IBM Cloud Docs
Conexión a un igual de Check Point Security Gateway

Conexión a un igual de Check Point Security Gateway

Puede utilizar IBM Cloud VPN for VPC para conectar de forma segura el VPC a una red local a través de un túnel VPN. En este tema se proporciona orientación sobre cómo configurar la pasarela VPN de Check Point Security Gateway para conectarse a VPN for VPC.

Estas instrucciones se basan en Check Point Security Gateway, release de software [R81.10]. No se da soporte a versiones anteriores del software Check Point.

Lea las limitaciones de la pasarela VPN antes de seguir conectándose al igual local.

Puesto que de forma predeterminada Check Point Security Gateway utiliza IKEv1, es necesario crear una política de IKE e IPsec personalizada para sustituir la política de negociación automática predeterminada para la VPN en su VPC.

Para ofrecer soporte a estas funciones, se deben realizar los siguientes pasos de configuración general en Check Point Security Gateway.

Conexión de una VPN basada en política de IBM a un igual de Check Point Security Gateway

Este es un ejemplo de cómo conectar una VPN basada en políticas de IBM a un igual de Check Point Security Gateway:

  1. Para configurar las pasarelas de seguridad gestionadas internamente, siga estos pasos:

    • Vaya a SmartConsole > Pasarelas y servicios y pulse el nombre de la pasarela de seguridad para abrir la página de configuración de Security Gateway.
    • Vaya a la página Gestión de red para definir la topología.
    • Vaya a la página Gestión de red > Dominio VPN para definir el dominio de VPN.

  2. Para crear un dispositivo interoperable en SmartConsole de Check Point, siga estos pasos:

    • Vaya al Explorador de objetos y pulse Nuevo > Más > Objeto de red > Más > Dispositivo interoperable para abrir la nueva página de dispositivo interoperable.
    • Vaya a la página Propiedades generales y especifique el nombre de la pasarela VPN de IBM y la dirección IP pública.
    • Vaya a la página Topología y añada la dirección IP pública de la pasarela VPN de IBM y las subredes de VPC de IBM. Añada la dirección IP pública de IBM VPN como una red externa con máscara de red 255.255.255.255. Añada las subredes de VPC de IBM como una red interna.

  3. Para añadir la comunidad de VPN, siga estos pasos.

    Estas instrucciones se basan en el tipo Star Community, pero el tipo Meshed Community también es una opción.

    • Vaya a SmartConsole > Políticas de seguridad > Herramientas de acceso > Comunidades de VPN y pulse Star Community para abrir la nueva página Comunidades de VPN.
    • Escriba el nombre de la nueva comunidad.
    • Vaya a la página Pasarelas > Pasarelas de centro, pulse el icono + y añada Check Point Security Gateway.
    • Vaya a la página Pasarelas > Pasarelas de Satellite, pulse el icono + y añada la pasarela IBM VPN.
    • Vaya a la página Cifrado, utilice el Encryption Method y la Encryption Suite predeterminados.
    • Vaya a la página Gestión de túneles y seleccione One VPN tunnel per subnet pair.
    • Vaya a la página Secreto compartido y establezca la clave precompartida.
    • Pulse Aceptar y publique los cambios.

  4. Para añadir reglas de acceso relevantes en la página Política de seguridad, siga estos pasos:

    • Añada la comunidad en la columna VPN, los servicios en la columna Servicio y aplicaciones, la acción deseada y la opción de rastreo que corresponda.
    • Instale la política de control de accesos.

Conexión de una VPN basada en ruta de IBM a un igual de Check Point Security Gateway

Estos pasos de ejemplo se describen en la publicación CheckPoint Guía de administración

Para conectar una VPN basada en ruta de IBM a un igual de Check Point Security Gateway, siga estos pasos:

  1. Para habilitar la VPN de IPsec, seleccione SmartConsole > Pasarelas y servicios y, a continuación, pulse el nombre de la pasarela de seguridad para abrir la página de configuración de Security Gateway. En la vista con pestañas Propiedades generales, pulse VPN de IPsec.

