4. NGFW pour les petites entreprises. VPN

Nous poursuivons notre série d'articles sur NGFW pour les petites entreprises, permettez-moi de vous rappeler que nous examinons la nouvelle gamme de modèles de la série 1500. DANS 1 pièces cycle, j'ai mentionné l'une des options les plus utiles lors de l'achat d'un appareil PME : la fourniture de passerelles avec licences Mobile Access intégrées (de 100 à 200 utilisateurs, selon le modèle). Dans cet article, nous examinerons la configuration d'un VPN pour les passerelles de la série 1500 fournies avec Gaia 80.20 Embedded préinstallé. Voici un résumé :

1. Capacités VPN pour les PME.
2. Organisation de l'accès à distance pour un petit bureau.
3. Clients disponibles pour la connexion.

1. Options VPN pour les PME

Afin de préparer le matériel d'aujourd'hui, le responsable guide d'administration version R80.20.05 (en vigueur au moment de la publication de l'article). En conséquence, en termes de VPN avec Gaia 80.20 Embedded, il est pris en charge :

1. Site à site. Créer des tunnels VPN entre vos bureaux, où les utilisateurs peuvent travailler comme s'ils étaient sur le même réseau « local ».

   

2. Accès à distance. Connexion à distance aux ressources de votre bureau à l'aide des appareils finaux des utilisateurs (PC, téléphones mobiles, etc.). De plus, il existe un SSL Network Extender, il vous permet de publier des applications individuelles et de les exécuter à l'aide de l'applet Java, en vous connectant via SSL. Note: à ne pas confondre avec Mobile Access Portal (pas de prise en charge de Gaia Embedded).
   
   

en outre Je recommande fortement le cours de l'auteur TS Solution - VPN d'accès à distance Check Point il révèle les technologies Check Point concernant le VPN, aborde les problèmes de licence et contient des instructions de configuration détaillées.

2. Accès à distance pour les petits bureaux

Nous allons commencer à organiser une connexion à distance à votre bureau :

1. Pour que les utilisateurs puissent créer un tunnel VPN avec une passerelle, vous devez disposer d'une adresse IP publique. Si vous avez déjà terminé la configuration initiale (Article 2 du cycle), alors, en règle générale, le lien externe est déjà actif. Des informations peuvent être trouvées en allant sur le portail Gaia : Appareil → Réseau → Internet

   
   

   Si votre entreprise utilise une adresse IP publique dynamique, vous pouvez définir un DNS dynamique. Aller à Appareil → DDNS et accès aux appareils

   
   

   Actuellement, il existe un support de deux fournisseurs : DynDns et no-ip.com. Pour activer l'option, vous devez saisir vos identifiants (identifiant, mot de passe).

2. Créons ensuite un compte utilisateur, il sera utile pour tester les paramètres : VPN → Accès à distance → Utilisateurs d'accès à distance

   
   

   Dans le groupe (par exemple : accès à distance) nous créerons un utilisateur en suivant les instructions de la capture d'écran. La configuration d'un compte est standard, définissez un identifiant et un mot de passe et activez en outre l'option d'autorisations d'accès à distance.

   
   

   Si vous avez appliqué les paramètres avec succès, deux objets devraient apparaître : un utilisateur local, un groupe local d'utilisateurs.

   

3. La prochaine étape est d'aller à VPN → Accès à distance → Contrôle de la lame. Assurez-vous que votre lame est allumée et que le trafic provenant d'utilisateurs distants est autorisé.

   

4. *Ce qui précède correspond à l'ensemble minimum d'étapes pour configurer l'accès à distance. Mais avant de tester la connexion, explorons les paramètres avancés en allant dans l'onglet VPN → Accès à distance → Avancé

   
   

   Sur la base des paramètres actuels, nous voyons que lorsque les utilisateurs distants se connectent, ils recevront une adresse IP du réseau 172.16.11.0/24, grâce à l'option Office Mode. C'est suffisant avec une réserve pour utiliser 200 licences compétitives (indiquées pour 1590 NGFW Check Point).

