para o usuário que deseja editar ou clique no botão Adicionar usuário para criar um novo usuário. A janela Editar usuário é iniciada.SSL_VPN
Esta seção fornece informações sobre como configurar os recursos de SSL VPN no dispositivo de segurança de rede Dell SonicWALL. Os recursos de SSL VPN da SonicWALL fornecem acesso remoto seguro à rede usando o cliente NetExtender.
O NetExtender é um cliente de SSL VPN para usuários de Windows, Mac ou Linux que é baixado transparente e que permite que você execute qualquer aplicativo com segurança na rede da empresa. Usa PPP (Point-to-Point Protocol). O NetExtender permite que clientes remotos tenham acesso sem igual aos recursos na sua rede local. Usuários podem acessar o NetExtender de duas maneiras:
• Fazendo login no portal da web do Virtual Office fornecido pelo dispositivo de segurança de rede Dell SonicWALL e clicando no botão NetExtender.
• Iniciando o cliente do NetExtender independente.
O cliente NetExtender independente é instalado na primeira vez que você iniciar o NetExtender. Depois disso, ele pode ser acessado diretamente do menu Iniciar em sistemas Windows, da pasta de Aplicativo ou acoplar-se em sistemas MacOS ou pelo nome do caminho ou na barra de atalho em sistemas Linux.
Esta seção contém as seguintes subseções:
• SSL VPN NetExtender Visão geral
• Configuração de Usuários para Acesso SSL VPN
• SSL VPN > Status na página 892
• SSL VPN > Configurações do Servidor
• SSL VPN > Configurações do Portal
• SSL VPN > Configurações do Cliente
• Configuração de Marcadores SSL VPN
SSL VPN NetExtender Visão geral
Esta seção fornece uma Introdução ao recurso SonicOS SSL VPN NetExtender. Esta seção contém as seguintes subseções:
• O quê é SSL VPN NetExtender?
O recurso SSL VPN NetExtender da SonicWALL é um aplicativo de software transparente para usuários Windows, Mac e Linux que permite que usuários remotos se conectem com segurança à rede remota. Com o NetExtender, os usuários remotos podem executar qualquer aplicativo com segurança na rede remota. Os usuários podem subir e baixar arquivos, montar unidades de rede e acessar os recursos como se estivessem na rede local. A conexão NetExtender usa uma conexão por protocolo PPP (protocolo ponto a ponto).
O NetExtender fornece aos usuários remotos acesso total à sua rede interna protegida. A experiência é virtualmente idêntica daquela que usa um cliente IPSec VPN tradicional, mas o NetExtender não requer qualquer instalação manual do cliente. Em vez disso, o cliente NetExtender Windows é instalado automaticamente no PC de um usuário remoto por um controle ActiveX ao usar o navegador Internet Explorer ou com o plug-in XPCOM quando usar o Firefox. Em sistemas MacOS, os navegadores suportados usam controles de Java para instalar automaticamente o NetExtender a partir do portal Virtual Office. Os sistemas Linux também podem instalar e usar o cliente NetExtender.
Após a instalação, o NetExtender inicia-se automaticamente e conecta-se a um adaptador virtual para acesso seguro a ponto a ponto SSL-VPN para hosts permitidos e sub-redes na rede interna.
As seções a seguir descrevem os conceitos avançados do NetExtender:
O NetExtender é um aplicativo leve instalado no navegador que fornece acesso remoto abrangente sem exigir que os usuários baixem e instalem o aplicativo manualmente. A primeira vez que um usuário inicia o NetExtender, o cliente autônomo do NetExtender é instalado automaticamente no PC ou Mac do usuário. O instalador cria um perfil com base nas informações de login do usuário. A janela do instalador fecha e inicia automaticamente o NetExtender. Se o usuário tem uma versão herdada do NetExtender instalada, o instalador primeiro desinstalará o NetExtender antigo e instalará a nova versão.
Quando o cliente autônomo do NetExtender tiver sido instalado, os usuários Windows podem iniciar o NetExtender diretamente de seus PCs, no menu Iniciar > Programas e configurar o NetExtender para iniciar quando o Windows for inicializado. Os usuários Mac podem iniciar o NetExtender das suas pastas de Aplicativos do sistema ou arrastar o ícone para o painel de controle para acesso rápido. Nos sistemas Linux, o instalador cria um atalho na área de trabalho em /usr/share/NetExtender. Isso pode ser arrastado para a barra de atalhos em ambientes como Gnome e KDE.
