4. NGFW para pequenas empresas. VPN

Continuamos nossa série de artigos sobre NGFW para pequenas empresas. Deixe-me lembrar que estamos analisando a nova linha de modelos da série 1500. EM Peças 1 ciclo, mencionei uma das opções mais úteis na compra de um dispositivo SMB - o fornecimento de gateways com licenças de acesso móvel integradas (de 100 a 200 usuários, dependendo do modelo). Neste artigo veremos como configurar uma VPN para gateways da série 1500 que vêm com o Gaia 80.20 Embedded pré-instalado. Aqui está um resumo:

1. Capacidades de VPN para pequenas e médias empresas.
2. Organização de Acesso Remoto para um pequeno escritório.
3. Clientes disponíveis para conexão.

1. Opções de VPN para pequenas e médias empresas

Para preparar o material de hoje, o oficial guia de administração versão R80.20.05 (atual no momento da publicação do artigo). Assim, em termos de VPN com Gaia 80.20 Embedded existe suporte para:

1. Site a site. Criação de túneis VPN entre seus escritórios, onde os usuários podem trabalhar como se estivessem na mesma rede “local”.

   

2. Acesso remoto. Conexão remota aos recursos do seu escritório usando dispositivos finais do usuário (PCs, telefones celulares, etc.). Além disso, existe um SSL Network Extender, que permite publicar aplicativos individuais e executá-los usando o Java Applet, conectando-se via SSL. Nota: não deve ser confundido com Portal de Acesso Móvel (sem suporte para Gaia Embedded).
   
   

adicionalmente Eu recomendo fortemente o curso do autor TS Solution - VPN de acesso remoto Check Point ele revela as tecnologias da Check Point em relação à VPN, aborda questões de licenciamento e contém instruções detalhadas de configuração.

2. Acesso remoto para pequenos escritórios

Começaremos a organizar uma conexão remota com seu escritório:

1. Para que os usuários construam um túnel VPN com gateway, você precisa ter um endereço IP público. Se você já concluiu a configuração inicial (Artigo 2 do ciclo), então, via de regra, o Link Externo já está ativo. Informações podem ser obtidas acessando o Portal Gaia: Dispositivo → Rede → Internet

   
   

   Se sua empresa usa um endereço IP público dinâmico, você pode definir o DNS dinâmico. Vá para dispositivo → DDNS e acesso a dispositivos

   
   

   Atualmente há suporte de dois provedores: DynDns e no-ip.com. Para ativar a opção você precisa inserir suas credenciais (login, senha).

2. A seguir, vamos criar uma conta de usuário, ela será útil para testar as configurações: VPN → Acesso Remoto → Usuários de Acesso Remoto

   
   

   No grupo (por exemplo: acesso remoto) criaremos um usuário seguindo as instruções da imagem. A configuração de uma conta é padrão, defina um login e senha e ative adicionalmente a opção de permissões de acesso remoto.

   
   

   Se você aplicou as configurações com sucesso, dois objetos deverão aparecer: um usuário local, um grupo local de usuários.

   

3. O próximo passo é ir para VPN → Acesso Remoto → Controle de Blade. Certifique-se de que seu blade esteja ligado e que o tráfego de usuários remotos seja permitido.

   

4. *O acima foi o conjunto mínimo de etapas para configurar o Acesso Remoto. Mas antes de testarmos a conexão, vamos explorar as configurações avançadas acessando a aba VPN → Acesso Remoto → Avançado

   
   

   Com base nas configurações atuais, vemos que quando usuários remotos se conectarem, eles receberão um endereço IP da rede 172.16.11.0/24, graças à opção Modo Escritório. Isto é suficiente com reserva para utilização de 200 licenças competitivas (indicadas para 1590 NGFW Check Point).

   Opção "Roteie o tráfego da Internet de clientes conectados através deste gateway" é opcional e é responsável por rotear todo o tráfego do usuário remoto através do gateway (incluindo conexões com a Internet). Isso permite inspecionar o tráfego do usuário e proteger sua estação de trabalho contra diversas ameaças e malware.

5. *Trabalhando com políticas de acesso para Acesso Remoto

   Após configurarmos o Acesso Remoto, foi criada uma regra de acesso automático ao nível do Firewall, para visualizá-la é necessário acessar a aba: Política de Acesso → Firewall → Política

   
   

   Neste caso, os usuários remotos membros de um grupo previamente criado poderão acessar todos os recursos internos da empresa; observe que a regra está localizada na seção geral “Tráfego de entrada, interno e VPN”. Para permitir o tráfego de usuários VPN para a Internet, você precisará criar uma regra separada na seção geral “Acesso de saída à Internet".

6. Por fim, só precisamos ter certeza de que o usuário consegue criar com sucesso um túnel VPN para nosso gateway NGFW e obter acesso aos recursos internos da empresa. Para fazer isso, você precisa instalar um cliente VPN no host que está sendo testado, é fornecida ajuda link Para carregar. Após a instalação, você precisará realizar o procedimento padrão para adicionar um novo site (indicar o endereço IP público do seu gateway). Por conveniência, o processo é apresentado em formato GIF

   
   
   Quando a conexão já estiver estabelecida, vamos verificar o endereço IP recebido na máquina host usando o comando no CMD: ipconfig

   
   

   Certificamo-nos de que o adaptador de rede virtual recebeu um endereço IP do modo Office do nosso NGFW, os pacotes foram enviados com sucesso. Para completar, podemos ir ao Portal Gaia: VPN → Acesso Remoto → Usuários Remotos Conectados

   
   

   O usuário “ntuser” é exibido como conectado, vamos verificar o registro de eventos acessando Logs e monitoramento → Logs de segurança

   
   

   A conexão é registrada usando o endereço IP como fonte: 172.16.10.1 - este é o endereço recebido pelo nosso usuário através do Modo Office.

   3. Clientes suportados para acesso remoto

   Depois de analisarmos o procedimento para configurar uma conexão remota ao seu escritório usando o NGFW Check Point da família SMB, gostaria de escrever sobre o suporte ao cliente para vários dispositivos:

   • Endpoint VPN para Windows/Mac OS
   • Cliente Móvel (Android / IOS)
   • Cliente nativo L2TP (Check Point afirma suporte para aplicativo VPN nativo da Microsoft).

   A variedade de sistemas operacionais e dispositivos suportados permitirá que você aproveite ao máximo a licença que acompanha o NGFW. Para configurar um dispositivo separado, existe uma opção conveniente "Como conectar"

   

   Ele gera etapas automaticamente de acordo com suas configurações, o que permitirá aos administradores instalar novos clientes sem problemas.

   Conclusão: Para resumir este artigo, analisamos os recursos VPN da família NGFW Check Point SMB. A seguir, descrevemos os passos para configuração do Acesso Remoto, no caso de conexão remota de usuários ao escritório, e a seguir estudamos as ferramentas de monitoramento. Ao final do artigo falamos sobre clientes disponíveis e opções de conexão para Acesso Remoto. Assim, sua filial poderá garantir a continuidade e segurança do trabalho dos funcionários utilizando tecnologias VPN, apesar de diversas ameaças e fatores externos.

   Grande seleção de materiais no Check Point da TS Solution. Fique atento (Telegram, Facebook, VK, Blog da solução TS, Yandex.Den).

Fonte: habr.com