Γεια σε όλους! Αυτό το άρθρο θα εξετάσει τη λειτουργικότητα VPN στο προϊόν τείχους προστασίας Sophos XG. Στο προηγούμενο
Πρώτα απ 'όλα, ας δούμε τον πίνακα αδειοδότησης:
Μπορείτε να διαβάσετε περισσότερα σχετικά με τον τρόπο άδειας χρήσης του Sophos XG Firewall εδώ:
Αλλά σε αυτό το άρθρο θα μας ενδιαφέρουν μόνο εκείνα τα στοιχεία που επισημαίνονται με κόκκινο χρώμα.
Η κύρια λειτουργία VPN περιλαμβάνεται στη βασική άδεια χρήσης και αγοράζεται μόνο μία φορά. Αυτή είναι μια άδεια ζωής και δεν απαιτεί ανανέωση. Η ενότητα Base VPN Options περιλαμβάνει:
Ιστότοπος σε ιστότοπο:
- SSL VPN
- IPSec VPN
Απομακρυσμένη πρόσβαση ( VPN πελάτη):
- SSL VPN
- IPsec Clientless VPN (με δωρεάν προσαρμοσμένη εφαρμογή)
- L2TP
- PPTP
Όπως μπορείτε να δείτε, υποστηρίζονται όλα τα δημοφιλή πρωτόκολλα και οι τύποι συνδέσεων VPN.
Επίσης, το Sophos XG Firewall διαθέτει δύο ακόμη τύπους συνδέσεων VPN που δεν περιλαμβάνονται στη βασική συνδρομή. Αυτά είναι το RED VPN και το HTML5 VPN. Αυτές οι συνδέσεις VPN περιλαμβάνονται στη συνδρομή Network Protection, πράγμα που σημαίνει ότι για να χρησιμοποιήσετε αυτούς τους τύπους πρέπει να έχετε μια ενεργή συνδρομή, η οποία περιλαμβάνει επίσης λειτουργίες προστασίας δικτύου - μονάδες IPS και ATP.
Το RED VPN είναι ένα αποκλειστικό L2 VPN από τη Sophos. Αυτός ο τύπος σύνδεσης VPN έχει πολλά πλεονεκτήματα σε σχέση με το SSL από ιστότοπο σε ιστότοπο ή το IPSec κατά τη ρύθμιση ενός VPN μεταξύ δύο XG. Σε αντίθεση με το IPSec, το RED tunnel δημιουργεί μια εικονική διεπαφή και στα δύο άκρα της σήραγγας, η οποία βοηθά στην αντιμετώπιση προβλημάτων, και σε αντίθεση με το SSL, αυτή η εικονική διεπαφή είναι πλήρως προσαρμόσιμη. Ο διαχειριστής έχει τον πλήρη έλεγχο του υποδικτύου εντός της σήραγγας RED, γεγονός που διευκολύνει την επίλυση προβλημάτων δρομολόγησης και διενέξεων υποδικτύου.
HTML5 VPN ή VPN χωρίς πελάτη – Ένας συγκεκριμένος τύπος VPN που σας επιτρέπει να προωθείτε υπηρεσίες μέσω HTML5 απευθείας στο πρόγραμμα περιήγησης. Τύποι υπηρεσιών που μπορούν να διαμορφωθούν:
- RDP
- Telnet
- SSH
- VNC
- fTP
- FTPS
- SFTP
- SMB
Αξίζει όμως να ληφθεί υπόψη ότι αυτός ο τύπος VPN χρησιμοποιείται μόνο σε ειδικές περιπτώσεις και συνιστάται, εάν είναι δυνατόν, να χρησιμοποιείτε τύπους VPN από τις παραπάνω λίστες.
Πρακτική
Ας ρίξουμε μια πρακτική ματιά στον τρόπο διαμόρφωσης πολλών από αυτούς τους τύπους σηράγγων, συγκεκριμένα: IPSec από ιστότοπο σε ιστότοπο και απομακρυσμένη πρόσβαση SSL VPN.
Ιστότοπος σε ιστότοπο IPSec VPN
Ας ξεκινήσουμε με το πώς να ρυθμίσετε μια σήραγγα IPSec VPN από ιστότοπο σε ιστότοπο μεταξύ δύο τείχη προστασίας του Sophos XG. Κάτω από την κουκούλα χρησιμοποιεί το strongSwan, το οποίο σας επιτρέπει να συνδεθείτε σε οποιονδήποτε δρομολογητή με δυνατότητα IPSec.
Μπορείτε να χρησιμοποιήσετε έναν βολικό και γρήγορο οδηγό εγκατάστασης, αλλά θα ακολουθήσουμε τη γενική διαδρομή, ώστε, με βάση αυτές τις οδηγίες, να μπορείτε να συνδυάσετε το Sophos XG με οποιονδήποτε εξοπλισμό χρησιμοποιώντας IPSec.
Ας ανοίξουμε το παράθυρο ρυθμίσεων πολιτικής:
Όπως μπορούμε να δούμε, υπάρχουν ήδη προκαθορισμένες ρυθμίσεις, αλλά θα δημιουργήσουμε τις δικές μας.
