Ahojte všetci! Tento článok obsahuje prehľad funkcií VPN v produkte Sophos XG Firewall. V predošlom Pozreli sme sa na to, ako získať toto riešenie ochrany domácej siete zadarmo s plnou licenciou. Dnes si povieme niečo o funkcionalite VPN, ktorá je zabudovaná do Sophos XG. Pokúsim sa vám povedať, čo tento produkt dokáže, a tiež uvediem príklady nastavenia IPSec Site-to-Site VPN a vlastnej SSL VPN. Začnime teda s recenziou.
Najprv sa pozrime na licenčnú tabuľku:
Viac o licencovaní brány Sophos XG Firewall si môžete prečítať tu:
Ale v tomto článku nás budú zaujímať iba tie položky, ktoré sú zvýraznené červenou farbou.
Hlavná funkcionalita VPN je zahrnutá v základnej licencii a kupuje sa iba raz. Toto je doživotná licencia a nevyžaduje obnovenie. Modul Base VPN Options obsahuje:
Site-to-Site:
- SSL VPN
- IPSec VPN
Vzdialený prístup (klient VPN):
- SSL VPN
- IPsec Clientless VPN (s bezplatnou vlastnou aplikáciou)
- L2TP
- PPTP
Ako vidíte, sú podporované všetky populárne protokoly a typy pripojení VPN.
Sophos XG Firewall má tiež dva ďalšie typy pripojení VPN, ktoré nie sú zahrnuté v základnom predplatnom. Ide o RED VPN a HTML5 VPN. Tieto pripojenia VPN sú zahrnuté v predplatnom Network Protection, čo znamená, že ak chcete používať tieto typy, musíte mať aktívne predplatné, ktoré zahŕňa aj funkcie ochrany siete - moduly IPS a ATP.
RED VPN je proprietárna L2 VPN od spoločnosti Sophos. Tento typ pripojenia VPN má pri nastavovaní VPN medzi dvoma XG množstvo výhod oproti Site-to-site SSL alebo IPSec. Na rozdiel od IPSec, RED tunel vytvára virtuálne rozhranie na oboch koncoch tunela, čo pomáha pri riešení problémov a na rozdiel od SSL je toto virtuálne rozhranie úplne prispôsobiteľné. Administrátor má plnú kontrolu nad podsieťou v rámci ČERVENÉHO tunela, čo uľahčuje riešenie problémov so smerovaním a konfliktov podsietí.
HTML5 VPN alebo Clientless VPN – Špecifický typ VPN, ktorý vám umožňuje preposielať služby cez HTML5 priamo v prehliadači. Typy služieb, ktoré je možné konfigurovať:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Je však potrebné zvážiť, že tento typ VPN sa používa iba v špeciálnych prípadoch a odporúča sa, ak je to možné, použiť typy VPN z vyššie uvedených zoznamov.
Prax
Poďme sa prakticky pozrieť na to, ako nakonfigurovať niekoľko z týchto typov tunelov, konkrétne: Site-to-Site IPSec a SSL VPN Remote Access.
Site-to-Site IPSec VPN
Začnime tým, ako nastaviť Site-to-Site IPSec VPN tunel medzi dvoma bránami Sophos XG Firewall. Pod kapotou používa strongSwan, ktorý vám umožní pripojiť sa k akémukoľvek routeru s podporou IPSec.
Môžete použiť pohodlného a rýchleho sprievodcu nastavením, ale budeme postupovať podľa všeobecnej cesty, aby ste na základe týchto pokynov mohli Sophos XG skombinovať s akýmkoľvek zariadením pomocou IPSec.
Otvorme okno nastavení politiky:
Ako vidíme, existujú už prednastavené nastavenia, ale vytvoríme si vlastné.
Nakonfigurujeme parametre šifrovania pre prvú a druhú fázu a uložíme politiku. Analogicky robíme rovnaké kroky na druhom Sophose XG a prejdeme k nastaveniu samotného IPSec tunela
Zadajte názov, prevádzkový režim a nakonfigurujte parametre šifrovania. Použijeme napríklad vopred zdieľaný kľúč
a označujú miestne a vzdialené podsiete.
Naše spojenie bolo vytvorené
Analogicky robíme rovnaké nastavenia na druhom Sophose XG, s výnimkou prevádzkového režimu, tam nastavíme Iniciovať pripojenie
Teraz máme nakonfigurované dva tunely. Ďalej ich musíme aktivovať a spustiť. To sa robí veľmi jednoducho, na aktiváciu je potrebné kliknúť na červený krúžok pod slovom Aktívne a na spustenie pripojenia na červený krúžok pod Pripojením.
Ak vidíme tento obrázok:
To znamená, že náš tunel funguje správne. Ak je druhý indikátor červený alebo žltý, potom je niečo nesprávne nakonfigurované v politikách šifrovania alebo miestnych a vzdialených podsieťach. Pripomínam, že nastavenia musia byť zrkadlené.
Samostatne by som rád zdôraznil, že z tunelov IPSec môžete vytvoriť skupiny prepnutia z dôvodu odolnosti voči chybám:
Vzdialený prístup SSL VPN
Prejdime na vzdialený prístup SSL VPN pre používateľov. Pod kapotou je štandardné OpenVPN. To umožňuje používateľom pripojiť sa prostredníctvom akéhokoľvek klienta, ktorý podporuje konfiguračné súbory .ovpn (napríklad štandardného klienta pripojenia).
Najprv musíte nakonfigurovať zásady servera OpenVPN:
Zadajte transport pre pripojenie, nakonfigurujte port, rozsah IP adries na pripojenie vzdialených používateľov
Môžete tiež zadať nastavenia šifrovania.
Po nastavení servera pristúpime k nastaveniu klientskych pripojení.
Každé pravidlo pripojenia SSL VPN je vytvorené pre skupinu alebo pre jednotlivého používateľa. Každý používateľ môže mať iba jednu politiku pripojenia. Podľa nastavení je zaujímavé, že ku každému takémuto pravidlu môžete určiť jednotlivých používateľov, ktorí budú toto nastavenie používať alebo skupinu z AD, môžete zaškrtnúť políčko, aby sa všetka prevádzka obalila VPN tunelom alebo zadať IP adresy, podsiete alebo názvy FQDN dostupné používateľom . Na základe týchto zásad sa automaticky vytvorí .ovpn profil s nastaveniami pre klienta.
Pomocou používateľského portálu si používateľ môže stiahnuť súbor .ovpn s nastaveniami pre klienta VPN a inštalačný súbor klienta VPN so vstavaným súborom nastavení pripojenia.
Záver
V tomto článku sme stručne prebrali funkčnosť VPN v produkte Sophos XG Firewall. Pozreli sme sa na to, ako môžete nakonfigurovať IPSec VPN a SSL VPN. Toto nie je úplný zoznam toho, čo toto riešenie dokáže. V nasledujúcich článkoch sa pokúsim zrecenzovať RED VPN a ukázať, ako to vyzerá v samotnom riešení.
Ďakujem za Tvoj čas.
Ak máte akékoľvek otázky týkajúce sa komerčnej verzie brány XG Firewall, môžete nás, spoločnosť, kontaktovať , distribútor Sophos. Stačí, ak napíšete voľnou formou na .
Zdroj: hab.com