4. NGFW for små bedrifter. VPN

Vi fortsetter vår serie med artikler om NGFW for små bedrifter, la meg minne deg på at vi vurderer den nye 1500-seriens modellserie. I 1 deler syklus, nevnte jeg et av de mest nyttige alternativene når du kjøper en SMB-enhet - tilførsel av gatewayer med innebygde Mobile Access-lisenser (fra 100 til 200 brukere, avhengig av modell). I denne artikkelen vil vi se på å sette opp en VPN for 1500-seriens gatewayer som kommer med Gaia 80.20 Embedded forhåndsinstallert. Her er en oppsummering:

1. VPN-funksjoner for SMB.
2. Organisering av fjerntilgang for et lite kontor.
3. Tilgjengelige klienter for tilkobling.

1. VPN-alternativer for SMB

For å utarbeide dagens materiale, den offisielle admin guide versjon R80.20.05 (gjeldende på tidspunktet for publisering av artikkelen). Følgelig, når det gjelder VPN med Gaia 80.20 Embedded, er det støtte for:

1. Nettsted-til-nettsted. Opprette VPN-tunneler mellom kontorene dine, der brukere kan jobbe som om de var på samme "lokale" nettverk.

   

2. Fjerntilgang. Ekstern tilkobling til kontorressursene dine ved hjelp av brukerens sluttenheter (PCer, mobiltelefoner osv.). I tillegg er det en SSL Network Extender, den lar deg publisere individuelle applikasjoner og kjøre dem ved hjelp av Java-appletten, koble til via SSL. Merk: ikke å forveksle med Mobile Access Portal (ingen støtte for Gaia Embedded).
   
   

i tillegg Jeg anbefaler forfatterkurset TS Solution - Check Point Remote Access VPN den avslører Check Point-teknologier angående VPN, berører lisensieringsproblemer og inneholder detaljerte oppsettinstruksjoner.

2. Fjerntilgang for små kontorer

Vi vil begynne å organisere en ekstern tilkobling til kontoret ditt:

1. For at brukere skal bygge en VPN-tunnel med en gateway, må du ha en offentlig IP-adresse. Hvis du allerede har fullført det første oppsettet (2 artikkel fra syklusen), så er ekstern kobling som regel allerede aktiv. Informasjon finner du ved å gå til Gaia Portal: Enhet → Nettverk → Internett

   
   

   Hvis bedriften din bruker en dynamisk offentlig IP-adresse, kan du angi dynamisk DNS. Gå til Enhet → DDNS og enhetstilgang

   
   

   For øyeblikket er det støtte fra to leverandører: DynDns og no-ip.com. For å aktivere alternativet må du skrive inn legitimasjonen din (pålogging, passord).

2. Deretter, la oss opprette en brukerkonto, det vil være nyttig for å teste innstillingene: VPN → Fjerntilgang → Fjerntilgangsbrukere

   
   

   I gruppen (for eksempel: ekstern tilgang) vil vi opprette en bruker ved å følge instruksjonene i skjermbildet. Å sette opp en konto er standard, angi pålogging og passord, og aktiver i tillegg alternativet for fjerntilgangstillatelser.

   
   

   Hvis du har brukt innstillingene, skal to objekter vises: en lokal bruker, en lokal gruppe med brukere.

   

3. Neste steg er å gå til VPN → Fjerntilgang → Bladkontroll. Sørg for at bladet er slått på og trafikk fra eksterne brukere er tillatt.

   

4. *Ovennevnte var minimumssettet med trinn for å konfigurere fjerntilgang. Men før vi tester tilkoblingen, la oss utforske de avanserte innstillingene ved å gå til fanen VPN → Fjerntilgang → Avansert

   
   

   Basert på gjeldende innstillinger ser vi at når eksterne brukere kobler til, vil de motta en IP-adresse fra nettverket 172.16.11.0/24, takket være alternativet Office Mode. Dette er nok med en reserve for å bruke 200 konkurrerende lisenser (indisert for 1590 NGFW Check Point).

   alternativ "Ruter Internett-trafikk fra tilkoblede klienter gjennom denne gatewayen" er valgfritt og er ansvarlig for å rute all trafikk fra den eksterne brukeren gjennom gatewayen (inkludert Internett-tilkoblinger). Dette lar deg inspisere brukerens trafikk og beskytte arbeidsstasjonen hans mot ulike trusler og skadelig programvare.

