Método preferido para implantação do FortiClient SSL VPN

Atualmente estamos usando o FortiClient em nuvem com a versão 7.2.4, misturando FortiClient 7.0.13 e 7.2.4. Até agora, toda versão 7.2.x tem sido cheia de bugs. Algumas funcionalidades como SSO deixam de funcionar ou falham ao fazer login devido à falha de certificado. A versão 7.0.13 tem uma vulnerabilidade sem correção além de atualizar para 7.2.x.

Recentemente, recebemos uma versão de teste do 7.2.4 que resolveu quase todos os problemas (exceto a desconexão que ainda não funciona). Usamos Azure SAML e isso parece estar funcionando bem novamente. Acho que minha dúvida é: qual é a maneira padrão de implantar VPN SSL na empresa? Parece que o guia de segurança recomenda IPsec em vez de VPN SSL.

Como são suas implantações? Qual delas é mais estável? Qual combinação de versão parece ser melhor? Temos um FortiGate 400F, versão 7.2.8, e todos os nossos clientes usam laptops Windows 10.

Com uma vulnerabilidade nova a cada mês e funcionalidades inconsistentes entre atualizações, sinto que estamos em território minado. Gostaria de saber o que os outros fazem e como é a implantação mais estável.

Tenha seu SSL em um loopback e execute IPS se estiver preocupado com vulnerabilidades. Ou vá de IPSEC, que também suporta SAML, mas provavelmente ainda tem bugs. Ainda não tentei. Novo na versão 7.2.4.

Passei um dia lutando com SAML SSO no FortiClient 7.2.4, só para descobrir que há um bug. Uma atualização para o FortiClient 7.2.3 resolveu tudo.

Em máquinas de rede, implante com MDT ou GPO. Uma vez que o cliente já está instalado, você pode usar a função de atualização pelo EMS.

Estamos tendo problemas com SAML diariamente com muitos clientes. Esperanças altas na versão 7.2.5.

Estou usando a versão 7.2.3, mas não com SAML, uso AD com Duo.

Como apenas alguns usuários precisam do FortiClient, instalo via PDQ Deploy ao configurar novos laptops.

Para atualizações, fiz pelo servidor EMS, mas parece ser irregular, então agora faço pelo PDQ Connect.

Fico feliz por não ser o único tendo dificuldades.

Vá de IPsec, pois o SSL VPN não será mais uma opção em dispositivos com 2GB ou menos de RAM no futuro.

É muito buggy. Tentei implantar e não está nem perto de estar pronto para produção, na minha opinião. A documentação também é ruim.

O IPS não fará nada com SSL VPN em loopback. O FortiGate ainda lidará com o tráfego como local-in e, assim, não realizará UTM. A única maneira é colocando o VPN SSL em um VDOM diferente do seu interface de internet.

Tente uma queda para 7.2.3, isso resolveu meus problemas com SAML SSO.

Abra um ticket com a Fortinet. Eles fornecerão a versão de teste do 7.2.4 que corrige o bug do SAML. Funcionou para nós…

Disseram que o 7.2.5 incluiria a correção e seria lançado em junho… Mas agora já passou essa data… Suspiro.

Que pena. Sei que você pode usar o virtual-patching. Gostaria que a Fortinet seguisse o que a Palo faz aqui e permitisse fazer IPS na interface de escuta, seja ela loopback ou não.

Você pode anexar um perfil de IPS na própria interface WAN ou usar virtual-patching para ajudar com o IPS.

Tive vários problemas com SAML na versão 7.2.3. Fiz downgrade para 7.0.10 - não tive mais notícias de usuários desde então.

Ok, mas recomendo usar IPsec. No futuro, a Fortinet corrigirá o SSL VPN em vez de toda a firewall. Mas, olhando para os últimos anos, com muitas CVEs no SSL VPN, talvez seja sua hora agora.

Fique de olho no lançamento do 7.6, que terá muitos recursos relevantes para isso.

Você ainda usaria o FortiClient ou o agente VPN do Windows embutido para isso? Pois não vejo o IPsec resolvendo o problema das vulnerabilidades do FortiClient que estou enfrentando constantemente.