Rotas de cliente NetExtender são usadas para permitir e negar acesso aos usuários de SSL VPN a diversos recursos de rede. Objetos de endereço são usados para dinamicamente e facilmente configurar o acesso aos recursos da rede.
O modo Todos os túneis controla todo o tráfego de e para o usuário remoto através do túnel SSL VPN NetExtender — incluindo o tráfego destinado para rede local do usuário remoto. Isso é feito adicionando as seguintes rotas à tabela de roteamento do cliente remoto:
|
O NetExtender também adiciona rotas para as redes locais de todas as conexões de rede conectadas. Essas rotas são configuradas com métricas mais altas do que todas as rotas existentes para forçar o tráfego destinado para a rede local através do túnel SSL VPN. Por exemplo, se um usuário remoto tem o Endereço IP 10.0.67.64 na rede 10.0. *. *, a rota 10.0.0.0/255.255.0.0 é adicionada para rotear o tráfego por meio do túnel SSL VPN.
O modo Todos os túneis está configurado na página SSL VPN > Rotas de cliente.
O SonicWALL SSL VPN fornece aos usuários a capacidade de executar scripts de arquivos em lote quando o NetExtender se conecta e desconecta. Os scripts podem ser usados para mapear ou desconectar unidades de rede e impressoras, iniciar aplicativos ou abrir arquivos ou sites da Web. Os Scripts de Conexão NetExtender podem oferecer suporte a quaisquer comandos de arquivo em lotes válidos.
O SonicWALL SSL VPN oferece suporte a sessões do NetExtender usando configurações de proxy. Atualmente, há suporte apenas para proxy HTTPS. Ao iniciar o NetExtender do portal da Web, se seu navegador já está configurado para acesso ao proxy, o NetExtender herda automaticamente as configurações de proxy. As configurações de proxy também podem ser manualmente configuradas nas preferências de cliente do NetExtender. O NetExtender pode detectar automaticamente as configurações de proxy para servidores proxy que suportam o WPAD (Web Proxy Auto Discovery).
O NetExtender fornece três opções para definir as configurações de proxy:
• Detectar automaticamente as configurações - para usar essa configuração, o servidor proxy deve oferecer suporte a WPAD (Web Proxy Auto Discovery), que pode enviar automaticamente o script de configurações de proxy para o cliente.
• Usar script de configuração automática -se você souber o local do script de configurações de proxy, você pode selecionar esta opção e fornecer o URL do script.
• Usar o servidor proxy -você pode usar esta opção para especificar o Endereço IP e a porta do servidor proxy. Como alternativa, você pode inserir um Endereço IP ou domínio no campo BypassProxy para permitir conexões diretas a esses endereços e ignorar o servidor proxy. Se necessário, você pode inserir um nome de usuário e uma senha para o servidor proxy. Se o servidor proxy requer um nome de usuário e uma senha, mas você não os especifica, uma janela pop-up do NetExtender o avisará para inseri-los ao conectar-se pela primeira vez.
Quando o NetExtender se conecta usando as configurações de proxy, estabelece uma conexão HTTPS para o servidor proxy em vez de conectar diretamente ao servidor do firewall. Em seguida, o servidor proxy encaminha o tráfego para o servidor SSL VPN. Todo o tráfego é criptografado por SSL com o certificado negociado pelo NetExtender, do qual o servidor proxy não tem conhecimento. O processo de conexão é idêntico para usuários proxy e não proxy.
Configuração de Usuários para Acesso SSL VPN
A fim de que os usuários possam acessar serviços de SSL VPN, eles devem ser atribuídos ao grupo Serviços SSLVPN. Usuários que tentam fazer login através do Virtual Office e que não pertencem ao grupo Serviços SSLVPN terão acesso negado. As seções a seguir descrevem como configurar contas de usuário para acesso SSL VPN:
• Configuração do Acesso de VPN SSL para Usuários Locais
• Configuração do Acesso SSL VPN para Usuários RADIUS
• Configuração do Acesso SSL VPN para Usuários LPAD
Configuração do Acesso de VPN SSL para Usuários Locais
Para configurar usuários no banco de dados de usuários locais para acesso SSL VPN, você deve adicio0nar os usuários ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:
1. Navegue até a página Usuários > Usuários locais.
2. Clique no ícone de configuração para o usuário que deseja editar ou clique no botão Adicionar usuário para criar um novo usuário. A janela Editar usuário é iniciada.
