IBM Cloud Docs
Connessione a un peer Check Point Security Gateway

Connessione a un peer Check Point Security Gateway

Puoi utilizzare IBM Cloud VPN for VPC per collegare in modo sicuro il tuo VPC a una rete in loco tramite un tunnel VPN. Questo argomento fornisce istruzioni su come configurare Check Point Security Gateway per la connessione a VPN for VPC.

Queste istruzioni si basano su Check Point Security Gateway, Software Release [R81.10]. Le versioni precedenti del software Check Point non sono supportate.

Leggi le limitazioni del gateway VPN prima di continuare a connetterti al tuo peer in loco.

Poiché il gateway di sicurezza del punto di controllo utilizza IKEv1 per impostazione predefinita, devi creare una politica IKE e IPsec personalizzata per sostituire la politica di negoziazione automatica predefinita per la VPN nel tuo VPC.

Per supportare queste funzioni, è necessario eseguire le operazioni di configurazione generali riportate di seguito su Check Point Security Gateway.

Connessione di una VPN IBM basata sulla politica a un peer Check Point Security Gateway

Ecco un esempio di come connettere una VPN con politica IBM a un peer Check Point Security Gateway:

  1. Per configurare i gateway di sicurezza gestiti internamente, attenersi alla seguente procedura:

    • Andare a SmartConsole > Gateway & Services e fare clic sul nome del gateway di sicurezza per aprire la pagina di configurazione di Security Gateway.
    • Andare alla pagina Gestione rete per definire la topologia.
    • Vai alla pagina Network Management> VPN Domain per definire il dominio VPN.
  2. Per creare una periferica interoperabile su Check Point SmartConsole, attenersi alla seguente procedura:

    • Andare a Explorer oggetti e fare clic su Nuovo> Altro> Oggetto di rete> Altro> Unità interoperabile per aprire la nuova pagina della periferica interoperabile.
    • Vai alla pagina Proprietà generali e immetti il nome gateway IBM VPN e l'indirizzo IP pubblico.
    • Vai alla pagina Topologia e aggiungi l'indirizzo IP pubblico del gateway IBM VPN e le sottoreti IBM VPC. Aggiungi l'indirizzo IP pubblico IBM VPN come una rete esterna con maschera di rete 255.255.255.255. Aggiungi le sottoreti IBM VPC come una rete interna.
  3. Per aggiungere la comunità VPN, seguire questa procedura.

    Queste istruzioni si basano sul tipo Star Community, ma anche il tipo Meshed Community è un'opzione.

    • Andare a SmartConsole > Criteri di protezione> Strumenti di accesso> Comunità VPN, fare clic su Star Community per aprire una nuova pagina della community VPN.
    • Immetti il nuovo nome della community.
    • Vai alla pagina Gateways> Center Gateways, fai clic sull'icona + e aggiungi Check Point Security Gateway.
    • Vai alla pagina Gateways> Satellite Gateways, fare clic su + e aggiungere il gateway IBM VPN.
    • Andare alla pagina Codifica e utilizzare i valori predefiniti Encryption Method e Encryption Suite.
    • Andare alla pagina Gestione tunnel e selezionare One VPN tunnel per subnet pair.
    • Vai alla pagina Shared Secret e imposta la chiave pre - condivisa.
    • Fare clic su OK e pubblicare le modifiche.
  4. Per aggiungere regole di accesso rilevanti nella pagina Politica di sicurezza, attenersi alla seguente procedura:

    • Aggiungere la community nella colonna VPN, i servizi nella colonna Service & Applications, l'azione desiderata e l'opzione di traccia appropriata.
    • Installa la politica di controllo degli accessi.

Connessione di una VPN basata sull'instradamento IBM a un peer Check Point Security Gateway

Questi passi di esempio sono indicati nel manuale CheckPoint Administration Guide

Per connettere una VPN basata sull'instradamento IBM a un peer Check Point Security Gateway, segui questa procedura:

  1. Per abilitare la VPN IPsec, selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per aprire la pagina di configurazione di Security Gateway. Nella vista a schede Proprietà generali, fare clic su VPN IPsec.

