Nastavljamo našu seriju članaka o NGFW za mala poduzeća, dopustite mi da vas podsjetim da recenziramo novu ponudu modela serije 1500. U 1 dijelovi ciklusu, spomenuo sam jednu od najkorisnijih opcija pri kupnji SMB uređaja - nabavu gatewaya s ugrađenim licencama za mobilni pristup (od 100 do 200 korisnika, ovisno o modelu). U ovom ćemo članku pogledati postavljanje VPN-a za pristupnike serije 1500 koji dolaze s unaprijed instaliranim Gaia 80.20 Embedded. Evo sažetka:
VPN mogućnosti za SMB.
Organizacija daljinskog pristupa za mali ured.
Dostupni klijenti za povezivanje.
1. VPN opcije za SMB
U svrhu pripreme današnjeg materijala službeni administratorski vodič verzija R80.20.05 (aktualna u vrijeme objave članka). Sukladno tome, u pogledu VPN-a s Gaia 80.20 Embedded postoji podrška za:
Site-to-Site. Stvaranje VPN tunela između vaših ureda, gdje korisnici mogu raditi kao da su na istoj “lokalnoj” mreži.
Udaljeni pristup. Daljinsko povezivanje s vašim uredskim resursima pomoću korisničkih krajnjih uređaja (osobna računala, mobilni telefoni itd.). Dodatno, tu je i SSL Network Extender, koji vam omogućuje objavljivanje pojedinačnih aplikacija i njihovo pokretanje pomoću Java Appleta, povezivanjem putem SSL-a. Napomena: ne smije se miješati s Mobile Access Portal (nema podrške za Gaia Embedded).
dodatno Toplo preporučujem autorov tečaj TS Solution - Check Point udaljeni pristup VPN otkriva Check Point tehnologije u vezi s VPN-om, dotiče se pitanja licenciranja i sadrži detaljne upute za postavljanje.
2. Daljinski pristup za male urede
Počinjemo s organizacijom daljinske veze s vašim uredom:
Kako bi korisnici mogli izgraditi VPN tunel s pristupnikom, morate imati javnu IP adresu. Ako ste već dovršili početno postavljanje (2 članak iz ciklusa), tada je u pravilu Vanjska poveznica već aktivna. Informacije možete pronaći na portalu Gaia: Uređaj → Mreža → Internet
Ako vaša tvrtka koristi dinamičku javnu IP adresu, tada možete postaviti dinamički DNS. Ići Uređaj → DDNS i pristup uređaju
Trenutno postoji podrška od dva pružatelja: DynDns i no-ip.com. Za aktiviranje opcije potrebno je unijeti svoje vjerodajnice (prijavu, lozinku).
Zatim, kreirajmo korisnički račun, bit će koristan za testiranje postavki: VPN → Daljinski pristup → Korisnici daljinskog pristupa
U grupi (na primjer: remoteaccess) kreirat ćemo korisnika prema uputama na snimci zaslona. Postavljanje računa je standardno, postavite prijavu i lozinku te dodatno omogućite opciju Remote Access permissions.
Ako ste uspješno primijenili postavke, trebala bi se pojaviti dva objekta: lokalni korisnik, lokalna grupa korisnika.
Sljedeći korak je otići na VPN → Udaljeni pristup → Blade Control. Provjerite je li vaš blade uključen i je li dopušten promet udaljenih korisnika.
*Ovo je minimalni skup koraka za postavljanje daljinskog pristupa. Ali prije nego testiramo vezu, istražimo napredne postavke tako da odemo na karticu VPN → Udaljeni pristup → Napredno
Na temelju trenutnih postavki vidimo da će udaljeni korisnici kada se povežu dobiti IP adresu s mreže 172.16.11.0/24, zahvaljujući opciji Office Mode. Ovo je dovoljno s rezervom za korištenje 200 konkurentskih licenci (indicirano za 1590 NGFW Check Point).
Opcija "Usmjeri internetski promet od povezanih klijenata kroz ovaj pristupnik" nije obavezan i odgovoran je za usmjeravanje cjelokupnog prometa od udaljenog korisnika kroz pristupnik (uključujući internetske veze). To vam omogućuje pregled prometa korisnika i zaštitu njegove radne stanice od raznih prijetnji i malwarea.
*Rad s pravilima pristupa za daljinski pristup
Nakon što smo konfigurirali udaljeni pristup, stvoreno je pravilo automatskog pristupa na razini vatrozida, da biste ga vidjeli morate otići na karticu: Pravila pristupa → Vatrozid → Pravila
U ovom slučaju, udaljeni korisnici koji su članovi prethodno stvorene grupe moći će pristupiti svim internim resursima tvrtke; imajte na umu da se pravilo nalazi u općem odjeljku “Dolazni, interni i VPN promet”. Kako biste dopustili VPN korisnički promet na Internet, morat ćete stvoriti zasebno pravilo u općem odjeljku “Odlazni pristup Internetu".
Konačno, samo trebamo osigurati da korisnik može uspješno kreirati VPN tunel do našeg NGFW pristupnika i dobiti pristup internim resursima tvrtke. Da biste to učinili, trebate instalirati VPN klijent na host koji se testira, pomoć je osigurana link Za utovar. Nakon instalacije morat ćete provesti standardnu proceduru za dodavanje nove stranice (naznačite javnu IP adresu svog pristupnika). Radi praktičnosti, proces je predstavljen u GIF obliku
Kada je veza već uspostavljena, provjerimo primljenu IP adresu na glavnom računalu pomoću naredbe u CMD-u: ipconfig
Uvjerili smo se da je virtualni mrežni adapter primio IP adresu iz uredskog načina rada našeg NGFW-a, paketi su uspješno poslani. Za dovršetak možemo otići na portal Gaia: VPN → Daljinski pristup → Povezani udaljeni korisnici
Korisnik "ntuser" prikazan je kao povezan, provjerimo bilježenje događaja odlaskom na Dnevnici i nadzor → Sigurnosni zapisnici
Veza se bilježi korištenjem IP adrese kao izvora: 172.16.10.1 - ovo je adresa koju je naš korisnik primio putem Uredskog načina rada.
3. Podržani klijenti za daljinski pristup
Nakon što smo pregledali proceduru za postavljanje daljinske veze s vašim uredom pomoću NGFW Check Pointa SMB obitelji, želio bih pisati o korisničkoj podršci za različite uređaje:
L2TP izvorni klijent (Check Point tvrdi da podržava Microsoftovu izvornu VPN aplikaciju).
Razni podržani operativni sustavi i uređaji omogućit će vam da u potpunosti iskoristite svoju licencu koja dolazi s NGFW. Za konfiguriranje zasebnog uređaja postoji prikladna opcija “Kako se povezati”
Automatski generira korake prema vašim postavkama, što će omogućiti administratorima da bez problema instaliraju nove klijente.
Zaključak: Da rezimiramo ovaj članak, pogledali smo VPN mogućnosti NGFW Check Point SMB obitelji. Zatim smo opisali korake za postavljanje Remote Accessa, u slučaju daljinskog povezivanja korisnika s uredom, a zatim proučili alate za nadzor. Na kraju članka govorili smo o dostupnim klijentima i mogućnostima povezivanja za daljinski pristup. Tako će vaša poslovnica moći osigurati kontinuitet i sigurnost rada zaposlenika koristeći VPN tehnologije, unatoč raznim vanjskim prijetnjama i čimbenicima.