Dag Allemaal! In dit artikel wordt de VPN-functionaliteit in het Sophos XG Firewall-product besproken. In de vorige We hebben gekeken hoe u deze oplossing voor thuisnetwerkbeveiliging gratis kunt krijgen met een volledige licentie. Vandaag zullen we het hebben over de VPN-functionaliteit die in Sophos XG is ingebouwd. Ik zal proberen u te vertellen wat dit product kan doen, en ook voorbeelden geven van het opzetten van een IPSec Site-to-Site VPN en een aangepaste SSL VPN. Laten we dus aan de slag gaan met de beoordeling.
Laten we eerst eens kijken naar de licentietabel:
U kunt hier meer lezen over de licentieverlening voor Sophos XG Firewall:
Maar in dit artikel zijn we alleen geïnteresseerd in de items die rood zijn gemarkeerd.
De belangrijkste VPN-functionaliteit is inbegrepen in de basislicentie en wordt slechts één keer aangeschaft. Dit is een levenslange licentie en vereist geen verlenging. De Base VPN Opties-module omvat:
Site-naar-site:
- SSL VPN
- IPSec-VPN
Toegang op afstand (client-VPN):
- SSL VPN
- IPsec Clientless VPN (met gratis app op maat)
- L2TP
- PPTP
Zoals je ziet worden alle populaire protocollen en typen VPN-verbindingen ondersteund.
Bovendien beschikt Sophos XG Firewall over nog twee soorten VPN-verbindingen die niet bij het basisabonnement zijn inbegrepen. Dit zijn RED VPN en HTML5 VPN. Deze VPN-verbindingen zijn inbegrepen in het Network Protection-abonnement, wat betekent dat u, om deze typen te kunnen gebruiken, over een actief abonnement moet beschikken, waarin ook netwerkbeschermingsfunctionaliteit is opgenomen: IPS- en ATP-modules.
RED VPN is een eigen L2 VPN van Sophos. Dit type VPN-verbinding heeft een aantal voordelen ten opzichte van Site-to-site SSL of IPSec bij het opzetten van een VPN tussen twee XG's. In tegenstelling tot IPSec creëert de RED-tunnel een virtuele interface aan beide uiteinden van de tunnel, wat helpt bij het oplossen van problemen, en in tegenstelling tot SSL is deze virtuele interface volledig aanpasbaar. De beheerder heeft volledige controle over het subnet binnen de RED-tunnel, waardoor het eenvoudiger wordt om routeringsproblemen en subnetconflicten op te lossen.
HTML5 VPN of Clientless VPN – Een specifiek type VPN waarmee u services via HTML5 rechtstreeks in de browser kunt doorsturen. Typen services die kunnen worden geconfigureerd:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Maar het is de moeite waard om te bedenken dat dit type VPN alleen in speciale gevallen wordt gebruikt en dat het, indien mogelijk, wordt aanbevolen om VPN-typen uit de bovenstaande lijsten te gebruiken.
Praktijk
Laten we eens praktisch bekijken hoe u verschillende van dit soort tunnels kunt configureren, namelijk: Site-to-Site IPSec en SSL VPN Remote Access.
Site-naar-site IPSec VPN
Laten we beginnen met het opzetten van een Site-to-Site IPSec VPN-tunnel tussen twee Sophos XG Firewalls. Onder de motorkap maakt het gebruik van strongSwan, waarmee u verbinding kunt maken met elke IPSec-compatibele router.
U kunt een handige en snelle installatiewizard gebruiken, maar we volgen het algemene pad zodat u op basis van deze instructies Sophos XG kunt combineren met alle apparatuur die IPSec gebruikt.
Laten we het venster met beleidsinstellingen openen:
Zoals we kunnen zien, zijn er al vooraf ingestelde instellingen, maar we zullen onze eigen instellingen maken.
Laten we de coderingsparameters voor de eerste en tweede fase configureren en het beleid opslaan. Naar analogie doen we dezelfde stappen op de tweede Sophos XG en gaan we verder met het opzetten van de IPSec-tunnel zelf
Voer de naam en bedrijfsmodus in en configureer de coderingsparameters. We gebruiken bijvoorbeeld een vooraf gedeelde sleutel
en geef lokale en externe subnetten aan.
Onze verbinding is tot stand gekomen
Naar analogie maken we dezelfde instellingen op de tweede Sophos XG, met uitzondering van de bedieningsmodus, daar zullen we de verbinding initiëren
Nu hebben we twee tunnels geconfigureerd. Vervolgens moeten we ze activeren en uitvoeren. Dit gaat heel eenvoudig, u klikt op de rode cirkel onder het woord Actief om te activeren en op de rode cirkel onder Verbinding om de verbinding te starten.
Als we deze foto zien:
Dit betekent dat onze tunnel correct werkt. Als de tweede indicator rood of geel is, is er iets verkeerd geconfigureerd in het coderingsbeleid of in lokale en externe subnetten. Ik wil u eraan herinneren dat de instellingen moeten worden gespiegeld.
Afzonderlijk zou ik willen benadrukken dat u failover-groepen kunt maken vanuit IPSec-tunnels voor fouttolerantie:
SSL-VPN voor toegang op afstand
Laten we verder gaan met Remote Access SSL VPN voor gebruikers. Onder de motorkap zit een standaard OpenVPN. Hierdoor kunnen gebruikers verbinding maken via elke client die .ovpn-configuratiebestanden ondersteunt (bijvoorbeeld een standaardverbindingsclient).
Eerst moet u het OpenVPN-serverbeleid configureren:
Specificeer het transport voor verbinding, configureer de poort en het bereik van IP-adressen voor het verbinden van externe gebruikers
U kunt ook coderingsinstellingen opgeven.
Na het instellen van de server gaan we verder met het opzetten van clientverbindingen.
Elke SSL VPN-verbindingsregel wordt gemaakt voor een groep of voor een individuele gebruiker. Elke gebruiker kan slechts één verbindingsbeleid hebben. Wat volgens de instellingen interessant is, is dat je voor elke dergelijke regel individuele gebruikers kunt specificeren die deze instelling zullen gebruiken of een groep uit AD, je kunt het selectievakje inschakelen zodat al het verkeer in een VPN-tunnel wordt verpakt of de IP-adressen opgeven, subnetten of FQDN-namen die beschikbaar zijn voor gebruikers. Op basis van dit beleid wordt automatisch een .ovpn-profiel met instellingen voor de client aangemaakt.
Met behulp van het gebruikersportaal kan de gebruiker zowel een .ovpn-bestand met instellingen voor de VPN-client downloaden als een installatiebestand voor de VPN-client met een ingebouwd bestand met verbindingsinstellingen.
Conclusie
In dit artikel hebben we kort de VPN-functionaliteit in het Sophos XG Firewall-product besproken. We hebben gekeken hoe je IPSec VPN en SSL VPN kunt configureren. Dit is geen volledige lijst van wat deze oplossing kan doen. In de volgende artikelen zal ik proberen RED VPN te beoordelen en te laten zien hoe het eruit ziet in de oplossing zelf.
Bedankt voor je tijd.
Als u vragen heeft over de commerciële versie van XG Firewall, kunt u contact met ons opnemen, het bedrijf , Sophos-distributeur. Het enige dat u hoeft te doen, is in vrije vorm schrijven op .
Bron: www.habr.com