Fortinet FortiOS 7.6.3 - Das Ende von SSL-VPN

Mit der Veröffentlichung von FortiOS 7.6.3 hat Fortinet eine entscheidende Änderung vorgenommen: SSL-VPN (Tunnel- & Web Mode) wurde vollständig entfernt und ist weder über die grafische Benutzeroberfläche (GUI) noch die Kommandozeile (CLI) verfügbar.

Begründet wird dieser Schritt mit Sicherheitsbedenken, insbesondere im Hinblick auf veraltete Implementierungen und potenzielle Angriffsvektoren. Diese Neuerung betrifft alle FortiGate-Modelle und erfordert umgehende Migrationsmaßnahmen, um unterbrechungsfreien Remote-Zugriff zu gewährleisten.

Der SSL-VPN Tunnel Mode galt in den letzten Jahren als anfällig für kritische CVEs, was ihn zu einem bevorzugten Ziel für Angreifer machte. Fortinet betont, dass viele Systeme über längere Zeiträume nicht aktualisiert wurden, was das Risiko weiter erhöhte. Die Entscheidung, den Tunnelmodus zu entfernen, folgt damit einer branchenweiten Tendenz hin zu sichereren Protokollen wie IPsec und Zero Trust Network Access (ZTNA).

Unsere Handlungsempfehlungen für Sie:

1. SSL-VPN via Fortinet SASE

Für Kunden, die weiterhin eine native SSL-VPN-Lösung wünschen, ist derzeit die Einwahl über Fortinet Secure Access Service Edge (SASE) die empfohlene Variante.

• Der Zugriff erfolgt hierbei über die FortiClient-Integration mit der SASE Cloud.
• Authentifizierung und Zugriffskontrolle können über FortiAuthenticator oder externe IdPs (SAML/LDAP/RADIUS) erfolgen.
• Vorteile: Cloud-basierte Skalierung, integrierte ZTNA-Funktionalität, und kein Self-Hosting notwendig.
• Einschränkung: Reine Cloud-Lösung – ggf. nicht für alle Kundenumgebungen geeignet (Compliance/Betriebsmodell).

2. Zero Trust Network Access (ZTNA)

ZTNA basiert auf einer policy-basierten Zugriffskontrolle auf Applikationsebene.

• Die Verbindung erfolgt über FortiClient mit ZTNA-Tags, welche dynamisch auf Basis von Device Posture, User Identity, etc. vergeben werden.
• Notwendig ist ein ZTNA-Proxy (entweder lokal auf der FortiGate oder über FortiSASE), der den Zugriff granuliert steuert.
• Vorteile: Granulare Zugriffskontrolle, MFA/Device-Compliance integriert, kein vollständiger Tunnel.
• Einschränkung: Funktioniert nur für Applikationszugriffe (Layer 7), nicht geeignet für vollständigen Netzwerkzugriff (Layer 3).

3. IPSec VPN mit TCP 443 (ab FortiOS 7.4)

Eine Alternative zum SSL-VPN ist der Einsatz von IPSec-VPN über TCP-Port 443.

• FortiClient unterstützt IKEv2 über NAT-T (UDP 4500) sowie alternativ über TCP 443 (falls UDP blockiert ist).
• Dies ermöglicht VPN-Tunnel auch in restriktiven Netzwerken mit nur HTTPS-Freigabe.
• Vorteile: Volle Netzwerkkonnektivität (Layer 3), hohe Performance, Unterstützung gängiger Authentifizierungsmethoden.
• Hinweis: Muss explizit auf FortiGate aktiviert und konfiguriert werden („tcp-over-ipsec“ via CLI).

4. Einführung einer PAM-Lösung: FortiPAM / FortiSRA

Für Kunden mit höheren Anforderungen an privilegierten Zugriff, Session Recording und Audit-Trails kann FortiPAM oder FortiSecure Remote Access (SRA) eine Option sein.

• FortiPAM bietet zentrale Verwaltung von Zugangsdaten, rollenbasierte Zugriffskontrolle, Session Management und Recording.
• FortiSRA ermöglicht sicheren Fernzugriff über eine isolierte Umgebung mit umfassender Kontrolle und Protokollierung.
• Geeignet für kritische Infrastrukturen, OT-Umgebungen oder regulierte Branchen (z. B. Banken, Energie).

Falls Sie Unterstützung bei der Migration benötigen oder Fragen haben, stehen wir Ihnen gerne für alle notwendigen Schritte mit Rat und Tat zur Seite. Schreiben Sie uns: hallo@enthus.de.