   Option "Acheminer le trafic Internet des clients connectés via cette passerelle" est facultatif et est responsable du routage de tout le trafic de l'utilisateur distant via la passerelle (y compris les connexions Internet). Cela permet d'inspecter le trafic de l'utilisateur et de protéger son poste de travail contre diverses menaces et malwares.

5. *Travailler avec les politiques d'accès pour l'accès à distance

   Après avoir configuré l'accès à distance, une règle d'accès automatique a été créée au niveau du pare-feu, pour la visualiser il faut vous rendre dans l'onglet : Politique d'accès → Pare-feu → Politique

   
   

   Dans ce cas, les utilisateurs distants membres d'un groupe préalablement créé pourront accéder à toutes les ressources internes de l'entreprise ; notez que la règle se trouve dans la section générale. « Trafic entrant, interne et VPN ». Afin d'autoriser le trafic des utilisateurs VPN vers Internet, vous devrez créer une règle distincte dans la section générale "Accès sortant à Internet ».

6. Enfin, nous devons simplement nous assurer que l’utilisateur peut créer avec succès un tunnel VPN vers notre passerelle NGFW et accéder aux ressources internes de l’entreprise. Pour ce faire, vous devez installer un client VPN sur l'hébergeur testé, une aide est fournie lien Pour le chargement. Après l'installation, vous devrez effectuer la procédure standard d'ajout d'un nouveau site (indiquer l'adresse IP publique de votre passerelle). Pour plus de commodité, le processus est présenté sous forme GIF

   
   
   Lorsque la connexion est déjà établie, vérifions l'adresse IP reçue sur la machine hôte à l'aide de la commande dans CMD : ipconfig

   
   

   Nous nous sommes assurés que la carte réseau virtuelle recevait une adresse IP du mode Office de notre NGFW, les paquets ont été envoyés avec succès. Pour compléter, on peut aller sur Gaia Portal : VPN → Accès à distance → Utilisateurs distants connectés

   
   

   L'utilisateur « ntuser » s'affiche comme connecté, vérifions la journalisation des événements en allant sur Journaux et surveillance → Journaux de sécurité

   
   

   La connexion est enregistrée en utilisant l'adresse IP comme source : 172.16.10.1 - c'est l'adresse reçue par notre utilisateur via le mode Office.

   3. Clients pris en charge pour l'accès à distance

   Après avoir examiné la procédure de configuration d'une connexion à distance à votre bureau à l'aide de NGFW Check Point de la famille SMB, je voudrais écrire sur le support client pour divers appareils :

   • VPN de point de terminaison pour Windows/Mac OS
   • Client mobile (Android / IOS)
   • Client natif L2TP (Check Point revendique la prise en charge de l'application VPN native de Microsoft).

   La variété de systèmes d'exploitation et d'appareils pris en charge vous permettra de profiter pleinement de votre licence fournie avec NGFW. Afin de configurer un appareil séparé, il existe une option pratique "Comment se connecter"

   

   Il génère automatiquement des étapes en fonction de vos paramètres, ce qui permettra aux administrateurs d'installer de nouveaux clients sans aucun problème.

   Conclusion: Pour résumer cet article, nous avons examiné les capacités VPN de la famille NGFW Check Point SMB. Nous avons ensuite décrit les étapes de mise en place de l'accès à distance, dans le cas d'une connexion à distance des utilisateurs au bureau, puis étudié les outils de surveillance. À la fin de l'article, nous avons parlé des clients disponibles et des options de connexion pour l'accès à distance. Ainsi, votre succursale pourra assurer la continuité et la sécurité du travail des employés grâce aux technologies VPN, malgré diverses menaces et facteurs externes.

   Grand choix de matériaux sur Check Point de TS Solution. Restez à l'écoute (Telegram, Facebook, VK, Blog de la solution TS, Yandex.Den).

Source: habr.com