Connessione a un peer Check Point Security Gateway
Puoi utilizzare IBM Cloud VPN for VPC per collegare in modo sicuro il tuo VPC a una rete in loco tramite un tunnel VPN. Questo argomento fornisce istruzioni su come configurare Check Point Security Gateway per la connessione a VPN for VPC.
Queste istruzioni si basano su Check Point Security Gateway, Software Release [R81.10]. Le versioni precedenti del software Check Point non sono supportate.
Leggi le limitazioni del gateway VPN prima di continuare a connetterti al tuo peer in loco.
Poiché il gateway di sicurezza del punto di controllo utilizza IKEv1 per impostazione predefinita, devi creare una politica IKE e IPsec personalizzata per sostituire la politica di negoziazione automatica predefinita per la VPN nel tuo VPC.
Per supportare queste funzioni, è necessario eseguire le operazioni di configurazione generali riportate di seguito su Check Point Security Gateway.
Connessione di una VPN IBM basata sulla politica a un peer Check Point Security Gateway
Ecco un esempio di come connettere una VPN con politica IBM a un peer Check Point Security Gateway:
-
Per configurare i gateway di sicurezza gestiti internamente, attenersi alla seguente procedura:
- Andare a SmartConsole > Gateway & Services e fare clic sul nome del gateway di sicurezza per aprire la pagina di configurazione di Security Gateway.
- Andare alla pagina Gestione rete per definire la topologia.
- Vai alla pagina Network Management> VPN Domain per definire il dominio VPN.
-
Per creare una periferica interoperabile su Check Point SmartConsole, attenersi alla seguente procedura:
- Andare a Explorer oggetti e fare clic su Nuovo> Altro> Oggetto di rete> Altro> Unità interoperabile per aprire la nuova pagina della periferica interoperabile.
- Vai alla pagina Proprietà generali e immetti il nome gateway IBM VPN e l'indirizzo IP pubblico.
- Vai alla pagina Topologia e aggiungi l'indirizzo IP pubblico del gateway IBM VPN e le sottoreti IBM VPC. Aggiungi l'indirizzo IP pubblico IBM VPN come una rete esterna con maschera di rete
255.255.255.255
. Aggiungi le sottoreti IBM VPC come una rete interna.
-
Per aggiungere la comunità VPN, seguire questa procedura.
Queste istruzioni si basano sul tipo
Star Community
, ma anche il tipoMeshed Community
è un'opzione.- Andare a SmartConsole > Criteri di protezione> Strumenti di accesso> Comunità VPN, fare clic su
Star Community
per aprire una nuova pagina della community VPN. - Immetti il nuovo nome della community.
- Vai alla pagina Gateways> Center Gateways, fai clic sull'icona
+
e aggiungi Check Point Security Gateway. - Vai alla pagina Gateways> Satellite Gateways, fare clic su
+
e aggiungere il gateway IBM VPN. - Andare alla pagina Codifica e utilizzare i valori predefiniti
Encryption Method
eEncryption Suite
. - Andare alla pagina Gestione tunnel e selezionare
One VPN tunnel per subnet pair
. - Vai alla pagina Shared Secret e imposta la chiave pre - condivisa.
- Fare clic su OK e pubblicare le modifiche.
- Andare a SmartConsole > Criteri di protezione> Strumenti di accesso> Comunità VPN, fare clic su
-
Per aggiungere regole di accesso rilevanti nella pagina Politica di sicurezza, attenersi alla seguente procedura:
- Aggiungere la community nella colonna VPN, i servizi nella colonna Service & Applications, l'azione desiderata e l'opzione di traccia appropriata.
- Installa la politica di controllo degli accessi.
Connessione di una VPN basata sull'instradamento IBM a un peer Check Point Security Gateway
Questi passi di esempio sono indicati nel manuale CheckPoint Administration Guide
Per connettere una VPN basata sull'instradamento IBM a un peer Check Point Security Gateway, segui questa procedura:
-
Per abilitare la VPN IPsec, selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per aprire la pagina di configurazione di Security Gateway. Nella vista a schede Proprietà generali, fare clic su VPN IPsec.