    CheckPoint Connection Enable IPsec
    Figura 1: CheckPoint connection enable IPsec

  2. Para habilitar la VPN basada en ruta, siga estos pasos:

    • Seleccione SmartConsole > Pasarelas y servicios y, a continuación, pulse el nombre de la pasarela de seguridad para abrir la página de configuración de Security Gateway.
    • Pulse Gestión de red > Dominio de VPN.
    • Seleccione Definido por el usuario.
    • Pulse el botón [...].
    • Pulse Nuevo > Grupo > Grupo simple y especifique un nombre.
    • Pulse Aceptar (deje el objeto Grupo vacío).

    CheckPoint Connection Enable IPsec
    Figura 2: CheckPoint connection enable IPsec

  3. Para añadir la pasarela IBM VPN como dispositivo interoperable, vaya al Explorador de objetos. A continuación, pulse Nuevo > Más > Objeto de red > Más > Dispositivo interoperable para abrir la nueva página de dispositivo interoperable. Especifique la dirección IP pública pequeña de la pasarela VPN basada en ruta de IBM en el campo de dirección IPv4.

    Para obtener más información sobre la IP pública pequeña, consulte este aviso importante.

    CheckPoint Connection Add Interoperable Device
    Figura 3: CheckPoint connection add interoperable device

  4. Para crear la comunidad de VPN, seleccione SmartConsole > Políticas de seguridad > Herramientas de acceso > Comunidades de VPN. A continuación, pulse Iniciar comunidad para abrir la nueva página de comunidad de VPN. Añada la pasarela de CheckPoint y la pasarela VPN basada en ruta de IBM.

    CheckPoint Conexión Crear la comunidad VPN
    Figura 4: CheckPoint conexión crear la comunidad VPN

  5. Para configurar el tráfico cifrado, pulse Tráfico cifrado en la comunidad de VPN y, a continuación, seleccione Aceptar todo el tráfico cifrado.

    CheckPoint Conexión Configurar el tráfico cifrado
    Figura 5: CheckPoint conexión configurar el tráfico cifrado

  6. Para configurar las propuestas IKE e IPsec, pulse Cifrado en la comunidad de VPN. A continuación, seleccione un método de cifrado, suits, y Perfect Forward Secrecy. Estos valores deben coincidir con la configuración de VPN basada en ruta de IBM.

    CheckPoint Connection Configure las propuestas IKE e IPsec
    Figura 6: CheckPoint connection configure las propuestas IKE e IPsec

  7. Para configurar la gestión de túneles, pulse Gestión de túneles en la comunidad de VPN. A continuación, seleccione En todos los túneles de la comunidad y Un túnel de VPN por par de pasarela.

    CheckPoint Connection Configure Tunnel Management
    Figura 7: CheckPoint connection configure tunnel management

  8. Para configurar la clave precompartida, pulse Secreto compartido en la comunidad de VPN. Establezca la misma clave precompartida que la pasarela basada en ruta de IBM VPN.

    CheckPoint Connection Configure Pre-shared Key
    Figura 8: CheckPoint connection configure pre-shared key

  9. Para habilitar la coincidencia direccional, seleccione Menú > Propiedades globales > VPN > Avanzado y, a continuación, pulse Habilitar coincidencia direccional de VPN en columna VPN.

    CheckPoint Connection Enable Directional Match
    Figura 9: CheckPoint connection enable directional match

  10. Para añadir reglas de VPN coincidentes direccionales, seleccione SmartConsole > Políticas de seguridad > Control de acceso > Política y, a continuación, añada una nueva regla de VPN. La regla direccional debe contener estas condiciones de coincidencia direccional:

    • Su comunidad de VPN > Su comunidad de VPN
    • Su comunidad de VPN > Internal_Clear
    • Internal_Clear > Su comunidad de VPN

    CheckPoint Connection Add Directional Matching VPN Rules
    Figura 10: CheckPoint connection add directional matching VPN rules

  11. Para instalar la política, seleccione SmartConsole > Políticas de seguridad y, a continuación, pulse Instalar política.

