Bonjour, chers lecteurs du blog TS Solution, nous poursuivons la série d'articles sur les solutions NGFW CheckPoint dans le segment PME. Pour plus de commodité, vous pouvez vous familiariser avec la gamme de modèles, étudier les caractéristiques et les capacités de , nous vous suggérons alors de vous tourner vers le déballage et la configuration initiale en utilisant l'exemple d'un véritable équipement 1590 Check Point dans .
Pour ceux qui découvrent tout juste la gamme de modèles SMB - adaptée aux petits bureaux ou succursales pouvant accueillir jusqu'à 200 personnes (en choisissant le modèle 1590). L'une des caractéristiques de cette famille est la prise en charge de la communication sans fil ; cela peut être utile lorsque l'infrastructure dispose d'appareils dotés d'un adaptateur WiFi ou que NGFW a besoin d'un accès à Internet via les communications mobiles. Pour les tâches répertoriées, vous aurez besoin de technologies : WiFi, LTE. Cet article porte sur cela, où nous examinerons :
- Activation et configuration du mode WiFi NGFW.
- Activation et configuration du mode de fonctionnement LTE du NGFW.
- Conclusions générales sur les technologies sans fil pour NGFW.
NGFW et WiFi
Si nous revenons à la partie 2 de notre série, nous avons laissé l'option de connexion utilisateur sans fil désactivée, vous devez donc vous rendre dans l'onglet Appareil → Réseau → Sans fil
Dans la capture d'écran que j'ai fournie, il existe deux modes de fonctionnement WiFi possibles :
- 2.4 GHz est une fréquence prise en charge par la plupart des générations d'appareils sans fil.
- 5 GHz est une fréquence qui constitue la norme moderne pour travailler avec des appareils sans fil ; elle est prise en charge par tous les smartphones, tablettes et ordinateurs portables modernes.
Également à partir de la capture d'écran (ci-dessus), vous pouvez constater que j'ai déjà activé le mode de fonctionnement 5 GHz, configurons ensemble 2.4 GHz, pour ce faire, cliquez sur le bouton "Configurer".
Dans la fenêtre de création du point d'accès, il nous est demandé de spécifier un ensemble standard de paramètres. Vous pouvez utiliser un mot de passe ou un serveur Radius comme méthode d'authentification. L'option « Autoriser l'accès de ce réseau aux réseaux locaux » est responsable de l'accès de vos clients sans fil aux ressources internes situées derrière le Check Point NGFW. Une fois votre point configuré, vous pouvez modifier davantage de paramètres.
Paramètres disponibles
Une fois que l'appareil testé s'est connecté à votre point d'accès, nous pouvons nous assurer qu'il est sur notre réseau, allez dans l'onglet : Journaux et surveillance → État → Périphériques actifs sans fil
Si nous cliquons sur un objet avec un nom, nous verrons les propriétés du client connecté :
En plus des informations sur l'appareil, je considère les options utiles suivantes :
- enregistrer l'objet pour l'utiliser dans les règles (1);
- bloquer l'accès à ce client (2).
De plus, sur la base de nos paramètres pour Application Blade (dans la terminologie CheckPoint, l'un des modules), il est interdit de cliquer sur des liens potentiellement dangereux.
Nous essayons d'ouvrir l'une des catégories sur un appareil mobile en nous connectant via WiFi au point de contrôle NGFW et, par conséquent, en accédant à Internet via celui-ci.
Conclusion: L'utilisateur n'a pas pu accéder au site, qui appartient à la catégorie Anonymizer.
Ainsi, nous avons examiné la configuration de base pour connecter les utilisateurs via WiFi, ce qui est pratique dans les petits bureaux où se trouvent de nombreux appareils sans fil. Dans le même temps, la solution Check Point NGFW vous permet de protéger vos utilisateurs contre les vulnérabilités et les contenus malveillants, et vous disposez d'options flexibles pour surveiller les hôtes sans fil. Je voudrais mentionner séparément l'administration à l'aide d'une application mobile ; la méthode a été décrite dans l'un de nos .
NGFW et LTE
Les modèles 1570, 1590 sont livrés avec un modem LTE, qui vous permet d'utiliser Micro/Nano SIM et ainsi d'établir une connexion 4G. Pour les curieux, nous laisserons un petit rappel sous le spoiler.
Instructions pour l'installation de la carte SIM
Vous avez donc installé la carte SIM, après quoi vous devez retourner sur le portail Gaia et passer à la section suivante Appareil → Réseau → Internet. Par défaut, vous aurez une connexion WAN ; vous devez créer une nouvelle connexion en suivant la flèche rouge.
Où nous devrons définir le nom de la connexion, déterminer le type d'interface (dans notre cas Cellulaire)
De plus, ouvrez l'onglet "Surveillance des connexions", ici il est possible d'envoyer automatiquement : une requête ARP vers la route par défaut, des paquets ICMP vers des sources spécifiées, je note que vous pouvez spécifier vos ressources pour la surveillance.
Insérer "Cellulaire" se charge de choisir les priorités entre les SIM, en saisissant les données d'authentification si nécessaire (APN, PIN).
Dans l'onglet "Avancée" Il est possible de définir les paramètres réseau :
- paramètres de l'interface (MTU, MAC)
- QOS
- Redondance du FAI
- NAT
- DHCP
Après avoir créé un nouveau type de connexion, vous trouverez un tableau des connexions Internet dans Appareil → Réseau → Internet :
Dans la capture d'écran présentée ci-dessus, nous voyons une nouvelle connexion « LTE_TELE2 », comme vous l'avez peut-être deviné, il s'agit d'une carte SIM du fournisseur Tele2. Le tableau fournit des informations sur le niveau du signal, indique le pourcentage de pertes et le temps de retard. De plus, il est possible d'ouvrir l'option Surveillance des connexions.
Dans la fenêtre de surveillance, nous voyons les résultats de l'envoi de requêtes à jusqu'à trois serveurs, dont l'un est personnalisé (ya.ru). Affiché ici :
- pourcentage de perte de paquets ;
- pourcentage d'erreurs réseau ;
- temps de réponse (moyen, minimum et maximum) ;
- gigue.
Si vous êtes intéressé par des informations système sur le modem LTE sur NGFW Check Point, vous devez vous rendre sur Journaux et surveillance → Diagnostics → Outils → Surveiller le modem cellulaire :
Ensuite, nous avons analysé la vitesse d'accès à Internet de l'hôte final, qui est connecté au NGFW via WiFi (5 GHz), et la passerelle elle-même utilise une connexion LTE pour envoyer des paquets au réseau mondial. Nous avons comparé les valeurs obtenues avec la situation où le même emplacement géographique est utilisé, mais le téléphone se connecte directement à Internet. Pour plus de commodité, les résultats sont cachés sous un spoiler.
Résultats du test de vitesse
Bien entendu, ces indicateurs ont des erreurs et leurs propres caractéristiques, avançons une hypothèse : le NGFW 1590 amplifie la puissance du signal cellulaire entrant à l'aide de deux antennes externes. Cette affirmation est indirectement confirmée par les résultats du SpeedTest, réalisé dans les mêmes conditions et montrant une diminution du Ping et de la latence sur une même ressource.
Facilité
NGFW+LTE
Mobile+LTE
Ping (ms)
30
34
Gigue (ms)
7.2
5.2
Vitesse entrante (Mbp/s)
16.1
12
Vitesse sortante (Mbp/s)
10.9
2.97
Afin d'évaluer l'efficacité des antennes externes NGFW Check Point 1590, nous avons mesuré le niveau de réception du signal, puis, à l'aide du menu d'ingénierie, nous avons effectué une mesure similaire pour le téléphone. Les résultats sont présentés ci-dessous :
Ainsi, le niveau de puissance de réception du signal est considéré comme meilleur lorsque sa valeur négative tend vers 0. La valeur obtenue pour le téléphone était de (-109 dBm), pour le modem (-61 dBm). Ce qui confirme globalement notre hypothèse et indique la stabilité de la communication LTE de la famille NGFW SMB.
Conclusions générales
Pour résumer la partie d'aujourd'hui, deux technologies ont été considérées : le WiFi et le LTE, qui sont pris en charge par les modèles 1570, 1590 Check Point.
Pour les petits bureaux et succursales, il n'est pas toujours possible d'installer des points d'accès sans fil séparés. NGFW aidera donc à organiser un réseau sans fil et, surtout, à protéger ces utilisateurs.
Quant au modem LTE basé sur NGFW, à mon avis, les cas d'utilisation suivants seront demandés :
- Manque de connexion filaire à Internet. Dans ce cas, vous serez obligé d'utiliser les communications mobiles pour fournir une connexion Internet. Ce scénario est également pertinent pour des entreprises spécifiques dont le type d'activité nécessite le placement « mobile » de leur infrastructure réseau, quelles que soient les conditions (terrain, disponibilité des communications filaires, etc.).
- Réservation du canal principal d'accès filaire. Je vous rappelle que NGFW prend en charge le travail avec deux SIM, cela augmente la tolérance aux pannes de votre infrastructure en cas d'accident avec l'une des liaisons filaires. Vous pouvez également activer manuellement la connexion LTE, en fonction de votre scénario d'utilisation.
. Restez à l'écoute (, , , , ).
Source: habr.com