Sveiki visiem! Å ajÄ rakstÄ tiks apskatÄ«ta VPN funkcionalitÄte produktÄ Sophos XG Firewall. IepriekÅ”ÄjÄ
Vispirms apskatÄ«sim licencÄÅ”anas tabulu:
VairÄk par Sophos XG Firewall licencÄÅ”anu varat lasÄ«t Å”eit:
Bet Å”ajÄ rakstÄ mÅ«s interesÄs tikai tie vienumi, kas ir iezÄ«mÄti sarkanÄ krÄsÄ.
GalvenÄ VPN funkcionalitÄte ir iekļauta pamata licencÄ un tiek iegÄdÄta tikai vienu reizi. Å Ä« ir mūža licence un nav jÄatjauno. Pamata VPN opciju modulis ietver:
Vietne uz vietni:
- SSL VPN
- IPSec VPN
AttÄlÄ piekļuve (klienta VPN):
- SSL VPN
- IPsec bezklienta VPN (ar bezmaksas pielÄgotu lietotni)
- L2TP
- PPTP
KÄ redzat, tiek atbalstÄ«ti visi populÄrie protokoli un VPN savienojumu veidi.
TurklÄt Sophos XG Firewall ir vÄl divi VPN savienojumu veidi, kas nav iekļauti pamata abonementÄ. Tie ir RED VPN un HTML5 VPN. Å ie VPN savienojumi ir iekļauti TÄ«kla aizsardzÄ«bas abonementÄ, kas nozÄ«mÄ, ka, lai izmantotu Å”os veidus, ir jÄbÅ«t aktÄ«vam abonementam, kas ietver arÄ« tÄ«kla aizsardzÄ«bas funkcionalitÄti - IPS un ATP moduļus.
RED VPN ir patentÄts L2 VPN no Sophos. Å im VPN savienojuma veidam ir vairÄkas priekÅ”rocÄ«bas salÄ«dzinÄjumÄ ar vietÅu SSL vai IPSec, iestatot VPN starp diviem XG. AtŔķirÄ«bÄ no IPSec, RED tunelis izveido virtuÄlu saskarni abos tuneļa galos, kas palÄ«dz novÄrst problÄmas, un atŔķirÄ«bÄ no SSL Ŕī virtuÄlÄ saskarne ir pilnÄ«bÄ pielÄgojama. Administrators pilnÄ«bÄ kontrolÄ apakÅ”tÄ«klu RED tunelÄ«, kas atvieglo marÅ”rutÄÅ”anas problÄmu un apakÅ”tÄ«kla konfliktu risinÄÅ”anu.
HTML5 VPN vai bezklienta VPN ā Ä«paÅ”s VPN veids, kas ļauj pÄrsÅ«tÄ«t pakalpojumus, izmantojot HTML5 tieÅ”i pÄrlÅ«kprogrammÄ. Pakalpojumu veidi, kurus var konfigurÄt:
- LAP
- telnet
- SSH
- VNC
- ftp
- FTPS
- SFTP
- SMB
Bet ir vÄrts padomÄt, ka Å”Äda veida VPN tiek izmantots tikai Ä«paÅ”os gadÄ«jumos un, ja iespÄjams, ieteicams izmantot VPN veidus no iepriekÅ” minÄtajiem sarakstiem.
Prakse
Praktiski apskatÄ«sim, kÄ konfigurÄt vairÄkus Å”Äda veida tuneļus, proti: vietÅu IPSec un SSL VPN attÄlo piekļuvi.
VietÅu uz vietni IPSec VPN
SÄksim ar to, kÄ iestatÄ«t vietÅu IPSec VPN tuneli starp diviem Sophos XG ugunsmÅ«riem. Zem pÄrsega tas izmanto strongSwan, kas ļauj izveidot savienojumu ar jebkuru IPSec iespÄjotu marÅ”rutÄtÄju.
Varat izmantot Ärtu un Ätru iestatÄ«Å”anas vedni, taÄu mÄs sekosim vispÄrÄ«gajam ceļam, lai, pamatojoties uz Å”iem norÄdÄ«jumiem, jÅ«s varÄtu apvienot Sophos XG ar jebkuru aprÄ«kojumu, izmantojot IPSec.
AtvÄrsim politikas iestatÄ«jumu logu:
KÄ redzam, jau ir iepriekÅ” iestatÄ«ti iestatÄ«jumi, bet mÄs izveidosim paÅ”i.
KonfigurÄsim Å”ifrÄÅ”anas parametrus pirmajai un otrajai fÄzei un saglabÄsim politiku. PÄc analoÄ£ijas mÄs veicam tÄs paÅ”as darbÄ«bas ar otro Sophos XG un pÄrejam pie paÅ”a IPSec tuneļa iestatÄ«Å”anas.
Ievadiet nosaukumu, darbÄ«bas režīmu un konfigurÄjiet Å”ifrÄÅ”anas parametrus. PiemÄram, mÄs izmantosim iepriekÅ” kopÄ«goto atslÄgu
un norÄda vietÄjos un attÄlos apakÅ”tÄ«klus.
MÅ«su savienojums ir izveidots
PÄc analoÄ£ijas mÄs veicam tÄdus paÅ”us iestatÄ«jumus otrajÄ Sophos XG, izÅemot darbÄ«bas režīmu, tur mÄs iestatÄ«sim UzsÄkt savienojumu
Tagad mums ir konfigurÄti divi tuneļi. TÄlÄk mums tie jÄaktivizÄ un jÄpalaiž. Tas tiek darÄ«ts ļoti vienkÄrÅ”i, jums ir jÄnoklikŔķina uz sarkanÄ apļa zem vÄrda Active, lai aktivizÄtu, un uz sarkanÄ apļa zem Connection, lai sÄktu savienojumu.
Ja mÄs redzam Å”o attÄlu:
Tas nozÄ«mÄ, ka mÅ«su tunelis darbojas pareizi. Ja otrais indikators ir sarkans vai dzeltens, tad Å”ifrÄÅ”anas politikÄs vai lokÄlajos un attÄlajos apakÅ”tÄ«klos kaut kas ir nepareizi konfigurÄts. AtgÄdinÄÅ”u, ka iestatÄ«jumiem ir jÄbÅ«t atspoguļotiem.
AtseviŔķi es vÄlos uzsvÄrt, ka kļūdu pielaidei varat izveidot kļūmjpÄrlÄces grupas no IPSec tuneļiem:
AttÄlÄs piekļuves SSL VPN
PÄriesim pie attÄlÄs piekļuves SSL VPN lietotÄjiem. Zem pÄrsega ir standarta OpenVPN. Tas ļauj lietotÄjiem izveidot savienojumu, izmantojot jebkuru klientu, kas atbalsta .ovpn konfigurÄcijas failus (piemÄram, standarta savienojuma klientu).
PirmkÄrt, jums ir jÄkonfigurÄ OpenVPN servera politikas:
NorÄdiet savienojuma transportu, konfigurÄjiet portu, IP adreÅ”u diapazonu attÄlo lietotÄju savienoÅ”anai
Varat arÄ« norÄdÄ«t Å”ifrÄÅ”anas iestatÄ«jumus.
PÄc servera iestatÄ«Å”anas mÄs pÄrejam pie klientu savienojumu iestatÄ«Å”anas.
Katrs SSL VPN savienojuma noteikums tiek izveidots grupai vai atseviŔķam lietotÄjam. Katram lietotÄjam var bÅ«t tikai viena savienojuma politika. AtbilstoÅ”i iestatÄ«jumiem interesanti ir tas, ka katram Å”Ädam noteikumam varat norÄdÄ«t atseviŔķus lietotÄjus, kuri izmantos Å”o iestatÄ«jumu vai grupu no AD, varat iespÄjot izvÄles rÅ«tiÅu, lai visa trafika tiktu ietÄ«ta VPN tunelÄ«, vai norÄdÄ«t IP adreses, lietotÄjiem pieejamie apakÅ”tÄ«kli vai FQDN nosaukumi. Pamatojoties uz Ŕīm politikÄm, automÄtiski tiks izveidots .ovpn profils ar klienta iestatÄ«jumiem.
Izmantojot lietotÄju portÄlu, lietotÄjs var lejupielÄdÄt gan .ovpn failu ar VPN klienta iestatÄ«jumiem, gan VPN klienta instalÄcijas failu ar iebÅ«vÄtu savienojuma iestatÄ«jumu failu.
SecinÄjums
Å ajÄ rakstÄ mÄs Ä«si apskatÄ«jÄm VPN funkcionalitÄti produktÄ Sophos XG Firewall. MÄs apskatÄ«jÄm, kÄ varat konfigurÄt IPSec VPN un SSL VPN. Å is nav pilnÄ«gs saraksts ar Ŕī risinÄjuma iespÄjÄm. NÄkamajos rakstos es mÄÄ£inÄÅ”u pÄrskatÄ«t RED VPN un parÄdÄ«t, kÄ tas izskatÄs paÅ”Ä risinÄjumÄ.
Paldies par jūsu laiku.
Ja jums ir kÄdi jautÄjumi par XG Firewall komerciÄlo versiju, varat sazinÄties ar mums, uzÅÄmumu
Avots: www.habr.com