4. NGFW für kleine Unternehmen. VPN

Wir setzen unsere Artikelserie über NGFW für kleine Unternehmen fort. Ich möchte Sie daran erinnern, dass wir die neue Modellreihe der 1500er-Serie überprüfen. IN 1 Teile Zyklus erwähnte ich eine der nützlichsten Optionen beim Kauf eines SMB-Geräts – die Bereitstellung von Gateways mit integrierten Mobile Access-Lizenzen (von 100 bis 200 Benutzern, je nach Modell). In diesem Artikel befassen wir uns mit der Einrichtung eines VPN für Gateways der Serie 1500, auf denen Gaia 80.20 Embedded vorinstalliert ist. Hier ist eine Zusammenfassung:

1. VPN-Funktionen für KMU.
2. Organisation des Fernzugriffs für ein kleines Büro.
3. Verfügbare Clients für die Verbindung.

1. VPN-Optionen für SMB

Um das heutige Material vorzubereiten, hat der Beamte Admin-Leitfaden Version R80.20.05 (aktuell zum Zeitpunkt der Veröffentlichung des Artikels). Dementsprechend gibt es in Bezug auf VPN mit Gaia 80.20 Embedded Unterstützung für:

1. Seite zu Seite. Erstellen Sie VPN-Tunnel zwischen Ihren Büros, in denen Benutzer so arbeiten können, als wären sie im selben „lokalen“ Netzwerk.

   

2. Fernzugriff. Remote-Verbindung zu Ihren Büroressourcen über Benutzerendgeräte (PCs, Mobiltelefone usw.). Darüber hinaus gibt es einen SSL Network Extender, mit dem Sie einzelne Anwendungen veröffentlichen und über das Java-Applet ausführen können, indem Sie eine Verbindung über SSL herstellen. Hinweis: Nicht zu verwechseln mit Mobile Access Portal (keine Unterstützung für Gaia Embedded).
   
   

zusätzlich Ich kann den Kurs TS Solution des Autors wärmstens empfehlen - Check Point Remote Access VPN Es enthüllt Check Point-Technologien in Bezug auf VPN, geht auf Lizenzprobleme ein und enthält detaillierte Einrichtungsanweisungen.

2. Fernzugriff für kleine Büros

Wir beginnen mit der Organisation einer Fernverbindung zu Ihrem Büro:

1. Damit Benutzer einen VPN-Tunnel mit einem Gateway aufbauen können, benötigen Sie eine öffentliche IP-Adresse. Wenn Sie die Ersteinrichtung bereits abgeschlossen haben (2 Artikel aus dem Zyklus), dann ist in der Regel der Externe Link bereits aktiv. Informationen finden Sie im Gaia-Portal: Gerät → Netzwerk → Internet

   
   

   Wenn Ihr Unternehmen eine dynamische öffentliche IP-Adresse verwendet, können Sie Dynamic DNS einrichten. Gehe zu Gerät → DDNS und Gerätezugriff

   
   

   Derzeit gibt es Unterstützung von zwei Anbietern: DynDns und no-ip.com. Um die Option zu aktivieren, müssen Sie Ihre Zugangsdaten (Login, Passwort) eingeben.

2. Als nächstes erstellen wir ein Benutzerkonto, das zum Testen der Einstellungen nützlich sein wird: VPN → Fernzugriff → Fernzugriffsbenutzer

   
   

   In der Gruppe (zum Beispiel: remoteaccess) erstellen wir einen Benutzer, indem wir den Anweisungen im Screenshot folgen. Das Einrichten eines Kontos ist Standard, legen Sie einen Benutzernamen und ein Passwort fest und aktivieren Sie zusätzlich die Option Fernzugriffsberechtigungen.

   
   

   Wenn Sie die Einstellungen erfolgreich angewendet haben, sollten zwei Objekte erscheinen: ein lokaler Benutzer, eine lokale Benutzergruppe.

   

3. Der nächste Schritt besteht darin, zu gehen VPN → Fernzugriff → Blade-Steuerung. Stellen Sie sicher, dass Ihr Blade eingeschaltet ist und der Datenverkehr von Remotebenutzern zugelassen ist.

   

4. *Die oben genannten Schritte waren die Mindestschritte zum Einrichten des Fernzugriffs. Aber bevor wir die Verbindung testen, erkunden wir die erweiterten Einstellungen, indem wir auf die Registerkarte gehen VPN → Fernzugriff → Erweitert

   
   

   Basierend auf den aktuellen Einstellungen sehen wir, dass Remote-Benutzer dank der Option „Büromodus“ eine IP-Adresse aus dem Netzwerk 172.16.11.0/24 erhalten, wenn sie eine Verbindung herstellen. Dies reicht mit einer Reserve aus, um 200 Konkurrenzlizenzen zu verwenden (angezeigt für 1590 NGFW Check Point).

