Herkese selam! Bu makale, Sophos XG Güvenlik Duvarı ürünündeki VPN işlevselliğini inceleyecektir. Öncekinde
Öncelikle lisans tablosuna bakalım:
Sophos XG Firewall'un nasıl lisanslandığı hakkında daha fazla bilgiyi burada bulabilirsiniz:
Ancak bu yazıda yalnızca kırmızıyla vurgulanan öğelerle ilgileneceğiz.
Ana VPN işlevi temel lisansa dahildir ve yalnızca bir kez satın alınır. Bu ömür boyu bir lisanstır ve yenilenmesi gerekmez. Base VPN Seçenekleri modülü şunları içerir:
Şantiye:
- SSL VPN
- IPSec VPN'i
Uzaktan Erişim (istemci VPN'i):
- SSL VPN
- IPsec İstemcisiz VPN (ücretsiz özel uygulamayla)
- L2TP
- PPTP
Gördüğünüz gibi tüm popüler protokoller ve VPN bağlantı türleri desteklenmektedir.
Ayrıca Sophos XG Firewall'da temel aboneliğe dahil olmayan iki tür VPN bağlantısı daha vardır. Bunlar RED VPN ve HTML5 VPN'dir. Bu VPN bağlantıları Ağ Koruması aboneliğine dahildir; bu, bu türleri kullanmak için, aynı zamanda ağ koruma işlevselliğini (IPS ve ATP modülleri) de içeren etkin bir aboneliğe sahip olmanız gerektiği anlamına gelir.
RED VPN, Sophos'un tescilli bir L2 VPN'idir. Bu tür VPN bağlantısının, iki XG arasında bir VPN kurarken Siteden Siteye SSL veya IPSec'e göre çok sayıda avantajı vardır. IPSec'ten farklı olarak RED tüneli, tünelin her iki ucunda da sanal bir arayüz oluşturarak sorunların giderilmesine yardımcı olur ve SSL'den farklı olarak bu sanal arayüz tamamen özelleştirilebilir. Yönetici, RED tüneli içindeki alt ağ üzerinde tam kontrole sahiptir; bu, yönlendirme sorunlarını ve alt ağ çakışmalarını çözmeyi kolaylaştırır.
HTML5 VPN veya İstemcisiz VPN – Hizmetleri doğrudan tarayıcıda HTML5 aracılığıyla iletmenize olanak tanıyan belirli bir VPN türü. Yapılandırılabilecek hizmet türleri:
- RDP
- Telnet
- SSH
- VNC
- FTP
- FTPS
- SFTP
- SMB
Ancak bu VPN türünün yalnızca özel durumlarda kullanıldığını ve mümkünse yukarıdaki listelerden VPN türlerinin kullanılması tavsiye edildiğini dikkate almakta fayda var.
Uygulama
Bu tür tünellerden birkaçının nasıl yapılandırılacağına pratik bir göz atalım: Siteden Siteye IPSec ve SSL VPN Uzaktan Erişim.
Siteden Siteye IPSec VPN
İki Sophos XG Güvenlik Duvarı arasında Siteden Siteye IPSec VPN tünelinin nasıl kurulacağıyla başlayalım. Kaputun altında, herhangi bir IPSec özellikli yönlendiriciye bağlanmanıza olanak tanıyan StrongSwan'ı kullanır.
Kullanışlı ve hızlı bir kurulum sihirbazı kullanabilirsiniz, ancak biz genel yolu izleyeceğiz, böylece bu talimatlara dayanarak Sophos XG'yi IPSec kullanan herhangi bir ekipmanla birleştirebilirsiniz.
Politika ayarları penceresini açalım:
Gördüğümüz gibi zaten önceden ayarlanmış ayarlar var, ancak kendimizinkini yaratacağız.
