Olá, queridos leitores do blog TS Solution, continuamos a série de artigos sobre soluções NGFW CheckPoint no segmento SMB. Por conveniência, você pode se familiarizar com a gama de modelos, estudar as características e capacidades em , então sugerimos passar para a desembalagem e configuração inicial usando o exemplo do equipamento real 1590 Check Point em .
Para quem está começando a conhecer a linha de modelos SMB - adequada para pequenos escritórios ou filiais de até 200 pessoas (na escolha do modelo 1590). Uma das características desta família é o suporte à comunicação sem fio, o que pode ser útil quando a infraestrutura possui dispositivos que possuem adaptador WiFi ou NGFW necessita de acesso à Internet através de comunicações móveis. Para as tarefas listadas você precisará de tecnologias: WiFi, LTE. Este artigo é sobre isso, onde veremos:
- Habilitando e configurando o modo NGFW WiFi.
- Habilitando e configurando o modo operacional LTE do NGFW.
- Conclusões gerais sobre tecnologias sem fio para NGFW.
NGFW e Wi-Fi
Se voltarmos à parte 2 de nossa série, deixamos a opção de conexão de usuário sem fio desabilitada, então você precisa ir até a aba Dispositivo → Rede → Sem fio
Na captura de tela que forneci, existem dois modos de operação WiFi possíveis:
- 2.4 GHz é uma frequência suportada pela maioria das gerações de vários dispositivos sem fio.
- 5 GHz é uma frequência que é o padrão moderno para trabalhar com dispositivos sem fio; o suporte é encontrado em todos os smartphones, tablets e laptops modernos.
Também pela captura de tela (acima) você pode notar que já habilitei o modo de operação 5 GHz, vamos configurar 2.4 GHz juntos, para isso clique no botão "Configurar".
Na janela de criação de um ponto de acesso, somos solicitados a especificar um conjunto padrão de parâmetros. Você pode usar uma senha ou servidor Radius como método de autenticação. A opção “Permitir acesso desta rede a redes locais” é responsável pelo acesso dos seus clientes wireless aos recursos internos que estão localizados atrás do Check Point NGFW. Depois que seu ponto estiver configurado, você poderá alterar mais parâmetros.
Configurações disponíveis
Após o dispositivo em teste ter se conectado ao seu ponto de acesso, podemos ter certeza de que ele está em nossa rede, acesse a aba: Registros e monitoramento → Status → Dispositivos ativos sem fio
Se clicarmos em um objeto com nome, veremos as propriedades do cliente conectado:
Além de informações sobre o dispositivo, considero as seguintes opções úteis:
- salvar objeto para uso em regras (1);
- bloquear o acesso a este cliente (2).
Além disso, com base em nossas configurações para Application Blade (na terminologia CheckPoint, um dos módulos), é proibido clicar em links potencialmente perigosos.
Tentamos abrir uma das categorias em um dispositivo móvel conectando-nos via WiFi ao NGFW Check Point e, consequentemente, acessando a Internet através dele.
Conclusão: O usuário não conseguiu acessar o site, que pertence à categoria Anonymizer.
Assim, analisamos a configuração básica para conectar usuários usando WiFi; isso é conveniente em pequenos escritórios onde há muitos dispositivos sem fio. Ao mesmo tempo, a solução Check Point NGFW permite proteger seus usuários contra vulnerabilidades e conteúdo malicioso, e você tem opções flexíveis para monitorar hosts sem fio. Gostaria de mencionar separadamente a administração por meio de um aplicativo móvel; o método foi descrito em um de nossos .
NGFW e LTE
Os modelos 1570, 1590 vêm com um modem LTE, que permite usar Micro/Nano SIM e assim estabelecer uma conexão 4G. Para quem estiver curioso, deixaremos um breve lembrete abaixo do spoiler.
Instruções para instalar o SIM
Então você instalou o SIM, depois disso você precisa retornar ao Portal Gaia e ir para a próxima seção Dispositivo → Rede → Internet. Por padrão, você terá uma conexão WAN; você precisa criar uma nova conexão seguindo a seta vermelha.
