4. NGFW voor kleine bedrijven. VPN

We vervolgen onze serie artikelen over NGFW voor kleine bedrijven. Ik wil u eraan herinneren dat we de nieuwe modellenreeks uit de 1500-serie aan het herzien zijn. IN 1-onderdelen cyclus noemde ik een van de handigste opties bij de aanschaf van een SMB-apparaat: het leveren van gateways met ingebouwde Mobile Access-licenties (van 100 tot 200 gebruikers, afhankelijk van het model). In dit artikel zullen we kijken naar het opzetten van een VPN voor gateways uit de 1500-serie waarop Gaia 80.20 Embedded vooraf is geïnstalleerd. Hier is een samenvatting:

1. VPN-mogelijkheden voor het MKB.
2. Organisatie van Remote Access voor een klein kantoor.
3. Beschikbare clients voor verbinding.

1. VPN-opties voor het MKB

Om het materiaal van vandaag voor te bereiden, heeft de ambtenaar beheerdersgids versie R80.20.05 (actueel op het moment van publicatie van het artikel). Dienovereenkomstig is er in termen van VPN met Gaia 80.20 Embedded ondersteuning voor:

1. Site-naar-site. Het creëren van VPN-tunnels tussen uw kantoren, waar gebruikers kunnen werken alsof ze zich op hetzelfde “lokale” netwerk bevinden.

   

2. Toegang op afstand. Externe verbinding met uw kantoorbronnen via eindapparaten van gebruikers (pc's, mobiele telefoons, enz.). Bovendien is er een SSL Network Extender, waarmee u individuele applicaties kunt publiceren en deze kunt uitvoeren met behulp van de Java Applet, waarbij u verbinding maakt via SSL. Opmerking: niet te verwarren met Mobile Access Portal (geen ondersteuning voor Gaia Embedded).
   
   

bovendien Ik raad de auteurscursus TS Solution ten zeerste aan - Controleer Point VPN voor externe toegang het onthult Check Point-technologieën met betrekking tot VPN, behandelt licentieproblemen en bevat gedetailleerde installatie-instructies.

2. Toegang op afstand voor kleine kantoren

We beginnen met het organiseren van een externe verbinding met uw kantoor:

1. Om ervoor te zorgen dat gebruikers een VPN-tunnel met een gateway kunnen bouwen, heeft u een openbaar IP-adres nodig. Als u de eerste installatie al hebt voltooid (2 artikel uit de cyclus), dan is External Link in de regel al actief. Informatie kan worden gevonden door naar Gaia Portal te gaan: Apparaat → Netwerk → Internet

   
   

   Als uw bedrijf een dynamisch openbaar IP-adres gebruikt, kunt u Dynamic DNS instellen. Ga naar Apparaat → DDNS en apparaattoegang

   
   

   Momenteel is er ondersteuning van twee providers: DynDns en no-ip.com. Om de optie te activeren, moet u uw inloggegevens (login, wachtwoord) invoeren.

2. Laten we vervolgens een gebruikersaccount maken, dit is handig voor het testen van de instellingen: VPN → Externe toegang → Gebruikers van externe toegang

   
   

   In de groep (bijvoorbeeld: externe toegang) zullen we een gebruiker aanmaken volgens de instructies in de schermafbeelding. Het instellen van een account is standaard, stel een gebruikersnaam en wachtwoord in en schakel bovendien de optie Toegang op afstand in.

   
   

   Als u de instellingen succesvol heeft toegepast, zouden er twee objecten moeten verschijnen: een lokale gebruiker, een lokale groep gebruikers.

   

3. De volgende stap is om naar te gaan VPN → Toegang op afstand → Blade-bediening. Zorg ervoor dat uw blade is ingeschakeld en dat verkeer van externe gebruikers is toegestaan.

   

4. *Het bovenstaande was de minimale reeks stappen om externe toegang in te stellen. Maar voordat we de verbinding testen, laten we de geavanceerde instellingen verkennen door naar het tabblad te gaan VPN → Externe toegang → Geavanceerd

   
   

   Op basis van de huidige instellingen zien we dat wanneer externe gebruikers verbinding maken, ze dankzij de Office Mode-optie een IP-adres krijgen van het netwerk 172.16.11.0/24. Met een reserve is dit voldoende om 200 concurrerende licenties te gebruiken (aangegeven voor 1590 NGFW Check Point).

   optie "Route internetverkeer van verbonden clients via deze gateway" is optioneel en is verantwoordelijk voor het routeren van al het verkeer van de externe gebruiker via de gateway (inclusief internetverbindingen). Hiermee kunt u het verkeer van de gebruiker inspecteren en zijn werkstation beschermen tegen verschillende bedreigingen en malware.

