4. NGFW pro malé podniky. VPN

Pokračujeme v naší sérii článků o NGFW pro malé podniky, dovolte mi připomenout, že recenzujeme novou modelovou řadu řady 1500. V Části 1 cyklu jsem zmínil jednu z nejužitečnějších možností při nákupu SMB zařízení - dodávku bran s vestavěnými licencemi Mobile Access (od 100 do 200 uživatelů v závislosti na modelu). V tomto článku se podíváme na nastavení VPN pro brány řady 1500, které jsou dodávány s předinstalovaným Gaia 80.20 Embedded. Zde je shrnutí:

1. Možnosti VPN pro SMB.
2. Organizace vzdáleného přístupu pro malou kancelář.
3. Доступные клиенты для подключения.

1. Možnosti VPN pro SMB

Для того чтобы подготовить cегодняшний материал, был использован официальный průvodce správcem verze R80.20.05 (aktuální v době publikace článku). V souladu s tím, pokud jde o VPN s Gaia 80.20 Embedded, existuje podpora pro:

1. Site-To-Site. Создание VPN-туннелей между вашими офисами, где пользователи смогут работать, как в одной “локальной” сети.

   

2. Vzdálený přístup. Vzdálené připojení ke zdrojům vaší kanceláře pomocí koncových uživatelských zařízení (PC, mobilní telefony atd.). Navíc existuje SSL Network Extender, který umožňuje publikovat jednotlivé aplikace a spouštět je pomocí Java Applet, připojení přes SSL. Poznámka: nezaměňovat s Mobile Access Portal (žádná podpora pro Gaia Embedded).
   
   

Dále Vřele doporučuji autorův kurz Řešení TS - Check Point Remote Access VPN odhaluje technologie Check Point týkající se VPN, dotýká se licenčních problémů a obsahuje podrobné pokyny k nastavení.

2. Vzdálený přístup pro malé kanceláře

Začneme organizovat vzdálené připojení k vaší kanceláři:

1. Aby si uživatelé mohli vybudovat VPN tunel s bránou, musíte mít veřejnou IP adresu. Pokud jste již dokončili počáteční nastavení (2 článek z cyklu), pak je již Externí odkaz zpravidla aktivní. Informace naleznete na portálu Gaia: Zařízení → Síť → Internet

   
   

   Pokud vaše společnost používá dynamickou veřejnou IP adresu, můžete nastavit Dynamic DNS. Jít do Přístroj → DDNS & Device Access

   
   

   V současné době existuje podpora od dvou poskytovatelů: DynDns a no-ip.com. Chcete-li tuto možnost aktivovat, musíte zadat své přihlašovací údaje (login, heslo).

2. Dále si vytvořte uživatelský účet, bude užitečný pro testování nastavení: VPN → Vzdálený přístup → Uživatelé vzdáleného přístupu

   
   

   Ve skupině (například: remoteaccess) vytvoříme uživatele podle pokynů na snímku obrazovky. Nastavení účtu je standardní, nastavte přihlašovací jméno a heslo a navíc povolte možnost Vzdálený přístup.

   
   

   Если вы успешно применили настройки, то должны появиться два объекта: локальный пользователь, локальная группа из пользователей.

   

3. Следующим шагом переходим в VPN → Vzdálený přístup → Blade Control. Ujistěte se, že je váš blade zapnutý a že je povolen provoz od vzdálených uživatelů.

   

4. *Výše uvedené byl minimální soubor kroků pro nastavení vzdáleného přístupu. Než však otestujeme připojení, prozkoumáme pokročilá nastavení na kartě VPN → Vzdálený přístup → Pokročilé

   
   

   Na základě aktuálního nastavení vidíme, že při připojení vzdálených uživatelů dostanou IP adresu ze sítě 172.16.11.0/24, a to díky volbě Office Mode. To s rezervou vystačí na použití 200 konkurenčních licencí (uvedeno pro 1590 NGFW Check Point).