Ας διαμορφώσουμε τις παραμέτρους κρυπτογράφησης για την πρώτη και τη δεύτερη φάση και ας αποθηκεύσουμε την πολιτική. Κατ' αναλογία, κάνουμε τα ίδια βήματα στο δεύτερο Sophos XG και προχωράμε στη ρύθμιση του ίδιου του τούνελ IPSec
Εισαγάγετε το όνομα, τον τρόπο λειτουργίας και διαμορφώστε τις παραμέτρους κρυπτογράφησης. Για παράδειγμα, θα χρησιμοποιήσουμε Preshared Key
και υποδεικνύουν τοπικά και απομακρυσμένα υποδίκτυα.
Η σύνδεσή μας δημιουργήθηκε
Κατ' αναλογία, κάνουμε τις ίδιες ρυθμίσεις στο δεύτερο Sophos XG, με εξαίρεση τον τρόπο λειτουργίας, εκεί θα ρυθμίσουμε το Initiate the connection
Τώρα έχουμε διαμορφώσει δύο σήραγγες. Στη συνέχεια, πρέπει να τα ενεργοποιήσουμε και να τα εκτελέσουμε. Αυτό γίνεται πολύ απλά, πρέπει να κάνετε κλικ στον κόκκινο κύκλο κάτω από τη λέξη Active για ενεργοποίηση και στον κόκκινο κύκλο κάτω από το Connection για να ξεκινήσει η σύνδεση.
Αν δούμε αυτή την εικόνα:
Αυτό σημαίνει ότι η σήραγγα μας λειτουργεί σωστά. Εάν η δεύτερη ένδειξη είναι κόκκινη ή κίτρινη, τότε κάτι δεν έχει ρυθμιστεί σωστά στις πολιτικές κρυπτογράφησης ή στα τοπικά και απομακρυσμένα υποδίκτυα. Να σας υπενθυμίσω ότι οι ρυθμίσεις πρέπει να αντικατοπτρίζονται.
Ξεχωριστά, θα ήθελα να επισημάνω ότι μπορείτε να δημιουργήσετε ομάδες Failover από σήραγγες IPSec για ανοχή σφαλμάτων:
Απομακρυσμένη πρόσβαση SSL VPN
Ας περάσουμε στο Απομακρυσμένη πρόσβαση SSL VPN για χρήστες. Κάτω από την κουκούλα υπάρχει ένα τυπικό OpenVPN. Αυτό επιτρέπει στους χρήστες να συνδέονται μέσω οποιουδήποτε προγράμματος-πελάτη που υποστηρίζει αρχεία διαμόρφωσης .ovpn (για παράδειγμα, ένα πρόγραμμα-πελάτη τυπικής σύνδεσης).
Πρώτα, πρέπει να διαμορφώσετε τις πολιτικές διακομιστή OpenVPN:
Καθορίστε τη μεταφορά για σύνδεση, διαμορφώστε τη θύρα, το εύρος των διευθύνσεων IP για τη σύνδεση απομακρυσμένων χρηστών
Μπορείτε επίσης να καθορίσετε ρυθμίσεις κρυπτογράφησης.
Μετά τη ρύθμιση του διακομιστή, προχωράμε στη ρύθμιση των συνδέσεων πελάτη.
Κάθε κανόνας σύνδεσης SSL VPN δημιουργείται για μια ομάδα ή για έναν μεμονωμένο χρήστη. Κάθε χρήστης μπορεί να έχει μόνο μία πολιτική σύνδεσης. Σύμφωνα με τις ρυθμίσεις, αυτό που είναι ενδιαφέρον είναι ότι για κάθε τέτοιο κανόνα μπορείτε να καθορίσετε μεμονωμένους χρήστες που θα χρησιμοποιούν αυτήν τη ρύθμιση ή μια ομάδα από το AD, μπορείτε να ενεργοποιήσετε το πλαίσιο ελέγχου έτσι ώστε όλη η κίνηση να είναι τυλιγμένη σε μια σήραγγα VPN ή να καθορίσετε τις διευθύνσεις IP. υποδίκτυα ή ονόματα FQDN διαθέσιμα στους χρήστες . Με βάση αυτές τις πολιτικές, θα δημιουργηθεί αυτόματα ένα προφίλ .ovpn με ρυθμίσεις για τον πελάτη.
Χρησιμοποιώντας την πύλη χρήστη, ο χρήστης μπορεί να πραγματοποιήσει λήψη τόσο ενός αρχείου .ovpn με ρυθμίσεις για τον πελάτη VPN όσο και ενός αρχείου εγκατάστασης προγράμματος-πελάτη VPN με ένα ενσωματωμένο αρχείο ρυθμίσεων σύνδεσης.
Συμπέρασμα
Σε αυτό το άρθρο, εξετάσαμε εν συντομία τη λειτουργικότητα VPN στο προϊόν του Sophos XG Firewall. Εξετάσαμε πώς μπορείτε να διαμορφώσετε το IPSec VPN και το SSL VPN. Αυτή δεν είναι μια πλήρης λίστα με το τι μπορεί να κάνει αυτή η λύση. Στα επόμενα άρθρα θα προσπαθήσω να αναθεωρήσω το RED VPN και να δείξω πώς φαίνεται στην ίδια τη λύση.
Σας ευχαριστώ για το χρόνο σας.
Εάν έχετε οποιεσδήποτε ερωτήσεις σχετικά με την εμπορική έκδοση του XG Firewall, μπορείτε να επικοινωνήσετε μαζί μας, την εταιρεία
Πηγή: www.habr.com