3. Clique na guia Grupos.
4. Na coluna de Grupos de usuários, clique em Serviços SSLVPN e clique na seta para a direita para movê-lo para a coluna Membro de.
5. Clique na guia Acesso VPN. A guia Acesso VPN configura quais recursos da rede os usuários da VPN (marcadores do GVC, NetExtender ou Virtual Office) podem acessar. Selecione um ou mais objetos ou grupos de endereço de rede da lista Redes e clique no botão de seta para a direita (->) para movê-los para a coluna Lista de acesso. Para remover acesso do usuário a um objeto ou grupo de endereços de rede, selecione a rede a partir da Lista de acesso, e clique no botão de seta para a esquerda (<-).
Observação A guia Acesso VPN afeta a capacidade de clientes remotos de usar marcadores do GVC, NetExtender e SSL VPN Virtual Office para acessar os recursos da rede. Para permitir que os usuários do GVC, NetExtender ou Virtual Office acessem um recurso da rede, os objetos ou grupos de endereço da rede devem ser adicionados à lista de “permissões” na guia Acesso VPN.
6. Clique em OK.
Configuração do Acesso SSL VPN para Usuários RADIUS
Para configurar usuários RADIUS para acesso SSL VPN, você deve adicionar os usuários ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:
1. Navegue até a página Usuários > Configurações.
2. No menu suspenso Método de autenticação para login menu, selecione RADIUS ou RADIUS + Usuários locais.
3. Clique no botão Configurar para Método de autenticação para login. A janela Configuração RADIUS é exibida.
4. Clique na guia Usuários RADIUS.
5. No menu suspenso Grupo de usuários padrão ao qual todos os usuários RADIUS pertencem, selecione Serviços SSLVPN.
Observação A guia Acesso VPN na janela Editar usuário também é outro controle granular para acesso para ambos os marcadores do Virtual Office e acesso NetExtender.
6. Clique em OK.
Configuração do Acesso SSL VPN para Usuários LPAD
Para configurar usuários LDAP para acesso SSL VPN, você deve adicionar os grupos de usuário LDAP ao grupo de usuários Serviços SSLVPN. Para fazer isso, execute as seguintes etapas:
1. Navegue até a página Usuários > Configurações.
2. Defina o Método de Autenticação para login para LDAP ou LDAP + Usuários locais.
3. Clique no botão Configurar para iniciar a janela Configuração LDAP.
4. Clique na guia Usuários LDAP.
5. No menu suspenso Grupo de usuários LDAP padrão, selecione Serviços SSLVPN.
Observação A guia AcessoVPN na janela Editar usuário também é outro controle granular para acesso para ambos os Marcadores do Virtual Office e acesso NetExtender.
6. Clique em OK.
A página SSL VPN > Status exibe um resumo de sessões ativas do NetExtender, incluindo o nome, o Endereço IP PPP, o Endereço IP físico, hora de login, extensão de tempo de logon e hora de logout.
A tabela a seguir fornece uma descrição dos itens de status.
|
SSL VPN > Configurações do Servidor
A página SSL VPN > Configurações do servidor é usada para configurar detalhes do comportamento do firewall como um servidor SSL VPN.
As opções a seguir podem ser configuradas na página SSL VPN > Configurações do servidor.
• Status de SSL VPN em zonas: Exibe o status do acesso SSL VPN em cada zona. Verde indica status ativo do SSL VPN, enquanto o vermelho indica status inativo do SSL VPN. Para habilitar ou desabilitar o acesso SSL-VPN em uma zona, clique no nome de zona para ir para a janela Editar zona.
• Porta de SSL VPN: Defina a porta de SSL VPN para o dispositivo. O padrão é 4433.
