4. NGFW pentru întreprinderile mici. VPN

Continuăm seria noastră de articole despre NGFW pentru întreprinderile mici, permiteți-mi să vă reamintesc că trecem în revistă noua gamă de modele din seria 1500. ÎN Piese 1 ciclu, am menționat una dintre cele mai utile opțiuni la achiziționarea unui dispozitiv IMM - furnizarea de gateway-uri cu licențe Mobile Access încorporate (de la 100 la 200 de utilizatori, în funcție de model). În acest articol, vom analiza configurarea unui VPN pentru gateway-uri din seria 1500 care vin cu Gaia 80.20 Embedded preinstalat. Iată un rezumat:

1. Capabilități VPN pentru IMM-uri.
2. Organizarea accesului la distanță pentru un birou mic.
3. Clienți disponibili pentru conectare.

1. Opțiuni VPN pentru IMM-uri

Pentru a pregăti materialul de astăzi, oficialul ghid de administrare versiunea R80.20.05 (actuală la momentul publicării articolului). În consecință, în ceea ce privește VPN-ul cu Gaia 80.20 Embedded, există suport pentru:

1. Site-To-Site. Crearea de tuneluri VPN între birourile dvs., unde utilizatorii pot lucra ca și cum ar fi în aceeași rețea „locală”.

   

2. Acces de la distanță. Conexiune de la distanță la resursele de birou folosind dispozitivele finale ale utilizatorilor (PC-uri, telefoane mobile etc.). În plus, există un SSL Network Extender, care vă permite să publicați aplicații individuale și să le rulați folosind Java Applet, conectându-vă prin SSL. Nota: nu trebuie confundat cu Mobile Access Portal (fără suport pentru Gaia Embedded).
   
   

în plus Recomand cu căldură cursul autorului TS Solution - Check Point Remote Access VPN dezvăluie tehnologiile Check Point referitoare la VPN, atinge problemele de licențiere și conține instrucțiuni detaliate de configurare.

2. Acces de la distanță pentru birouri mici

Vom începe să organizăm o conexiune la distanță la biroul dvs.:

1. Pentru ca utilizatorii să construiască un tunel VPN cu un gateway, trebuie să aveți o adresă IP publică. Dacă ați finalizat deja configurarea inițială (Articolul 2 din ciclu), atunci, de regulă, Legătura externă este deja activă. Informațiile pot fi găsite accesând portalul Gaia: Dispozitiv → Rețea → Internet

   
   

   Dacă compania dvs. folosește o adresă IP publică dinamică, atunci puteți seta DNS dinamic. Mergi la Dispozitiv → DDNS și acces la dispozitiv

   
   

   În prezent, există suport de la doi furnizori: DynDns și no-ip.com. Pentru a activa opțiunea, trebuie să introduceți datele de conectare (login, parolă).

2. În continuare, să creăm un cont de utilizator, acesta va fi util pentru testarea setărilor: VPN → Acces la distanță → Utilizatori acces la distanță

   
   

   În grup (de exemplu: remoteaccess) vom crea un utilizator urmând instrucțiunile din captura de ecran. Configurarea unui cont este standard, setați o autentificare și o parolă și, în plus, activați opțiunea de permisiuni de acces la distanță.

   
   

   Dacă ați aplicat cu succes setările, ar trebui să apară două obiecte: un utilizator local, un grup local de utilizatori.

   

3. Următorul pas este să mergi la VPN → Acces de la distanță → Control blade. Asigurați-vă că blade este pornit și că traficul de la utilizatori la distanță este permis.

   

4. *Cele de mai sus au fost setul minim de pași pentru a configura accesul la distanță. Dar înainte de a testa conexiunea, haideți să explorăm setările avansate accesând fila VPN → Acces la distanță → Avansat

   
   

   Pe baza setărilor curente, vedem că atunci când utilizatorii de la distanță se conectează, aceștia vor primi o adresă IP din rețea 172.16.11.0/24, datorită opțiunii Office Mode. Acest lucru este suficient cu o rezervă pentru a utiliza 200 de licențe competitive (indicate pentru 1590 NGFW Check Point).

   Opțiune „Dirijați traficul de internet de la clienții conectați prin acest gateway” este opțional și este responsabil pentru direcționarea întregului trafic de la utilizatorul de la distanță prin gateway (inclusiv conexiunile la Internet). Acest lucru vă permite să inspectați traficul utilizatorului și să îi protejați stația de lucru de diverse amenințări și malware.

5. * Lucrul cu politicile de acces pentru acces la distanță

   După ce am configurat Accesul la distanță, a fost creată o regulă de acces automat la nivel de firewall, pentru a o vizualiza trebuie să mergeți la fila: Politică de acces → Firewall → Politică

   
   

   În acest caz, utilizatorii la distanță care sunt membri ai unui grup creat anterior vor putea accesa toate resursele interne ale companiei, rețineți că regula se află în secțiunea generală; „Trafic de intrare, intern și VPN”. Pentru a permite traficul utilizatorilor VPN pe Internet, va trebui să creați o regulă separată în secțiunea generală „Acces de ieșire la Internet".

6. În cele din urmă, trebuie doar să ne asigurăm că utilizatorul poate crea cu succes un tunel VPN către poarta noastră NGFW și poate obține acces la resursele interne ale companiei. Pentru a face acest lucru, trebuie să instalați un client VPN pe gazda testată, este oferit ajutor legătură Pentru încărcare. După instalare, va trebui să efectuați procedura standard pentru adăugarea unui nou site (indicați adresa IP publică a gateway-ului dvs.). Pentru comoditate, procesul este prezentat sub formă GIF

   
   
   Când conexiunea este deja stabilită, să verificăm adresa IP primită pe mașina gazdă folosind comanda din CMD: ipconfig

   
   

   Ne-am asigurat că adaptorul de rețea virtuală a primit o adresă IP din modul Office al NGFW-ului nostru, pachetele au fost trimise cu succes. Pentru a finaliza, putem merge la Gaia Portal: VPN → Acces la distanță → Utilizatori la distanță conectați

   
   

   Utilizatorul „ntuser” este afișat ca conectat, să verificăm înregistrarea evenimentelor accesând Jurnale și monitorizare → Jurnale de securitate

   
   

   Conexiunea este înregistrată folosind ca sursă adresa IP: 172.16.10.1 - aceasta este adresa primită de utilizatorul nostru prin Office Mode.

   3. Clienți acceptați pentru acces la distanță

   După ce am revizuit procedura de configurare a unei conexiuni la distanță la biroul dvs. utilizând NGFW Check Point din familia IMM-urilor, aș dori să scriu despre asistența clienților pentru diferite dispozitive:

   • Endpoint VPN для Windows / Mac OS
   • Client mobil (Android / IOS)
   • Client nativ L2TP (Check Point revendică suport pentru aplicația VPN nativă Microsoft).

   Varietatea de sisteme de operare și dispozitive acceptate vă va permite să profitați din plin de licența dvs. care vine cu NGFW. Pentru a configura un dispozitiv separat, există o opțiune convenabilă „Cum să te conectezi”

   

   Acesta generează automat pași conform setărilor dvs., ceea ce va permite administratorilor să instaleze noi clienți fără probleme.

   Concluzie: Pentru a rezuma acest articol, ne-am uitat la capacitățile VPN ale familiei NGFW Check Point SMB. În continuare, am descris pașii de configurare a Accesului la distanță, în cazul conectării de la distanță a utilizatorilor la birou, apoi am studiat instrumentele de monitorizare. La sfârșitul articolului am vorbit despre clienții disponibili și opțiunile de conectare pentru Acces la distanță. Astfel, sucursala dumneavoastră va putea asigura continuitatea și securitatea muncii angajaților folosind tehnologii VPN, în ciuda diferitelor amenințări și factori externi.

   Selecție mare de materiale pe Check Point de la TS Solution. Rămâneţi aproape (Telegramă, Facebook, VK, TS Solution Blog, Yandex Zen).

Sursa: www.habr.com