Ciao a tutti! Questo articolo esaminerà la funzionalità VPN nel prodotto Sophos XG Firewall. Nel precedente Abbiamo esaminato come ottenere gratuitamente questa soluzione di protezione della rete domestica con una licenza completa. Oggi parleremo della funzionalità VPN integrata in Sophos XG. Cercherò di dirti cosa può fare questo prodotto e di fornire anche esempi di configurazione di una VPN IPSec Site-to-Site e di una VPN SSL personalizzata. Allora cominciamo con la recensione.
Prima di tutto, diamo un'occhiata alla tabella delle licenze:
Puoi leggere ulteriori informazioni sulle licenze di Sophos XG Firewall qui:
Ma in questo articolo ci interesseranno solo gli elementi evidenziati in rosso.
La funzionalità principale della VPN è inclusa nella licenza base e si acquista una sola volta. Questa è una licenza a vita e non richiede rinnovo. Il modulo Opzioni VPN di base include:
Da sito a sito:
- SSL VPN
- VPN IPSec
Accesso remoto (VPN client):
- SSL VPN
- VPN clientless IPsec (con app personalizzata gratuita)
- L2TP
- PPTP
Come puoi vedere, sono supportati tutti i protocolli e i tipi di connessioni VPN più diffusi.
Inoltre, Sophos XG Firewall dispone di altri due tipi di connessioni VPN che non sono incluse nell'abbonamento di base. Queste sono VPN RED e VPN HTML5. Queste connessioni VPN sono incluse nell'abbonamento Protezione di rete, il che significa che per poter utilizzare queste tipologie è necessario disporre di un abbonamento attivo, che include anche funzionalità di protezione della rete: moduli IPS e ATP.
RED VPN è una VPN L2 proprietaria di Sophos. Questo tipo di connessione VPN presenta numerosi vantaggi rispetto a SSL da sito a sito o IPSec quando si configura una VPN tra due XG. A differenza di IPSec, il tunnel RED crea un'interfaccia virtuale su entrambe le estremità del tunnel, che aiuta nella risoluzione dei problemi e, a differenza di SSL, questa interfaccia virtuale è completamente personalizzabile. L'amministratore ha il pieno controllo sulla sottorete all'interno del tunnel RED, il che semplifica la risoluzione dei problemi di routing e dei conflitti della sottorete.
VPN HTML5 o VPN senza client: un tipo specifico di VPN che ti consente di inoltrare servizi tramite HTML5 direttamente nel browser. Tipologie di servizi configurabili:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ma vale la pena considerare che questo tipo di VPN viene utilizzato solo in casi particolari e si consiglia, se possibile, di utilizzare i tipi di VPN elencati sopra.
Pratica
Diamo uno sguardo pratico a come configurare diversi di questi tipi di tunnel, vale a dire: IPSec da sito a sito e Accesso remoto SSL VPN.
VPN IPSec da sito a sito
Iniziamo spiegando come impostare un tunnel VPN IPSec da sito a sito tra due firewall Sophos XG. Sotto il cofano utilizza strongSwan, che ti consente di connetterti a qualsiasi router abilitato IPSec.
È possibile utilizzare una procedura guidata di installazione comoda e veloce, ma seguiremo il percorso generale in modo che, sulla base di queste istruzioni, sia possibile combinare Sophos XG con qualsiasi apparecchiatura che utilizzi IPSec.
Apriamo la finestra delle impostazioni dei criteri:
Come possiamo vedere, ci sono già impostazioni preimpostate, ma creeremo le nostre.
Configuriamo i parametri di crittografia per la prima e la seconda fase e salviamo la policy. Per analogia, eseguiamo gli stessi passaggi sul secondo Sophos XG e passiamo alla configurazione del tunnel IPSec stesso
Inserisci il nome, la modalità operativa e configura i parametri di crittografia. Ad esempio, utilizzeremo la chiave precondivisa
e indicare sottoreti locali e remote.
La nostra connessione è stata creata
Per analogia, effettueremo le stesse impostazioni sul secondo Sophos XG, ad eccezione della modalità operativa, lì imposteremo Avvia la connessione
Ora abbiamo due tunnel configurati. Successivamente, dobbiamo attivarli ed eseguirli. Questo si fa in modo molto semplice, bisogna cliccare sul cerchio rosso sotto la scritta Attivo per attivare e sul cerchio rosso sotto Connessione per avviare la connessione.
Se vediamo questa immagine:
Ciò significa che il nostro tunnel funziona correttamente. Se il secondo indicatore è rosso o giallo, qualcosa è configurato in modo errato nei criteri di crittografia o nelle sottoreti locali e remote. Lascia che ti ricordi che le impostazioni devono essere rispecchiate.
Separatamente vorrei sottolineare che è possibile creare gruppi di Failover da tunnel IPSec per la tolleranza agli errori:
VPN SSL ad accesso remoto
Passiamo alla VPN SSL di accesso remoto per gli utenti. Sotto il cofano c'è un OpenVPN standard. Ciò consente agli utenti di connettersi tramite qualsiasi client che supporti i file di configurazione .ovpn (ad esempio, un client di connessione standard).
Innanzitutto, devi configurare le policy del server OpenVPN:
Specificare il trasporto per la connessione, configurare la porta, l'intervallo di indirizzi IP per la connessione di utenti remoti
È inoltre possibile specificare le impostazioni di crittografia.
Dopo aver configurato il server, procediamo alla configurazione delle connessioni client.
Ogni regola di connessione SSL VPN viene creata per un gruppo o per un singolo utente. Ogni utente può avere una sola policy di connessione. In base alle impostazioni, ciò che è interessante è che per ciascuna di queste regole puoi specificare i singoli utenti che utilizzeranno questa impostazione o un gruppo di AD, puoi abilitare la casella di controllo in modo che tutto il traffico venga racchiuso in un tunnel VPN o specificare gli indirizzi IP, sottoreti o nomi FQDN disponibili per gli utenti. In base a queste policy verrà creato automaticamente un profilo .ovpn con le impostazioni per il client.
Utilizzando il portale utente, l'utente può scaricare sia un file .ovpn con le impostazioni per il client VPN, sia un file di installazione del client VPN con un file delle impostazioni di connessione integrato.
conclusione
In questo articolo abbiamo esaminato brevemente la funzionalità VPN del prodotto Sophos XG Firewall. Abbiamo esaminato come configurare VPN IPSec e VPN SSL. Questo non è un elenco completo di ciò che questa soluzione può fare. Nei seguenti articoli proverò a rivedere RED VPN e mostrerò come appare nella soluzione stessa.
Grazie per il tuo tempo.
Se hai domande sulla versione commerciale di XG Firewall, puoi contattare noi, l'azienda , distributore Sophos. Tutto quello che devi fare è scrivere in forma libera a .
Fonte: habr.com