Configurando VPN SSL no FortiGate
A VPN SSL do FortiGate é uma das formas mais simples de oferecer acesso remoto seguro. Veja como configurar corretamente, aplicar autenticação multifator e evitar os erros mais comuns.
VPN SSL vs IPsec: quando usar cada uma
O FortiGate suporta dois tipos principais de VPN para acesso remoto: SSL-VPN e IPsec VPN. A escolha depende do perfil dos usuários e dos requisitos de segurança.
SSL-VPN é mais simples de configurar e usar. O FortiClient se conecta via HTTPS (porta 443 por padrão), o que facilita a passagem por firewalls e NATs corporativos ou de hotéis. Recomendado para usuários não técnicos e ambientes com políticas de firewall restritivas.
IPsec VPN oferece melhor desempenho e menor overhead — recomendado para conexões site-to-site entre unidades e para usuários técnicos que precisam de máxima performance (engenharia, vídeoconferência, acesso a sistemas pesados). Requer configuração mais cuidadosa de NAT traversal.
Configurando SSL-VPN no FortiGate
1. Configurar interface SSL-VPN: em VPN > SSL-VPN Settings, defina a interface de escuta (normalmente a WAN), a porta (443 ou outra), e o range de IPs do pool de endereços que será atribuído aos clientes remotos.
2. Criar grupo de usuários: em User & Authentication > User Groups, crie um grupo dedicado para usuários de VPN. Vincule os usuários locais ou grupos do Active Directory via LDAP/FSSO.
3. Criar política de firewall: em Policy & Objects > Firewall Policy, crie uma política com interface de origem ssl.root e destino na interface interna correspondente. Defina os recursos acessíveis por destino.
4. Configurar Split Tunnel: o split tunnel envia para o túnel VPN apenas o tráfego destinado à rede corporativa — o restante segue pela internet local do usuário. Isso reduz carga no FortiGate e melhora a experiência do usuário remoto.
Atenção com Full Tunnel: em modo Full Tunnel, todo o tráfego do usuário remoto passa pelo FortiGate — inclusive navegação pessoal. Isso gera carga significativa e pode impactar a internet da empresa. Use split tunnel para acesso corporativo e full tunnel apenas quando conformidade exige inspeção total do tráfego remoto.
Autenticação multifator (MFA) para VPN
VPN sem MFA é um risco crítico — credenciais comprometidas em phishing ou vazamentos de dados permitem acesso direto à rede corporativa. Ataques de força bruta contra portais SSL-VPN são extremamente comuns.
O FortiGate suporta várias opções de MFA:
FortiToken Mobile: aplicativo TOTP (Time-based One-Time Password) da Fortinet para Android e iOS. Cada usuário recebe um token virtual. Configuração nativa no FortiGate sem servidor adicional para pequenos volumes.
FortiAuthenticator: solução centralizada de autenticação para ambientes maiores. Suporta TOTP, push notification, SMS, e-mail OTP e integração com Active Directory. Recomendado a partir de 50 usuários de VPN.
SAML com IdP externo: o FortiGate suporta autenticação via SAML 2.0, permitindo integrar com provedores como Azure AD, Okta ou Google Workspace. O MFA já configurado no IdP corporativo é aproveitado automaticamente.
Hardening da configuração SSL-VPN
Algumas configurações de segurança importantes que costumam ser negligenciadas:
Restringir acesso por IP de origem: se os usuários de VPN trabalham de locais previsíveis (residências cadastradas, escritórios remotos fixos), crie políticas que só aceitam conexões VPN desses blocos de IP.
Limitar tentativas de login: em SSL-VPN Settings, configure o Login Attempt Limit para bloquear automaticamente IPs que realizem múltiplas tentativas falhas. Isso mitiga ataques de força bruta.
Certificado válido: substitua o certificado autoassinado padrão do FortiGate por um certificado emitido por uma CA pública (Let's Encrypt ou CA corporativa). Avisos de certificado treinam os usuários a ignorar alertas de segurança — o que é perigoso.
Versões TLS: desabilite TLS 1.0 e 1.1 nas configurações SSL-VPN. Aceite apenas TLS 1.2 ou superior e configure ciphers suites seguros.
Dica Fortilab: Ative as notificações de login por e-mail para usuários de VPN. Cada login bem-sucedido gera um alerta para o usuário — qualquer acesso não reconhecido é identificado imediatamente, mesmo antes do monitoramento do time de TI.
Monitoramento e auditoria de VPN
O FortiGate registra todos os eventos de autenticação VPN — logins bem-sucedidos, falhas, desconexões e duração das sessões. Esses logs são fundamentais para auditoria de conformidade e detecção de uso indevido.
Configure alertas automáticos para: múltiplas tentativas de login com falha (possível ataque de força bruta), logins em horários fora do padrão (como madrugada ou fins de semana sem justificativa), e logins simultâneos do mesmo usuário em IPs geograficamente distantes.
No FortiAnalyzer, é possível criar dashboards de VPN que mostram em tempo real sessões ativas, usuários conectados e volume de dados transferido por usuário — útil tanto para monitoramento operacional quanto para auditorias de segurança.