4. NGFW dla małych firm. VPN

Kontynuujemy naszą serię artykułów o NGFW dla małych firm, przypominam, że recenzujemy nową gamę modeli serii 1500. W Części 1 cyklu wspomniałem o jednej z najbardziej przydatnych opcji przy zakupie urządzenia SMB - dostawie bramek z wbudowanymi licencjami Mobile Access (od 100 do 200 użytkowników, w zależności od modelu). W tym artykule przyjrzymy się konfigurowaniu VPN dla bram serii 1500, które są dostarczane z preinstalowanym oprogramowaniem Gaia 80.20 Embedded. Oto podsumowanie:

1. Możliwości VPN dla małych i średnich firm.
2. Organizacja zdalnego dostępu dla małego biura.
3. Dostępni klienci do połączenia.

1. Opcje VPN dla małych i średnich firm

W celu przygotowania dzisiejszego materiału, urzędnik przewodnik administratora wersja R80.20.05 (aktualna w momencie publikacji artykułu). Odpowiednio, jeśli chodzi o VPN z Gaia 80.20 Embedded, dostępna jest obsługa:

1. Site-to-Site. Tworzenie tuneli VPN pomiędzy Twoimi biurami, w których użytkownicy mogą pracować tak, jakby byli w tej samej „lokalnej” sieci.

   

2. Dostęp zdalny. Zdalne połączenie z zasobami Twojego biura za pomocą urządzeń końcowych użytkowników (komputery, telefony komórkowe itp.). Dodatkowo dostępny jest SSL Network Extender, który umożliwia publikowanie pojedynczych aplikacji i uruchamianie ich za pomocą apletu Java, łącząc się poprzez SSL. Uwaga: nie mylić z portalem dostępu mobilnego (brak obsługi Gaia Embedded).
   
   

dodatkowo Gorąco polecam autorski kurs TS Solution - Check Point VPN do zdalnego dostępu ujawnia technologie Check Point dotyczące VPN, porusza kwestie licencyjne i zawiera szczegółowe instrukcje konfiguracji.

2. Zdalny dostęp dla małego biura

Rozpoczniemy organizowanie zdalnego połączenia z Twoim biurem:

1. Aby użytkownicy mogli zbudować tunel VPN z bramą, musisz mieć publiczny adres IP. Jeśli wstępna konfiguracja została już ukończona (2 art z cyklu), wówczas z reguły Link Zewnętrzny jest już aktywny. Informacje można znaleźć wchodząc na Portal Gaia: Urządzenie → Sieć → Internet

   
   

   Jeśli Twoja firma korzysta z dynamicznego publicznego adresu IP, możesz ustawić Dynamiczny DNS. Iść do Urządzenie → DDNS i dostęp do urządzenia

   
   

   Obecnie wsparcie zapewnia dwóch dostawców: DynDns i no-ip.com. Aby aktywować opcję należy podać swoje dane uwierzytelniające (login, hasło).

2. Następnie utwórzmy konto użytkownika, będzie przydatne do testowania ustawień: VPN → Dostęp zdalny → Użytkownicy dostępu zdalnego

   
   

   W grupie (np. zdalny dostęp) utworzymy użytkownika postępując zgodnie z instrukcją na zrzucie ekranu. Założenie konta jest standardowe, należy ustawić login i hasło, a dodatkowo włączyć opcję uprawnień Dostęp zdalny.

   
   

   Jeżeli pomyślnie zastosowałeś ustawienia, powinny pojawić się dwa obiekty: użytkownik lokalny, lokalna grupa użytkowników.

   

3. Następnym krokiem jest przejście do VPN → Dostęp zdalny → Sterowanie ostrzami. Upewnij się, że moduł blade jest włączony i ruch od użytkowników zdalnych jest dozwolony.

   

4. *Powyższy zestaw stanowił minimalny zestaw kroków potrzebnych do skonfigurowania dostępu zdalnego. Zanim jednak przetestujemy połączenie, zapoznajmy się z ustawieniami zaawansowanymi wchodząc w zakładkę VPN → Dostęp zdalny → Zaawansowane

   
   

   Na podstawie bieżących ustawień widzimy, że gdy zdalni użytkownicy połączą się, otrzymają adres IP z sieci 172.16.11.0/24, dzięki opcji Tryb Biurowy. To wystarczy z rezerwą na wykorzystanie 200 licencji konkurencyjnych (wskazanych na 1590 NGFW Check Point).