    CheckPoint CheckPoint
    Figura 1: CheckPoint abilita connessione IPsec

  2. Per abilitare la VPN basata sull'instradamento, attenersi alla seguente procedura:

    • Selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per visualizzare la pagina di configurazione di Security Gateway.
    • Fai clic su Network Management> VPN Domain.
    • Selezionare Definito dall'utente.
    • Fare clic sul pulsante [...] .
    • Fare clic su Nuovo> Gruppo> Gruppo semplice e immettere un nome.
    • Fare clic su OK (lasciare vuoto l'oggetto Gruppo).

    CheckPoint CheckPoint
    Figura 2: CheckPoint abilita connessione IPsec

  3. Per aggiungere il gateway IBM VPN come dispositivo interoperabile, andare a Explorer oggetti. Quindi, fare clic su Nuovo> Altro> Oggetto di rete> Altro> Unità interoperabile per visualizzare la pagina della nuova unità interoperabile. Immetti il piccolo indirizzo IP pubblico del gateway VPN basato sull'instradamento IBM nel campo dell'indirizzo IPv4.

    Per ulteriori informazioni sul piccolo IP pubblico, vedi questa nota importante.

    CheckPoint Connection Add Interoperable Device
    Figura 3: CheckPoint connection add interoperable device

  4. Per creare la community VPN, selezionare SmartConsole > Criteri di protezione> Strumenti di accesso> Comunità VPN. Quindi, fare clic su Star Community per visualizzare la nuova pagina della comunità VPN. Aggiungi il gateway CheckPoint e il gateway VPN basato sull'instradamento IBM.

    CheckPoint Connection Creare la comunità VPN
    Figura 4: la connessione CheckPoint crea la comunità VPN

  5. Per configurare il traffico codificato, fare clic su Traffico codificato nella comunità VPN, quindi selezionare Accetta tutto il traffico codificato.

    CheckPoint Connection Configura il traffico codificato
    Figura 5: la connessione CheckPoint configura il traffico codificato

  6. Per configurare le proposte IKE e IPsec, fai clic su Encryption sulla community VPN. Quindi, selezionare un metodo di crittografia, le tute e la perfetta segretezza di inoltro. Questi valori devono corrispondere alla configurazione VPN basata sull'instradamento IBM.

    CheckPoint Configura le proposte IKE e IPsec
    Figura 6: la connessione CheckPoint configura le proposte IKE e IPsec

  7. Per configurare la gestione del tunnel, fare clic su Gestione tunnel nella comunità VPN. Quindi, selezionare Su tutti i tunnel della community e Un tunnel VPN per coppia gateway.

    CheckPoint Configurazione della connessione Gestione tunnel
    Figura 7: CheckPoint Configurazione della connessione Gestione tunnel

  8. Per configurare la chiave precondivisa, fare clic su Segreto condiviso nella comunità VPN. Imposta la stessa chiave precondivisa del gateway basato sull'instradamento IBM VPN.

    CheckPoint Configurazione della chiave precondivisa della connessione
    Figura 8: CheckPoint configurazione della chiave precondivisa

  9. Per abilitare la corrispondenza direzionale, selezionare Menu> Proprietà globali> VPN> Avanzate, quindi fare clic su Abilita corrispondenza direzionale VPN nella colonna VPN.

    CheckPoint CheckPoint
    Figura 9: CheckPoint CheckPoint

  10. Per aggiungere regole VPN di corrispondenza direzionale, selezionare SmartConsole > Criteri di protezione> Controllo accessi> Politica, quindi aggiungere una nuova regola VPN. La regola direzionale deve contenere le seguenti condizioni di corrispondenza direzionale:

    • La tua comunità VPN> La tua comunità VPN
    • La tua comunità VPN> Internal_Clear
    • Internal_Clear> La tua comunità VPN

    CheckPoint Aggiunta di regole VPN di corrispondenza direzionale
    Figura 10: CheckPoint Aggiunta di regole VPN di corrispondenza direzionale

  11. Per installare la politica, selezionare SmartConsole > Politiche di sicurezza, quindi fare clic su Installa politica.

