שינוי קריטי בגישה מרחוק: Fortinet מבטלת את SSL-VPN Tunnel Mode
בעקבות עדכון גרסת FortiOS 7.6.3, מצב ה-SSL-VPN Tunnel Mode הוסר מהמערכת, וצוותי IT נדרשים לעבור ל-IPsec VPN או לפתרון ניהול ריכוזי מתקדם
חולשות מהותיות התגלו לאורך השנים וחלקן נוצלו בפועל במתקפות סייבר רחבות היקף. תמונה: dreamstime
Fortinet השיקה את גרסה FortiOS 7.6.3, ובמסגרתה הסירה לחלוטין את התמיכה במצב SSL-VPN Tunnel Mode – שינוי משמעותי שמשפיע ישירות על ארגונים המשתמשים בפתרונות הגישה מרחוק של החברה. ההחלטה הגיעה על רקע העלייה במתקפות סייבר שמתמקדות בנקודות כניסה מרוחקות לתוך רשתות ארגוניות.
SSL-VPN במצב Tunnel שימש במשך שנים כפתרון גישה נפוץ לעובדים מרחוק בזכות הפשטות והגמישות שלו. עם זאת, חולשות מהותיות התגלו לאורך השנים וחלקן נוצלו בפועל במתקפות סייבר רחבות היקף. על פי דיווחים, ארגונים שנשארו תלויים בפתרון זה חשפו עצמם לפרצות חמורות שהובילו לדליפות מידע, השבתת מערכות וחדירה לרשתות פנימיות. כעת פורטינט מסירה לחלוטין את האפשרות להשתמש ב־Tunnel Mode, וארגונים נדרשים לבחון את חלופות הגישה המאובטחות יותר ולבצע תהליך מעבר מדורג – אך נחוץ.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
שתי חלופות: ידנית או מרכזית
1. העברה ידנית ל־IPsec-VPN: פתרון פשוט עם מחיר תפעולי
האפשרות הראשונה היא העברה ידנית של המשתמשים ל־IPsec-VPN – תהליך שכולל הגדרת אימות, מדיניות גישה והקמה של חיבור IPsec-VPN בכל תחנת קצה בנפרד. למרות שהשיטה זמינה וניתנת לביצוע, היא כרוכה בהשקעת זמן ניכרת ובסיכון תפעולי: אי־עקביות בין הגדרות עלולה להוביל לפרצות אבטחה, ולצורך בהטמעה חוזרת בכל שינוי עתידי.
2. FortiClient EMS: ניהול ריכוזי ועדכונים אוטומטיים
האפשרות השנייה היא שימוש ב־FortiClient EMS – מערכת לניהול ריכוזי של תוכנת FortiClient בתחנות הקצה. פתרון זה מאפשר יצירה ודחיפה של הגדרות IPsec-VPN חדשות לכל התחנות, וכן ניהול גרסאות ועדכונים כדי לשמור על תאימות לאיומי אבטחה מתחדשים.
FortiClient EMS כולל גם מנגנון Device Posture Check, שמוודא שתחנות הקצה עומדות במדיניות האבטחה של הארגון. הבדיקות כוללות את גרסת מערכת ההפעלה, סטטוס התוכנות להגנה כמו אנטי־וירוס או EDR, מצב חומת האש המקומית, קיומה של הצפנת אחסון, תהליכים רצים בתחנה והימצאות תעודות דיגיטליות. בדיקות אלו תומכות במודל Zero Trust Network Access (ZTNA), שבו רמת הגישה נקבעת בזמן אמת לפי מצב התחנה בפועל – ולא רק לפי פרטי המשתמש.
המעבר מ־SSL-VPN אינו עניין תפעולי בלבד, אלא שינוי עמוק בגישת הארגון לאבטחת גישה מרחוק. בעוד שבעבר הסתפקו בבדיקת זהות המשתמש, המודלים המתקדמים דורשים בחינה מתמשכת של מצב התחנה ושל רמת הסיכון בזמן אמת. זוהי תזכורת לכך שהתאמה לפתרון חדש איננה רק תגובה לעדכון גרסה, אלא חלק בלתי נפרד מאסטרטגיה ארגונית לאבטחת מידע מתקדמת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
איך נכון להתארגן?
צוותי IT יכולים לפעול כעת בשלושה שלבים:
מיפוי – לזהות מי מהמשתמשים עדיין מחוברים באמצעות SSL-VPN.
היערכות – להחליט על פתרון (ידני או EMS) ולהכין חומרי הסברה והטמעה.
מעבר הדרגתי – להחיל את השינוי לפי קבוצות משתמשים, תוך ניטור תקלות ובדיקות אבטחה.
מה הלאה? ביטול ה־SSL-VPN Tunnel Mode משקף מגמה רחבה יותר: נטישת פתרונות אבטחה מסורתיים לטובת גישות מבוססות Zero Trust. ייתכן שבעתיד הלא רחוק, מודלים כמו ZTNA יחליפו לחלוטין את השימוש ב־VPN. האתגר של צוותי IT יהיה לא רק בטכנולוגיה, אלא ביכולת לתכנן תשתית דינמית שמגיבה לשינויים, מבלי לפגוע בחוויית המשתמש.
לאון קרייזמן הוא מנהל פרויקטים בחברת Defendsys
