço IP e a porta do servidor proxy. Como alternativa, você pode inserir um Endereço IP ou domínio no campo BypassProxy para permitir conexões diretas a esses endereços e ignorar o servidor proxy. Se necessário, você pode inserir um nome de usuário e uma senha para o servidor proxy. Se o servidor proxy requer um nome de usuário e uma senha, mas você não os especifica, uma janela pop-up do NetExtender o avisará para inseri-los ao conectar-se pela primeira vez.

Quando o NetExtender se conecta usando as configurações de proxy, estabelece uma conexão HTTPS para o servidor proxy em vez de conectar diretamente ao servidor do dispositivo de segurança Dell SonicWALL. Em seguida, o servidor proxy encaminha o tráfego para o servidor SSL VPN. Todo o tráfego é criptografado por SSL com o certificado negociado pelo NetExtender, do qual o servidor proxy não tem conhecimento. O processo de conexão é idêntico para usuários proxy e não proxy.

Dell SonicWALL Mobile Connect

Dell SonicWALL Mobile Connect é um aplicativo para iPhone, iPad e iPod Touch que permite conexões seguras e móveis a redes privadas protegidas pelos dispositivos de segurança Dell SonicWALL. O aplicativo Dell SonicWALL Mobile Connect para iPhone e iPad fornece acesso móvel seguro a recursos de rede confidenciais usando o iPhone e o iPad. Dell SonicWALL Mobile Connect estabelece uma conexão privada virtual Secure Sockets Layer (SSL VPN) com redes privadas que são protegidas pelos dispositivos de segurança Dell SonicWALL. Todo o tráfego de e para a rede privada é transmitido com segurança através do túnel SSL VPN.

O processo de usar o Dell SonicWALL Mobile Connect é o seguinte:

1. Instale o Dell SonicWALL Mobile Connect da App Store.

2. Insira as informações de comunicação (nome de servidor, nome de usuário, senha etc.).

3. Inicie uma conexão com a rede.

4. Dell SonicWALL Mobile Connect estabelece um túnel SSL VPN para o dispositivo de segurança Dell SonicWALL.

5. Agora, você pode acessar os recursos na rede privada. Todo o tráfego de e para a rede privada é transmitido com segurança através do túnel SSL VPN do relatório de solução de problemas.

Sob a perspectiva do administrador, o Dell SonicWALL Mobile Connect funciona praticamente da mesma maneira que o NetExtender. Duas configurações de administrador são necessárias

Configurar usuários para NetExtender – Para que o usuário possa se conectar ao Dell SonicWALL Mobile Connect, sua conta de usuário deve ser atribuída ao grupo Serviços SSLVPN. Consulte Configuração de Usuários para Acesso SSL VPN para obter detalhes.

Configuração de Usuários para Acesso SSL VPN

A fim de que os usuários possam acessar serviços de SSL VPN, eles devem ser atribuídos ao grupo Serviços SSLVPN. Usuários que tentam fazer login através do Virtual Office e que não pertencem ao grupo Serviços SSLVPN terão acesso negado.

O número máximo de usuários simultâneos de SSL VPN para cada modelo de dispositivo de segurança de rede Dell SonicWALL suportado na versão 5.9 é exibido na tabela abaixo:

Modelo de hardware Dell SonicWALL

Máximo de usuários simultâneos de SSL VPN

NSA E8510

1500

NSA E8500

1500

NSA E7500

1000

NSA E6500

750

NSA E5500

500

NSA 5000

350

NSA 4500

350

NSA 3500

250

NSA 2400 / 2400MX

125

NSA 250M / 250MW

50

NSA 240

50

NSA 220 / 220W

50

TZ 215 / 215W

25

TZ 210 / 210W

25

TZ 205 / 205W

15

TZ 200 / 200W

10

TZ 105 / 105W

10

TZ 100 / 100W

5

As seções a seguir descrevem como configurar contas de usuário para acesso SSL VPN:

Configuração do Acesso de VPN SSL para Usuários Locais

Configuração do Acesso SSL VPN para Usuários RADIUS

Configuração do Acesso SSL VPN para Usuários LDAP

Configuração do Acesso de VPN SSL para Usuários Locais

Para configurar usuários no banco de dados de usuários locais para acesso SSL VPN, você deve adicionar os usuários ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:

1. Navegue até a página Usuários > Usuários locais.

2. Clique no ícone de configuração icon_edit.jpg para o usuário que deseja editar ou clique no botão Adicionar usuário para criar um novo usuário. A janela Editar usuário é iniciada.

3. Clique na guia Grupos.

4. Na coluna de Grupos de usuários, clique em Serviços SSLVPN e clique na seta para a direita para movê-lo para a coluna Membro de.

5. Clique na guia Acesso VPN. A guia Acesso VPN configura quais recursos da rede os usuários da VPN (marcadores do GVC, NetExtender ou Virtual Office) podem acessar. Selecione um ou mais objetos ou grupos de endereço de rede da lista Redes e clique no botão de seta para a direita (->) para movê-los para a coluna Lista de acesso. Para remover acesso do usuário a um objeto ou grupo de endereços de rede, selecione a rede a partir da Lista de acesso, e clique no botão de seta para a esquerda (<-).

Note A guia Acesso VPN afeta a capacidade de clientes remotos de usar marcadores do GVC, NetExtender e SSL VPN Virtual Office para acessar os recursos da rede. Para permitir que os usuários do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos ou grupos de endereço da rede devem ser adicionados à lista de “permissões” na guia Acesso VPN.

6. Clique em OK.

Note O recurso, Senha de uso único, é um esquema de autenticação de dois fatores que usa senhas aleatórias geradas por sistema, além das credenciais padrão de nome de usuário e senha, para usuários que tentam fazer login por meio de conexões SSL VPN.

Configuração do Acesso SSL VPN para Usuários RADIUS

Para configurar usuários RADIUS para acesso SSL VPN, você deve adicionar os usuários ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:

1. Navegue até a página Usuários > Configurações.

2. No menu suspenso Método de autenticação para login menu, selecione RADIUS ou RADIUS + Usuários locais.

3. Clique no botão Configurar para Método de autenticação para login. A janela Configuração RADIUS é exibida.

4. Clique na guia Usuários RADIUS.

5. No menu suspenso Grupo de usuários padrão ao qual todos os usuários RADIUS pertencem, selecione Serviços SSLVPN.

Note A guia Acesso VPN na janela Editar usuário também é outro controle granular para acesso para ambos os marcadores do Virtual Office e acesso NetExtender.

6. Clique em OK.

Configuração do Acesso SSL VPN para Usuários LDAP

Para configurar usuários LDAP para acesso SSL VPN, você deve adicionar os grupos de usuário LDAP ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:

1. Navegue até a página Usuários > Configurações.

2. Defina o Método de Autenticação para login para LDAP ou LDAP + Usuários locais.

3. Clique no botão Configurar para iniciar a janela Configuração LDAP.

4. Clique na guia Usuários LDAP.

5. No menu suspenso Grupo de usuários LDAP padrão, selecione Serviços SSLVPN.

Note A guia Acesso VPN na janela Editar usuário também é outro controle granular para acesso para ambos os Marcadores do Virtual Office e acesso NetExtender.

6. Clique em OK.