4. NGFW для малога бізнэсу. VPN

Працягваем наш цыкл артыкулаў аб NGFW для малога бізнэсу, нагадаю што мы разглядаем новы мадэльны шэраг 1500 серыі. У 1 часткі цыклу я згадаў аб адной з самых карысных опцый пры куплі прылады SMB – пастаўка шлюзаў з убудаванымі ліцэнзіямі Mobile Access (ад 100 да 200 карыстачоў у залежнасці ад мадэлі). У дадзеным артыкуле мы разгледзім наладу VPN для шлюзаў 1500 серыі, якія ідуць з прадусталяванай Gaia 80.20 Embedded. Вось кароткі змест:

1. Магчымасці VPN для SMB.
2. Арганізацыя Remote Access для малога офіса.
3. Даступныя кліенты для падлучэння.

1. Магчымасці VPN для SMB

Для таго каб падрыхтаваць сённяшні матэрыял, быў скарыстаны афіцыйны гайд адміністратара версіі R80.20.05 (на момант выхаду артыкула - актуальны). Адпаведна, у частцы VPN пры Gaia 80.20 Embedded ёсць падтрымка:

1. Site-To-Site. Стварэнне VPN-тунэляў паміж вашымі офісамі, дзе карыстачы змогуць працаваць, як у адной "лакальнай" сетцы.

   

2. Remote Access. Выдаленае падлучэнне да рэсурсаў вашага офіса з дапамогай канчатковых прылад карыстальнікаў (ПК, мабільныя тэлефоны і г.д.). Дадаткова ёсць SSL Network Extender, ён дазваляе публікаваць асобныя прыкладанні і запускаць іх з дапамогай Java Applet, падлучыўшыся праз SSL. Заўвага: ня блытаць c Mobile Access Portal (падтрымка на Gaia Embedded адсутнічае).
   
   

Дадаткова вельмі рэкамендую аўтарскі курс TS Solution Check Point Remote Access VPN ён раскрывае тэхналогіі Сheck Point у частцы VPN, закранае пытанні ліцэнзавання і ўтрымоўвае найпадрабязныя інструкцыі па наладзе.

2. Remote Access для малога офіса

Мы ж з вамі прыступім да арганізацыі выдаленага падлучэння да вашага офіса:

1. Для таго каб карыстачы змаглі пабудаваць VPN-тунэль са шлюзам, вам неабходна мець публічны IP-адрас. Калі вы ўжо прайшлі першасную наладу (2 артыкул з цыклу), то як правіла - External Link ужо актыўны. Інфармацыю можна даведацца перайшоўшы на Gaia Portal: Device → Network → Internet

   
   

   У тым выпадку, калі ваша кампанія выкарыстоўвае дынамічны публічны IP-адрас, тыя вы можаце задаць Dynamic DNS. Перайдзіце ў Прылада → DDNS & Device Access

   
   

   На дадзены момант існуе падтрымка ад двух правайдэраў: DynDns і no-ip.com. Каб актываваць опцыю трэба ўвесці свае ўліковыя дадзеныя (лагін, пароль).

2. Далей створым уліковы запіс карыстальніка, ён спатрэбіцца для тэставання налад: VPN → Remote Access → Remote Access Users

   
   

   У групе (на прыкладзе: remoteaccess) створым карыстальніка, прытрымліваючыся інструкцый на скрыншоце. Настройка ўліковага запісу стандартная, задаём лагін і пароль, дадаткова ўключаем опцыю Remote Access permissions.

   
   

   Калі вы паспяхова ўжылі налады, то павінны з'явіцца два аб'екты: лакальны карыстач, лакальная група з карыстачоў.

   

3. Наступным крокам пераходзім у VPN → Remote Access → Blade Control. Пераканайцеся, што ў вас уключаны блейд і дазволены трафік ад выдаленых карыстальнікаў.

   

4. *Вышэй быў прыведзены мінімальны набор крокаў, каб наладзіць Remote Access. Але перш чым мы пратэстуем падлучэнне, давайце вывучым дадатковыя налады, пяройдучы ва ўкладку VPN → Remote Access → Advanced

   
   

   Зыходзячы з бягучых налад, мы бачым што выдаленыя карыстачы пры падлучэнні атрымаюць IP-адрас з сеткі 172.16.11.0/24, дзякуючы опцыі Office Mode. Гэтага хапае з запасам для выкарыстання 200 канкурэнтных ліцэнзій (пазначана для 1590 NGFW Сheck Point).

