Вы здесь

Checkpoint и VPN с локальными пользователями

В наше время огромное количество данных проходит через общую, и агрессивную среду под названием Интернет.

В общем случае для безопасной передачи данных, мы должны защитить эти данные от:
- прочтения (Confidential)
- искажения (Integrity)
- Аутентификация (Authenticity)
Такая модель защиты также известна как CIA Model

Для обеспечения работы модели CIA, мы можем использовать несколько методов.
Самый простой- это использование т.н. Private lease line, которая строится на своем оборудовании. Понятно что данное решение будет очень дорого.
Второй способ - это использование решения VPN

Технология VPN позволяет передавать данные через интернет, при этом обеспечивает защиту данных.
VPN создаёт Private lease line поверх Интернет.
Сеть, объединенная VPN поверх Internet называется Intranet.
При этом защита данных производится следующим образом:

  • Защита от прочтения (Confidential) обеспечивается через шифрование (AES, 3DES и тд)
  • Защита от искажения (Integrity) обеспечивается через использоване контрольных сумм (Hash), например md5, sha1 и тд
  • Аутентификация (Authenticity) проводится через логин/пароль либо сертификаты.

Типы VPN

Существует множество протоколов, позволяющих строить VPN:
- PPTP
- L2TP
- GRE
- SSH
- SSL
- IPsec

В данном материалы мы сосредоточимся на SSL VPN и IPSec VPN, поскольку эти два решения имеют наибольшее распространение.
В настоящее время Checkpoint поддерживает оба этих протокола.
SSL VPN в терминах Checkpoint называется Mobile Access Blade (MAB).

Site-to-Site VPN

При данном VPN трафик шифруется с помощью Gateways.
checkpoint_i_vpn_01_ciscomaster.ru.jpg

Remote Access VPN

Также называется Client-to-Site VPN
При данном VPN трафик шифруется от клиента до Gateway.
checkpoint_i_vpn_02_ciscomaster.ru_0.jpg

Checkpoint VPNs

В терминологии Checkpoint, он поддерживает следующие VPN Blades:

  • IPSec Blade
    Поддерживает Site-to-Site VPN и Client-to-Site VPN
    Использует IPSec и SSL protocols
  • Mobile Access Blade (MAB) - SSL VPN
    Поддерживает только Client-to-Site VPN
    Использует только SSL protocols

Различия IPSec и SSL

С точки зрения шифрования, IPSec и SSL защищены одинаково
IPSec работает на 3 уровне OSI (trasport) и позволяет инкапуслировать TCP и UDP.
IPSec должен использовать клиентское приложение - Client
IPSec считается seamless (бесшовный) поскольку способен автоматически подключаться, как только обнаружит, что юзер за пределами организации.
Также IPSec позволяет использовать все приложения, как будто юзер находится в офисе.

SSL - не использует клиента - Clientless. Для работы SSL нам нужен только интернет браузер.
SSL работает на 6 уровне OSI (Presentation), и позволяет инкапсулировать только TCP. Ограниченное количество приложений может быть туннелировано через SSL.
SSL VPN считается seamfull, поскольку каждый раз нужно открывать браузер, вводить пароль, на SSL web portal выбрать доступ к ресурсам.

Источник:
https://www.youtube.com/watch?v=rvsdSdfGPDg
https://www.youtube.com/watch?v=TTIEHSeUeYI

Настройка Remote Access VPN

checkpoint_i_vpn_03_ciscomaster.ru.jpg

Создаём локальных пользователей для VPN:
checkpoint_i_vpn_04_ciscomaster.ru.jpg
checkpoint_i_vpn_05_ciscomaster.ru.jpg
checkpoint_i_vpn_06_ciscomaster.ru.jpg
checkpoint_i_vpn_07_ciscomaster.ru.jpg
checkpoint_i_vpn_08_ciscomaster.ru.jpg
checkpoint_i_vpn_09_ciscomaster.ru.jpg

Создаём локальную User Group:
checkpoint_i_vpn_10_ciscomaster.ru.jpg

Добавляем в неё созданных пользователей:
checkpoint_i_vpn_11_ciscomaster.ru.jpg

Создаём access role:
checkpoint_i_vpn_12_ciscomaster.ru.jpg
checkpoint_i_vpn_13_ciscomaster.ru.jpg
checkpoint_i_vpn_14_ciscomaster.ru.jpg

Открываем Software Blade на уровне Checkpoint Gateway:
Включаем IPSec VPN Blade
checkpoint_i_vpn_15_ciscomaster.ru.jpg

Идем в Security Policies - VPN Communities:
checkpoint_i_vpn_16_ciscomaster.ru.jpg

Редактируем Preconfigured Community: RemoteAccess
checkpoint_i_vpn_17_ciscomaster.ru.jpg
checkpoint_i_vpn_18_ciscomaster.ru.jpg

Далее возвращаемся в свойства Gateway:
checkpoint_i_vpn_19_ciscomaster.ru.jpg

Остальные настройки оставляем без изменений:
checkpoint_i_vpn_20_ciscomaster.ru.jpg
checkpoint_i_vpn_21_ciscomaster.ru.jpg

В свойствах Authentication выбираем:
checkpoint_i_vpn_22_ciscomaster.ru.jpg

В свойствах Office mode задаём address pool для клиентов VPN:
checkpoint_i_vpn_23_ciscomaster.ru.jpg

Где пул задан:
checkpoint_i_vpn_26_ciscomaster.ru.jpg

Создаём VPN Rule поверх выделенного:
checkpoint_i_vpn_24_ciscomaster.ru.jpg
checkpoint_i_vpn_25_ciscomaster.ru.jpg

Жмем Install Policy, Publish and install.

Загрузка VPN Client

https://www.checkpoint.com/ru/quantum/remote-access-vpn/
Выбираем скачать VPN
checkpoint_i_vpn_27_ciscomaster.ru.jpg
Скачаем что-то вроде:
E86.50_CheckPointVPN.msi

checkpoint_i_vpn_28_ciscomaster.ru.jpg
checkpoint_i_vpn_29_ciscomaster.ru.jpg
checkpoint_i_vpn_30_ciscomaster.ru.jpg
checkpoint_i_vpn_31_ciscomaster.ru.jpg

Источник:
https://www.youtube.com/watch?v=TBiiBqopVCc

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image