Hola queridos lectores del blog TS Solution, continuamos la serie de artículos sobre las soluciones NGFW CheckPoint en el segmento Pymes. Para mayor comodidad, puede familiarizarse con la gama de modelos, estudiar las características y capacidades en , entonces sugerimos pasar al desembalaje y la configuración inicial usando el ejemplo del equipo 1590 Check Point real en .
Para aquellos que recién se están familiarizando con la gama de modelos SMB, adecuada para oficinas pequeñas o sucursales de hasta 200 personas (al elegir el modelo 1590). Una de las características de esta familia es el soporte para comunicación inalámbrica, esto puede ser útil cuando la infraestructura cuenta con dispositivos que cuentan con adaptador WiFi o NGFW necesita acceso a Internet a través de comunicaciones móviles. Para las tareas enumeradas necesitará tecnologías: WiFi, LTE. Este artículo trata sobre esto, donde veremos:
- Habilitación y configuración del modo WiFi NGFW.
- Habilitación y configuración del modo de funcionamiento LTE del NGFW.
- Conclusiones generales sobre tecnologías inalámbricas para NGFW.
NGFW y Wi-Fi
Si volvemos a la parte 2 de nuestra serie, dejamos desactivada la opción de conexión inalámbrica de usuario, por lo que debes ir a la pestaña Dispositivo → Red → Inalámbrico
En la captura de pantalla que proporcioné, hay dos modos de funcionamiento WiFi posibles:
- 2.4 GHz es una frecuencia compatible con la mayoría de las generaciones de dispositivos inalámbricos.
- 5 GHz es una frecuencia que es el estándar moderno para trabajar con dispositivos inalámbricos; se encuentra compatible con todos los teléfonos inteligentes, tabletas y portátiles modernos.
También en la captura de pantalla (arriba) puede observar que ya habilité el modo de funcionamiento de 5 GHz, configuremos 2.4 GHz juntos, para hacer esto, haga clic en el botón "Configurar".
En la ventana de creación del punto de acceso, se nos pide que especifiquemos un conjunto estándar de parámetros. Puede utilizar una contraseña o un servidor Radius como método de autenticación. La opción "Permitir el acceso desde esta red a las redes locales" es responsable del acceso de sus clientes inalámbricos a los recursos internos que se encuentran detrás del Check Point NGFW. Una vez configurado su punto, puede cambiar más parámetros.
Configuraciones disponibles
Después de que el dispositivo bajo prueba se haya conectado a su punto de acceso, podemos asegurarnos de que está en nuestra red, vaya a la pestaña: Registros y monitoreo → Estado → Dispositivos activos inalámbricos
Si hacemos clic en un objeto con un nombre, veremos las propiedades del cliente conectado:
Además de la información sobre el dispositivo, considero las siguientes opciones útiles:
- guardar objeto para usarlo en reglas (1);
- bloquear el acceso a este cliente (2).
Además, según nuestra configuración para Application Blade (en la terminología de CheckPoint, uno de los módulos), está prohibido hacer clic en enlaces potencialmente peligrosos.
Intentamos abrir una de las categorías en un dispositivo móvil conectándonos a través de WiFi al NGFW Check Point y, en consecuencia, accediendo a Internet a través de él.
Conclusión: El usuario no pudo acceder al sitio, que pertenece a la categoría Anonymizer.
Por lo tanto, analizamos la configuración básica para conectar usuarios mediante WiFi, lo cual es conveniente en oficinas pequeñas donde hay muchos dispositivos inalámbricos. Al mismo tiempo, la solución Check Point NGFW le permite proteger a sus usuarios de vulnerabilidades y contenido malicioso, y tiene opciones flexibles para monitorear hosts inalámbricos. Me gustaría mencionar por separado la administración mediante una aplicación móvil; el método se describió en uno de nuestros .
NGFW y LTE
Los modelos 1570, 1590 vienen con un módem LTE, que le permite utilizar Micro/Nano SIM y así establecer una conexión 4G. Para aquellos que tengan curiosidad, dejaremos un breve recordatorio debajo del spoiler.
Instrucciones para instalar SIM
Entonces has instalado la SIM, luego debes regresar al Portal Gaia y pasar a la siguiente sección Dispositivo → Red → Internet. De forma predeterminada, tendrá una conexión WAN; deberá crear una nueva conexión siguiendo la flecha roja.
