4. NGFW enpresa txikientzat. VPN

Enpresa txikientzako NGFWri buruzko gure artikulu sorta jarraitzen dugu, gogorarazten dizut 1500 serieko modelo sorta berria berrikusten ari garela. IN 1 piezak zikloa, SMB gailu bat erostean aukerarik erabilgarrienetako bat aipatu dut: sarbide mugikorretarako lizentziak dituzten atebideen hornidura (100etik 200era erabiltzaile, ereduaren arabera). Artikulu honetan Gaia 1500 Embedded aurrez instalatuta duten 80.20 serieko atebideetarako VPN bat konfiguratzea aztertuko dugu. Hona hemen laburpen bat:

1. SMBrako VPN gaitasunak.
2. Bulego txiki baterako Urruneko Sarbidearen antolaketa.
3. Konexiorako eskuragarri dauden bezeroak.

1. SMBrako VPN aukerak

Gaurko materiala prestatzeko, ofiziala administratzaileen gida R80.20.05 bertsioa (artikulua argitaratzen den unean). Horren arabera, Gaia 80.20 Embedded-ekin VPNari dagokionez, honako hauek onartzen dira:

1. Gune-Gune. Zure bulegoen artean VPN tunelak sortzea, non erabiltzaileek sare "tokiko" berean egongo balira bezala lan egin dezaketen.

   

2. Urruneko Sarbidea. Zure bulegoko baliabideetara urruneko konexioa erabiltzailearen azken gailuak erabiliz (ordenagailuak, telefono mugikorrak, etab.). Gainera, SSL Network Extender bat dago, aplikazio indibidualak argitaratzeko eta Java Applet-a erabiliz exekutatzeko aukera ematen du, SSL bidez konektatuz. Oharra: ez da mugikorrentzako sarbidea atariarekin nahastu (Gaia Embedded-en laguntzarik ez).
   
   

gainera Egilearen TS Solution ikastaroa gomendatzen dut - Check Point Urruneko Sarbide VPN VPNri buruzko Check Point teknologiak erakusten ditu, lizentzia-arazoak ukitzen ditu eta konfigurazio argibide zehatzak ditu.

2. Bulego txikietarako Urruneko Sarbidea

Zure bulegorako urruneko konexioa antolatzen hasiko gara:

1. Erabiltzaileek atebide batekin VPN tunel bat eraikitzeko, IP helbide publiko bat izan behar duzu. Hasierako konfigurazioa dagoeneko osatu baduzu (2 artikulu ziklotik), orduan, oro har, Kanpo Esteka dagoeneko aktibo dago. Informazioa Gaia Atarira joanda aurki dezakezu: Gailua → Sarea → Internet

   
   

   Zure enpresak IP helbide publiko dinamiko bat erabiltzen badu, DNS dinamikoa ezar dezakezu. Joan Gailu → DDNS eta gailurako sarbidea

   
   

   Gaur egun, bi hornitzaileren laguntza dago: DynDns eta no-ip.com. Aukera aktibatzeko zure kredentzialak sartu behar dituzu (saioa, pasahitza).

2. Ondoren, sor dezagun erabiltzaile-kontu bat, ezarpenak probatzeko erabilgarria izango da: VPN → Urruneko sarbidea → Urruneko sarbidea erabiltzaileak

   
   

   Taldean (adibidez: remoteaccess) erabiltzaile bat sortuko dugu pantaila-argazkiko argibideak jarraituz. Kontu bat konfiguratzea normala da, saio-hasiera eta pasahitza ezarri eta, gainera, Urruneko Sarbiderako baimenen aukera gaitu.

   
   

   Ezarpenak behar bezala aplikatu badituzu, bi objektu agertu beharko lirateke: tokiko erabiltzaile bat, tokiko erabiltzaile talde bat.

   

3. Hurrengo urratsa bertara joatea da VPN → Urruneko sarbidea → Blade Kontrola. Ziurtatu zure blade piztuta dagoela eta urruneko erabiltzaileen trafikoa baimenduta dagoela.

   

4. *Aurrekoa Urruneko Sarbidea konfiguratzeko gutxieneko urratsa izan zen. Baina konexioa probatu aurretik, arakatu ditzagun ezarpen aurreratuak fitxara joanda VPN → Urruneko sarbidea → Aurreratua

   
   

   Uneko ezarpenetan oinarrituta, ikusten dugu urruneko erabiltzaileak konektatzen direnean, 172.16.11.0/24 saretik IP helbide bat jasoko dutela, Office Mode aukerari esker. Hau nahikoa da 200 lizentzia lehiakor erabiltzeko erreserba batekin (1590 NGFW Check Point-erako adierazita).