5. *Werken met toegangsbeleid voor externe toegang

   Nadat we Externe toegang hadden geconfigureerd, werd er een automatische toegangsregel aangemaakt op Firewall-niveau. Om deze te bekijken, moet je naar het tabblad gaan: Toegangsbeleid → Firewall → Beleid

   
   

   In dit geval hebben externe gebruikers die lid zijn van een eerder gemaakte groep toegang tot alle interne bronnen van het bedrijf; houd er rekening mee dat de regel zich in het algemene gedeelte bevindt “Inkomend, intern en VPN-verkeer”. Om VPN-gebruikersverkeer naar internet toe te staan, moet u een aparte regel aanmaken in het algemene gedeelte “Uitgaande toegang tot internet'.

6. Ten slotte moeten we er alleen voor zorgen dat de gebruiker met succes een VPN-tunnel naar onze NGFW-gateway kan creëren en toegang kan krijgen tot de interne bronnen van het bedrijf. Om dit te doen, moet u een VPN-client installeren op de host die wordt getest, er wordt hulp geboden link Voor laden. Na de installatie moet u de standaardprocedure uitvoeren voor het toevoegen van een nieuwe site (geef het openbare IP-adres van uw gateway aan). Voor het gemak wordt het proces gepresenteerd in GIF-vorm

   
   
   Als de verbinding al tot stand is gebracht, controleren we het ontvangen IP-adres op de hostmachine met behulp van de opdracht in CMD: ipconfig

   
   

   We hebben ervoor gezorgd dat de virtuele netwerkadapter een IP-adres heeft ontvangen vanuit de Office-modus van onze NGFW, pakketten zijn succesvol verzonden. Om het compleet te maken, kunnen we naar Gaia Portal gaan: VPN → Externe toegang → Verbonden externe gebruikers

   
   

   De gebruiker “ntuser” wordt weergegeven als verbonden. Laten we de gebeurtenisregistratie controleren door naar te gaan Logboeken en monitoring → Beveiligingslogboeken

   
   

   De verbinding wordt geregistreerd met het IP-adres als bron: 172.16.10.1 - dit is het adres dat onze gebruiker heeft ontvangen via de Office-modus.

   3. Ondersteunde clients voor externe toegang

   Nadat we de procedure hebben bekeken voor het opzetten van een externe verbinding met uw kantoor met behulp van NGFW Check Point van de SMB-familie, wil ik graag schrijven over clientondersteuning voor verschillende apparaten:

   • Eindpunt-VPN voor Windows/Mac OS
   • Mobiele client (Android / IOS)
   • L2TP Native Client (Check Point claimt ondersteuning voor de native VPN-app van Microsoft).

   Dankzij de verscheidenheid aan ondersteunde besturingssystemen en apparaten kunt u optimaal profiteren van de licentie die bij NGFW wordt geleverd. Om een ​​apart apparaat te configureren is er een handige optie "Hoe te verbinden"

   

   Het genereert automatisch stappen op basis van uw instellingen, waardoor beheerders zonder problemen nieuwe clients kunnen installeren.

   Conclusie: Om dit artikel samen te vatten, hebben we gekeken naar de VPN-mogelijkheden van de NGFW Check Point SMB-familie. Vervolgens hebben we de stappen beschreven voor het opzetten van Remote Access, in het geval van een externe verbinding van gebruikers met het kantoor, en vervolgens de monitoringtools bestudeerd. Aan het einde van het artikel hadden we het over beschikbare clients en verbindingsopties voor Remote Access. Zo kan uw filiaal de continuïteit en veiligheid van het werk van werknemers garanderen met behulp van VPN-technologieën, ondanks verschillende externe bedreigingen en factoren.

   Grote keuze aan materialen op Check Point van TS Solution. Blijf kijken (Telegram, Facebook, VK, TS Solution-blog, Yandex Zen).

Bron: www.habr.com