Salut à tutti ! Questu articulu analizà a funziunalità VPN in u pruduttu Sophos XG Firewall. In u precedente Avemu vistu cumu uttene sta suluzione di prutezzione di a rete domestica gratuitamente cù una licenza completa. Oghje parlemu di a funziunalità VPN chì hè integrata in Sophos XG. Pruvaraghju di dì ciò chì stu pruduttu pò fà, è ancu dà esempi di creazione di una VPN IPSec Site-to-Site è una VPN SSL persunalizata. Allora cuminciamu cù a rivista.
Prima di tuttu, fighjemu a tabella di licenze:
Pudete leghje più nantu à cume Sophos XG Firewall hè licenziatu quì:
Ma in questu articulu seremu interessatu solu in quelli elementi chì sò evidenziati in rossu.
A funziunalità principale VPN hè inclusa in a licenza basica è hè acquistata solu una volta. Questa hè una licenza per a vita è ùn hà micca bisognu di rinnuvamentu. U modulu di Opzioni VPN di basa include:
Da situ à situ:
- VPN SSL
- VPN IPSec
Accessu Remote (Client VPN):
- VPN SSL
- VPN IPsec Clientless (cù app persunalizata gratuita)
- L2TP
- PPTP
Comu pudete vede, tutti i protokolli populari è i tipi di cunnessione VPN sò supportati.
Inoltre, Sophos XG Firewall hà dui altri tipi di cunnessione VPN chì ùn sò micca inclusi in l'abbonamentu di basa. Quessi sò RED VPN è HTML5 VPN. Queste cunnessione VPN sò incluse in l'abbunamentu di a Proteczione di a Rete, chì significa chì per utilizà sti tipi deve avè un abbunamentu attivu, chì include ancu a funziunalità di prutezzione di a rete - moduli IPS è ATP.
RED VPN hè una VPN L2 proprietaria di Sophos. Stu tipu di cunnessione VPN hà una quantità di vantaghji annantu à SSL Site-to-site o IPSec quandu stabilisce una VPN trà dui XG. A cuntrariu di IPSec, u tunnel RED crea una interfaccia virtuale à i dui estremità di u tunnel, chì aiuta cù i prublemi di risoluzione di i prublemi, è à u cuntrariu di SSL, sta interfaccia virtuale hè cumplettamente persunalizabile. L'amministratore hà u cuntrollu tutale di a subnet in u tunnel RED, chì facilita a risolve i prublemi di routing è i cunflitti di subnet.
VPN HTML5 o VPN Clientless - Un tipu specificu di VPN chì permette di trasmette servizii via HTML5 direttamente in u navigatore. Tipi di servizii chì ponu esse cunfigurati:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ma vale a pena cunsiderà chì stu tipu di VPN hè utilizatu solu in casi spiciali è hè cunsigliatu, se pussibule, di utilizà i tipi di VPN da e liste sopra.
Prutizzioni
Fighjemu un sguardu praticu nantu à cumu cunfigurà parechji di sti tipi di tunnelli, vale à dì: Accessu Remote VPN Site-to-Site IPSec è SSL.
VPN IPSec da situ à situ
Cuminciamu cù cumu cunfigurà un tunnel IPSec VPN Site-to-Site trà dui Sophos XG Firewalls. Sottu u cappucciu usa strongSwan, chì permette di cunnette cù qualsiasi router IPSec-enabled.
Pudete utilizà un assistente di cunfigurazione cunvene è veloce, ma seguiteremu u percorsu generale per chì, basatu nantu à sti struzzioni, pudete combine Sophos XG cù qualsiasi equipamentu chì utilizanu IPSec.
Aprimu a finestra di paràmetri di pulitica:
Comu pudemu vede, ci sò digià paràmetri predefiniti, ma avemu da creà i nostri.
Cunfiguremu i paràmetri di criptografia per a prima è a seconda fase è salvà a pulitica. Per analogia, facemu i stessi passi nantu à a seconda Sophos XG è andemu à stabilisce u tunnel IPSec stessu.
Inserite u nome, u modu operativu è cunfigurà i paràmetri di criptografia. Per esempiu, avemu aduprà Preshared Key
è indicà e subreti lucali è remoti.
A nostra cunnessione hè stata creata
Per analogia, facemu i stessi paràmetri nantu à u sicondu Sophos XG, cù l'eccezzioni di u modu di u funziunamentu, ci hà da stabilisce Inizià a cunnessione
Avà avemu dui tunnel cunfigurati. Dopu, avemu bisognu di attivà è eseguisce. Questu hè fattu assai simplice, avete bisognu di cliccà nantu à u circhiu rossu sottu a parolla Active per attivà è nantu à u circhiu rossu sottu Connection per inizià a cunnessione.
Se vedemu sta stampa:
Questu significa chì u nostru tunnel funziona bè. Se u sicondu indicatore hè rossu o giallu, allora qualcosa hè incorrectamente cunfigurata in e pulitiche di criptografia o subnets lucali è remoti. Lasciami ricurdà chì i paràmetri devenu esse specchi.
Separatamente, vogliu mette in risaltu chì pudete creà gruppi Failover da i tunnel IPSec per a tolleranza di difetti:
Accessu Remote SSL VPN
Passemu à Remote Access SSL VPN per l'utilizatori. Sottu u cappucciu ci hè un OpenVPN standard. Questu permette à l'utilizatori di cunnette cù qualsiasi cliente chì sustene i schedarii di cunfigurazione .ovpn (per esempiu, un cliente di cunnessione standard).
Prima, avete bisognu di cunfigurà e pulitiche di u servitore OpenVPN:
Specificate u trasportu per a cunnessione, cunfigurà u portu, una gamma di indirizzi IP per cunnette l'utilizatori remoti
Pudete ancu specificà i paràmetri di criptografia.
Dopu avè stallatu u servitore, procedemu à stabilisce e cunnessione di u cliente.
Ogni regula di cunnessione VPN SSL hè creata per un gruppu o per un utilizatore individuale. Ogni utilizatore pò avè una sola pulitica di cunnessione. Sicondu i paràmetri, ciò chì hè interessante hè chì per ogni tali regula pudete specificà l'utilizatori individuali chì utilizanu stu paràmetru o un gruppu da AD, pudete attivà a casella di verificazione per chì tuttu u trafficu hè impannillatu in un tunnel VPN o specificà l'indirizzi IP. subnets o nomi FQDN dispunibuli per l'utilizatori. Basatu nantu à sti pulitiche, un prufilu .ovpn cù paràmetri per u cliente serà automaticamente creatu.
Utilizendu u portale di l'utilizatori, l'utilizatore pò scaricà un schedariu .ovpn cù paràmetri per u cliente VPN, è un schedariu d'installazione di u cliente VPN cù un schedariu di cunfigurazione di cunnessione integrata.
cunchiusioni
In questu articulu, avemu passatu brevemente a funziunalità VPN in u pruduttu Sophos XG Firewall. Avemu vistu cumu pudete cunfigurà IPSec VPN è SSL VPN. Questa ùn hè micca una lista cumpleta di ciò chì sta suluzione pò fà. In l'articuli seguenti, pruvà à riviseghjà RED VPN è mostra ciò chì pare in a suluzione stessu.
Grazie per u vostru tempu.
Sè vo avete qualchì quistione nantu à a versione cummerciale di XG Firewall, pudete cuntattateci, a cumpagnia , distributore Sophos. Tuttu ciò chì duvete fà hè di scrive in forma libera à .
Source: www.habr.com