   Option „Leiten Sie den Internetverkehr von verbundenen Clients über dieses Gateway.“ ist optional und ist für die Weiterleitung des gesamten Datenverkehrs vom Remote-Benutzer über das Gateway (einschließlich Internetverbindungen) verantwortlich. Dadurch können Sie den Datenverkehr des Benutzers überprüfen und seinen Arbeitsplatz vor verschiedenen Bedrohungen und Malware schützen.

5. *Arbeiten mit Zugriffsrichtlinien für den Fernzugriff

   Nachdem wir den Fernzugriff konfiguriert haben, wurde auf Firewall-Ebene eine automatische Zugriffsregel erstellt. Um diese anzuzeigen, müssen Sie zur Registerkarte gehen: Zugriffsrichtlinie → Firewall → Richtlinie

   
   

   In diesem Fall können Remote-Benutzer, die Mitglieder einer zuvor erstellten Gruppe sind, auf alle internen Ressourcen des Unternehmens zugreifen; beachten Sie, dass sich die Regel im allgemeinen Abschnitt befindet „Eingehender, interner und VPN-Verkehr“. Um VPN-Benutzerverkehr zum Internet zuzulassen, müssen Sie im allgemeinen Abschnitt eine separate Regel erstellen „Ausgehender Zugriff auf das Internet".

6. Schließlich müssen wir nur noch sicherstellen, dass der Benutzer erfolgreich einen VPN-Tunnel zu unserem NGFW-Gateway erstellen und Zugriff auf die internen Ressourcen des Unternehmens erhalten kann. Dazu müssen Sie auf dem zu testenden Host einen VPN-Client installieren, Hilfe wird bereitgestellt Link Zum Laden. Nach der Installation müssen Sie das Standardverfahren zum Hinzufügen einer neuen Site durchführen (geben Sie die öffentliche IP-Adresse Ihres Gateways an). Der Einfachheit halber wird der Prozess im GIF-Format dargestellt

   
   
   Wenn die Verbindung bereits hergestellt ist, überprüfen wir die empfangene IP-Adresse auf dem Host-Computer mit dem Befehl in CMD: ipconfig

   
   

   Wir haben sichergestellt, dass der virtuelle Netzwerkadapter eine IP-Adresse vom Office-Modus unserer NGFW erhalten hat und die Pakete erfolgreich gesendet wurden. Zum Abschluss können wir zum Gaia-Portal gehen: VPN → Fernzugriff → Verbundene Remote-Benutzer

   
   

   Der Benutzer „ntuser“ wird als verbunden angezeigt. Überprüfen wir die Ereignisprotokollierung, indem wir zu gehen Protokolle und Überwachung → Sicherheitsprotokolle

   
   

   Die Verbindung wird mit der IP-Adresse als Quelle protokolliert: 172.16.10.1 – das ist die Adresse, die unser Benutzer über den Office-Modus erhalten hat.

   3. Unterstützte Clients für den Fernzugriff

   Nachdem wir das Verfahren zum Einrichten einer Remote-Verbindung zu Ihrem Büro mithilfe von NGFW Check Point der SMB-Familie überprüft haben, möchte ich über die Client-Unterstützung für verschiedene Geräte schreiben:

   • Endpoint VPN für Windows/Mac OS
   • Mobiler Client (Android / IOS)
   • L2TP Native Client (Check Point behauptet, Unterstützung für die native VPN-App von Microsoft zu unterstützen).

   Dank der Vielfalt der unterstützten Betriebssysteme und Geräte können Sie die Vorteile Ihrer im Lieferumfang von NGFW enthaltenen Lizenz voll ausschöpfen. Um ein separates Gerät zu konfigurieren, gibt es eine komfortable Möglichkeit „Wie man eine Verbindung herstellt“

   

   Es generiert automatisch Schritte gemäß Ihren Einstellungen, sodass Administratoren problemlos neue Clients installieren können.

   Fazit: Um diesen Artikel zusammenzufassen, haben wir uns die VPN-Funktionen der NGFW Check Point SMB-Familie angesehen. Als Nächstes haben wir die Schritte zum Einrichten des Fernzugriffs im Falle einer Fernverbindung von Benutzern mit dem Büro beschrieben und anschließend Überwachungstools untersucht. Am Ende des Artikels haben wir über verfügbare Clients und Verbindungsoptionen für Remote Access gesprochen. So kann Ihre Niederlassung trotz verschiedener externer Bedrohungen und Faktoren die Kontinuität und Sicherheit der Arbeit Ihrer Mitarbeiter mithilfe von VPN-Technologien gewährleisten.

   Große Auswahl an Materialien für Check Point von TS Solution. Bleiben Sie dran (Telegram, Facebook, VK, TS-Lösungsblog, Yandex.Den).

Source: habr.com