Onde precisaremos definir o nome da conexão, determine o tipo de interface (no nosso caso Celular)
Além disso, abra a guia "Monitoramento de conexão", aqui é possível enviar automaticamente: uma solicitação ARP para a rota padrão, pacotes ICMP para fontes especificadas, observo que você pode especificar seus recursos para monitoramento.
Inserção "Celular" é responsável por escolher as prioridades entre SIMs, inserindo dados de autenticação se necessário (APN, PIN).
Na guia "Avançado" É possível definir configurações de rede:
- configurações para a interface (MTU, MAC)
- QOS
- Redundância de ISP
- NAT
- DHCP
Depois de criar um novo tipo de conexão, você encontrará uma tabela de conexões com a Internet em Dispositivo → Rede → Internet:
Na imagem apresentada acima vemos uma nova conexão “LTE_TELE2”, como você deve ter adivinhado, este é um SIM da operadora Tele2. A tabela fornece informações sobre o nível do sinal, mostra o percentual de perdas e o tempo de atraso. Além disso, é possível abrir a opção Monitoramento de conexão.
Na janela de monitoramento vemos os resultados do envio de solicitações para até três servidores, um deles é personalizado (ya.ru). Exibido aqui:
- porcentagem de perda de pacotes;
- porcentagem de erros de rede;
- tempo de resposta (médio, mínimo e máximo);
- nervosismo.
Se você estiver interessado em informações do sistema sobre o modem LTE no NGFW Check Point, você deve ir para Registros e monitoramento → Diagnóstico → Ferramentas → Monitorar modem celular:
A seguir, analisamos a velocidade de acesso à Internet do host final, que está conectado ao NGFW via WiFi (5 GHz), e o próprio gateway utiliza uma conexão LTE para enviar pacotes para a Rede Global. Comparamos os valores obtidos com a situação em que é utilizada a mesma localização geográfica, mas o telefone se conecta diretamente à Internet. Por conveniência, os resultados estão ocultos sob um spoiler.
Resultados do SpeedTest
Claro que esses indicadores possuem erros e características próprias, vamos levantar uma hipótese: o NGFW 1590 amplifica a potência do sinal de celular recebido por meio de duas antenas externas. Esta afirmação é indiretamente confirmada pelos resultados do SpeedTest, realizado nas mesmas condições e mostrando diminuição do Ping e da latência para o mesmo recurso.
Objeto
NGFW + LTE
Móvel+LTE
Ping (ms)
30
34
Tremor (ms)
7.2
5.2
Velocidade de entrada (Mbp/s)
16.1
12
Velocidade de saída (Mbp/s)
10.9
2.97
Para avaliar a eficácia das antenas externas NGFW Check Point 1590, medimos o nível de recepção do sinal e, em seguida, usando o menu de engenharia, realizamos uma medição semelhante para o telefone. Os resultados são apresentados abaixo:
Dessa forma, o nível de potência de recepção do sinal é considerado melhor quando seu valor negativo tende a 0. O valor obtido para o telefone foi (-109 dBm), para o modem (-61 dBm). O que geralmente confirma nossa hipótese e indica a estabilidade da comunicação LTE da família NGFW SMB.
Conclusões gerais
Para resumir a parte de hoje, foram consideradas duas tecnologias: WiFi e LTE, que são suportadas pelos modelos 1570, 1590 Check Point.
Para pequenos escritórios e filiais, nem sempre é possível instalar pontos de acesso sem fio separados, portanto, o NGFW ajudará a organizar uma rede sem fio e, o mais importante, a proteger esses usuários.
Quanto ao modem LTE baseado em NGFW, na minha opinião, os seguintes casos de uso serão necessários:
- Falta de conexão com fio à Internet. Neste caso, você será forçado a usar comunicações móveis para fornecer conexão à Internet. Este cenário é também relevante para empresas específicas cujo tipo de atividade exige a colocação “móvel” da sua infraestrutura de rede, independentemente das condições (terreno, disponibilidade de comunicações cabladas, etc.).
- Reserva do canal principal de acesso cabeado. Deixe-me lembrar que o NGFW suporta trabalhar com dois SIMs, o que aumenta a tolerância a falhas da sua infraestrutura em caso de acidente com um dos links cabeados. Você também pode ativar manualmente a conexão LTE, dependendo do cenário de uso.
. Fique atento (, , , , ).
Fonte: habr.com