• Seleção de certificado: Selecione o certificado que será usado para autenticar usuários de SSL VPN. Para gerenciar certificados, vá para a página Rede -> Certificados
• Habilitar preferência de criptografia de servidor: Selecione esta caixa de seleção para configurar um método de criptografia preferido. Os códigos disponíveis são RC4_MD5, 3DES_SHA1 e AES256_SHA1.
• Configurações de usuário RADIUS: Esta opção só está disponível quando o RADIUS ou LDAP está configurado para autenticar usuários de SSL VPN. Selecione a caixa de seleção Usar RADIUS em para que RADIUS use o modo MSCHAP (ou MSCHAPv2). Habilitar o modo MSCHAP RADIUS permitirá que os usuários alterem senhas expiradas no momento de login.
Observação No LDAP, as atualizações de senha podem ser feitas somente ao usar o Novell eDirectory ou o Active Directory com TLS e estabelecendo uma ligação a ele usando uma conta de administrador. Se o LDAP não estiver configurado como tal, as atualizações de senha para usuários de SSL VPN serão executadas usando RADIUS de modo MSCHAP, após usar o LDAP para autenticar o usuário.
SSL VPN > Configurações do Portal
A página SSL VPN > Configurações do portal é usada para configurar a aparência e a funcionalidade do portal da web do SSL VPN Virtual Office. O portal Virtual Office é um web site que usa o login para iniciar o NetExtender. Pode ser personalizado para correspondência a qualquer estilo existente de web site da empresa ou estilo de design.
As definições a seguir configuram a aparência do portal Virtual Office:
• Título do Portal de Site -o texto exibido no título superior do navegador da web.
• Título do Banner do Portal - o texto exibido próximo o logotipo na parte superior da página.
• Mensagem da Página Inicial -o código HTML que é exibido acima do ícone do NetExtender.
• Mensagem de login - o código HTML o que é exibido quando os usuários são solicitados a efetuar login no Virtual Office.
• Modelo de Exemplo -redefine os campos da Mensagem da página Inicial e Mensagem de Login para o modelo de exemplo padrão.
• Visualizar -inicia uma janela pop-up que exibe o código HTML.
As seguintes opções personalizam a funcionalidade do portal Virtual Office:
• Iniciar NetExtender após login - automaticamente inicia o NetExtender após um usuário efetuar login.
• Botão Exibir certificado de importação -exibe um botãoCertificado de importação na página do Virtual Office. Isso inicia o processo de importação de certificado autoassinado do firewall para o navegador da web. Esta opção se aplica somente para o navegador Internet Explorer em computadores que executam Windows 2000 ou Windows XP.
• Habilitar meta tags HTTP para controle de cache - insere tags HTTP no navegador que instrui o navegador da web a não fazer o cache da página do Virtual Office. A SonicWALL recomenda a habilitação desta opção.
O campo Logotipo Personalizado exibe um logotipo diferente do logotipo da Dell SonicWALL na parte superior do portal Virtual Office. Insira a URL do logotipo no campo Logotipo Personalizado. O logotipo deve estar no formato GIF com tamanho de 155 x 36 e é recomendado um fundo claro ou transparente.
SSL VPN > Configurações do Cliente
A página SSL VPN > Configurações do cliente permite que o administrador habilite o acesso SSL VPN em zonas e configure as informações de intervalo de endereço do cliente e as configurações do cliente NetExtender. Também mostra qual zona tem o acesso SSL VPN habilitado.
As tarefas a seguir são configuradas na página SSL VPN > Configurações do cliente:
• Configuração de Zonas para Acesso SSL VPN
• Configuração do Intervalo de Endereço do Cliente SSL VPN
• Configurações das definições do cliente NetExtender
Configuração de Zonas para Acesso SSL VPN
Todas as zonas no firewall são exibidas na seção Status de SSL VPN em zonas da página SSL VPN > Configurações do cliente. O acesso SSL VPN deve estar habilitado em uma zona antes que os usuários possam acessar o portal da web do Virtual Office. Um botãoverde à esquerda do nome da zona indica que o acesso SSL VPN está habilitado. Um botão vermelho indica que o acesso SSL VPN está desabilitado. Para alterar o acesso SSL VPN a uma zona, simplesmente clique no nome da zona na página SSL VPN > Configurações do cliente.
