4. NGFW για μικρές επιχειρήσεις. VPN

Συνεχίζουμε τη σειρά άρθρων μας σχετικά με το NGFW για μικρές επιχειρήσεις, επιτρέψτε μου να σας υπενθυμίσω ότι εξετάζουμε τη νέα σειρά μοντέλων της σειράς 1500. ΣΕ 1 μέρη cycle, ανέφερα μια από τις πιο χρήσιμες επιλογές κατά την αγορά μιας συσκευής SMB - την παροχή πυλών με ενσωματωμένες άδειες πρόσβασης Mobile (από 100 έως 200 χρήστες, ανάλογα με το μοντέλο). Σε αυτό το άρθρο θα εξετάσουμε τη ρύθμιση ενός VPN για πύλες της σειράς 1500 που διαθέτουν προεγκατεστημένο το Gaia 80.20 Embedded. Εδώ είναι μια περίληψη:

1. Δυνατότητες VPN για SMB.
2. Οργάνωση Απομακρυσμένης Πρόσβασης για ένα μικρό γραφείο.
3. Διαθέσιμοι πελάτες για σύνδεση.

1. Επιλογές VPN για SMB

Για την προετοιμασία του σημερινού υλικού, ο επίσημος οδηγός διαχειριστή έκδοση R80.20.05 (τρέχουσα τη στιγμή της δημοσίευσης του άρθρου). Αντίστοιχα, όσον αφορά το VPN με το Gaia 80.20 Embedded, υπάρχει υποστήριξη για:

1. Site-to-Site. Δημιουργία σηράγγων VPN μεταξύ των γραφείων σας, όπου οι χρήστες μπορούν να εργάζονται σαν να βρίσκονταν στο ίδιο «τοπικό» δίκτυο.

   

2. Απομακρυσμένη πρόσβαση. Απομακρυσμένη σύνδεση με τους πόρους του γραφείου σας χρησιμοποιώντας συσκευές τελικού χρήστη (Η/Υ, κινητά τηλέφωνα κ.λπ.). Επιπλέον, υπάρχει μια επέκταση δικτύου SSL, που σας επιτρέπει να δημοσιεύετε μεμονωμένες εφαρμογές και να τις εκτελείτε χρησιμοποιώντας τη Applet Java, συνδέοντας μέσω SSL. Σημείωση: Δεν πρέπει να συγχέεται με το Mobile Access Portal (χωρίς υποστήριξη για το Gaia Embedded).
   
   

επιπλέον Συνιστώ ανεπιφύλακτα το μάθημα του συγγραφέα TS Solution - Ελέγξτε το σημείο απομακρυσμένης πρόσβασης VPN αποκαλύπτει τεχνολογίες Check Point όσον αφορά το VPN, αγγίζει θέματα αδειοδότησης και περιέχει λεπτομερείς οδηγίες εγκατάστασης.

2. Απομακρυσμένη πρόσβαση για μικρό γραφείο

Θα αρχίσουμε να οργανώνουμε μια απομακρυσμένη σύνδεση με το γραφείο σας:

1. Για να δημιουργήσουν οι χρήστες μια σήραγγα VPN με πύλη, πρέπει να έχετε μια δημόσια διεύθυνση IP. Εάν έχετε ήδη ολοκληρώσει την αρχική ρύθμιση (2 άρθρο από τον κύκλο), τότε, κατά κανόνα, ο Εξωτερικός Σύνδεσμος είναι ήδη ενεργός. Πληροφορίες μπορείτε να βρείτε μεταβαίνοντας στο Gaia Portal: Συσκευή → Δίκτυο → Διαδίκτυο

   
   

   Εάν η εταιρεία σας χρησιμοποιεί μια δυναμική δημόσια διεύθυνση IP, τότε μπορείτε να ορίσετε Dynamic DNS. Παω σε Συσκευή → DDNS & Πρόσβαση συσκευής

   
   

   Επί του παρόντος υπάρχει υποστήριξη από δύο παρόχους: DynDns και no-ip.com. Για να ενεργοποιήσετε την επιλογή πρέπει να εισαγάγετε τα διαπιστευτήριά σας (σύνδεση, κωδικός πρόσβασης).

