התחברות לארגון באמצעות Full SSL VPN תחת מוצר Unified Access Gateway

במדריך זה אציג ארכיטקטורה פשוטה בה ניישם את הגדרת Full SSL VPN במוצר ה UAG אשר מספק למשתמשים יכולת מדהימה המאפשרת למשתמשים המחוברים בחיבור מרחוק, להרגיש כיאילו הם עובדים בתוך הרשת האירגונית עצמה.

מאת: שוקי נוי .

בפני לקוח המבקש לקבל שירותי גישה משאבי הרשת האירגונית בחיבור מחוץ לרשת עומדים מספר כלים. אחת מהדרכים היעילות לביצוע פעולה זו היא באמצעות גלישה לפורטל ארגוני מאובטח העונה לשם Application and Network Access Portal, אשר הוצג כבר בשנת 2007 תחת השם IAG – Intelligent Application Gateway

מתחברים לארגון מבחוץ באמצעות שירות Full SSL VPN של מוצר Unified Access Gateway

היכולת לקבל גישה לכל משאב בתוך הרשת הארגונית הישר לשולחן העבודה הביתי, העניקה למשתמש גישה מלאה לכל הכלים בארגון בצורה מאובטחת המקבילה לחיבור הרשת הרגיל בתוך הרשת הארגונית.    


התחברות לרשת האירגונית באמצעות שירות Full SSL VPN של מוצר Unified Access Gateway

התחברות לרשת האירגונית באמצעות שירות Full SSL VPN של מוצר Unified Access Gateway

בתוך Unified Access Gateway נוכל למצוא את הרכיב בשם Remote Network Access האחראי על שירות החיבור Full SSL VPN. בשלבים הבאים, נלמד כיצד להגדיר את תצורת הרכיב ולאפשר חיבור מסוג זה.

1. בשרת ה UAG יש להיכנס לממשק הניהול Forefront UAG Management

1. בשרת ה UAG יש להיכנס לממשק הניהול Forefront UAG Management

2. בממשק הניהול יש לגשת לתפריט Admin – > Remote Network Access – > SSL Network Tunneling (SSTP)

2. בממשק הניהול יש לגשת לתפריט Admin - > Remote Network Access - > SSL Network Tunneling (SSTP)

3. בחלונית SSL Network Tunneling (SSTP) יש לבצע את הפעולות הבאות:

  • בחלקה העליון של החלונית יש לסמן את Enable remote client VPN access
  • בלשונית General יש להזין את מקסימום החיבורים ב-SSL VPN (לדוגמה – שישה חיבורים)
  • בלשונית General יש לבחור תחת Trunk : בפורטל שיצרנו מראש לדוגמא (Portal)
  • בלשונית Protocols יש לסמן V בתיבת הסימון של סעיף –  (Secure Socket Tunneling Protocol (SSTP
  • בלשונית IP Address Assignment יש להקצות /להוסיף כתובות רשת לטובת חלוקה בעת חיבור SSL VPN. כתובות רשת אלו, ישרתו את הלקוח לאחר התחברות לארגון ויחלקו לו כתובת רשת פנים ארגונית.
  • בלשונית User Groups ניתן להגביל ולקבוע קבוצות משתמשים ברמת Active Directory מי יורשה לקבלת שירות Full SSL VPN לכתובת רשת פנימיות מסויימות.

3. בחלונית SSL Network Tunneling (SSTP) יש לבצע את הפעולות הבאות:

3. בחלונית SSL Network Tunneling (SSTP) יש לבצע את הפעולות הבאות:  

3. בחלונית SSL Network Tunneling (SSTP) יש לבצע את הפעולות הבאות:  

3. בחלונית SSL Network Tunneling (SSTP) יש לבצע את הפעולות הבאות:

4. כעת, בממשק הניהול יש לגשת לתפריט משמאל Froefront UAG – > HTTPS Connections – > Portal וללחוץ על כפתור Add תחת סעיף Application על מנת להוסיף אפליקציה חדשה לטובת Full SSL VPN