O acesso VPN SSL também pode ser configurado na página Rede > Zonas clicando no ícone de configuração da zona.
Observação Para que o SonicOS encerre sessões SSL VPN, HTTPS para Gerenciamento ou Login do usuário deve estar habilitado na página Rede > Interfaces , na caixa de diálogo Editar Interface para a interface de WAN.
Configuração do Intervalo de Endereço do Cliente SSL VPN
O intervalo de endereço do cliente SSL VPN define o pool de Endereço IP do qual os endereços serão atribuídos aos usuários remotos durante sessões do NetExtender. O intervalo precisa ser grande o suficiente para acomodar o número máximo de usuários simultâneos do NetExtender que você deseja suportar e mais um (por exemplo, o intervalo para 15 usuários requer 16 endereços, como 192.168.200.100 a 192.168.200.115).
Observação O intervalo deve estar dentro da mesma sub-rede que a interface à qual o dispositivo SSL VPN está conectado e, em casos onde há outros hosts no mesmo segmento, como o dispositivo SSL VPN, ele não deve se sobrepõem ou entrarem em conflito com quaisquer endereços atribuídos.
Para configurar o intervalo de endereço do cliente SSL VPN, execute as seguintes etapas:
1. Navegue até a página SSL VPN > Configurações do cliente.
Intervalo de endereços de cliente SSLVPN
2. No campo IP inicial NetExtender, digite o primeiro Endereço IP no intervalo de endereços do cliente.
3. No campo IP final NetExtender, digite o último Endereço IP no intervalo de endereços do cliente.
4. No campo Servidor DNS 1, insira o Endereço IP do servidor DNS primário ou clique em Configurações de DNS padrão para usar as configurações padrão.
5. (Opcional) No campo Servidor DNS 2, insira o Endereço IP do servidor DNS de backup.
6. (Opcional) No campo Domínio DNS, insira o nome de domínio para os servidores DNS.
7. No campo Domínio de usuário, insira o nome de domínio para os usuários. O valor deste campo deve corresponder ao campo de domínio no cliente NetExtender.
8. (Opcional) No campo Servidor WINS 1, insira o Endereço IP do servidor WINS primário.
9. (Opcional) No campo Servidor WINS 2, insira o Endereço IP do servidor WINS de backup.
10. No menu suspenso Interface, selecione a interface a ser usada para serviços de SSL VPN.
Observação O intervalo de Endereço IP deve estar na mesma sub-rede que a interface usada para serviços de SSL VPN.
11. Clique no nome de zona na parte superior da página para habilitar o acesso SSL VPN a ela com essas configurações. O indicador deve ser verde para a Zona que você deseja habilitar.
12. Clique em Aceitar.
Configurações das definições do cliente NetExtender
As definições de cliente NetExtender são configuradas na parte inferior da página SSL VPN > Configurações do cliente. As configurações a seguir para personalizar o comportamento do NetExtender quando os usuários se conectam e desconectam.
Configurações de cliente NetExtender
• Tempo limite de sessão padrão (minutos) - o valor de tempo limite padrão para inatividade do cliente, após o qual a sessão do cliente é encerrada.
• Habilitar Gerenciamento da Web em SSLVPN – Habilita ou desabilita o cliente NetExtender para que ele seja gerenciado em uma conexão do SSLVPN usando um navegador da Web.
• Habilitar Gerenciamento SSH em SSLVPN – Habilita ou desabilita o cliente NetExtender para que ele seja gerenciado em uma conexão do SSLVPN usando um aplicativo Secure Shell (SSH).
• Habilitar NetBIOS em SSLVPN - permite que clientes NetExtender divulguem NetBIOS para a sub-rede SSL VPN.
• Habilitar atualização automática de cliente - o cliente NetExtender verifica se há atualizações a cada vez que ele é iniciado.
• Sair do cliente após desconectar - o cliente NetExtender será encerrado quando ele é desconectado do servidor SSL VPN. Para se reconectar, os usuários terão retornar ao portal SSL VPN ou iniciar o NetExtender a partir de seu menu Programas.
• Desinstalar cliente após sair – O cliente NetExtender é automaticamente desinstalado quando ele é desconectado do servidor SSL VPN. Para se reconectar, os usuários terão que retornar ao portal SSL VPN.
• Criar perfil de conexão do cliente - o cliente NetExtender irá criar um perfil de conexão gravando o nome do servidor SSL VPN, o nome de domínio e, opcionalmente, o nome de usuário e senha.
• Comunicação entre clientes - habilita clientes NetExtender que estão conectados ao mesmo servidor para se comunicar.
• Nome de usuário e Cache de Senha - oferece flexibilidade ao permitir que os usuários realizem cache de seus nomes de usuário e senha no cliente NetExtender. As três opções são Permitir salvar somente nome de usuário, Permitir salvar nome de usuário e senha e Proibir salvar nome de usuário e senha. Essas opções permitem que os administradores equilibrem as necessidades de segurança em relação à facilidade de uso para os usuários.
A página SSL VPN > página Rotas de cliente permite ao administrador controlar o acesso à rede permitido para usuários de SSL VPN. As rotas de cliente NetExtender são passadas para todos os clientes NetExtender e são usadas para controlar quais redes particulares e recursos os usuários remotos podem acessar por meio da conexão SSL VPN.
As tarefas a seguir são configuradas na página SSL VPN > Rotas de cliente:
• Configuração do modo Todos túneis
Configuração do modo Todos túneis
Selecione Habilitado da lista suspensa Modo todos túneis para forçar o tráfego de usuários NetExtender através do túnel SSL VPN NetExtender — incluindo o tráfego destinado para rede local do usuário remoto. Isso é feito adicionando as seguintes rotas à tabela de roteamento do cliente remoto:
|
O NetExtender também adiciona rotas para as redes locais de todas as conexões de rede conectadas. Essas rotas são configuradas com métricas mais altas do que todas as rotas existentes para forçar o tráfego destinado para a rede local através do túnel SSL VPN. Por exemplo, se um usuário remoto tem o Endereço IP 10.0.67.64 na rede 10.0. *. *, a rota 10.0.0.0/255.255.0.0 é adicionada para rotear o tráfego por meio do túnel SSL VPN.
Observação Para configurar o Modo Todos túneis, você também deve configurar um objeto de endereço para 0.0.0.0 e atribuir grupos e usuários SSL VPN do NetExtender para ter acesso a este objeto de endereço.
Para configurar grupos e usuários de SSL VPN NetExtender para o Modo Todos túneis, execute as etapas a seguir.
1. Navegue até a página Usuários > Usuários locais ou a página Usuários > Grupos locais.
2. Clique no botão Configurar para um usuário o grupo SSL VPN NetExtender.
3. Clique na guia Acesso VPN.
4. Selecione o objeto de endereço Redes de Acesso Remoto WAN e clique no botão de seta direita (->).
5. Clique em OK.
6. Repita as etapas 1 a 5 para todos os usuários locais e grupos que usam SSL VPN NetExtender.
O menu suspenso Adicionar Rotas de cliente é usado para configurar o acesso aos recursos da rede para usuários SSL VPN. Selecione o objeto de endereço para o qual você deseja permitir o acesso SSL VPN. Selecione Criar novo objeto de endereço para criar um novo objeto de endereço. Criar rotas de cliente faz com que as regras de acesso sejam criadas automaticamente para permitir esse acesso. Como alternativa, você pode configurar manualmente as regras de acesso para a zona SSL VPN na página Firewall > Regras de acesso. Para obter mais informações, consulte Firewall > Regras de acesso na página 555.
Observação Depois de configurar as Rotas de cliente SSL VPN, você também deve configurar todos os usuários e grupos de usuários SSL VPN do NetExtender para poder acessar as Rotas de cliente nas páginas Usuários > Usuários locais ou Usuários > Grupos locais.
Para configurar grupos e usuários SSL VPN NetExtender para acessar as Rotas de cliente, execute as etapas a seguir.
1. Navegue até a página Usuários > Usuários locais ou a página Usuários > Grupos locais.
2. Clique no botão Configurar para um usuário o grupo SSL VPN NetExtender.
3. Clique na guia Acesso VPN.
4. Selecione o objeto de endereço para a Rota do cliente e clique no botão de seta direita (->).
5. Clique em OK.
6. Repita as etapas 1 a 5 para todos os usuários locais e grupos que usam SSL VPN NetExtender.