4. NGFW za mala poduzeća. VPN

Nastavljamo našu seriju članaka o NGFW za mala poduzeća, dopustite mi da vas podsjetim da recenziramo novu ponudu modela serije 1500. U 1 dijelovi ciklusu, spomenuo sam jednu od najkorisnijih opcija pri kupnji SMB uređaja - nabavu gatewaya s ugrađenim licencama za mobilni pristup (od 100 do 200 korisnika, ovisno o modelu). U ovom ćemo članku pogledati postavljanje VPN-a za pristupnike serije 1500 koji dolaze s unaprijed instaliranim Gaia 80.20 Embedded. Evo sažetka:

1. VPN mogućnosti za SMB.
2. Organizacija daljinskog pristupa za mali ured.
3. Dostupni klijenti za povezivanje.

1. VPN opcije za SMB

U svrhu pripreme današnjeg materijala službeni administratorski vodič verzija R80.20.05 (aktualna u vrijeme objave članka). Sukladno tome, u pogledu VPN-a s Gaia 80.20 Embedded postoji podrška za:

1. Site-to-Site. Stvaranje VPN tunela između vaših ureda, gdje korisnici mogu raditi kao da su na istoj “lokalnoj” mreži.

   

2. Udaljeni pristup. Daljinsko povezivanje s vašim uredskim resursima pomoću korisničkih krajnjih uređaja (osobna računala, mobilni telefoni itd.). Dodatno, tu je i SSL Network Extender, koji vam omogućuje objavljivanje pojedinačnih aplikacija i njihovo pokretanje pomoću Java Appleta, povezivanjem putem SSL-a. Napomena: ne smije se miješati s Mobile Access Portal (nema podrške za Gaia Embedded).
   
   

dodatno Toplo preporučujem autorov tečaj TS Solution - Check Point udaljeni pristup VPN otkriva Check Point tehnologije u vezi s VPN-om, dotiče se pitanja licenciranja i sadrži detaljne upute za postavljanje.

2. Daljinski pristup za male urede

Počinjemo s organizacijom daljinske veze s vašim uredom:

1. Kako bi korisnici mogli izgraditi VPN tunel s pristupnikom, morate imati javnu IP adresu. Ako ste već dovršili početno postavljanje (2 članak iz ciklusa), tada je u pravilu Vanjska poveznica već aktivna. Informacije možete pronaći na portalu Gaia: Uređaj → Mreža → Internet

   
   

   Ako vaša tvrtka koristi dinamičku javnu IP adresu, tada možete postaviti dinamički DNS. Ići Uređaj → DDNS i pristup uređaju

   
   

   Trenutno postoji podrška od dva pružatelja: DynDns i no-ip.com. Za aktiviranje opcije potrebno je unijeti svoje vjerodajnice (prijavu, lozinku).

2. Zatim, kreirajmo korisnički račun, bit će koristan za testiranje postavki: VPN → Daljinski pristup → Korisnici daljinskog pristupa

   
   

   U grupi (na primjer: remoteaccess) kreirat ćemo korisnika prema uputama na snimci zaslona. Postavljanje računa je standardno, postavite prijavu i lozinku te dodatno omogućite opciju Remote Access permissions.

   
   

   Ako ste uspješno primijenili postavke, trebala bi se pojaviti dva objekta: lokalni korisnik, lokalna grupa korisnika.

   

3. Sljedeći korak je otići na VPN → Udaljeni pristup → Blade Control. Provjerite je li vaš blade uključen i je li dopušten promet udaljenih korisnika.

   

4. *Ovo je minimalni skup koraka za postavljanje daljinskog pristupa. Ali prije nego testiramo vezu, istražimo napredne postavke tako da odemo na karticu VPN → Udaljeni pristup → Napredno

   
   

   Na temelju trenutnih postavki vidimo da će udaljeni korisnici kada se povežu dobiti IP adresu s mreže 172.16.11.0/24, zahvaljujući opciji Office Mode. Ovo je dovoljno s rezervom za korištenje 200 konkurentskih licenci (indicirano za 1590 NGFW Check Point).

   Opcija "Usmjeri internetski promet od povezanih klijenata kroz ovaj pristupnik" nije obavezan i odgovoran je za usmjeravanje cjelokupnog prometa od udaljenog korisnika kroz pristupnik (uključujući internetske veze). To vam omogućuje pregled prometa korisnika i zaštitu njegove radne stanice od raznih prijetnji i malwarea.

5. *Rad s pravilima pristupa za daljinski pristup

   Nakon što smo konfigurirali udaljeni pristup, stvoreno je pravilo automatskog pristupa na razini vatrozida, da biste ga vidjeli morate otići na karticu: Pravila pristupa → Vatrozid → Pravila

   
   

   U ovom slučaju, udaljeni korisnici koji su članovi prethodno stvorene grupe moći će pristupiti svim internim resursima tvrtke; imajte na umu da se pravilo nalazi u općem odjeljku “Dolazni, interni i VPN promet”. Kako biste dopustili VPN korisnički promet na Internet, morat ćete stvoriti zasebno pravilo u općem odjeljku “Odlazni pristup Internetu".

6. Konačno, samo trebamo osigurati da korisnik može uspješno kreirati VPN tunel do našeg NGFW pristupnika i dobiti pristup internim resursima tvrtke. Da biste to učinili, trebate instalirati VPN klijent na host koji se testira, pomoć je osigurana link Za utovar. Nakon instalacije morat ćete provesti standardnu ​​proceduru za dodavanje nove stranice (naznačite javnu IP adresu svog pristupnika). Radi praktičnosti, proces je predstavljen u GIF obliku

   
   
   Kada je veza već uspostavljena, provjerimo primljenu IP adresu na glavnom računalu pomoću naredbe u CMD-u: ipconfig

   
   

   Uvjerili smo se da je virtualni mrežni adapter primio IP adresu iz uredskog načina rada našeg NGFW-a, paketi su uspješno poslani. Za dovršetak možemo otići na portal Gaia: VPN → Daljinski pristup → Povezani udaljeni korisnici

   
   

   Korisnik "ntuser" prikazan je kao povezan, provjerimo bilježenje događaja odlaskom na Dnevnici i nadzor → Sigurnosni zapisnici

   
   

   Veza se bilježi korištenjem IP adrese kao izvora: 172.16.10.1 - ovo je adresa koju je naš korisnik primio putem Uredskog načina rada.

   3. Podržani klijenti za daljinski pristup

   Nakon što smo pregledali proceduru za postavljanje daljinske veze s vašim uredom pomoću NGFW Check Pointa SMB obitelji, želio bih pisati o korisničkoj podršci za različite uređaje:

   • Endpoint VPN za Windows/Mac OS
   • Mobilni klijent (Android / IOS)
   • L2TP izvorni klijent (Check Point tvrdi da podržava Microsoftovu izvornu VPN aplikaciju).

   Razni podržani operativni sustavi i uređaji omogućit će vam da u potpunosti iskoristite svoju licencu koja dolazi s NGFW. Za konfiguriranje zasebnog uređaja postoji prikladna opcija “Kako se povezati”

   

   Automatski generira korake prema vašim postavkama, što će omogućiti administratorima da bez problema instaliraju nove klijente.

   Zaključak: Da rezimiramo ovaj članak, pogledali smo VPN mogućnosti NGFW Check Point SMB obitelji. Zatim smo opisali korake za postavljanje Remote Accessa, u slučaju daljinskog povezivanja korisnika s uredom, a zatim proučili alate za nadzor. Na kraju članka govorili smo o dostupnim klijentima i mogućnostima povezivanja za daljinski pristup. Tako će vaša poslovnica moći osigurati kontinuitet i sigurnost rada zaposlenika koristeći VPN tehnologije, unatoč raznim vanjskim prijetnjama i čimbenicima.

   Veliki izbor materijala na Check Pointu tvrtke TS Solution. Pratite nas (Telegram, Facebook, VK, Blog o TS rješenjima, Yandex Zen).

Izvor: www.habr.com