Názor ke zprávičce Kritická zranitelnost FortiOS SSL VPN od Marian Rychtecky - Vlastní zkušenosti s SSLVPN a Fortigate jsou následující -...

Vlastní zkušenosti s SSLVPN a Fortigate jsou následující

- 100% podpora je pouze pro OS Windows. Linux ani MAC nefungují dobře

- FortiClient je nutné licencovat na každou stanici a použít s EMS serverem (ten běží pouze na Windows server a nebo v cloudu)

- FortiClientVPN (odlehčená verze) běží samostatně, ale je bez jakékoli podpory výrobce

- SSLVPN dual stack funguje pouze na OS Windows, pro ostatní OS platí, že si musíte vybrat buď IPv4 nebo IPv6 - oboje funguje samostatně, ale nikoli zároveň

- IPv6 podpora (myšleno spojení VPN přes IPv6) funguje pouze na OS Windows, pro ostatní OS platí, že si musíte vybrat buď IPv4 nebo IPv6 - oboje funguje samostatně, ale nikoli zárověň

- FortiClientVPN na MacOS zapomíná heslo (možná je již vyřešeno v poslední verzi)

- Identity based role funguje dobře a není nutné řešit nastavení IP adres dle rolí, uživateli definujete skupinu a pravidlo s přístupem navážete na skupinu uživatelů. Neumím si představit definovat IP adresy ručně pro IPv6

- IPSEC ESP nelze omezit pomocí local-in policy. Pro IPSECd se local-in policy neuplatňuje. Tj. pokud chcete omezit IPSEC na pouze některé zdrojové IP adresy, pomocí local-in policy toho nedosáhnete - firewall vždy kontroluje SPI ještě před local-in (https://community.fortinet.com/t5/FortiGate/Technical-Tip-ESP-Packets-are-not-blocked-by-local-in-policy/ta-p/192929), to díky Parallel Path Processing (https://docs.fortinet.com/document/fortigate/6.4.0/parallel-path-processing-life-of-a-packet/364543/parallel-path-processing)

- Fortitoken funguje dobře, licence se dá přenést na jiný HW, dobře funguje hlavně ve verzi push (nepřepisujete kódy)

- Slyšel jsem zvěsti (nemám potvrzeno), že od verze 7.4 nelze FW ručně upgradovat (vestavěná kontrola), pokud na box nemáte zaplacenou a aktivní podporu.

- Obecně jsem s produkty Fortinet nakonec spokojný i přes výhrady výše a podporu IPv6 ve SSLVPN, kterou nemáme za 4 roky zcela vyřešenou

- HW Fortinet je dle mého názoru kvalitní

- HA řešení funguje velmi dobře (ale dalo by se na něm ještě zapracovat, např. přenášet stavy BGP sessions atp.)

- Nejsem spokojený s komunikací při zero-day zranitelnostech. Očekával bych, že výrobce bude transparentně a včas komunikovat alespoň s KII nebo CSIRT týmy.