    CheckPoint CheckPoint
    Figura 11: CheckPoint CheckPoint

  12. Per aggiungere una VTI (Virtual Tunnel Interface), seleziona Gaia Portal> Network Management> Network Interfaces, quindi fai clic su Add> VPN Tunnel.

    CheckPoint Connection Add VPN Tunnel
    Figura 12: CheckPoint connection add VPN tunnel

  13. Per aggiungere l'instradamento statico, seleziona Gaia Portal> Network Management> IPv4 Static Routes, quindi fai clic su Add. Il CIDR di destinazione è la sottorete IBM VPC.

    CheckPoint Connection Add Static Route
    Figura 13: CheckPoint connection add static route

  14. Per aggiornare la topologia di rete, attenersi alla seguente procedura:

    • Selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per visualizzare la pagina di configurazione di Security Gateway.
    • Selezionare Gestione rete, quindi fare clic su Richiama interfacce> Richiama interfacce con topologia.

    CheckPoint Aggiornamento della topologia di rete
    Figura 14: CheckPoint Aggiornamento della topologia di rete della connessione

Creazione di una politica IKE personalizzata per un gateway di sicurezza del punto di controllo

Per impostazione predefinita, Check Point Security Gateway utilizza IKEv1; pertanto, devi creare una politica IKE personalizzata per sostituire la politica predefinita per VPN nel tuo VPC. Nel seguente esempio di politica, devi utilizzare la politica IKE e IPsec corrispondente.

Per utilizzare una politica IKE personalizzata in VPN for VPC:

  1. Nella pagina VPN for VPC nella console IBM Cloud, seleziona la scheda Politiche IKE.
  2. Fai clic su New IKE policy e specifica i seguenti valori:
    • Per il campo IKE Version, seleziona 1.
    • Nel campo Autenticazione, selezionare sha256.
    • Per il campo Encryption, seleziona aes256.
    • Per il campo Gruppo DH, selezionare 19.
    • Per il campo Key lifetime, specifica 86400.
  3. Quando crei la connessione VPN nel tuo VPC, seleziona questa politica IKE personalizzata.

Creazione di una politica IPsec personalizzata per Check Point Security Gateway

Per utilizzare una politica IPsec personalizzata in VPN for VPC:

  1. Nella pagina VPN for VPC della console IBM Cloud, seleziona la scheda Politiche IPsec.
  2. Fai clic su New IPsec policy e specifica i seguenti valori:
    • Nel campo Autenticazione, selezionare sha256.
    • Per il campo Encryption, seleziona aes256.
    • Per il campo Key lifetime, specifica 3600.
  3. Quando crei la connessione VPN nel tuo VPC, seleziona questa politica IPsec personalizzata.

Garantire che NAT-T sia sempre attivo

Assicurati che la funzione NAT-T sia abilitata sul tuo dispositivo VPN in loco. Il seguente elenco mostra i comportamenti predefiniti:

  • NAT-T è abilitata quando viene rilevata una unità NAT.
  • offer_nat_t_initator è impostato su false (l'iniziatore invia traffico NAT - T).
  • offer_nat_t_responder_for_known_gw è impostato su true (il responder accetta il traffico NAT-T dai gateway noti).
  • force_nat_t è impostato su false (forza NAT - T, anche se non è presente alcuna periferica NAT - T).

Si consiglia di modificare queste impostazioni predefinite come segue:

  • Abilita NAT-T.
  • Impostare offer_nat_t_initator su true.
  • Se sai che non c'è alcuna periferica NAT nell'ambiente, imposta force_nat_t su true.

È possibile visualizzare e modificare queste variabili utilizzando lo strumento GuiDBedit. Fare riferimento alla documentazione di Check Point per la versione specifica per confermare questi passi.

  1. Nel riquadro in alto a sinistra, fare clic su TABLE> Network Objects> network_objects.
  2. Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway applicabile.
  3. Nel riquadro inferiore, vedi la sezione VPN.
  4. Per salvare le modifiche, fare clic su File> Salva tutto.
  5. In SmartConsole, installare il criterio di controllo accessi su questo oggetto Security Gateway.

Per ulteriori informazioni, consultare NAT-T Compatibility with Check Point Devices.