2. Στη συνέχεια, ας δημιουργήσουμε έναν λογαριασμό χρήστη, θα είναι χρήσιμο για τη δοκιμή των ρυθμίσεων: VPN → Απομακρυσμένη πρόσβαση → Χρήστες απομακρυσμένης πρόσβασης

   
   

   Στην ομάδα (για παράδειγμα: απομακρυσμένη πρόσβαση) θα δημιουργήσουμε έναν χρήστη ακολουθώντας τις οδηγίες στο στιγμιότυπο οθόνης. Η δημιουργία λογαριασμού είναι τυπική, ορίστε μια σύνδεση και έναν κωδικό πρόσβασης και επιπλέον ενεργοποιήστε την επιλογή αδειών απομακρυσμένης πρόσβασης.

   
   

   Εάν εφαρμόσατε με επιτυχία τις ρυθμίσεις, θα πρέπει να εμφανιστούν δύο αντικείμενα: ένας τοπικός χρήστης, μια τοπική ομάδα χρηστών.

   

3. Το επόμενο βήμα είναι να πάτε στο VPN → Απομακρυσμένη πρόσβαση → Έλεγχος λεπίδων. Βεβαιωθείτε ότι η λεπίδα σας είναι ενεργοποιημένη και ότι επιτρέπεται η κυκλοφορία από απομακρυσμένους χρήστες.

   

4. *Το παραπάνω ήταν το ελάχιστο σύνολο βημάτων για τη ρύθμιση της Απομακρυσμένης Πρόσβασης. Αλλά πριν δοκιμάσουμε τη σύνδεση, ας εξερευνήσουμε τις σύνθετες ρυθμίσεις μεταβαίνοντας στην καρτέλα VPN → Απομακρυσμένη πρόσβαση → Για προχωρημένους

   
   

   Με βάση τις τρέχουσες ρυθμίσεις, βλέπουμε ότι όταν οι απομακρυσμένοι χρήστες συνδέονται, θα λαμβάνουν μια διεύθυνση IP από το δίκτυο 172.16.11.0/24, χάρη στην επιλογή Office Mode. Αυτό είναι αρκετό με ένα απόθεμα για να χρησιμοποιήσετε 200 ανταγωνιστικές άδειες (που υποδεικνύονται για 1590 NGFW Check Point).

   Επιλογή "Δρομολογήστε την κυκλοφορία Διαδικτύου από συνδεδεμένους πελάτες μέσω αυτής της πύλης" είναι προαιρετικό και είναι υπεύθυνο για τη δρομολόγηση όλης της κίνησης από τον απομακρυσμένο χρήστη μέσω της πύλης (συμπεριλαμβανομένων των συνδέσεων Διαδικτύου). Αυτό σας επιτρέπει να επιθεωρήσετε την επισκεψιμότητα του χρήστη και να προστατεύσετε τον σταθμό εργασίας του από διάφορες απειλές και κακόβουλο λογισμικό.

5. *Εργασία με πολιτικές πρόσβασης για απομακρυσμένη πρόσβαση

   Αφού διαμορφώσαμε την Απομακρυσμένη Πρόσβαση, δημιουργήθηκε ένας κανόνας αυτόματης πρόσβασης σε επίπεδο Τείχους προστασίας, για να τον προβάλετε πρέπει να μεταβείτε στην καρτέλα: Πολιτική πρόσβασης → Τείχος προστασίας → Πολιτική

   
   

   Σε αυτήν την περίπτωση, οι απομακρυσμένοι χρήστες που είναι μέλη μιας ομάδας που δημιουργήθηκε στο παρελθόν θα μπορούν να έχουν πρόσβαση σε όλους τους εσωτερικούς πόρους της εταιρείας· σημειώστε ότι ο κανόνας βρίσκεται στη γενική ενότητα "Εισερχόμενη, εσωτερική και επισκεψιμότητα VPN". Για να επιτρέψετε την κυκλοφορία χρηστών VPN στο Διαδίκτυο, θα χρειαστεί να δημιουργήσετε έναν ξεχωριστό κανόνα στη γενική ενότητα "Εξερχόμενη πρόσβαση στο Διαδίκτυο".