4. כעת, בממשק הניהול יש לגשת לתפריט משמאל Froefront UAG - > HTTPS Connections - > Portal וללחוץ על כפתור Add תחת סעיף Application על מנת להוסיף אפליקציה חדשה לטובת Full SSL VPN

5. כאשר יופיע לפנינו אסף יצירת האפליקציה נלחץ תחילה על כפתור Next

5. כאשר יופיע לפנינו אסף יצירת האפליקציה נלחץ תחילה על כפתור Next  

6. בשלב זה נדרש לבחור את  סוג האפליקציה אותה נרצה לפבלש. במקרה שלנו נבחר באפשרות .Client/Server and legacy  ולאחר מכן נבחר באפשרות Remote Network Access  ונלחץ על כפתור Next להמשך.

6. בשלב זה נדרש לבחור את  סוג האפליקציה אותה נרצה לפבלש. במקרה שלנו נבחר באפשרות .Client/Server and legacy  ולאחר מכן נבחר באפשרות Remote Network Access  ונלחץ על כפתור Next להמשך.

7. בשלב זה יש להזין את שם האפליקציה וללחוץ על כפתור Next על מנת להמשיך בתהליך.

7. בשלב זה יש להזין את שם האפליקציה וללחוץ על כפתור Next על מנת להמשיך בתהליך.

8. כעת, עלינו לבחור במדיניות אבטחה אבל תתאים לרמת האבטחה באירגון. במקרה שלנו נשאיר את רמת מדיניות האבטחה ללא שינוי על ידי בברירת המחדל ונמשיך ב Next

8. כעת, עלינו לבחור במדיניות אבטחה אבל תתאים לרמת האבטחה באירגון. במקרה שלנו נשאיר את רמת מדיניות האבטחה ללא שינוי על ידי בברירת המחדל ונמשיך ב Next

9. הגדרות צד שרת. בשלב זה נגדיר למעשה מהיכן האפליקציה תופעל, באיזו כתובת היא תוגדר וכמובן ואילו פרמטרים נדרשים.

מכיוון שמדובר באפליקציה מובנת מראש אין צורך לשנות את הנתונים הקיימים,לחצו על כפתור  Next להמשך.

9. הגדרות צד שרת. בשלב זה נגדיר למעשה מהיכן האפליקציה תופעל, באיזו כתובת היא תוגדר וכמובן ואילו פרמטרים נדרשים.

10. שלב יצירת קיצור דרך להפעלת האפליקציה בתוך הפורטל בו ניתן לשנות את שם האפליקציה ואת סמלה. לאחר שביצענו את השינויים הרצויים נלחץ על כפתור Next על מנת להמשיך בתהליך. 

10. שלב יצירת קיצור דרך להפעלת האפליקציה בתוך הפורטל בו ניתן לשנות את שם האפליקציה ואת סמלה. לאחר שביצענו את השינויים הרצויים נלחץ על כפתור Next על מנת להמשיך בתהליך.

11. כעת, אלינו להגדיר למי יוצג קיצור הדרך להפעלת האפליקציה בפורטל.  נוכל להגדיר זאת בקלות על ידי בחירת קבוצת משתמשים ברמת ה-Active Directory או בחירת כלל המשתמשים על ידי סימון V בתיבת הסימון של סעיף Authorize all users. לאחר מכן עלינו ללחוץ על כפתור Next על מנת להמשיך.

11. כעת, אלינו להגדיר למי יוצג קיצור הדרך להפעלת האפליקציה בפורטל.  נוכל להגדיר זאת בקלות על ידי בחירת קבוצת משתמשים ברמת ה-Active Directory או בחירת כלל המשתמשים על ידי סימון V בתיבת הסימון של סעיף Authorize all users. לאחר מכן עלינו ללחוץ על כפתור Next על מנת להמשיך.