    Política de instalación de conexión deCheckPoint
    Figura 11: Política de instalación de conexión de CheckPoint

  12. Para añadir una interfaz de túnel virtual (VTI), seleccione Portal Gaia > Gestión de red > Interfaces de red y, a continuación, pulse Añadir > Túnel VPN.

    CheckPoint Connection Add VPN Tunnel
    Figura 12: CheckPoint connection add VPN tunnel

  13. Para añadir la ruta estática, seleccione Portal Gaia > Gestión de red > IPv4 Rutas estáticas y, a continuación, pulse Añadir. El CIDR de destino es la subred de IBM VPC.

    CheckPoint Connection Add Static Route
    Figura 13: CheckPoint connection add static route

  14. Para renovar la topología de red, siga estos pasos:

    • Seleccione SmartConsole > Pasarelas y servicios y, a continuación, pulse el nombre de la pasarela de seguridad para abrir la página de configuración de Security Gateway.
    • Seleccione Gestión de red y, a continuación, pulse Obtener interfaces > Obtener interfaces con topología.

    CheckPoint Topología de red de renovación de conexión
    Figura 14: CheckPoint topología de red de renovación de conexión

Creación de una política de IKE personalizada para Check Point Security Gateway

De forma predeterminada, Check Point Security Gateway utiliza IKEv1; por tanto, debe crear una política de IKE personalizada para sustituir la política predeterminada para la VPN en su VPC. En el ejemplo de política siguiente, debe utilizar la política IKE e IPsec coincidente.

Para utilizar una política de IKE personalizada VPN for VPC:

  1. En la página de VPN for VPC en la consola de IBM Cloud, seleccione el separador Políticas de IKE.
  2. Pulse Nueva política de IKE y especifique los siguientes valores:
    • En el campo Versión de IKE, seleccione 1.
    • En el campo Autenticación, seleccione sha256.
    • Para el campo Cifrado, seleccione aes256.
    • En el campo Grupo DH, seleccione 19.
    • En el campo Tiempo de vida de clave, especifique 86400.
  3. Cuando cree la conexión VPN en su VPC, seleccione esta política de IKE personalizada.

Creación de una política de IPsec personalizada para Check Point Security Gateway

Para utilizar una política de IPsec personalizada en VPN for VPC:

  1. En la página de VPN for VPC en la consola de IBM Cloud, seleccione el separador Políticas de IPsec.
  2. Pulse Nueva política de IPsec y especifique los valores siguientes:
    • En el campo Autenticación, seleccione sha256.
    • Para el campo Cifrado, seleccione aes256.
    • En el campo Tiempo de vida de clave, especifique 3600.
  3. Cuando cree la conexión VPN en la VPC, seleccione esta política de IPsec personalizada.

Asegurarse de que NAT-T está siempre activo

Asegúrese de que la característica NAT-T esté habilitada en su dispositivo VPN local. La lista siguiente muestra los comportamientos predeterminados:

  • NAT-T está habilitado cuando se detecta un dispositivo NAT.
  • offer_nat_t_initator se establece en false (el iniciador envía tráfico NAT-T).
  • offer_nat_t_responder_for_known_gw se establece en true (el programa de respuesta acepta el tráfico NAT-T desde pasarelas desconocidas).
  • force_nat_t se establece en false (fuerza NAT-T, aunque no haya ningún dispositivo NAT-T).

Se recomienda cambiar estos valores predeterminados por los siguientes:

  • Habilite NAT-T.
  • Establezca offer_nat_t_initator en true.
  • Si sabe que no hay ningún dispositivo NAT en el entorno, establezca force_nat_t en true.

Puede ver y cambiar estas variables utilizando la herramienta GuiDBedit. Consulte la documentación de Check Point de su versión en particular para confirmar estos pasos.

  1. En el panel superior izquierdo, pulse TABLA > Objetos de red > network_objects.
  2. En el panel superior derecho, seleccione el objeto de Security Gateway aplicable.
  3. En el panel inferior, consulte la sección de VPN.
  4. Para guardar los cambios, pulse Archivo > Guardar todo.
  5. En SmartConsole, instale la política de control de accesos en este objeto de Security Gateway.

Para obtener más información, consulte Compatibilidad NAT-T con dispositivos de punto de comprobación.