Birinci ve ikinci aşama için şifreleme parametrelerini yapılandıralım ve politikayı kaydedelim. Benzer şekilde, ikinci Sophos XG'de de aynı adımları uyguluyoruz ve IPSec tünelinin kendisini kurmaya geçiyoruz
Adı, çalışma modunu girin ve şifreleme parametrelerini yapılandırın. Örneğin, Önceden Paylaşılan Anahtarı kullanacağız
ve yerel ve uzak alt ağları belirtin.
Bağlantımız oluşturuldu
Benzer şekilde, çalışma modu haricinde ikinci Sophos XG'de de aynı ayarları yapıyoruz, orada Bağlantıyı başlat ayarını yapacağız
Artık yapılandırılmış iki tünelimiz var. Daha sonra onları etkinleştirip çalıştırmamız gerekiyor. Bu çok basit bir şekilde yapılır; etkinleştirmek için Aktif kelimesinin altındaki kırmızı daireye ve bağlantıyı başlatmak için Bağlantı altındaki kırmızı daireye tıklamanız gerekir.
Bu resmi görürsek:
Bu, tünelimizin doğru çalıştığı anlamına geliyor. İkinci gösterge kırmızı veya sarıysa, şifreleme politikalarında veya yerel ve uzak alt ağlarda bir şeyler yanlış yapılandırılmış demektir. Ayarların yansıtılması gerektiğini hatırlatayım.
Ayrı olarak, hata toleransı için IPSec tünellerinden Yük Devretme grupları oluşturabileceğinizi de vurgulamak isterim:
Uzaktan Erişim SSL VPN'i
Kullanıcılar için Uzaktan Erişim SSL VPN'e geçelim. Kaputun altında standart bir OpenVPN var. Bu, kullanıcıların .ovpn yapılandırma dosyalarını destekleyen herhangi bir istemci (örneğin, standart bir bağlantı istemcisi) aracılığıyla bağlanmasına olanak tanır.
Öncelikle OpenVPN sunucu politikalarını yapılandırmanız gerekir:
Bağlantı için aktarımı belirtin, uzak kullanıcıları bağlamak için bağlantı noktasını ve IP adresi aralığını yapılandırın
Şifreleme ayarlarını da belirleyebilirsiniz.
Sunucuyu kurduktan sonra istemci bağlantılarını kurmaya geçiyoruz.
Her SSL VPN bağlantı kuralı, bir grup veya bireysel bir kullanıcı için oluşturulur. Her kullanıcının yalnızca bir bağlantı politikası olabilir. Ayarlara göre ilginç olan, bu tür her kural için, bu ayarı kullanacak bireysel kullanıcıları veya AD'den bir grubu belirtebilmeniz, tüm trafiğin bir VPN tüneline sarılması için onay kutusunu etkinleştirebilmeniz veya IP adreslerini belirtebilmenizdir. kullanıcıların kullanımına sunulan alt ağlar veya FQDN adları. Bu politikalara dayanarak istemciye yönelik ayarların yer aldığı bir .ovpn profili otomatik olarak oluşturulacaktır.
Kullanıcı portalını kullanarak, hem VPN istemcisi ayarlarının bulunduğu bir .ovpn dosyasını hem de yerleşik bağlantı ayarları dosyasının bulunduğu bir VPN istemcisi kurulum dosyasını indirebilir.
Sonuç
Bu yazımızda Sophos XG Firewall ürünündeki VPN işlevselliğine kısaca değindik. IPSec VPN ve SSL VPN'i nasıl yapılandırabileceğinizi inceledik. Bu, bu çözümün yapabileceklerinin tam listesi değildir. Sonraki makalelerde RED VPN'i incelemeye ve çözümün kendisinde nasıl göründüğünü göstermeye çalışacağım.
Zaman ayırdığınız için teşekkür ederim.
XG Firewall'un ticari sürümü hakkında herhangi bir sorunuz varsa bizimle, şirketle iletişime geçebilirsiniz.
Kaynak: habr.com