Donde necesitaremos configurar el nombre de la conexión, determinar el tipo de interfaz (en nuestro caso Celular)
Además, abra la pestaña "Monitoreo de conexión", aquí es posible enviar automáticamente: una solicitud ARP a la ruta predeterminada, paquetes ICMP a fuentes específicas, observo que puede especificar sus recursos para el monitoreo.
Pestaña "Celular" se encarga de elegir prioridades entre SIM, ingresando datos de autenticación si es necesario (APN, PIN).
En la pestaña "Avanzado" Es posible configurar la configuración de red:
- configuración de la interfaz (MTU, MAC)
- QOS
- Redundancia de ISP
- NAT
- DHCP
Después de crear un nuevo tipo de conexión, encontrará una tabla de conexiones a Internet en Dispositivo → Red → Internet:
En la captura de pantalla presentada arriba vemos una nueva conexión "LTE_TELE2", como habrás adivinado, esta es una SIM del proveedor Tele2. La tabla proporciona información sobre el nivel de la señal, muestra el porcentaje de pérdidas y el tiempo de retardo. Además, es posible abrir la opción. Monitoreo de conexión.
En la ventana de seguimiento vemos los resultados del envío de solicitudes a hasta tres servidores, uno de ellos personalizado (ya.ru). Mostrado aquí:
- porcentaje de pérdida de paquetes;
- porcentaje de errores de red;
- tiempo de respuesta (promedio, mínimo y máximo);
- estar nervioso.
Si está interesado en información del sistema sobre el módem LTE en NGFW Check Point, debe ir a Registros y monitoreo → Diagnóstico → Herramientas → Monitorear módem celular:
A continuación, analizamos la velocidad de acceso a Internet para el host final, que está conectado al NGFW a través de WiFi (5 GHz), y la propia puerta de enlace utiliza una conexión LTE para enviar paquetes a la Red Global. Comparamos los valores obtenidos con la situación en la que se utiliza la misma ubicación geográfica, pero el teléfono se conecta directamente a Internet. Por conveniencia, los resultados están ocultos bajo un spoiler.
Resultados de la prueba de velocidad
Por supuesto, estos indicadores tienen errores y características propias, planteemos una hipótesis: NGFW 1590 amplifica la potencia de la señal celular entrante mediante dos antenas externas. Esta afirmación se ve confirmada indirectamente por los resultados de SpeedTest, realizado en las mismas condiciones y que muestra una disminución en el Ping y la latencia para el mismo recurso.
objeto
NGFW+LTE
Móvil+LTE
Ping (ms)
30
34
Nerviosismo (ms)
7.2
5.2
Velocidad entrante (Mbp/s)
16.1
12
Velocidad de salida (Mbp/s)
10.9
2.97
Para evaluar la efectividad de las antenas externas NGFW Check Point 1590, medimos el nivel de recepción de la señal y luego, usando el menú de ingeniería, realizamos una medición similar para el teléfono. Los resultados se presentan a continuación:
En consecuencia, el nivel de potencia de recepción de la señal se considera mejor cuando su valor negativo tiende a 0. El valor obtenido para el teléfono fue (-109 dBm), para el módem (-61 dBm). Lo que en general confirma nuestra hipótesis e indica la estabilidad de la comunicación LTE de la familia NGFW SMB.
Conclusiones generales
Para resumir la parte de hoy, se consideraron dos tecnologías: WiFi y LTE, que son compatibles con los modelos 1570, 1590 Check Point.
Para oficinas y sucursales pequeñas, no siempre es posible instalar puntos de acceso inalámbrico separados, por lo que NGFW ayudará a organizar una red inalámbrica y, lo más importante, a proteger a dichos usuarios.
En cuanto al módem LTE basado en NGFW, en mi opinión, se demandarán los siguientes casos de uso:
- Falta de conexión por cable a Internet. En este caso, se verá obligado a utilizar comunicaciones móviles para proporcionar una conexión a Internet. Este escenario también es relevante para empresas específicas cuyo tipo de actividad requiere la colocación “móvil” de su infraestructura de red, independientemente de las condiciones (terreno, disponibilidad de comunicaciones por cable, etc.).
- Reserva del canal principal de acceso cableado. Permítame recordarle que NGFW admite el trabajo con dos SIM, esto aumenta la tolerancia a fallas de su infraestructura en caso de un accidente con uno de los enlaces cableados. También puede habilitar manualmente la conexión LTE, según su escenario de uso.
. Manténganse al tanto (, , , , ).
Fuente: habr.com