Salut tout le monde! Cet article passe en revue la fonctionnalité VPN du produit Sophos XG Firewall. Dans le précédent Nous avons examiné comment obtenir gratuitement cette solution de protection du réseau domestique avec une licence complète. Aujourd'hui, nous allons parler de la fonctionnalité VPN intégrée à Sophos XG. Je vais essayer de vous dire ce que ce produit peut faire, et également de donner des exemples de configuration d'un VPN site à site IPSec et d'un VPN SSL personnalisé. Commençons donc par l'examen.
Tout d'abord, regardons le tableau des licences :
Vous pouvez en savoir plus sur la licence de Sophos XG Firewall ici :
Mais dans cet article, nous ne nous intéresserons qu'aux éléments surlignés en rouge.
La fonctionnalité principale du VPN est incluse dans la licence de base et n'est achetée qu'une seule fois. Il s'agit d'une licence à vie et ne nécessite pas de renouvellement. Le module Options VPN de base comprend :
Site à site :
- VPN SSL
- VPN IPSec
Accès à distance (VPN client) :
- VPN SSL
- VPN sans client IPsec (avec application personnalisée gratuite)
- L2TP
- PPTP
Comme vous pouvez le constater, tous les protocoles et types de connexions VPN populaires sont pris en charge.
De plus, Sophos XG Firewall propose deux autres types de connexions VPN qui ne sont pas incluses dans l'abonnement de base. Il s'agit du VPN RED et du VPN HTML5. Ces connexions VPN sont incluses dans l'abonnement Network Protection, ce qui signifie que pour utiliser ces types, vous devez disposer d'un abonnement actif, qui inclut également des fonctionnalités de protection du réseau - modules IPS et ATP.
RED VPN est un VPN L2 propriétaire de Sophos. Ce type de connexion VPN présente de nombreux avantages par rapport au SSL site à site ou à IPSec lors de la configuration d'un VPN entre deux XG. Contrairement à IPSec, le tunnel RED crée une interface virtuelle aux deux extrémités du tunnel, ce qui facilite le dépannage, et contrairement à SSL, cette interface virtuelle est entièrement personnalisable. L'administrateur a un contrôle total sur le sous-réseau au sein du tunnel RED, ce qui facilite la résolution des problèmes de routage et des conflits de sous-réseau.
VPN HTML5 ou VPN sans client – Un type spécifique de VPN qui vous permet de transférer des services via HTML5 directement dans le navigateur. Types de services pouvant être configurés :
- RDP
- Telnet
- SSH
- VNC
- Ftp
- FTPS
- SFTP
- SMB
Mais il convient de considérer que ce type de VPN n'est utilisé que dans des cas particuliers et il est recommandé, si possible, d'utiliser les types de VPN des listes ci-dessus.
Pratique
Jetons un coup d'œil pratique à la façon de configurer plusieurs de ces types de tunnels, à savoir : Site-to-Site IPSec et SSL VPN Remote Access.
VPN IPSec site à site
Commençons par comment configurer un tunnel VPN IPSec site à site entre deux pare-feu Sophos XG. Sous le capot, il utilise strongSwan, qui vous permet de vous connecter à n'importe quel routeur compatible IPSec.
Vous pouvez utiliser un assistant de configuration pratique et rapide, mais nous suivrons le chemin général afin que, sur la base de ces instructions, vous puissiez combiner Sophos XG avec n'importe quel équipement utilisant IPSec.
Ouvrons la fenêtre des paramètres de stratégie :
Comme nous pouvons le voir, il existe déjà des paramètres prédéfinis, mais nous allons créer les nôtres.
Configurons les paramètres de chiffrement pour les première et deuxième phases et enregistrons la politique. Par analogie, nous effectuons les mêmes étapes sur le deuxième Sophos XG et passons à la configuration du tunnel IPSec lui-même
Saisissez le nom, le mode de fonctionnement et configurez les paramètres de cryptage. Par exemple, nous utiliserons la clé pré-partagée
et indiquez les sous-réseaux locaux et distants.
Notre connexion a été créée
Par analogie, nous effectuons les mêmes réglages sur le deuxième Sophos XG, à l'exception du mode de fonctionnement, nous y définirons Initier la connexion
Nous avons maintenant deux tunnels configurés. Ensuite, nous devons les activer et les exécuter. Cela se fait très simplement, il faut cliquer sur le cercle rouge sous le mot Actif pour activer et sur le cercle rouge sous Connexion pour démarrer la connexion.
Si on voit cette photo :
Cela signifie que notre tunnel fonctionne correctement. Si le deuxième indicateur est rouge ou jaune, cela signifie que quelque chose n'est pas configuré correctement dans les stratégies de chiffrement ou dans les sous-réseaux locaux et distants. Permettez-moi de vous rappeler que les paramètres doivent être reflétés.
Par ailleurs, je voudrais souligner que vous pouvez créer des groupes de basculement à partir de tunnels IPSec pour la tolérance aux pannes :
VPN SSL d'accès à distance
Passons au VPN SSL d'accès à distance pour les utilisateurs. Sous le capot se trouve un OpenVPN standard. Cela permet aux utilisateurs de se connecter via n'importe quel client prenant en charge les fichiers de configuration .ovpn (par exemple, un client de connexion standard).
Tout d'abord, vous devez configurer les politiques du serveur OpenVPN :
Spécifiez le transport pour la connexion, configurez le port, la plage d'adresses IP pour connecter les utilisateurs distants
Vous pouvez également spécifier les paramètres de cryptage.
Après avoir configuré le serveur, nous procédons à la configuration des connexions client.
Chaque règle de connexion VPN SSL est créée pour un groupe ou pour un utilisateur individuel. Chaque utilisateur ne peut avoir qu'une seule stratégie de connexion. Selon les paramètres, ce qui est intéressant, c'est que pour chacune de ces règles, vous pouvez spécifier des utilisateurs individuels qui utiliseront ce paramètre ou un groupe d'AD, vous pouvez cocher la case pour que tout le trafic soit encapsulé dans un tunnel VPN ou spécifier les adresses IP, sous-réseaux ou noms FQDN disponibles pour les utilisateurs. Sur la base de ces politiques, un profil .ovpn avec les paramètres du client sera automatiquement créé.
À l'aide du portail utilisateur, l'utilisateur peut télécharger à la fois un fichier .ovpn avec les paramètres du client VPN et un fichier d'installation du client VPN avec un fichier de paramètres de connexion intégré.
Conclusion
Dans cet article, nous avons brièvement passé en revue la fonctionnalité VPN du produit Sophos XG Firewall. Nous avons examiné comment configurer un VPN IPSec et un VPN SSL. Il ne s’agit pas d’une liste complète de ce que cette solution peut faire. Dans les articles suivants, je vais essayer de passer en revue RED VPN et de montrer à quoi cela ressemble dans la solution elle-même.
Merci pour votre temps.
Si vous avez des questions sur la version commerciale de XG Firewall, vous pouvez nous contacter, la société , distributeur Sophos. Il vous suffit d'écrire sous forme libre à .
Source: habr.com