   Možnost "Směrovat internetový provoz z připojených klientů přes tuto bránu" je volitelný a odpovídá za směrování veškerého provozu od vzdáleného uživatele přes bránu (včetně připojení k internetu). To vám umožní kontrolovat provoz uživatele a chránit jeho pracovní stanici před různými hrozbami a malwarem.

5. *Работа с политиками доступа для Remote Access

   Poté, co jsme nakonfigurovali vzdálený přístup, bylo na úrovni brány firewall vytvořeno pravidlo automatického přístupu, k jeho zobrazení je třeba přejít na kartu: Zásady přístupu → Brána firewall → Zásady

   
   

   V tomto případě budou mít vzdálení uživatelé, kteří jsou členy dříve vytvořené skupiny, přístup ke všem interním zdrojům společnosti; pravidlo je umístěno v obecné části „Příchozí, interní a VPN provoz“. Chcete-li povolit provoz uživatelů VPN na internetu, budete muset vytvořit samostatné pravidlo v obecné části „Odchozí přístup k internetu".

6. Наконец, нам осталось убедиться, что пользователь может успешно создать VPN-туннель до нашего NGFW шлюза и получать доступ к внутренним ресурсам компании. Для этого необходимо установить VPN-клиент на тестируемый хост, в помощь прилагается odkaz Pro načítání. Po instalaci budete muset provést standardní postup pro přidání nového webu (uveďte veřejnou IP adresu vaší brány). Pro usnadnění je proces prezentován ve formě GIF

   
   
   Když je připojení již navázáno, zkontrolujme přijatou IP adresu na hostitelském počítači pomocí příkazu v CMD: ipconfig

   
   

   Ujistili jsme se, že virtuální síťový adaptér obdržel IP adresu z Office Mode našeho NGFW, pakety byly úspěšně odeslány. Pro dokončení můžeme přejít na portál Gaia: VPN → Vzdálený přístup → Připojení vzdálení uživatelé

   
   

   Uživatel „ntuser“ se zobrazí jako připojený, zkontrolujeme protokolování událostí přechodem na Protokoly a monitorování → Protokoly zabezpečení

   
   

   Připojení je protokolováno pomocí adresy IP jako zdroje: 172.16.10.1 - toto je adresa přijatá naším uživatelem prostřednictvím režimu Office.

   3. Podporovaní klienti pro vzdálený přístup

   После того как мы с вами рассмотрели процедуру настройки удаленного подключения в ваш офис, c помощью NGFW Сheck Point семейства SMB, хотелось бы написать о поддержке клиентов для различных устройств:

   • Endpoint VPN pro Windows/Mac OS
   • Mobilní klient (Android / IOS)
   • L2TP Native Client ( Check Point заявляет о поддержке родного приложения для VPN от Microsoft).

   Rozmanitost podporovaných operačních systémů a zařízení vám umožní plně využít vaši licenci dodávanou s NGFW. Chcete-li nakonfigurovat samostatné zařízení, existuje pohodlná možnost "Jak se připojit"

   

   Automaticky generuje kroky podle vašeho nastavení, což správcům umožní bez problémů instalovat nové klienty.

   Závěr: Abychom tento článek shrnuli, podívali jsme se na možnosti VPN rodiny NGFW Check Point SMB. Dále jsme si popsali kroky pro nastavení Vzdáleného přístupu v případě vzdáleného připojení uživatelů do kanceláře a následně prostudovali monitorovací nástroje. Na konci článku jsme hovořili o dostupných klientech a možnostech připojení pro vzdálený přístup. Vaše pobočka tak bude schopna zajistit kontinuitu a bezpečnost práce zaměstnanců pomocí technologií VPN, a to i přes různé vnější hrozby a faktory.

   Velký výběr materiálů na Check Point od TS Solution. Zůstaňte naladěni (Telegram, facebook, VK, Blog řešení TS, Yandex Zen).

Zdroj: www.habr.com