   Aukera "Bidaratu Interneteko trafikoa konektatutako bezeroetatik pasabide honetatik" aukerakoa da eta urruneko erabiltzailearen trafiko guztia atebidetik bideratzeaz arduratzen da (Interneteko konexioak barne). Horri esker, erabiltzailearen trafikoa ikuskatu eta bere lantokia babesteko hainbat mehatxu eta malwaretik.

5. *Urrutiko Sarbiderako sarbide-politikekin lan egitea

   Urruneko sarbidea konfiguratu ondoren, sarbide automatikoko arau bat sortu zen Firewall mailan, hura ikusteko fitxara joan behar duzu: Sarbide-politika > Firewall > Politika

   
   

   Kasu honetan, aldez aurretik sortutako talde bateko kide diren urruneko erabiltzaileek enpresaren barne baliabide guztietara sartzeko aukera izango dute; kontuan izan araua atal orokorrean dagoela. "Sarrerako, Barneko eta VPN trafikoa". VPN erabiltzaileen trafikoa Internetera ahalbidetzeko, aparteko arau bat sortu beharko duzu atal orokorrean "Irteerako sarbidea Internetera".

6. Azkenik, ziurtatu behar dugu erabiltzaileak VPN tunel bat arrakastaz sor dezakeela gure NGFW atebidean eta konpainiaren barne baliabideetarako sarbidea izan dezakeela. Horretarako, VPN bezero bat instalatu behar duzu probatzen ari den ostalarian, laguntza eskaintzen da link Kargatzeko. Instalatu ondoren, gune berri bat gehitzeko prozedura estandarra egin beharko duzu (adierazi zure atebidearen IP helbide publikoa). Erosotasunerako, prozesua GIF moduan aurkezten da

   
   
   Konexioa dagoeneko ezarrita dagoenean, egiaztatu dezagun jasotako IP helbidea ostalari-makinan CMD-ko komandoa erabiliz: ipconfig

   
   

   Ziurtatu dugu sare birtualeko moldagailuak IP helbide bat jasotzen zuela gure NGFW-ko Office Modutik, paketeak behar bezala bidali zirela. Osatzeko, Gaia Portalera joan gaitezke: VPN → Urruneko sarbidea → Konektatutako urruneko erabiltzaileak

   
   

   "ntuser" erabiltzailea konektatuta bezala bistaratzen da, egiazta dezagun gertaeren erregistroa helbidera joanez Erregistroak eta jarraipena → Segurtasun erregistroak

   
   

   Konexioa iturburu gisa IP helbidea erabiliz erregistratzen da: 172.16.10.1 - hau da gure erabiltzaileak Office moduaren bidez jasotzen duen helbidea.

   3. Urruneko Sarbiderako onartzen diren bezeroak

   SMB familiako NGFW Check Point erabiliz zure bulegorako urruneko konexioa konfiguratzeko prozedura berrikusi ondoren, hainbat gailuentzako bezeroen laguntzari buruz idatzi nahi nuke:

   • Endpoint VPN Windows/Mac OS-rako
   • Bezero mugikorra (Android / IOS)
   • L2TP Native Client (Check Pointek Microsoft-en jatorrizko VPN aplikaziorako laguntza eskatzen du).

   Onartutako sistema eragile eta gailu ezberdinek NGFW-rekin datorren lizentziari etekina ateratzeko aukera emango dizute. Gailu bereizi bat konfiguratzeko aukera eroso bat dago “Nola konektatu”

   

   Zure ezarpenen araberako urratsak automatikoki sortzen ditu, eta horri esker, administratzaileek bezero berriak instala ditzakete arazorik gabe.

   Ondorioa: Artikulu hau laburbiltzeko, NGFW Check Point SMB familiaren VPN gaitasunak aztertu ditugu. Jarraian, Urruneko Sarbidea konfiguratzeko urratsak deskribatu ditugu, erabiltzaileen bulegora urruneko konexioaren kasuan, eta ondoren monitorizazio tresnak aztertu ditugu. Artikuluaren amaieran eskuragarri dauden bezeroei eta Urruneko Sarbiderako konexio aukerei buruz hitz egin dugu. Horrela, zure bulegoak langileen lanaren jarraipena eta segurtasuna bermatu ahal izango ditu VPN teknologiak erabiliz, kanpoko mehatxu eta faktore ezberdinak izan arren.

   TS Solution-ren Check Point-eko material aukera zabala. Egon adi (Telegrama, Facebook, VK, TS Solution Bloga, Yandex.Zen).

Iturria: www.habr.com