Sziasztok! Ez a cikk a Sophos XG Firewall termék VPN-funkcióit tekinti át. Az előzőben Megnéztük, hogyan lehet teljes licenccel ingyen hozzájutni ehhez az otthoni hálózatvédelmi megoldáshoz. Ma a Sophos XG-be beépített VPN-funkciókról fogunk beszélni. Megpróbálom elmondani, mire képes ez a termék, és példákat mutatok be az IPSec Site-to-Site VPN és egy egyéni SSL VPN beállítására. Tehát kezdjük az áttekintéssel.
Először is nézzük meg az engedélyezési táblázatot:
A Sophos XG Firewall licencéről itt olvashat bővebben:
De ebben a cikkben csak a pirossal kiemelt elemek érdekelnek minket.
A fő VPN-funkciókat az alaplicenc tartalmazza, és csak egyszer kell megvásárolni. Ez egy életre szóló licenc, és nem szükséges megújítani. Az alap VPN-beállítások modul a következőket tartalmazza:
Webhelyről webhelyre:
- SSL VPN
- IPSec VPN
Távoli hozzáférés (ügyfél VPN):
- SSL VPN
- IPsec Clientless VPN (ingyenes egyéni alkalmazással)
- L2TP
- PPTP
Amint láthatja, minden népszerű protokoll és VPN-kapcsolat típus támogatott.
Ezenkívül a Sophos XG Firewall további kétféle VPN-kapcsolattal rendelkezik, amelyek nem szerepelnek az alap előfizetésben. Ezek a RED VPN és a HTML5 VPN. Ezeket a VPN kapcsolatokat a Network Protection előfizetés tartalmazza, ami azt jelenti, hogy ezeknek a típusoknak a használatához aktív előfizetéssel kell rendelkeznie, amely hálózati védelmi funkciókat is tartalmaz - IPS és ATP modulokat.
A RED VPN a Sophos szabadalmaztatott L2 VPN-je. Az ilyen típusú VPN-kapcsolat számos előnnyel rendelkezik a helyek közötti SSL-lel vagy az IPSec-cel szemben, ha VPN-t állít be két XG között. Az IPSec-től eltérően a RED alagút virtuális felületet hoz létre az alagút mindkét végén, ami segít a problémák megoldásában, és az SSL-lel ellentétben ez a virtuális felület teljesen testreszabható. Az adminisztrátor teljes mértékben felügyeli az alhálózatot a RED alagútban, ami megkönnyíti az útválasztási problémák és az alhálózati ütközések megoldását.
HTML5 VPN vagy Clientless VPN – A VPN egy speciális típusa, amely lehetővé teszi a szolgáltatások HTML5-ön keresztüli továbbítását közvetlenül a böngészőben. A konfigurálható szolgáltatások típusai:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
De érdemes megfontolni, hogy ezt a típusú VPN-t csak speciális esetekben használják, és lehetőség szerint ajánlott a fenti listákból származó VPN-típusok használata.
Gyakorlat
Vessünk egy gyakorlati pillantást az ilyen típusú alagutak konfigurálására, nevezetesen: Site-to-Site IPSec és SSL VPN Remote Access.
Site-to-Site IPSec VPN
Kezdjük azzal, hogyan állíthatunk be egy helyek közötti IPSec VPN alagutat két Sophos XG tűzfal között. A motorháztető alatt a strongSwan funkciót használja, amely lehetővé teszi, hogy bármilyen IPSec-kompatibilis routerhez csatlakozzon.
Használhat egy kényelmes és gyors beállítási varázslót, de mi az általános utat követjük, hogy ezen utasítások alapján a Sophos XG-t bármilyen IPSec-et használó berendezéssel kombinálhassa.
Nyissuk meg a házirend-beállítások ablakát:
Amint látjuk, vannak már előre beállított beállítások, de mi elkészítjük saját magunkat.
Állítsuk be az első és a második fázis titkosítási paramétereit, és mentsük el a házirendet. Analógia alapján megtesszük ugyanezeket a lépéseket a második Sophos XG-n, és folytatjuk magának az IPSec alagútnak a beállítását.
Adja meg a nevet, az üzemmódot és konfigurálja a titkosítási paramétereket. Például az előre megosztott kulcsot fogjuk használni
és jelzi a helyi és távoli alhálózatokat.
Kapcsolatunk létrejött
Hasonlóképpen a második Sophos XG-n is ugyanazokat a beállításokat végezzük el, az üzemmód kivételével, ott beállítjuk a kapcsolat kezdeményezését
Most két alagút van beállítva. Ezután aktiválnunk kell és futtatnunk kell őket. Ez nagyon egyszerűen megtehető, az aktív szó alatti piros körre kell kattintani az aktiváláshoz és a piros körre a Connection alatt a kapcsolat elindításához.
Ha ezt a képet látjuk:
Ez azt jelenti, hogy az alagútunk megfelelően működik. Ha a második jelző piros vagy sárga, akkor valami helytelenül van beállítva a titkosítási házirendekben vagy a helyi és távoli alhálózatokban. Hadd emlékeztesselek arra, hogy a beállításokat tükrözni kell.
Külön szeretném kiemelni, hogy az IPSec alagutakból is létrehozhat feladatátvételi csoportokat a hibatűrés érdekében:
Távoli hozzáférés SSL VPN
Térjünk át a távoli hozzáférésű SSL VPN-re a felhasználók számára. A motorháztető alatt egy szabványos OpenVPN található. Ez lehetővé teszi a felhasználók számára, hogy bármely olyan ügyfélen keresztül csatlakozzanak, amely támogatja az .ovpn konfigurációs fájlokat (például szabványos kapcsolati kliensen).
Először is konfigurálnia kell az OpenVPN szerver házirendjeit:
Adja meg a kapcsolat szállítását, konfigurálja a portot, az IP-címek tartományát a távoli felhasználók csatlakoztatásához
Titkosítási beállításokat is megadhat.
A szerver beállítása után folytatjuk az ügyfélkapcsolatok beállítását.
Minden SSL VPN kapcsolati szabály egy csoporthoz vagy egy egyéni felhasználóhoz jön létre. Minden felhasználónak csak egy kapcsolati szabályzata lehet. A beállítások szerint az az érdekes, hogy minden ilyen szabálynál megadható az egyes felhasználók, akik ezt a beállítást fogják használni, vagy egy csoport az AD-ből, be lehet kapcsolni a jelölőnégyzetet, hogy minden forgalom VPN-alagútba kerüljön, vagy megadható az IP-címek, a felhasználók számára elérhető alhálózatok vagy FQDN nevek. Ezen házirendek alapján automatikusan létrejön egy .ovpn profil a kliens beállításaival.
A felhasználói portál használatával a felhasználó letölthet egy .ovpn fájlt a VPN-kliens beállításaival, valamint egy VPN-kliens telepítőfájlt egy beépített kapcsolatbeállítási fájllal.
Következtetés
Ebben a cikkben röviden áttekintettük a Sophos XG Firewall termék VPN-funkcióit. Megvizsgáltuk, hogyan konfigurálhatja az IPSec VPN-t és az SSL VPN-t. Ez nem egy teljes lista arról, hogy ez a megoldás mire képes. A következő cikkekben megpróbálom áttekinteni a RED VPN-t, és megmutatni, hogyan néz ki magában a megoldásban.
Köszönöm az idődet.
Ha kérdése van az XG Firewall kereskedelmi verziójával kapcsolatban, forduljon hozzánk, a céghez , Sophos forgalmazó. Nincs más dolgod, mint szabad formában írni a címen .
Forrás: will.com