4. NGFW voor kleine bedrijven. VPN

We vervolgen onze reeks artikelen over NGFW voor kleine bedrijven. Ik wil u er graag aan herinneren dat we de nieuwe modellenreeks van de 1500-serie overwegen. IN 1-onderdelen In deze serie heb ik een van de handigste opties genoemd bij de aanschaf van een SMB-apparaat: de levering van gateways met ingebouwde Mobile Access-licenties (van 100 tot 200 gebruikers, afhankelijk van het model). In dit artikel bespreken we hoe u VPN kunt instellen voor gateways uit de 1500-serie waarop Gaia 80.20 Embedded vooraf is geïnstalleerd. Hier is een samenvatting:

1. VPN-mogelijkheden voor SMB.
2. Het organiseren van externe toegang voor een klein kantoor.
3. Beschikbare clients voor verbinding.

1. VPN-mogelijkheden voor het MKB

Om het materiaal van vandaag voor te bereiden, heeft de officiële beheerdershandleiding versie R80.20.05 (actueel op het moment van publicatie van dit artikel). Dienovereenkomstig ondersteunt Gaia 80.20 Embedded in het VPN-gedeelte:

1. Site-naar-site. Creëer VPN-tunnels tussen uw kantoren, waar gebruikers kunnen werken alsof ze zich in één lokaal netwerk bevinden.

   

2. Toegang op afstand. Verbinding op afstand met uw kantoorbronnen via eindgebruikersapparaten (pc's, mobiele telefoons, enz.). Daarnaast is er een SSL Network Extender, waarmee u individuele applicaties kunt publiceren en uitvoeren met behulp van een Java-applet, waarbij verbinding wordt gemaakt via SSL. Opmerking: niet te verwarren met Mobile Access Portal (niet ondersteund op Gaia Embedded).
   
   

bovendien Ik raad de cursus TS Solution van de auteur ten zeerste aan - Controleer Point VPN voor externe toegang Het beschrijft de VPN-technologieën van Check Point, behandelt licentieproblemen en biedt gedetailleerde installatie-instructies.

2. Toegang op afstand voor kleine kantoren

Wij gaan nu beginnen met het organiseren van een externe verbinding met uw kantoor:

1. Om een ​​VPN-tunnel met de gateway te kunnen maken, hebt u een openbaar IP-adres nodig. Als u de eerste installatie al hebt voltooid (2 artikel van de cyclus), dan is de Externe Link in de regel al actief. Informatie vindt u op Gaia Portal: Apparaat → Netwerk → Internet

   
   

   Als uw bedrijf een dynamisch openbaar IP-adres gebruikt, kunt u dynamische DNS instellen. Ga naar Apparaat → DDNS & Apparaattoegang

   
   

   Momenteel is er ondersteuning van twee providers: DynDns en no-ip.com. Om deze optie te activeren, dient u uw inloggegevens (login, wachtwoord) in te voeren.

2. Vervolgens maken we een gebruikersaccount aan. Dit is handig om de instellingen te testen: VPN → Externe toegang → Gebruikers met externe toegang

   
   

   In de groep (in het voorbeeld: remoteaccess) maken we een gebruiker aan. We volgen daarbij de instructies op de schermafbeelding. De accountinstellingen zijn standaard: stel een gebruikersnaam en wachtwoord in en schakel daarnaast de optie Machtigingen voor externe toegang in.

   
   

   Als u de instellingen succesvol hebt toegepast, verschijnen er twee objecten: een lokale gebruiker en een lokale groep gebruikers.

   

3. De volgende stap is om naar VPN → Toegang op afstand → Bladecontrole. Zorg ervoor dat de blade is ingeschakeld en dat verkeer van externe gebruikers is toegestaan.

   

4. *Bovenstaande stappen zijn de minimale stappen voor het instellen van externe toegang. Maar voordat we de verbinding testen, gaan we eerst de extra instellingen bekijken door naar het tabblad te gaan VPN → Externe toegang → Geavanceerd

   
   

   Op basis van de huidige instellingen zien we dat externe gebruikers bij het verbinden een IP-adres van het netwerk 172.16.11.0/24 ontvangen, dankzij de optie Kantoormodus. Dit is meer dan voldoende om 200 gelijktijdige licenties te gebruiken (gespecificeerd voor 1590 NGFW Check Point).

   optie "Route internetverkeer van verbonden clients via deze gateway" is optioneel en is verantwoordelijk voor het routeren van al het verkeer van de externe gebruiker via de gateway (inclusief verbindingen met het internet). Hiermee kunt u het gebruikersverkeer inspecteren en uw werkstation beschermen tegen allerlei bedreigingen en malware.

