IBM Cloud Docs
Connexion à un homologue Check Point Security Gateway

Connexion à un homologue Check Point Security Gateway

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle Check Point Security Gateway pour la connexion à VPN for VPC.

Ces instructions sont basées sur Check Point Security Gateway, Software Release [R81.10]. Les versions antérieures du logiciel Check Point ne sont pas prises en charge.

Consultez la rubrique Limitations de la passerelle VPN avant de poursuivre la connexion à votre homologue sur site.

Check Point Security Gateway utilise IKEv1 par défaut. Par conséquent, vous devez créer des stratégies IKE et IPsec personnalisées pour remplacer la stratégie de négociation automatique par défaut du VPN dans votre VPC.

Pour prendre en charge ces fonctions, vous devez effectuer les étapes de configuration générales ci-après sur Check Point Security Gateway.

Connexion d'un VPN IBM basé sur des stratégies à un homologue Check Point Security Gateway

Voici un exemple de connexion d'un VPN basé sur une stratégie IBM à un homologue Check Point Security Gateway :

  1. Pour configurer les passerelles de sécurité gérées en interne, procédez comme suit :

    • Accédez à SmartConsole > Gateways & Services et cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Accédez à la page Network Management pour définir la topologie.
    • Accédez à la page Network Management > VPN Domain pour définir le domaine VPN.

  2. Pour créer un appareil interopérable dans la console CheckPoint SmartConsole, procédez comme suit :

    • Accédez à l'explorateur d'objets et cliquez sur Nouveau > Plus > Objet réseau > Plus > Périphérique interopérable pour ouvrir la page du nouveau périphérique interopérable.
    • Accédez à la page General Properties et entrez le nom et l'adresse IP publique de la passerelle IBM VPN.
    • Accédez à la page Topology et ajoutez l'adresse IP publique de la passerelle IBM VPN, ainsi que les sous-réseaux IBM VPC. Ajoutez l'adresse IP publique d'IBM VPN en tant que réseau externe avec le masque de réseau 255.255.255.255. Ajoutez les sous-réseaux IBM VPC en tant que réseau interne.

  3. Pour ajouter la communauté VPN, procédez comme suit.

    Ces instructions sont basées sur le type Star Community, mais le type Meshed Community est également une option possible.

    • Accédez à SmartConsole > Security Policies > Access Tools > VPN Communities, cliquez sur Star Community pour ouvrir la page de la nouvelle communauté VPN.
    • Entrez le nom de la nouvelle communauté.
    • Accédez à la page Gateways > Center Gateways, cliquez sur l'icône + et ajoutez la passerelle Check Point Security Gateway.
    • Accédez à la page Gateways > Satellite Gateways, cliquez sur l'icône + et ajoutez la passerelle IBM VPN.
    • Accédez à la page Encryption et utilisez la méthode de chiffrement (Encryption Method) et la suite de chiffrement (Encryption Suite) par défaut.
    • Accédez à la page Tunnel Management et sélectionnez One VPN tunnel per subnet pair.
    • Accédez à la page Shared Secret et définissez la clé pré-partagée.
    • Cliquez sur OK et publiez les modifications.

  4. Pour ajouter des règles d'accès pertinentes sur la page Security Policy, procédez comme suit :

    • Ajoutez la communauté dans la colonne VPN, les services de la colonne Service & Applications, l'action recherchée et l'option de suivi appropriée.
    • Installez la règle de contrôle d'accès.

Connexion d'un VPN basé sur une route IBM à un homologue Check Point Security Gateway

Ces exemples d'étapes sont mentionnés dans le document CheckPoint-Guide d'administration

Pour connecter un réseau VPN basé sur une route IBM à un homologue CheckPoint Security Gateway, procédez comme suit :

  1. Pour activer le VPN IPsec, sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway. Dans la vue à onglets General Properties, cliquez sur IPsec VPN.