   Opcja „Kieruj ruch internetowy od podłączonych klientów przez tę bramę” jest opcjonalny i odpowiada za kierowanie całego ruchu od użytkownika zdalnego przez bramę (w tym połączeń internetowych). Pozwala to na kontrolę ruchu użytkownika i ochronę jego stacji roboczej przed różnymi zagrożeniami i złośliwym oprogramowaniem.

5. *Praca z politykami dostępu dla dostępu zdalnego

   Po skonfigurowaniu Zdalnego Dostępu na poziomie Zapory sieciowej została utworzona reguła automatycznego dostępu, aby ją zobaczyć należy przejść do zakładki: Polityka dostępu → Zapora sieciowa → Polityka

   
   

   W takim przypadku zdalni użytkownicy będący członkami wcześniej utworzonej grupy będą mogli uzyskać dostęp do wszystkich wewnętrznych zasobów firmy; pamiętaj, że reguła znajduje się w sekcji ogólnej „Ruch przychodzący, wewnętrzny i VPN”. Aby zezwolić użytkownikom VPN na ruch do Internetu, musisz utworzyć osobną regułę w sekcji ogólnej „Dostęp wychodzący do Internetu".

6. Na koniec pozostaje nam tylko upewnić się, że użytkownik może pomyślnie utworzyć tunel VPN do naszej bramy NGFW i uzyskać dostęp do wewnętrznych zasobów firmy. Aby to zrobić, musisz zainstalować klienta VPN na testowanym hoście, zapewniona jest pomoc łącze Do załadunku. Po instalacji będziesz musiał przeprowadzić standardową procedurę dodawania nowej witryny (podaj publiczny adres IP swojej bramy). Dla wygody proces jest przedstawiony w formie GIF

   
   
   Gdy połączenie jest już nawiązane, sprawdźmy otrzymany adres IP na komputerze hosta za pomocą polecenia w CMD: ipconfig

   
   

   Upewniliśmy się, że wirtualna karta sieciowa otrzymała adres IP z trybu biurowego naszego NGFW, pakiety zostały pomyślnie wysłane. Aby zakończyć, możemy udać się do Portalu Gaia: VPN → Dostęp zdalny → Połączeni zdalni użytkownicy

   
   

   Użytkownik „ntuser” jest wyświetlany jako połączony, sprawdźmy rejestrację zdarzeń przechodząc do Dzienniki i monitorowanie → Dzienniki bezpieczeństwa

   
   

   Połączenie jest logowane przy użyciu adresu IP jako źródła: 172.16.10.1 - jest to adres otrzymany przez naszego użytkownika poprzez Tryb Biurowy.

   3. Obsługiwani klienci dostępu zdalnego

   Po zapoznaniu się z procedurą konfiguracji zdalnego połączenia z Twoim biurem za pomocą NGFW Check Point z rodziny SMB, chciałbym napisać o obsłudze klienta dla różnych urządzeń:

   • Endpoint VPN dla systemu Windows/Mac OS
   • Klient mobilny (Android / IOS)
   • Natywny klient L2TP (Check Point twierdzi, że obsługuje natywną aplikację VPN firmy Microsoft).

   Różnorodność obsługiwanych systemów operacyjnych i urządzeń pozwoli Ci w pełni wykorzystać licencję dołączoną do NGFW. W celu skonfigurowania osobnego urządzenia istnieje wygodna opcja "Jak się połączyć"

   

   Automatycznie generuje kroki zgodnie z Twoimi ustawieniami, co umożliwi administratorom bezproblemową instalację nowych klientów.

   Wnioski: Podsumowując ten artykuł, przyjrzeliśmy się możliwościom VPN rodziny NGFW Check Point SMB. Następnie opisaliśmy kroki konfiguracji Zdalnego Dostępu w przypadku zdalnego połączenia użytkowników z biurem, a następnie przestudiowaliśmy narzędzia monitorujące. Na końcu artykułu rozmawialiśmy o dostępnych klientach i opcjach połączenia dla Dostępu zdalnego. Dzięki temu Twój oddział będzie mógł zapewnić ciągłość i bezpieczeństwo pracy pracowników korzystając z technologii VPN, pomimo różnorodnych zagrożeń i czynników zewnętrznych.

   Duży wybór materiałów na Check Point od TS Solution. Czekać na dalsze informacje (Telegram, Facebook, VK, Blog rozwiązań TS, Yandex Zen).

Źródło: www.habr.com