4. NGFW pre malé podniky. VPN

Pokračujeme v našej sérii článkov o NGFW pre malé podniky, dovoľte mi pripomenúť, že recenzujeme nový modelový rad 1500. IN Časti 1 cyklu som spomenul jednu z najužitočnejších možností pri nákupe SMB zariadenia - dodávku brán so zabudovanými licenciami Mobile Access (od 100 do 200 používateľov v závislosti od modelu). V tomto článku sa pozrieme na nastavenie VPN pre brány série 1500, ktoré sa dodávajú s predinštalovaným vstavaným systémom Gaia 80.20. Tu je zhrnutie:

1. Možnosti VPN pre SMB.
2. Organizácia vzdialeného prístupu pre malú kanceláriu.
3. Dostupní klienti na pripojenie.

1. Možnosti VPN pre SMB

Aby sme mohli pripraviť dnešný materiál, úrad admin sprievodca verzia R80.20.05 (aktuálna v čase uverejnenia článku). V súlade s tým, pokiaľ ide o VPN s vstavaným Gaia 80.20, existuje podpora pre:

1. Site-To-Site. Vytváranie VPN tunelov medzi vašimi kanceláriami, kde môžu používatelia pracovať, ako keby boli v rovnakej „lokálnej“ sieti.

   

2. Vzdialený prístup. Vzdialené pripojenie k zdrojom vašej kancelárie pomocou koncových zariadení používateľov (PC, mobilné telefóny atď.). Dodatočne existuje SSL Network Extender, ktorý umožňuje publikovať jednotlivé aplikácie a spúšťať ich pomocou Java Applet, pričom sa pripája cez SSL. Poznámka: nezamieňať s Mobile Access Portal (žiadna podpora pre Gaia Embedded).
   
   

ďalej Vrelo odporúčam autorkin kurz Riešenie TS - Check Point Remote Access VPN odhaľuje technológie Check Point týkajúce sa VPN, dotýka sa licenčných problémov a obsahuje podrobné pokyny na nastavenie.

2. Vzdialený prístup pre malé kancelárie

Začneme organizovať vzdialené pripojenie k vašej kancelárii:

1. Aby si používatelia mohli vybudovať VPN tunel s bránou, musíte mať verejnú IP adresu. Ak ste už dokončili úvodné nastavenie (Článok 2 z cyklu), potom je už externý odkaz spravidla aktívny. Informácie nájdete na portáli Gaia: Zariadenie → Sieť → Internet

   
   

   Ak vaša spoločnosť používa dynamickú verejnú IP adresu, môžete nastaviť dynamický DNS. Ísť do zariadení → DDNS a prístup k zariadeniam

   
   

   V súčasnosti existuje podpora od dvoch poskytovateľov: DynDns a no-ip.com. Na aktiváciu tejto možnosti je potrebné zadať prihlasovacie údaje (prihlasovacie meno, heslo).

2. Ďalej si vytvorte používateľský účet, ktorý bude užitočný na testovanie nastavení: VPN → Vzdialený prístup → Používatelia vzdialeného prístupu

   
   

   V skupine (napríklad: remoteaccess) vytvoríme používateľa podľa pokynov na snímke obrazovky. Nastavenie účtu je štandardné, nastavte prihlasovacie meno a heslo a navyše povoľte možnosť Povolenia vzdialeného prístupu.

   
   

   Ak ste úspešne aplikovali nastavenia, mali by sa objaviť dva objekty: lokálny používateľ, lokálna skupina používateľov.

   

3. Ďalším krokom je prejsť na VPN → Vzdialený prístup → Blade Control. Uistite sa, že je váš blade zapnutý a že je povolená prevádzka od vzdialených používateľov.

   

4. *Vyššie uvedené predstavuje minimálny súbor krokov na nastavenie vzdialeného prístupu. Predtým, ako otestujeme pripojenie, preskúmame rozšírené nastavenia na karte VPN → Vzdialený prístup → Rozšírené

   
   

   Na základe aktuálnych nastavení vidíme, že po pripojení vzdialených používateľov dostanú IP adresu zo siete 172.16.11.0/24, vďaka voľbe Office Mode. To s rezervou stačí na použitie 200 konkurenčných licencií (uvedené na 1590 NGFW Check Point).

   Možnosť "Smerovať internetový prenos z pripojených klientov cez túto bránu" je voliteľný a zodpovedá za smerovanie všetkej prevádzky od vzdialeného používateľa cez bránu (vrátane internetových pripojení). To vám umožňuje kontrolovať prevádzku používateľa a chrániť jeho pracovnú stanicu pred rôznymi hrozbami a malvérom.

5. *Práca so zásadami prístupu pre vzdialený prístup

   Po nakonfigurovaní vzdialeného prístupu sa na úrovni brány firewall vytvorilo pravidlo automatického prístupu, na jeho zobrazenie musíte prejsť na kartu: Zásady prístupu → Brána firewall → Zásady

   
   

   V tomto prípade budú mať vzdialení používatelia, ktorí sú členmi predtým vytvorenej skupiny, prístup ku všetkým interným zdrojom spoločnosti; všimnite si, že pravidlo sa nachádza vo všeobecnej časti „Prichádzajúca, interná a VPN prevádzka“. Ak chcete povoliť prenos používateľov VPN na internet, budete musieť vytvoriť samostatné pravidlo vo všeobecnej časti „Odchádzajúci prístup na internet".

6. Nakoniec sa musíme uistiť, že používateľ môže úspešne vytvoriť tunel VPN do našej brány NGFW a získať prístup k interným zdrojom spoločnosti. Ak to chcete urobiť, musíte na testovanom hostiteľovi nainštalovať klienta VPN, poskytuje sa pomoc odkaz Na nakladanie. Po inštalácii budete musieť vykonať štandardný postup pridania novej stránky (uveďte verejnú IP adresu vašej brány). Pre pohodlie je proces prezentovaný vo forme GIF

   
   
   Keď je pripojenie už vytvorené, skontrolujte prijatú IP adresu na hostiteľskom počítači pomocou príkazu v CMD: ipconfig

   
   

   Ubezpečili sme sa, že virtuálny sieťový adaptér dostal IP adresu z Office Mode nášho NGFW, pakety boli úspešne odoslané. Na dokončenie môžeme prejsť na portál Gaia: VPN → Vzdialený prístup → Pripojení vzdialení používatelia

   
   

   Používateľ „ntuser“ sa zobrazí ako pripojený, skontrolujeme protokolovanie udalostí tak, že prejdeme na Protokoly a monitorovanie → Protokoly zabezpečenia

   
   

   Pripojenie sa zaprotokoluje pomocou adresy IP ako zdroja: 172.16.10.1 – toto je adresa prijatá naším používateľom prostredníctvom režimu Office.

   3. Podporovaní klienti pre vzdialený prístup

   Po preštudovaní postupu nastavenia vzdialeného pripojenia k vašej kancelárii pomocou NGFW Check Point z rodiny SMB by som rád napísal o klientskej podpore pre rôzne zariadenia:

   • Endpoint VPN pre Windows/Mac OS
   • Mobilný klient (Android / IOS)
   • Native Client L2TP (Check Point požaduje podporu pre natívnu aplikáciu VPN od spoločnosti Microsoft).

   Rozmanitosť podporovaných operačných systémov a zariadení vám umožní plne využiť vašu licenciu, ktorá sa dodáva s NGFW. Na konfiguráciu samostatného zariadenia existuje pohodlná možnosť "Ako sa pripojiť"

   

   Automaticky generuje kroky podľa vašich nastavení, čo umožní správcom bez problémov nainštalovať nových klientov.

   Záver: Aby sme tento článok zhrnuli, pozreli sme sa na možnosti VPN rodiny NGFW Check Point SMB. Ďalej sme popísali kroky pre nastavenie vzdialeného prístupu v prípade vzdialeného pripojenia používateľov do kancelárie a následne sme si preštudovali monitorovacie nástroje. Na konci článku sme hovorili o dostupných klientoch a možnostiach pripojenia pre vzdialený prístup. Vaša pobočka tak bude môcť zabezpečiť kontinuitu a bezpečnosť práce zamestnancov pomocou technológií VPN, a to aj napriek rôznym vonkajším hrozbám a faktorom.

   Veľký výber materiálov na Check Point od TS Solution. Zostaňte naladení (telegram, facebook, VK, Blog riešení TS, Yandex Zen).

Zdroj: hab.com