12. חלונית סיום האשף להוספת האפליקציה , כל שנותר הוא ללחוץ על Finish

12. חלונית סיום האשף להוספת האפליקציה , כל שנותר הוא ללחוץ על Finish

13. לאחר שביצענו את כל הפעולות הנדרשות נוכל לראות בחלון הראשי של הפורטלאת האפליקציה שיצרנו. כל שנותר כעת, הוא לבצע אקטיבציה.

על מנת לבצע פעולה זו יש ללחוץ על סמל גלגל השיניים בחלקו השמאלי של הממשק, ומיד לאחר מכן לוודא כי סימון הגיבוי בהינו ולאחריו לחיצה על Activate. תהליך זה עלול לקחת כמה דקות עד שכל השינויים שביצענו יוחלו , כמו כן יש גם את עניין הסנכרון אותו ה UAG דורש, לכן נמתין בסבלנות עד לסיום.

13. לאחר שביצענו את כל הפעולות הנדרשות נוכל לראות בחלון הראשי של הפורטלאת האפליקציה שיצרנו. כל שנותר כעת, הוא לבצע אקטיבציה.  


גלישה לפורטל UAG

א. גלישה לדפדפן בכתובת שהפורטל מפובלש לדוגמא https://portal.uag.local

ג. יש לבדוק קודם לכן שקובץ HOTST שלנו אכן מפנה לכתובת איי פיי של פורטל זה או לחילופין שדאגנו מראש לרשומת DNS תקינה.

ד. הזדהות לפורטל יש להכניס את שם המשתמש והסיסמא , לדוגמא הוגדר לפי AD

גלישה לפורטל UAG

ה. מסך ראשי של הפורטל יציג לנו את סמל האפליקציה אותו פיבלשנו קודם לכן

ו. לחיצה על הסמל Full SSL VPN

ו. לחיצה על הסמל Full SSL VPN

ז. מה שקורה ברגעים אלו הוא תהליך של פתיחת Tunnel מאובטח עליו נקבל כתובת איי פיי חדשה פנים ארגונית ודרכה נוכל להגיע לכל משאב שנרצה בארגון.

ז. מה שקורה ברגעים אלו הוא תהליך של פתיחת Tunnel מאובטח עליו נקבל כתובת איי פיי חדשה פנים ארגונית ודרכה נוכל להגיע לכל משאב שנרצה בארגון.

ז. מה שקורה ברגעים אלו הוא תהליך של פתיחת Tunnel מאובטח עליו נקבל כתובת איי פיי חדשה פנים ארגונית ודרכה נוכל להגיע לכל משאב שנרצה בארגון.  

· לדוגמאות נוספות ולשאלות בהרחבה ניתן להתייעץ איתי על מגוון רחב של אפשרויות , נחדד ונאמר שמאפיין זה יכול להתיר כל שנרצה ממש כאילו אנחנו נמצאים בארגון פיסית.

עד כאן .

שוקי נוי.


נתקלתם בתקלה בעת ביצוע המדריך ? לא הצלחתם להגיע לתוצאה המבוקשת ? מעוניינים במדריך על נושא כלשהו שלא קיים בבלוג או סתם לשוחח איתנו ? הגיבו עכשיו במערכת התגובות כאן בבלוג, קפצו לבקר אותנו בעמוד ה Facebook שלנו , בערוץ ה YouTube או במערכת MSA והישארו מעודכנים על ידי הצטרפות RSSשלנו !

אהבתם? שתפו...Email this to someoneShare on FacebookShare on Google+Share on LinkedInTweet about this on Twitter

2 תגובות “התחברות לארגון באמצעות Full SSL VPN תחת מוצר Unified Access Gateway

  1. kobi adler


    שלום יעקב,
    אנא פנה לתמיכת האתר על מנת לקבל סיוע נושא.
    המשך יום טוב,
    קובי

  2. יעקב בורשטיין

    אתר
    https://meyazeg2.btl.gov.il/

    הודעת השגיאה:

    Application and Network Access Portal

    You are not authorized to access this application.
    For assistance contact the site administrator.
    Navigate back and follow another link, or type in a different URL.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *