4. NGFW для бізнесу. VPN

Продовжуємо наш цикл статей про NGFW для малого бізнесу, нагадаю, що ми розглядаємо новий модельний ряд 1500 серії. У 1 частини циклу я згадав про одну з найкорисніших опцій при покупці пристрою SMB – постачання шлюзів із вбудованими ліцензіями Mobile Access (від 100 до 200 користувачів залежно від моделі). У цій статті ми розглянемо налаштування VPN для шлюзів 1500 серії, що йдуть з встановленим Gaia 80.20 Embedded. Ось короткий зміст:

1. Можливості VPN для SMB.
2. Організація Remote Access для малого офісу.
3. Доступні клієнти для підключення.

1. Можливості VPN для SMB

Для того, щоб підготувати сьогоднішній матеріал, був використаний офіційний гайд адміністратора версії R80.20.05 (на момент виходу статті актуальний). Відповідно, у частині VPN у Gaia 80.20 Embedded є підтримка:

1. Site-To-Site. Створення VPN-тунелів між вашими офісами, де користувачі зможуть працювати, як в одній локальній мережі.

   

2. Remote Access. Віддалене підключення до ресурсів вашого офісу за допомогою кінцевих пристроїв користувачів (ПК, мобільні телефони тощо). Додатково є SSL Network Extender, він дозволяє публікувати окремі програми та запускати їх за допомогою Java Applet, підключившись через SSL. Примітка: не плутати з Mobile Access Portal (підтримка на Gaia Embedded відсутня).
   
   

Додатково вкрай рекомендую авторський курс TS Solution Check Point Remote Access VPN він розкриває технології Сheck Point у частині VPN, торкається питань ліцензування та містить докладні інструкції з налаштування.

2. Remote Access для малого офісу

Ми ж з вами приступимо до організації віддаленого підключення до вашого офісу:

1. Для того, щоб користувачі змогли побудувати VPN-тунель зі шлюзом, вам необхідно мати публічну IP-адресу. Якщо ви вже пройшли первинне налаштування (2 стаття з циклу), то зазвичай - External Link вже активний. Інформацію можна дізнатися, перейшовши на Gaia Portal: Device → Network → Internet

   
   

   У тому випадку, якщо ваша компанія використовує динамічну публічну IP-адресу, ви можете задати Dynamic DNS. Перейдіть до Пристрій → DDNS & Device Access

   
   

   На даний момент існує підтримка від двох провайдерів: DynDns та no-ip.com. Щоб активувати опцію, потрібно ввести свої облікові дані (логін, пароль).

2. Далі створимо обліковий запис користувача, він знадобиться для тестування налаштувань: VPN → Remote Access → Remote Access Users

   
   

   У групі (на прикладі: remoteaccess) створимо користувача, дотримуючись інструкцій на скріншоті. Налаштування облікового запису стандартне, задаємо логін та пароль, додатково включаємо опцію Remote Access permissions.

   
   

   Якщо ви успішно застосували налаштування, повинні з'явитися два об'єкти: локальний користувач, локальна група з користувачів.

   

3. Наступним кроком переходимо в VPN → Remote Access → Blade Control. Переконайтеся, що у вас увімкнено блейд і дозволено трафік від віддалених користувачів.

   

4. *Вище було наведено мінімальний набір кроків, щоб налаштувати Remote Access. Але перш ніж ми протестуємо підключення, давайте вивчимо додаткові налаштування, перейшовши у вкладку VPN → Remote Access → Advanced

   
   

   Виходячи з поточних налаштувань, ми бачимо, що віддалені користувачі при підключенні отримають IP-адресу з мережі 172.16.11.0/24, завдяки опції Office Mode. Цього вистачає із запасом для використання 200 конкурентних ліцензій (зазначено для 1590 NGFW Сheck Point).

   Опція «Route Internet traffic from connected clients through this gateway» є необов'язковою та відповідає за маршрутизацію всього трафіку від віддаленого користувача через шлюз (у тому числі і з'єднання в Інтернеті). Це дозволяє перевіряти трафік користувача та захищати його робочу станцію від різних загроз та шкідливих програм.

5. *Робота з політиками доступу для Remote Access

   Після налаштування Remote Access було створено автоматичне правило доступу на рівні Firewall, щоб переглянути його потрібно перейти по вкладці: Access Policy → Firewall → Policy

   
   

   У даному випадку віддалені користувачі, що входять до раніше створеної групи, зможуть отримувати доступ до всіх внутрішніх ресурсів компанії, зауважу, що правило знаходиться в загальному розділі “Incoming, Internal and VPN traffic”. Для того, щоб дозволити трафік VPN-користувачів в Інтернет, необхідно буде створити окреме правило у загальному розділі “Outgoing access to the Internet".

6. Нарешті нам залишилося переконатися, що користувач може успішно створити VPN-тунель до нашого NGFW шлюзу і отримувати доступ до внутрішніх ресурсів компанії. Для цього необхідно встановити VPN-клієнт на хост, що тестується, в допомогу додається посилання для завантаження. Після встановлення необхідно буде провести стандартну процедуру додавання нового сайту (вказується публічна IP-адреса вашого шлюзу). Для зручності процес представлений у вигляді GIF

   
   
   Коли з'єднання вже встановлено, перевіримо отриману IP-адресу на хостовій машині за допомогою команди CMD: Ipconfig

   
   

   Ми переконалися, що віртуальний мережевий адаптер отримав IP-адресу з Office Mode нашого NGFW, пакети відправляються успішно. Для завершення можемо перейти на Gaia Portal: VPN → Remote Access → Connected Remote Users

   
   

   Користувач "ntuser" відображається як підключений, перевіримо логування подій, перейшовши в Logs & Monitoring → Security Logs

   
   

   Логування з'єднання відбувається, як джерело з виступає IP-адреса: 172.16.10.1 - це адреса, отримана нашим користувачем через режим Office Mode.

   3. Підтримувані клієнти для Remote Access

   Після того як ми з вами розглянули процедуру налаштування віддаленого підключення до вашого офісу, за допомогою NGFW Сheck Point сімейства SMB, хотілося б написати про підтримку клієнтів для різних пристроїв:

   • Endpoint VPN для Windows/Mac OS
   • Mobile Client (Android / IOS)
   • L2TP Native Client ( Check Point заявляє про підтримку рідної програми для VPN від Microsoft).

   Різноманітність підтримуваних ОС та пристроїв дозволить вам використовувати вашу ліцензію, що в комплекті з NGFW повною мірою. Для того, щоб налаштувати окремий пристрій, є зручна опція. "How to connect"

   

   У ній автоматично формуються кроки згідно ваших налаштувань, що дозволить адміністраторам без проблем встановити нові клієнти.

   Висновок: Підсумовуючи цю статтю, ми розглянули можливості VPN для NGFW Check Point сімейства SMB. Далі описали кроки з налаштування Remote Access, у разі віддаленого підключення користувачів до офісу, потім вивчили засоби моніторингу. На завершення статті поговорили про доступних клієнтів та варіанти підключення при Remote Access. Таким чином, ваш філіальний офіс зможе забезпечити безперервність та безпеку роботи співробітників за допомогою VPN-технологій, незважаючи на різні зовнішні загрози та фактори.

   Великий вибір матеріалів по Check Point від TS Solution. Слідкуйте за оновленнями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Джерело: habr.com