4. NGFW per le piccole imprese. VPN

Continuiamo la nostra serie di articoli su NGFW per le piccole imprese, lascia che ti ricordi che stiamo esaminando la nuova gamma di modelli della serie 1500. IN Parti 1 ciclo, ho menzionato una delle opzioni più utili al momento dell'acquisto di un dispositivo PMI: la fornitura di gateway con licenze Mobile Access integrate (da 100 a 200 utenti, a seconda del modello). In questo articolo esamineremo la configurazione di una VPN per i gateway della serie 1500 forniti con Gaia 80.20 Embedded preinstallato. Ecco un riepilogo:

1. Funzionalità VPN per PMI.
2. Organizzazione dell'accesso remoto per un piccolo ufficio.
3. Client disponibili per la connessione.

1. Opzioni VPN per PMI

Per preparare il materiale di oggi, il funzionario guida amministrativa versione R80.20.05 (attuale al momento della pubblicazione dell'articolo). Di conseguenza, in termini di VPN con Gaia 80.20 Embedded c'è il supporto per:

1. Da sito a sito. Creare tunnel VPN tra i tuoi uffici, dove gli utenti possono lavorare come se fossero sulla stessa rete “locale”.

   

2. Accesso remoto. Connessione remota alle risorse del tuo ufficio tramite i dispositivi finali dell'utente (PC, cellulari, ecc.). Inoltre, è presente un SSL Network Extender, che consente di pubblicare singole applicazioni ed eseguirle utilizzando l'applet Java, connettendosi tramite SSL. Nota: da non confondere con Mobile Access Portal (nessun supporto per Gaia Embedded).
   
   

Inoltre Consiglio vivamente il corso dell'autore TS Solution - VPN di accesso remoto Check Point rivela le tecnologie Check Point relative alla VPN, tocca i problemi di licenza e contiene istruzioni dettagliate per la configurazione.

2. Accesso remoto per piccoli uffici

Inizieremo ad organizzare un collegamento remoto con il tuo ufficio:

1. Affinché gli utenti possano creare un tunnel VPN con un gateway, è necessario disporre di un indirizzo IP pubblico. Se hai già completato la configurazione iniziale (Articolo 2 dal ciclo), quindi, di norma, il collegamento esterno è già attivo. Le informazioni possono essere trovate accedendo al Portale Gaia: Dispositivo → Rete → Internet

   
   

   Se la tua azienda utilizza un indirizzo IP pubblico dinamico, puoi impostare il DNS dinamico. Vai a Dispositivo → DDNS e accesso al dispositivo

   
   

   Attualmente è supportato da due fornitori: DynDns e no-ip.com. Per attivare l'opzione è necessario inserire le proprie credenziali (login, password).

2. Successivamente, creiamo un account utente, sarà utile per testare le impostazioni: VPN → Accesso remoto → Utenti di accesso remoto

   
   

   Nel gruppo (ad esempio: remoteaccess) creeremo un utente seguendo le istruzioni nello screenshot. La configurazione di un account è standard, imposta un login e una password e abilita inoltre l'opzione delle autorizzazioni di accesso remoto.

   
   

   Se hai applicato correttamente le impostazioni, dovrebbero apparire due oggetti: un utente locale, un gruppo locale di utenti.

   

3. Il prossimo passo è andare a VPN → Accesso remoto → Controllo blade. Assicurati che il tuo blade sia acceso e che il traffico proveniente da utenti remoti sia consentito.

   

4. *Quello sopra riportato rappresenta la serie minima di passaggi per configurare l'accesso remoto. Ma prima di testare la connessione, esploriamo le impostazioni avanzate accedendo alla scheda VPN → Accesso remoto → Avanzate

   
   

   In base alle impostazioni attuali, vediamo che quando gli utenti remoti si connettono, riceveranno un indirizzo IP dalla rete 172.16.11.0/24, grazie all'opzione Modalità Office. Questo è sufficiente con una riserva per utilizzare 200 licenze competitive (indicate per 1590 NGFW Check Point).

   Opzione "Instrada il traffico Internet dai client connessi attraverso questo gateway" è facoltativo ed è responsabile dell'instradamento di tutto il traffico dall'utente remoto attraverso il gateway (comprese le connessioni Internet). Ciò consente di ispezionare il traffico dell'utente e proteggere la sua workstation da varie minacce e malware.

5. *Lavorare con le politiche di accesso per l'accesso remoto

   Dopo aver configurato l'Accesso Remoto è stata creata una regola di accesso automatica a livello di Firewall, per visualizzarla è necessario andare nella scheda: Politica di accesso → Firewall → Politica

   
   

   In questo caso gli utenti remoti che fanno parte di un gruppo precedentemente creato potranno accedere a tutte le risorse interne dell'azienda; ricordiamo che la regola si trova nella sezione generale “Traffico in entrata, interno e VPN”. Per consentire il traffico degli utenti VPN verso Internet, sarà necessario creare una regola separata nella sezione generale “Accesso in uscita a Internet".

6. Infine, dobbiamo solo assicurarci che l’utente possa creare con successo un tunnel VPN verso il nostro gateway NGFW e ottenere l’accesso alle risorse interne dell’azienda. Per fare ciò, è necessario installare un client VPN sull'host da testare, viene fornita assistenza collegamento Per caricare. Dopo l'installazione, dovrai effettuare la procedura standard per l'aggiunta di un nuovo sito (indica l'indirizzo IP pubblico del tuo gateway). Per comodità, il processo è presentato in formato GIF

   
   
   Quando la connessione è già stabilita, controlliamo l'indirizzo IP ricevuto sulla macchina host utilizzando il comando in CMD: ipconfig

   
   

   Ci siamo assicurati che l'adattatore di rete virtuale ricevesse un indirizzo IP dalla modalità Office del nostro NGFW, i pacchetti sono stati inviati correttamente. Per completare possiamo andare su Gaia Portal: VPN → Accesso remoto → Utenti remoti connessi

   
   

   L'utente “ntuser” viene visualizzato come connesso, controlliamo la registrazione degli eventi andando su Registri e monitoraggio → Registri di sicurezza

   
   

   La connessione viene registrata utilizzando l'indirizzo IP come fonte: 172.16.10.1 - questo è l'indirizzo ricevuto dal nostro utente tramite la modalità Office.

   3. Client supportati per l'accesso remoto

   Dopo aver esaminato la procedura per impostare una connessione remota al proprio ufficio utilizzando NGFW Check Point della famiglia SMB, vorrei scrivere del supporto client per vari dispositivi:

   • VPN per endpoint per sistema operativo Windows/Mac
   • Cliente mobile (Android / IOS)
   • Client nativo L2TP (Check Point richiede il supporto per l'app VPN nativa di Microsoft).

   La varietà di sistemi operativi e dispositivi supportati ti consentirà di sfruttare appieno la licenza fornita con NGFW. Per configurare un dispositivo separato esiste un'opzione conveniente "Come connettere"

   

   Genera automaticamente passaggi in base alle tue impostazioni, che consentiranno agli amministratori di installare nuovi client senza problemi.

   Conclusione: Per riassumere questo articolo, abbiamo esaminato le funzionalità VPN della famiglia NGFW Check Point SMB. Successivamente, abbiamo descritto i passaggi per impostare l'Accesso Remoto, nel caso di connessione remota degli utenti all'ufficio, e poi abbiamo studiato gli strumenti di monitoraggio. Alla fine dell'articolo abbiamo parlato dei client disponibili e delle opzioni di connessione per l'accesso remoto. Pertanto, la tua filiale sarà in grado di garantire la continuità e la sicurezza del lavoro dei dipendenti utilizzando le tecnologie VPN, nonostante varie minacce e fattori esterni.

   Ampia selezione di materiali su Check Point di TS Solution. Rimani sintonizzato (Telegram, Facebook, VK, Blog sulle soluzioni TS, Yandeks.Dzen).

Fonte: habr.com