Clever Geek Handbook

Travail à distance ou révision VPN dans Sophos XG Firewall





salut! Cet article sera consacré à une présentation de la fonctionnalité VPN du produit Sophos XG Firewall. Dans l' article précédent , nous avons expliqué comment obtenir cette solution pour protéger gratuitement votre réseau domestique avec une licence complète. Aujourd'hui, nous allons parler de la fonctionnalité VPN intégrée à Sophos XG. Je vais essayer de vous dire ce que ce produit peut faire, ainsi que de donner des exemples de configuration d'un VPN de site à site IPSec et d'un VPN SSL personnalisé. Alors passons à l'examen.



Tout d'abord, regardons le tableau des licences: Vous







pouvez en savoir plus sur la façon dont le Sophos XG Firewall est autorisé ici:

Lien

Mais dans cet article, nous ne nous intéresserons qu'aux éléments surlignés en rouge.



La fonctionnalité VPN principale est incluse dans la licence de base et n'est achetée qu'une seule fois. Il s'agit d'une licence à vie et ne nécessite pas de renouvellement. Le module Options VPN de base comprend:



Site Ă  site:



  • VPN SSL
  • VPN IPSec


Accès à distance (VPN client):



  • VPN SSL
  • VPN sans client IPsec (avec application personnalisĂ©e gratuite)
  • L2TP
  • PPTP


Comme vous pouvez le voir, tous les protocoles et types de connexions VPN populaires sont pris en charge.



De plus, Sophos XG Firewall dispose de deux autres types de connexions VPN qui ne sont pas inclus dans l'abonnement de base. Ce sont RED VPN et HTML5 VPN. Ces connexions VPN sont incluses dans l'abonnement à la protection du réseau, ce qui signifie que pour utiliser ces types, vous devez disposer d'un abonnement actif, qui comprend également la fonctionnalité de protection du réseau - modules IPS et ATP.



RED VPN est un VPN L2 propriétaire de Sophos. Ce type de connexion VPN présente plusieurs avantages par rapport au SSL ou IPSec de site à site lors de la configuration d'un VPN entre deux XG. Contrairement à IPSec, le tunnel RED crée une interface virtuelle aux deux extrémités du tunnel, ce qui aide à résoudre les problèmes, et contrairement à SSL, cette interface virtuelle est entièrement personnalisable. L'administrateur a un contrôle total sur le sous-réseau dans le tunnel RED, ce qui facilite la résolution des problèmes de routage et des conflits de sous-réseau.



VPN HTML5 ou VPN sans client - Un type spécifique de VPN qui permet aux services d'être transmis via HTML5 directement dans le navigateur. Les types de services qui peuvent être configurés:



  • RDP
  • Telnet
  • SSH
  • VNC
  • FTP
  • FTPS
  • SFTP
  • PME


Mais il convient de noter que ce type de VPN n'est utilisé que dans des cas particuliers et il est recommandé, si possible, d'utiliser les types de VPN des listes ci-dessus.



Entraine toi



Voyons comment configurer plusieurs de ces types de tunnels, à savoir IPSec de site à site et accès à distance VPN SSL.



VPN IPSec de site Ă  site



Commençons par configurer un tunnel VPN IPSec de site à site entre deux pare-feu Sophos XG. StrongSwan est utilisé sous le capot, ce qui vous permet de vous connecter à n'importe quel routeur compatible IPSec.



Vous pouvez utiliser un assistant de configuration pratique et rapide, mais nous suivrons un chemin général afin que, sur la base de ce manuel, vous puissiez combiner Sophos XG avec n'importe quel équipement via IPSec.



Ouvrons la fenêtre des paramètres de politique:







Comme nous pouvons le voir, il existe déjà des paramètres prédéfinis, mais nous allons créer les nôtres.











Configurons les paramètres de chiffrement pour les première et deuxième phases et sauvegardons la stratégie. Par analogie, nous faisons de même sur le deuxième Sophos XG et procédons à la configuration du tunnel IPSec lui-même







Saisissez le nom, le mode de fonctionnement et configurez les paramètres de cryptage. Par exemple, nous utiliserons la clé pré-partagée







et indiquerons les sous-réseaux locaux et distants.







Notre connexion a été créée







Par analogie, nous effectuons les mêmes réglages sur le deuxième Sophos XG, sauf pour le mode de fonctionnement, nous y mettons Initier la connexion,







maintenant nous avons deux tunnels configurés. Ensuite, nous devons les activer et les exécuter. Cela se fait très simplement, vous devez cliquer sur le cercle rouge sous le mot Actif pour activer et sur le cercle rouge sous Connexion pour démarrer la connexion.

Si nous voyons une image comme celle-ci:





Donc, notre tunnel fonctionne correctement. Si le deuxième indicateur est rouge ou orange, cela signifie que quelque chose a été mal configuré dans les stratégies de chiffrement ou les sous-réseaux locaux et distants. Permettez-moi de vous rappeler que les paramètres doivent être reflétés.



Séparément, je tiens à souligner que vous pouvez créer des groupes de basculement à partir de tunnels IPSec pour la tolérance aux pannes:







VPN SSL d'accès à distance



Passons au VPN SSL d'accès à distance pour les utilisateurs. OpenVPN standard fonctionne sous le capot. Cela permet aux utilisateurs de se connecter via n'importe quel client prenant en charge les fichiers de configuration .ovpn (tel que le client de connexion standard).



Tout d'abord, vous devez configurer les stratégies du serveur OpenVPN:







spécifiez le transport pour la connexion, configurez le port, la plage d'adresses IP pour connecter les utilisateurs distants







, ainsi que les paramètres de chiffrement.



Après avoir configuré le serveur, commençons à configurer les connexions client.







Chaque règle de connexion VPN SSL est créée pour un groupe ou pour un utilisateur individuel. Chaque utilisateur ne peut avoir qu'une seule stratégie de connexion. Selon les paramètres, à partir d'un point intéressant, pour chacune de ces règles, vous pouvez spécifier comment les utilisateurs individuels, qui utiliseront ce paramètre ou un groupe d'AD, vous pouvez activer une case à cocher afin que tout le trafic soit enveloppé dans un tunnel VPN ou spécifier les adresses IP, sous-réseaux ou FQDN disponibles pour les utilisateurs ... Sur la base de ces stratégies, un profil .ovpn avec des paramètres pour le client sera automatiquement créé.







À l'aide du portail utilisateur, l'utilisateur peut télécharger à la fois le fichier .ovpn avec les paramètres du client VPN et le fichier d'installation du client VPN avec le fichier de paramètres de connexion intégré.







Conclusion



Dans cet article, nous avons examiné rapidement la fonctionnalité VPN du produit Sophos XG Firewall. Nous avons examiné comment configurer le VPN IPSec et le VPN SSL. Ce n'est pas une liste complète de ce que cette solution peut faire. Dans les prochains articles, j'essaierai de passer en revue RED VPN et de montrer à quoi il ressemble dans la solution elle-même.



Merci pour votre temps.



Si vous avez des questions sur la version commerciale de XG Firewall, vous pouvez nous contacter - Factor Group , un distributeur de Sophos. Il suffit d'Ă©crire sous forme libre Ă  sophos@fgts.ru .


More articles:


All Articles