    CheckPoint Connection Enable IPsec
    Figure 1: La connexion CheckPoint active IPsec

  2. Pour activer le VPN basé sur une route, procédez comme suit :

    • Sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Cliquez sur Network Management > VPN Domain.
    • Sélectionnez Défini par l'utilisateur.
    • Cliquez sur le bouton [...].
    • Cliquez sur New > Group > Simple Group et entrez un nom.
    • Cliquez sur OK (laissez l'objet Group vide).

    CheckPoint Connection Enable IPsec
    Figure 2: La connexion CheckPoint active IPsec

  3. Pour ajouter la passerelle IBM VPN en tant qu'appareil interopérable, accédez à l'explorateur d'objets. Cliquez ensuite sur Nouveau > Plus > Objet réseau > Plus > Périphérique interopérable pour ouvrir la page du nouveau périphérique interopérable. Entrez la petite adresse IP publique de la passerelle VPN basée sur la route IBM dans la zone d'adresse IPv4.

    Pour plus d'informations sur la petite adresse IP publique, voir cet avis important.

    CheckPoint Connection Add Interoperable Device
    Figure 3: CheckPoint connection add interopérable device

  4. Pour créer la communauté VPN, sélectionnez SmartConsole > Security Policies > Access Tools > VPN Communities. Cliquez ensuite sur Star Community pour ouvrir la page de la nouvelle communauté VPN. Ajoutez la passerelle CheckPoint et la passerelle VPN basée sur une route IBM.

    CheckPoint Connexion Créer la communauté VPN
    Figure 4: La connexion CheckPoint crée la communauté VPN

  5. Pour configurer le trafic chiffré, cliquez sur Encrypted Traffic dans la communauté VPN, puis sélectionnez Accept all encrypted traffic.

    CheckPoint Connection Configure le trafic chiffré
    Figure 5: La connexion CheckPoint configure le trafic chiffré

  6. Pour configurer les propositions IKE et IPsec, cliquez sur Encryption dans la communauté VPN. Sélectionnez ensuite une méthode et des suites de chiffrement, puis la confidentialité persistante parfaite (PFS). Ces valeurs doivent correspondre à la configuration VPN basée sur la route IBM.

    CheckPoint Connection Configure les propositions IKE et IPsec
    Figure 6: La connexion CheckPoint configure les propositions IKE et IPsec

  7. Pour configurer la gestion du tunnel, cliquez sur Tunnel Management dans la communauté VPN. Ensuite, sélectionnez On all tunnels in the community et One VPN tunnel per Gateway Pair.

    CheckPoint Connection Configure Tunnel Management
    Figure 7: CheckPoint connection configure tunnel management

  8. Pour configurer la clé pré-partagée, cliquez sur Shared Secret dans la communauté VPN. Définissez la même clé pré-partagée que la passerelle basée sur une route IBM VPN.

    CheckPoint Connection Configure Pre-shared Key
    Figure 8: CheckPoint connection configure pre-shared key

  9. Pour activer la correspondance directionnelle, sélectionnez Menu > Propriétés globales > VPN > Avancé, puis cliquez sur Activer la correspondance directionnelle VPN dans la colonne VPN.

    CheckPoint Connection Enable Directional Match
    Figure 9: La connexion CheckPoint active la correspondance directionnelle

  10. Pour ajouter des règles VPN de correspondance directionnelle, sélectionnez SmartConsole > Security Policies > Access Control > Policy, puis ajoutez une nouvelle règle VPN. La règle directionelle doit contenir ces conditions de correspondance directionnelle :

    • Votre communauté VPN > Votre communauté VPN
    • Votre communauté VPN > Internal_Clear
    • Internal_Clear > Votre communauté VPN

    CheckPoint Connection Add Directionnel Matching VPN Rules
    Figure 10: CheckPoint connection add directionnel matching VPN rules

  11. Pour installer la stratégie, sélectionnez SmartConsole > Security Policies, puis cliquez sur Install Policy.

    CheckPoint Connection Install Policy
    Figure 11: CheckPoint connection install policy

  12. Pour ajouter une interface VTI (Virtual Tunnel Interface), sélectionnez Gaia Portal > Network Management > Network Interfaces, puis cliquez sur Add > VPN Tunnel.

    CheckPoint Connection Add VPN Tunnel
    Figure 12: CheckPoint connection add VPN tunnel

  13. Pour ajouter la route statique, sélectionnez Gaia Portal > Network Management > IPv4 static Routes, puis cliquez sur Add. Le CIDR de destination est le sous-réseau IBM VPC.

    CheckPoint Connection Add Static Route
    Figure 13: CheckPoint connection add static route

  14. Pour actualiser la topologie de réseau, procédez comme suit :

    • Sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Sélectionnez Network Management, puis cliquez sur Get Interfaces > Get Interfaces with Topology.

    CheckPoint Connection Refresh Network Topology
    Figure 14: CheckPoint connection refresh network topology

Création d'une stratégie IKE personnalisée pour Check Point Security Gateway

Par défaut, Check Point Security Gateway utilise IKEv1. Par conséquent, vous devez créer une stratégie IKE personnalisée pour remplacer la stratégie par défaut du VPN dans votre VPC. Dans l'exemple de règle suivant, vous devez utiliser la stratégie IKE et IPsec correspondante.

Pour utiliser une stratégie IKE personnalisée dans VPN for VPC :

  1. Sur la page VPN for VPC de la console IBM Cloud, sélectionnez l'onglet Stratégies IKE.
  2. Cliquez sur Nouvelle stratégie IKE et indiquez les valeurs suivantes:
    • Pour la zone Version IKE, sélectionnez 1.
    • Pour la zone Authentification, sélectionnez sha256.
    • Pour la zone Chiffrement, sélectionnez aes256.
    • Pour la zone Groupe DH, sélectionnez 19.
    • Dans la zone Durée de vie de la clé, indiquez 86400.
  3. Lorsque vous créez la connexion VPN dans votre VPC, sélectionnez cette stratégie IKE personnalisée.

Création d'une stratégie IPsec personnalisée pour Check Point Security Gateway

Pour utiliser une stratégie IPsec personnalisée dans VPN for VPC :

  1. Sur la page VPN for VPC de la console IBM Cloud, sélectionnez l'onglet Stratégies IPsec.
  2. Cliquez sur Nouvelle stratégie IPsec et spécifiez les valeurs suivantes :
    • Pour la zone Authentification, sélectionnez sha256.
    • Pour la zone Chiffrement, sélectionnez aes256.
    • Dans la zone Durée de vie de la clé, indiquez 3600.
  3. Quand vous créez la connexion VPN dans votre VPC, sélectionnez cette stratégie IPsec personnalisée.

S'assurer que la fonctionnalité NAT-T est toujours activée

Assurez-vous que la fonctionnalité NAT-T est activée sur votre unité VPN sur site. La liste suivante présente les comportements par défaut :

  • La fonctionnalité NAT-T est activée si une unité NAT est détectée.
  • offer_nat_t_initator est défini sur false (l'initiateur envoie le trafic NAT-T).
  • offer_nat_t_responder_for_known_gw est défini sur true (le répondant accepte le trafic NAT-T des passerelles connues).
  • force_nat_t est défini sur false (force NAT-T, même en l'absence d'unité NAT-T).

Il est recommandé de remplacer ces paramètres par défaut comme suit :

  • Activez NAT-T.
  • Définissez offer_nat_t_initator sur true.
  • Si vous savez qu'il n'y a pas de périphérique NAT dans l'environnement, définissez force_nat_t sur true.

Vous pouvez afficher et modifier ces variables à l'aide de l'outil GuiDBedit. Reportez-vous à la documentation Check Point de votre version pour confirmer ces étapes.

  1. Dans le panneau supérieur gauche, cliquez sur TABLE > Network Objects > network_objects.
  2. Dans le panneau supérieur droit, sélectionnez l'objet Security Gateway applicable.
  3. Dans le panneau inférieur, reportez-vous à la section VPN.
  4. Pour sauvegarder les modifications, cliquez sur Fichier > Sauvegarder tout.
  5. Dans SmartConsole, installez la règle de contrôle d'accès sur cet objet Security Gateway.

Pour plus d'informations, voir NAT-T Compatibility With Check Point Devices.