Figura 1: CheckPoint abilita connessione IPsec -
Per abilitare la VPN basata sull'instradamento, attenersi alla seguente procedura:
- Selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per visualizzare la pagina di configurazione di Security Gateway.
- Fai clic su Network Management> VPN Domain.
- Selezionare Definito dall'utente.
- Fare clic sul pulsante [...] .
- Fare clic su Nuovo> Gruppo> Gruppo semplice e immettere un nome.
- Fare clic su OK (lasciare vuoto l'oggetto Gruppo).
Figura 2: CheckPoint abilita connessione IPsec -
Per aggiungere il gateway IBM VPN come dispositivo interoperabile, andare a Explorer oggetti. Quindi, fare clic su Nuovo> Altro> Oggetto di rete> Altro> Unità interoperabile per visualizzare la pagina della nuova unità interoperabile. Immetti il piccolo indirizzo IP pubblico del gateway VPN basato sull'instradamento IBM nel campo dell'indirizzo IPv4.
Per ulteriori informazioni sul piccolo IP pubblico, vedi questa nota importante.
Figura 3: CheckPoint connection add interoperable device -
Per creare la community VPN, selezionare SmartConsole > Criteri di protezione> Strumenti di accesso> Comunità VPN. Quindi, fare clic su Star Community per visualizzare la nuova pagina della comunità VPN. Aggiungi il gateway CheckPoint e il gateway VPN basato sull'instradamento IBM.
Figura 4: la connessione CheckPoint crea la comunità VPN -
Per configurare il traffico codificato, fare clic su Traffico codificato nella comunità VPN, quindi selezionare Accetta tutto il traffico codificato.
Figura 5: la connessione CheckPoint configura il traffico codificato -
Per configurare le proposte IKE e IPsec, fai clic su Encryption sulla community VPN. Quindi, selezionare un metodo di crittografia, le tute e la perfetta segretezza di inoltro. Questi valori devono corrispondere alla configurazione VPN basata sull'instradamento IBM.
Figura 6: la connessione CheckPoint configura le proposte IKE e IPsec -
Per configurare la gestione del tunnel, fare clic su Gestione tunnel nella comunità VPN. Quindi, selezionare Su tutti i tunnel della community e Un tunnel VPN per coppia gateway.
Figura 7: CheckPoint Configurazione della connessione Gestione tunnel -
Per configurare la chiave precondivisa, fare clic su Segreto condiviso nella comunità VPN. Imposta la stessa chiave precondivisa del gateway basato sull'instradamento IBM VPN.
Figura 8: CheckPoint configurazione della chiave precondivisa -
Per abilitare la corrispondenza direzionale, selezionare Menu> Proprietà globali> VPN> Avanzate, quindi fare clic su Abilita corrispondenza direzionale VPN nella colonna VPN.
Figura 9: CheckPoint CheckPoint -
Per aggiungere regole VPN di corrispondenza direzionale, selezionare SmartConsole > Criteri di protezione> Controllo accessi> Politica, quindi aggiungere una nuova regola VPN. La regola direzionale deve contenere le seguenti condizioni di corrispondenza direzionale:
- La tua comunità VPN> La tua comunità VPN
- La tua comunità VPN> Internal_Clear
- Internal_Clear> La tua comunità VPN
Figura 10: CheckPoint Aggiunta di regole VPN di corrispondenza direzionale -
Per installare la politica, selezionare SmartConsole > Politiche di sicurezza, quindi fare clic su Installa politica.
Figura 11: CheckPoint CheckPoint -
Per aggiungere una VTI (Virtual Tunnel Interface), seleziona Gaia Portal> Network Management> Network Interfaces, quindi fai clic su Add> VPN Tunnel.
Figura 12: CheckPoint connection add VPN tunnel -
Per aggiungere l'instradamento statico, seleziona Gaia Portal> Network Management> IPv4 Static Routes, quindi fai clic su Add. Il CIDR di destinazione è la sottorete IBM VPC.
Figura 13: CheckPoint connection add static route -
Per aggiornare la topologia di rete, attenersi alla seguente procedura:
- Selezionare SmartConsole > Gateway & Servizi, quindi fare clic sul nome del gateway di sicurezza per visualizzare la pagina di configurazione di Security Gateway.
- Selezionare Gestione rete, quindi fare clic su Richiama interfacce> Richiama interfacce con topologia.
Figura 14: CheckPoint Aggiornamento della topologia di rete della connessione
Creazione di una politica IKE personalizzata per un gateway di sicurezza del punto di controllo
Per impostazione predefinita, Check Point Security Gateway utilizza IKEv1; pertanto, devi creare una politica IKE personalizzata per sostituire la politica predefinita per VPN nel tuo VPC. Nel seguente esempio di politica, devi utilizzare la politica IKE e IPsec corrispondente.
Per utilizzare una politica IKE personalizzata in VPN for VPC:
- Nella pagina VPN for VPC nella console IBM Cloud, seleziona la scheda Politiche IKE.
- Fai clic su New IKE policy e specifica i seguenti valori:
- Per il campo IKE Version, seleziona 1.
- Nel campo Autenticazione, selezionare sha256.
- Per il campo Encryption, seleziona aes256.
- Per il campo Gruppo DH, selezionare 19.
- Per il campo Key lifetime, specifica 86400.
- Quando crei la connessione VPN nel tuo VPC, seleziona questa politica IKE personalizzata.
Creazione di una politica IPsec personalizzata per Check Point Security Gateway
Per utilizzare una politica IPsec personalizzata in VPN for VPC:
- Nella pagina VPN for VPC della console IBM Cloud, seleziona la scheda Politiche IPsec.
- Fai clic su New IPsec policy e specifica i seguenti valori:
- Nel campo Autenticazione, selezionare sha256.
- Per il campo Encryption, seleziona aes256.
- Per il campo Key lifetime, specifica 3600.
- Quando crei la connessione VPN nel tuo VPC, seleziona questa politica IPsec personalizzata.
Garantire che NAT-T sia sempre attivo
Assicurati che la funzione NAT-T sia abilitata sul tuo dispositivo VPN in loco. Il seguente elenco mostra i comportamenti predefiniti:
- NAT-T è abilitata quando viene rilevata una unità NAT.
- offer_nat_t_initator è impostato su
false
(l'iniziatore invia traffico NAT - T). - offer_nat_t_responder_for_known_gw è impostato su
true
(il responder accetta il traffico NAT-T dai gateway noti). - force_nat_t è impostato su
false
(forza NAT - T, anche se non è presente alcuna periferica NAT - T).
Si consiglia di modificare queste impostazioni predefinite come segue:
- Abilita NAT-T.
- Impostare offer_nat_t_initator su
true
. - Se sai che non c'è alcuna periferica NAT nell'ambiente, imposta force_nat_t su
true
.
È possibile visualizzare e modificare queste variabili utilizzando lo strumento GuiDBedit. Fare riferimento alla documentazione di Check Point per la versione specifica per confermare questi passi.
- Nel riquadro in alto a sinistra, fare clic su TABLE> Network Objects> network_objects.
- Nel riquadro in alto a destra, selezionare l'oggetto Security Gateway applicabile.
- Nel riquadro inferiore, vedi la sezione VPN.
- Per salvare le modifiche, fare clic su File> Salva tutto.
- In SmartConsole, installare il criterio di controllo accessi su questo oggetto Security Gateway.
Per ulteriori informazioni, consultare NAT-T Compatibility with Check Point Devices.