6. Τέλος, πρέπει απλώς να βεβαιωθούμε ότι ο χρήστης μπορεί να δημιουργήσει με επιτυχία μια σήραγγα VPN στην πύλη NGFW και να αποκτήσει πρόσβαση στους εσωτερικούς πόρους της εταιρείας. Για να το κάνετε αυτό, πρέπει να εγκαταστήσετε έναν πελάτη VPN στον κεντρικό υπολογιστή που ελέγχεται, παρέχεται βοήθεια σύνδεσμος Για φόρτωση. Μετά την εγκατάσταση, θα χρειαστεί να εκτελέσετε την τυπική διαδικασία για την προσθήκη νέου ιστότοπου (υποδείξτε τη δημόσια διεύθυνση IP της πύλης σας). Για ευκολία, η διαδικασία παρουσιάζεται σε μορφή GIF

   
   
   Όταν η σύνδεση έχει ήδη δημιουργηθεί, ας ελέγξουμε τη ληφθείσα διεύθυνση IP στον κεντρικό υπολογιστή χρησιμοποιώντας την εντολή στο CMD: ipconfig

   
   

   Βεβαιωθήκαμε ότι ο προσαρμογέας εικονικού δικτύου έλαβε μια διεύθυνση IP από τη λειτουργία Office του NGFW μας, τα πακέτα στάλθηκαν με επιτυχία. Για να ολοκληρώσουμε, μπορούμε να πάμε στο Gaia Portal: VPN → Απομακρυσμένη πρόσβαση → Συνδεδεμένοι απομακρυσμένοι χρήστες

   
   

   Ο χρήστης "ntuser" εμφανίζεται ως συνδεδεμένος, ας ελέγξουμε την καταγραφή συμβάντων μεταβαίνοντας στο Μητρώα και παρακολούθηση → Μητρώα ασφαλείας

   
   

   Η σύνδεση καταγράφεται χρησιμοποιώντας τη διεύθυνση IP ως πηγή: 172.16.10.1 - αυτή είναι η διεύθυνση που έλαβε ο χρήστης μας μέσω της λειτουργίας Office.

   3. Υποστηριζόμενα προγράμματα-πελάτες για απομακρυσμένη πρόσβαση

   Αφού εξετάσαμε τη διαδικασία για τη ρύθμιση μιας απομακρυσμένης σύνδεσης στο γραφείο σας χρησιμοποιώντας το NGFW Check Point της οικογένειας SMB, θα ήθελα να γράψω σχετικά με την υποστήριξη πελατών για διάφορες συσκευές:

   • Endpoint VPN για Windows/Mac OS
   • Πελάτης κινητής τηλεφωνίας (Android / ΙΟΣ)
   • L2TP Native Client (Το Check Point υποστηρίζει αξιώσεις για την εγγενή εφαρμογή VPN της Microsoft).

   Η ποικιλία των υποστηριζόμενων λειτουργικών συστημάτων και συσκευών θα σας επιτρέψει να εκμεταλλευτείτε πλήρως την άδεια χρήσης που συνοδεύει το NGFW. Για να διαμορφώσετε μια ξεχωριστή συσκευή υπάρχει μια βολική επιλογή "Πώς να συνδεθείτε"

   

   Δημιουργεί αυτόματα βήματα σύμφωνα με τις ρυθμίσεις σας, τα οποία θα επιτρέψουν στους διαχειριστές να εγκαταστήσουν νέους πελάτες χωρίς κανένα πρόβλημα.

   Συμπέρασμα: Για να συνοψίσουμε αυτό το άρθρο, εξετάσαμε τις δυνατότητες VPN της οικογένειας NGFW Check Point SMB. Στη συνέχεια, περιγράψαμε τα βήματα για τη ρύθμιση της Απομακρυσμένης Πρόσβασης, στην περίπτωση της απομακρυσμένης σύνδεσης των χρηστών με το γραφείο, και στη συνέχεια μελετήσαμε τα εργαλεία παρακολούθησης. Στο τέλος του άρθρου μιλήσαμε για τους διαθέσιμους πελάτες και τις επιλογές σύνδεσης για απομακρυσμένη πρόσβαση. Έτσι, το υποκατάστημά σας θα μπορεί να διασφαλίζει τη συνέχεια και την ασφάλεια της εργασίας των εργαζομένων χρησιμοποιώντας τεχνολογίες VPN, παρά τις διάφορες εξωτερικές απειλές και παράγοντες.

   Μεγάλη ποικιλία υλικών στο Check Point από την TS Solution. Μείνετε συντονισμένοι (Telegram, Facebook, VK, Ιστολόγιο TS Solution, Γιάντεξ Ζεν).

Πηγή: www.habr.com