PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Wielkość: px

Rozpocząć pokaz od strony:

Download "PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA"

Monika Urbańska
8 lat temu
Przeglądów:

1 PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Konfiguracja VPN typu Site-Site pomiędzy SofaWare S-box i systemem Check Point VPN-1 Gateway NG SofaWare S-box to urządzenia Firewall i VPN dostarczane przez Check Point oraz innych producentów sprzętowo-programowych rozwiązań Firewall (np. Intrusion PDS 500). Urządzania S-box dedykowane są do użytku domowego oraz małej wielkości sieci firmowych i oddziałowych (maksymalnie 25 IP). Urządzenia zapewniają wysoki poziom ochrony oraz ogromny komfort pracy użytkowników. Firmy posiadające łącze i tylko jeden adres IP przyznany od operatora Internetu mogą w sprawny i bezpieczny sposób podłączyć wszystkie swoje komputery do Internetu. Połączenia VPN (IPSec/IKE) z siecią korporacyjną zestawiane są przez S-box w sposób całkowicie przezroczysty dla aplikacji i użytkowników. Na komputerach użytkowników nie ma potrzeby instalowania żadnego dodatkowego oprogramowania. Opis instalacji i konfiguracji urządzenia oraz konfiguracji VPN typu Client-Site znajduje się w Przewodniku instalacji i konfiguracji SofaWare S-box. Dokument przedstawia procedurę konfiguracji VPN (IPSec/IKE) typu Site-Site. Proces konfiguracji został przedstawiony na przykładzie poniższej sieci lab. Jako VPN-1 Gateway został użyty Siemens 4YourSafety z NG FP1. Schemat sieci lab Serwer WWW IP: Użytkownik IP: IP: Node IP: VPN (IPSec/IKE) Node IP: IP: VPN-1 NG FP1 Siemens 4YourSafety Safe@Office S-box v CLICO Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; support@clico.pl, orders@clico.pl.; Ftp.clico.pl.;

Urządzania S-box dedykowane są do użytku domowego oraz małej wielkości sieci firmowych i oddziałowych (maksymalnie 25 IP).

2 Konfiguracja S-box 1. Po zalogowaniu się do urządzenia S-box poprzez konsolę Web GUI ( włączamy serwer VPN w menu VPN VPN Server On 2. Tworzymy nowy VPN Site w menu VPN VPN Sites New Site 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

3 3. Za pomocą kreatora VPN Site Wizard definiujemy kanał VPN typu Site-Site - wybieramy typ sieci VPN jako Site to Site VPN - podajemy adres IP systemu zabezpieczeń VPN-1 Gateway 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

to Site VPN - podajemy adres IP systemu zabezpieczeń

4 - wybieramy ręczny tryb konfiguracji VPN - podajemy adresy IP sieci chronionych przez VPN-1 Gateway 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

- ustalamy klucz uwierzytelniania kanału VPN Shared Secret Uwaga: Dokładnie taką samą wartość klucza Shared Secret należy podać w konfiguracji

5 - ustalamy klucz uwierzytelniania kanału VPN Shared Secret Uwaga: Dokładnie taką samą wartość klucza Shared Secret należy podać w konfiguracji VPN (IKE Pre-Shared Secret) systemu zabezpieczeń VPN-1 Gateway. - ustalamy umowną nazwę VPN Site 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

konfiguracji VPN (IKE Pre-Shared Secret) systemu zabezpieczeń VPN-1

6 - VPN Site został utworzony pomyślnie - nowy obiekt VPN Site znajduje się w menu VPN VPN Sites 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

7 Definicja obiektu S-box i konfiguracja jego parametrów VPN Konfiguracja VPN na maszynie VPN-1 Gateway odbywa się za pomocą narzędzi Policy Editor konsoli Check Point Management GUI i przebiega w następującej kolejności: - obiekt S-box definiujemy jako Interoperable Device - ustalamy topologię sieci podłączonych do S-box 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

i przebiega w następującej kolejności: - obiekt S-box definiujemy jako Interoperable Device

8 - włączamy tryb i ustalamy parametry IKE Uwaga: Wartość klucza uwierzytelniania Pre-Shared Secret wprowadzamy dopiero po zdefiniowaniu obiektu VPN-1 Gateway CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

wprowadzamy dopiero po zdefiniowaniu obiektu VPN-1

9 Definicja obiektu VPN-1 Gateway i konfiguracja jego parametrów VPN - obiekt VPN-1 Gateway definiujemy jako Gateway - ustalamy topologię sieci podłączonych do VPN-1 Gateway oraz konfigurację Anti-Spoofing 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

topologię sieci podłączonych do VPN-1 Gateway oraz konfigurację

10 - włączamy tryb i ustalamy parametry IKE (m.in. klucz Pre-Shared Secret) 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

11 Reguły polityki bezpieczeństwa VPN-1 Gateway 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

12 Analiza działania VPN w logach 2002 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

13 1. W trakcie konfiguracji VPN należy zwrócić uwagę, czy znajdujące się na drodze VPN urządzenia sieciowe (np. filtry ACL na ruterach) zezwalają na prowadzenie negocjacji IKE (protokół UDP 500) oraz tunel IPSec (protokół IP 50). 2. Przedstawiona w dokumencie konfiguracja VPN zakłada, że stacje robocze w sieci chronionej przez S-box korzystają z serwerów korporacyjnych chronionych przez VPN-1 Gateway. Jeżeli chcemy, aby serwery chronione przez S-box były dostępne poprzez VPN należy dodatkowo skonfigurować na S-box do nich dostęp na takich samych zasadach jak przy dostępie z sieci zewnętrznej CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

Przedstawiona w dokumencie konfiguracja VPN zakłada, że stacje robocze w sieci chronionej przez S-box korzystają z serwerów korporacyjnych chronionych przez VPN-1

Podobne dokumenty

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall