IBM Cloud Docs
Connexion à un homologue Check Point Security Gateway

Connexion à un homologue Check Point Security Gateway

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle Check Point Security Gateway pour la connexion à VPN for VPC.

Ces instructions sont basées sur Check Point Security Gateway, Software Release [R81.10]. Les versions antérieures du logiciel Check Point ne sont pas prises en charge.

Lisez les problèmes connus pour les passerelles VPN avant de continuer à vous connecter à votre homologue sur site.

Check Point Security Gateway utilise IKEv1 par défaut. Par conséquent, vous devez créer des stratégies IKE et IPsec personnalisées pour remplacer la stratégie de négociation automatique par défaut du VPN dans votre VPC.

Pour prendre en charge ces fonctions, vous devez effectuer les étapes de configuration générales ci-après sur Check Point Security Gateway.

Connexion d'un VPN IBM basé sur des stratégies à un homologue Check Point Security Gateway

Voici un exemple de connexion d'un VPN basé sur une stratégie IBM à un homologue Check Point Security Gateway :

  1. Pour configurer les passerelles de sécurité gérées en interne, procédez comme suit :

    • Accédez à SmartConsole > Gateways & Services et cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Accédez à la page Network Management pour définir la topologie.
    • Accédez à la page Network Management > VPN Domain pour définir le domaine VPN.

  2. Pour créer un appareil interopérable dans la console CheckPoint SmartConsole, procédez comme suit :

    • Allez dans l'Explorateur d'objets et cliquez sur Nouveau > Plus > Objet réseau > Plus > Dispositif interopérable pour ouvrir la page du nouveau dispositif interopérable.
    • Accédez à la page General Properties et entrez le nom et l'adresse IP publique de la passerelle IBM VPN.
    • Accédez à la page Topology et ajoutez l'adresse IP publique de la passerelle IBM VPN, ainsi que les sous-réseaux IBM VPC. Ajoutez l'adresse IP publique d'IBM VPN en tant que réseau externe avec le masque de réseau 255.255.255.255. Ajoutez les sous-réseaux IBM VPC en tant que réseau interne.

  3. Pour ajouter la communauté VPN, procédez comme suit.

    Ces instructions sont basées sur le type Star Community, mais le type Meshed Community est également une option possible.

    • Accédez à SmartConsole > Security Policies > Access Tools > VPN Communities, cliquez sur Star Community pour ouvrir la page de la nouvelle communauté VPN.
    • Entrez le nom de la nouvelle communauté.
    • Accédez à la page Gateways > Center Gateways, cliquez sur l'icône + et ajoutez la passerelle Check Point Security Gateway.
    • Accédez à la page Gateways > Satellite Gateways, cliquez sur l'icône + et ajoutez la passerelle IBM VPN.
    • Accédez à la page Encryption et utilisez la méthode de chiffrement (Encryption Method) et la suite de chiffrement (Encryption Suite) par défaut.
    • Accédez à la page Tunnel Management et sélectionnez One VPN tunnel per subnet pair.
    • Accédez à la page Shared Secret et définissez la clé pré-partagée.
    • Cliquez sur OK et publiez les modifications.

  4. Pour ajouter des règles d'accès pertinentes sur la page Security Policy, procédez comme suit :

    • Ajoutez la communauté dans la colonne VPN, les services de la colonne Service & Applications, l'action recherchée et l'option de suivi appropriée.
    • Installez la règle de contrôle d'accès.

Connexion d'un VPN basé sur une route IBM à un homologue Check Point Security Gateway

Ces exemples d'étapes sont mentionnés dans le document CheckPoint-Guide d'administration

Pour connecter un réseau VPN basé sur une route IBM à un homologue CheckPoint Security Gateway, procédez comme suit :

  1. Pour activer le VPN IPsec, sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway. Dans la vue à onglets General Properties, cliquez sur IPsec VPN.

    CheckPoint Connection Enable IPsec
    Figure 1: La connexion CheckPoint active IPsec

  2. Pour activer le VPN basé sur une route, procédez comme suit :

    • Sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Cliquez sur Network Management > VPN Domain.
    • Sélectionnez Défini par l'utilisateur.
    • Cliquez sur le bouton [...].
    • Cliquez sur New > Group > Simple Group et entrez un nom.
    • Cliquez sur OK (laissez l'objet Group vide).

    CheckPoint Connection Enable IPsec
    Figure 2: La connexion CheckPoint active IPsec

  3. Pour ajouter la passerelle IBM VPN en tant qu'appareil interopérable, accédez à l'explorateur d'objets. Ensuite, cliquez sur Nouveau > Plus > Objet réseau > Plus > Dispositif interopérable pour ouvrir la page du nouveau dispositif interopérable. Entrez la petite adresse IP publique de la passerelle VPN basée sur la route IBM dans la zone d'adresse IPv4.

    Pour plus d'informations sur la petite adresse IP publique, voir cet avis important.

    CheckPoint Connection Add Interoperable Device
    Figure 3: CheckPoint connection add interopérable device

  4. Pour créer la communauté VPN, sélectionnez SmartConsole > Security Policies > Access Tools > VPN Communities. Cliquez ensuite sur Star Community pour ouvrir la page de la nouvelle communauté VPN. Ajoutez la passerelle CheckPoint et la passerelle VPN basée sur une route IBM.

    CheckPoint Connexion Créer la communauté VPN
    Figure 4: La connexion CheckPoint crée la communauté VPN

  5. Pour configurer le trafic chiffré, cliquez sur Encrypted Traffic dans la communauté VPN, puis sélectionnez Accept all encrypted traffic.

    CheckPoint Connection Configure le trafic chiffré
    Figure 5: La connexion CheckPoint configure le trafic chiffré

  6. Pour configurer les propositions IKE et IPsec, cliquez sur Encryption dans la communauté VPN. Sélectionnez ensuite une méthode et des suites de chiffrement, puis la confidentialité persistante parfaite (PFS). Ces valeurs doivent correspondre à la configuration VPN basée sur la route IBM.

    CheckPoint Connection Configure the IKE and IPsec Proposals Figure 6 : connection configure the IKE and IPsec proposals
    CheckPoint

  7. Pour configurer la gestion du tunnel, cliquez sur Tunnel Management dans la communauté VPN. Ensuite, sélectionnez On all tunnels in the community et One VPN tunnel per Gateway Pair.

    CheckPoint Connexion Configurer la gestion du tunnel Figure 7 : connexion configurer la gestion du tunnel
    CheckPoint

  8. Pour configurer la clé pré-partagée, cliquez sur Shared Secret dans la communauté VPN. Définissez la même clé pré-partagée que la passerelle basée sur une route IBM VPN.

    CheckPoint Connection Configure Pre-shared Key Figure 8 : connection configure pre-shared key
    CheckPoint

  9. Pour activer la correspondance directionnelle, sélectionnez Menu > Propriétés globales > VPN > Avancé, puis cliquez sur Activer la correspondance directionnelle VPN dans la colonne VPN.

    CheckPoint Connection Enable Directional Match
    Figure 9: La connexion CheckPoint active la correspondance directionnelle

  10. Pour ajouter des règles VPN de correspondance directionnelle, sélectionnez SmartConsole > Security Policies > Access Control > Policy, puis ajoutez une nouvelle règle VPN. La règle directionelle doit contenir ces conditions de correspondance directionnelle :

    • Votre communauté VPN > Votre communauté VPN
    • Votre communauté VPN > Internal_Clear
    • Internal_Clear > Votre communauté VPN

    CheckPoint Connection Add Directionnel Matching VPN Rules
    Figure 10: CheckPoint connection add directionnel matching VPN rules

  11. Pour installer la stratégie, sélectionnez SmartConsole > Security Policies, puis cliquez sur Install Policy.

    CheckPoint Politique d'installation de la connexion Figure 11 : Politique d'installation de la connexion
    CheckPoint

  12. Pour ajouter une interface VTI (Virtual Tunnel Interface), sélectionnez Gaia Portal > Network Management > Network Interfaces, puis cliquez sur Add > VPN Tunnel.

    CheckPoint Connexion Ajouter un tunnel VPN Figure 12 : connexion ajouter un tunnel VPN
    CheckPoint

  13. Pour ajouter la route statique, sélectionnez Gaia Portal > Network Management > IPv4 static Routes, puis cliquez sur Add. Le CIDR de destination est le sous-réseau IBM VPC.

    CheckPoint Connection Add Static Route Figure 13 : connection add static route
    CheckPoint

  14. Pour actualiser la topologie de réseau, procédez comme suit :

    • Sélectionnez SmartConsole > Gateways & Services, puis cliquez sur le nom de la passerelle de sécurité pour ouvrir la page de configuration de Security Gateway.
    • Sélectionnez Network Management, puis cliquez sur Get Interfaces > Get Interfaces with Topology.

    CheckPoint Topologie du réseau de rafraîchissement des connexions Figure 14 : Topologie du réseau de rafraîchissement des connexions
    CheckPoint

Création d'une stratégie IKE personnalisée pour Check Point Security Gateway

Par défaut, Check Point Security Gateway utilise IKEv1. Par conséquent, vous devez créer une stratégie IKE personnalisée pour remplacer la stratégie par défaut du VPN dans votre VPC. Dans l'exemple de règle suivant, vous devez utiliser la stratégie IKE et IPsec correspondante.

Pour utiliser une stratégie IKE personnalisée dans VPN for VPC :

  1. Sur la page VPN for VPC de la console IBM Cloud, sélectionnez l'onglet Stratégies IKE.
  2. Cliquez sur Nouvelle stratégie IKE et indiquez les valeurs suivantes:
    • Pour la zone Version IKE, sélectionnez 1.
    • Pour la zone Authentification, sélectionnez sha256.
    • Pour la zone Chiffrement, sélectionnez aes256.
    • Pour la zone Groupe DH, sélectionnez 19.
    • Dans la zone Durée de vie de la clé, indiquez 86400.
  3. Lorsque vous créez la connexion VPN dans votre VPC, sélectionnez cette stratégie IKE personnalisée.

Création d'une stratégie IPsec personnalisée pour Check Point Security Gateway

Pour utiliser une stratégie IPsec personnalisée dans VPN for VPC :

  1. Sur la page VPN for VPC de la console IBM Cloud, sélectionnez l'onglet Stratégies IPsec.
  2. Cliquez sur Nouvelle stratégie IPsec et spécifiez les valeurs suivantes :
    • Pour la zone Authentification, sélectionnez sha256.
    • Pour la zone Chiffrement, sélectionnez aes256.
    • Dans la zone Durée de vie de la clé, indiquez 3600.
  3. Quand vous créez la connexion VPN dans votre VPC, sélectionnez cette stratégie IPsec personnalisée.

S'assurer que la fonctionnalité NAT-T est toujours activée

Assurez-vous que la fonctionnalité NAT-T est activée sur votre unité VPN sur site. La liste suivante présente les comportements par défaut :

  • La fonctionnalité NAT-T est activée si une unité NAT est détectée.
  • offer_nat_t_initator est défini sur false (l'initiateur envoie le trafic NAT-T).
  • offer_nat_t_responder_for_known_gw est défini sur true (le répondant accepte le trafic NAT-T des passerelles connues).
  • force_nat_t est défini sur false (force NAT-T, même en l'absence d'unité NAT-T).

Il est recommandé de remplacer ces paramètres par défaut comme suit :

  • Activez NAT-T.
  • Définissez offer_nat_t_initator sur true.
  • Si vous savez qu'il n'y a pas de périphérique NAT dans l'environnement, définissez force_nat_t sur true.

Vous pouvez afficher et modifier ces variables à l'aide de l'outil GuiDBedit. Reportez-vous à la documentation Check Point de votre version pour confirmer ces étapes.

  1. Dans le panneau supérieur gauche, cliquez sur TABLE > Network Objects > network_objects.
  2. Dans le panneau supérieur droit, sélectionnez l'objet Security Gateway applicable.
  3. Dans le panneau inférieur, reportez-vous à la section VPN.
  4. Pour sauvegarder les modifications, cliquez sur Fichier > Sauvegarder tout.
  5. Dans SmartConsole, installez la règle de contrôle d'accès sur cet objet Security Gateway.

Pour plus d'informations, voir Compatibilité NAT-T avec les dispositifs Check Point.