5. *Werken met toegangsbeleid voor externe toegang

   Nadat we Remote Access hadden geconfigureerd, werd er een automatische toegangsregel op firewallniveau aangemaakt. Om het te bekijken, moet je naar het tabblad gaan: Toegangsbeleid → Firewall → Beleid

   
   

   In dit geval hebben externe gebruikers die zijn opgenomen in de eerder aangemaakte groep toegang tot alle interne bronnen van het bedrijf. Ik merk op dat de regel zich in het algemene gedeelte bevindt “Inkomend, intern en VPN-verkeer”. Om VPN-gebruikersverkeer naar internet toe te staan, moet u een aparte regel maken in het algemene gedeelte 'Uitgaande toegang tot internet'.

6. Ten slotte moeten we ervoor zorgen dat de gebruiker met succes een VPN-tunnel naar onze NGFW-gateway kan maken en toegang kan krijgen tot de interne bronnen van het bedrijf. Om dit te doen, moet u een VPN-client installeren op de host die wordt getest. De hulp is inbegrepen link om te downloaden. Na de installatie dient u de standaardprocedure voor het toevoegen van een nieuwe site te doorlopen (het openbare IP-adres van uw gateway wordt aangegeven). Voor het gemak wordt het proces gepresenteerd als een GIF

   
   
   Zodra de verbinding tot stand is gebracht, controleren we het ontvangen IP-adres op de hostcomputer met behulp van de opdracht in CMD: ipconfig

   
   

   We hebben geverifieerd dat de virtuele netwerkadapter een IP-adres heeft ontvangen van de Office-modus van onze NGFW en dat pakketten succesvol worden verzonden. Om af te sluiten kunnen we naar de Gaia-Portaal gaan: VPN → Externe toegang → Verbonden externe gebruikers

   
   

   De gebruiker "ntuser" wordt weergegeven als verbonden, laten we de gebeurtenisregistratie controleren door naar Logs en monitoring → Beveiligingslogs

   
   

   De verbinding wordt geregistreerd, waarbij het IP-adres als bron fungeert: 172.16.10.1 - dit is het adres dat onze gebruiker via de Office-modus heeft ontvangen.

   3. Ondersteunde clients voor externe toegang

   Nadat we de procedure voor het instellen van een externe verbinding met uw kantoor met behulp van NGFW Check Point van de SMB-familie hebben besproken, wil ik graag iets schrijven over clientondersteuning voor verschillende apparaten:

   • Endpoint VPN voor Windows / Mac OS
   • Mobiele client (Android / IOS)
   • L2TP Native Client (Check Point claimt ondersteuning te bieden voor de native VPN-app van Microsoft).

   Dankzij de verscheidenheid aan ondersteunde besturingssystemen en apparaten kunt u de licentie die bij NGFW is inbegrepen, optimaal benutten. Er is een handige optie om een ​​apart apparaat te configureren "Hoe maak ik verbinding"

   

   Er worden automatisch stappen gegenereerd op basis van uw instellingen, zodat beheerders zonder problemen nieuwe clients kunnen installeren.

   Conclusie: Om dit artikel samen te vatten, hebben we gekeken naar de VPN-mogelijkheden voor de Check Point SMB-familie NGFW. Vervolgens hebben we de stappen beschreven voor het instellen van Remote Access, in het geval van externe verbinding van gebruikers met het kantoor, en daarna hebben we de monitoringtools bestudeerd. Ter afsluiting van het artikel hebben we het gehad over beschikbare clients en verbindingsopties voor externe toegang. Zo kan uw vestiging de continuïteit en veiligheid van de werkzaamheden van haar medewerkers waarborgen met behulp van VPN-technologieën, ondanks diverse externe bedreigingen en factoren.

   Grote keuze aan materialen op Check Point van TS Solution. Blijf kijken (Telegram, Facebook, VK, TS Solution-blog, Yandex Zen).

Bron: www.habr.com