5. *Jobber med tilgangspolicyer for ekstern tilgang

   Etter at vi konfigurerte ekstern tilgang, ble det opprettet en automatisk tilgangsregel på brannmurnivå, for å se den må du gå til fanen: Tilgangspolicy → Brannmur → Policy

   
   

   I dette tilfellet vil eksterne brukere som er medlemmer av en tidligere opprettet gruppe få tilgang til alle interne ressurser i selskapet; merk at regelen er plassert i den generelle delen "Innkommende, intern og VPN-trafikk". For å tillate VPN-brukertrafikk til Internett, må du opprette en egen regel i den generelle delen "Utgående tilgang til Internett".

6. Til slutt trenger vi bare å sørge for at brukeren med hell kan opprette en VPN-tunnel til vår NGFW-gateway og få tilgang til selskapets interne ressurser. For å gjøre dette må du installere en VPN-klient på verten som testes, hjelp er gitt link For lasting. Etter installasjonen må du utføre standardprosedyren for å legge til et nytt nettsted (angi den offentlige IP-adressen til gatewayen din). For enkelhets skyld presenteres prosessen i GIF-form

   
   
   Når tilkoblingen allerede er etablert, la oss sjekke den mottatte IP-adressen på vertsmaskinen ved å bruke kommandoen i CMD: ipconfig

   
   

   Vi sørget for at den virtuelle nettverksadapteren mottok en IP-adresse fra kontormodusen til vår NGFW, pakker ble sendt. For å fullføre kan vi gå til Gaia Portal: VPN → Fjerntilgang → Tilkoblede eksterne brukere

   
   

   Brukeren "ntuser" vises som tilkoblet, la oss sjekke hendelsesloggingen ved å gå til Logger og overvåking → Sikkerhetslogger

   
   

   Forbindelsen logges med IP-adressen som kilde: 172.16.10.1 - dette er adressen som mottas av brukeren vår gjennom kontormodus.

   3. Støttede klienter for ekstern tilgang

   Etter at vi har gjennomgått prosedyren for å sette opp en ekstern tilkobling til kontoret ditt ved å bruke NGFW Check Point fra SMB-familien, vil jeg gjerne skrive om klientstøtte for ulike enheter:

   • Endpoint VPN for Windows/Mac OS
   • Mobil klient (Android / IOS)
   • L2TP Native Client (Check Point krever støtte for Microsofts opprinnelige VPN-app).

   En rekke støttede operativsystemer og enheter lar deg dra full nytte av lisensen din som følger med NGFW. For å konfigurere en separat enhet er det et praktisk alternativ "Hvordan koble til"

   

   Den genererer automatisk trinn i henhold til innstillingene dine, som lar administratorer installere nye klienter uten problemer.

   Konklusjon: For å oppsummere denne artikkelen, så vi på VPN-funksjonene til NGFW Check Point SMB-familien. Deretter beskrev vi trinnene for å sette opp fjerntilgang, i tilfelle av ekstern tilkobling av brukere til kontoret, og studerte deretter overvåkingsverktøy. På slutten av artikkelen snakket vi om tilgjengelige klienter og tilkoblingsmuligheter for ekstern tilgang. Dermed vil avdelingskontoret ditt kunne sikre kontinuiteten og sikkerheten til ansattes arbeid ved hjelp av VPN-teknologier, til tross for ulike eksterne trusler og faktorer.

   Stort utvalg av materialer på Check Point fra TS Solution. Følg med (Telegram, Facebook , VK, TS Løsningsblogg, Yandex Zen).

Kilde: www.habr.com