   опцыя "Route Internet traffic from connected clients through this gateway" з'яўляецца неабавязковай і адказвае за маршрутызацыю за ўсё трафіку ад выдаленага карыстальніка праз шлюз (у тым ліку і злучэнні ў Інтэрнэт). Гэта дазваляе правяраць трафік карыстальніка і абараняць яго працоўную станцыю ад розных пагроз і шкоднасных праграм.

5. *Праца з палітыкамі доступу для Remote Access

   Пасля таго як мы наладзілі Remote Access, было створана аўтаматычнае правіла доступу на ўзроўні Firewall, каб прагледзець яго трэба перайсці па ўкладцы: Access Policy → Firewall → Policy

   
   

   У дадзеным выпадку выдаленыя карыстачы, якія ўваходзяць у раней створаную групу, змогуць атрымліваць доступ да ўсіх унутраных рэсурсаў кампаніі, заўважу што правіла знаходзіцца ў агульнай частцы "Incoming, Internal and VPN traffic". Для таго каб дазволіць трафік VPN-карыстальнікаў у Інтэрнэт, неабходна будзе стварыць асобнае правіла ў агульным раздзеле.Дадатковы доступ у Інтэрнэт».

6. Нарэшце, нам засталося пераканацца, што карыстач можа паспяхова стварыць VPN-тунэль да нашага NGFW шлюза і атрымліваць доступ да ўнутраных рэсурсаў кампаніі. Для гэтага неабходна ўсталяваць VPN-кліент на тэстоўваны хост, у дапамогу прыкладаецца спасылка для загрузкі. Пасля ўстаноўкі неабходна будзе правесці стандартную працэдуру дадання новага сайта (указваецца публічны IP-адрас вашага шлюза). Для зручнасці працэс прадстаўлены ў выглядзе GIF

   
   
   Калі злучэнне ўжо ўсталявана, праверым атрыманы IP-адрас на хаставой машыне з дапамогай каманды ў CMD: IPCONFIG

   
   

   Мы пераканаліся, што віртуальны сеткавы адаптар атрымаў IP-адрас з Office Mode нашага NGFW, пакеты адпраўляюцца паспяхова. Для завяршэння можам перайсці на Gaia Portal: VPN → Remote Access → Connected Remote Users

   
   

   Карыстальнік “ntuser” адлюстроўваецца як падлучаны, праверым лагіраванне падзей, перайшоўшы ў Logs & Monitoring → Security Logs

   
   

   Лагаванне злучэння адбываецца, у якасці крыніцы з выступае IP-адрас: 172.16.10.1 - гэта адрас, атрыманы нашым карыстачом праз рэжым Office Mode.

   3. Падтрымліваюцца кліенты для Remote Access

   Пасля таго як мы з вамі разгледзелі працэдуру налады выдаленага падлучэння ў ваш офіс, з дапамогай NGFW Сheck Point сямейства SMB, жадалася бы напісаць аб падтрымцы кліентаў для розных прылад:

   • Endpoint VPN для Windows / Mac OS
   • Mobile Client (Android / IOS)
   • L2TP Native Client (Check Point заяўляе аб падтрымцы роднага прыкладання для VPN ад Microsoft).

   Разнастайнасць падтрымоўваных АС і прылад дазволіць вам выкарыстоўваць вашу ліцэнзію, якая ідзе ў камплекце з NGFW у поўнай меры. Для таго каб наладзіць асобную прыладу ёсць зручная опцыя "How to connect"

   

   У ёй аўтаматычна фармуюцца крокі, паводле вашых налад, што дазволіць адміністратарам без праблем усталяваць новыя кліенты.

   Выснову: Падводзячы вынік гэтага артыкула, мы разгледзелі магчымасці VPN для NGFW Check Point сямейства SMB. Далей апісалі крокі па наладзе Remote Access, у выпадку выдаленага падлучэння карыстачоў да офіса, пасля вывучылі сродкі маніторынгу. У завяршэнне артыкула пагаварылі аб даступных кліентах і варыянтах падключэння пры Remote Access. Такім чынам, ваш філіяльны офіс зможа забяспечыць бесперапыннасць і бяспеку працы супрацоўнікаў з дапамогай VPN-тэхналогій, нягледзячы на ​​розныя вонкавыя пагрозы і фактары.

   Вялікая падборка матэрыялаў па Check Point ад TS Solution. Сачыце за абнаўленнямі (Тэлеграма, Facebook, VK, TS Solution Blog, Яндэкс.Дзэн).

Крыніца: habr.com