IBM Cloud Docs
Conectando-se a um peer do Check Point Security Gateway

Conectando-se a um peer do Check Point Security Gateway

É possível usar o IBM Cloud VPN for VPC para conectar de forma segura o seu VPC a uma rede no local por meio de um túnel VPN. Este tópico fornece orientação sobre como configurar o seu Check Point Security Gateway para se conectar ao VPN for VPC.

Essas instruções são baseadas no Check Point Security Gateway, Liberação de Software [R81.10] Versões anteriores do software Check Point não são suportadas.

Leia Limitações do gateway da VPN antes de continuar a conexão com seu peer local.

Como o Check Point Security Gateway usa IKEv1 por padrão, deve-se criar uma política customizada de IKE e IPsec para substituir a política de negociação automática padrão para a VPN no VPC.

Para suportar essas funções, as etapas gerais de configuração a seguir devem ser executadas no Check Point Security Gateway.

Conectando uma VPN baseado em política IBM a um peer do Check Point Security Gateway

Aqui está um exemplo de como conectar uma VPN baseada em política da IBM a um peer Check Point Security Gateway:

  1. Para configurar os gateways de segurança que são gerenciados internamente, siga estas etapas:

    • Acesse SmartConsole > Gateways e serviços e clique no nome do gateway de segurança para abrir a página de configuração do Security Gateway.
    • Acesse a página Gerenciamento de rede para definir a Topologia.
    • Acesse a página Gerenciamento de rede > Domínio VPN para definir o domínio VPN.

  2. Para criar um dispositivo interoperável no Check Point SmartConsole, siga estas etapas:

    • Acesse o Object Explorer e clique em Novo> Mais> Objeto de rede> Mais> Dispositivo interoperável para abrir a nova página do dispositivo interoperável.
    • Acesse a página Propriedades gerais e insira o nome do gateway VPN da IBM e o endereço IP público.
    • Acesse a Página de topologia e inclua o endereço IP público do gateway VPN da IBM e as sub-redes do IBM VPC. Inclua o endereço IP público da IBM VPN como uma rede externa com máscara de rede 255.255.255.255. Inclua as sub-redes do IBM VPC como uma rede interna.

  3. Para incluir a Comunidade VPN, siga estas etapas.

    Essas instruções são baseadas no tipo Star Community, mas o tipo Meshed Community também é uma opção.

    • Acesse SmartConsole > Políticas de segurança > Ferramentas de acesso > Comunidades VPN, clique em Star Community para abrir a nova página da comunidade VPN.
    • Insira o novo nome da comunidade.
    • Acesse a página Gateways > Center Gateways, clique no ícone + e inclua o Check Point Security Gateway.
    • Acesse a página Gateways > Satellite Gateways, clique no ícone + e inclua o gateway do IBM VPN.
    • Acesse a página Criptografia e use o padrão Encryption Method e Encryption Suite.
    • Acesse a página Gerenciamento de túnel e selecione One VPN tunnel per subnet pair.
    • Acesse a página Segredo compartilhado e configure a chave pré-compartilhada.
    • Clique em OK e publique as mudanças.

  4. Para incluir regras de acesso relevantes na página Política de segurança, siga estas etapas:

    • Inclua a comunidade na coluna VPN, os serviços na coluna Serviços e aplicativos, a Ação desejada e a opção de rastreamento apropriada.
    • Instalar a política de controle de acesso.

Conectando uma VPN baseada em rota IBM a um peer Check Point Security Gateway

Essas etapas de exemplo são referidas no CheckPoint Guia de Administração

Para conectar uma VPN baseada em rota IBM a um peer Check Point Security Gateway, siga estas etapas:

  1. Para ativar o VPN IPsec, selecione SmartConsole > Gateways e Serviços e, em seguida, clique no nome do gateway de segurança para abrir a página de configuração do Security Gateway. Na visualização tabulada Propriedades gerais, clique em VPN IPsec.

    CheckPoint Conexão Ativa IPsec
    Figura 1: CheckPoint conexão ativa IPsec

  2. Para ativar a VPN baseada em rotas, siga estas etapas:

    • Selecione SmartConsole > Gateways e Serviços e, em seguida, clique no nome do gateway de segurança para abrir a página de configuração do Security Gateway.
    • Clique em Gerenciamento de rede > Domínio VPN.
    • Selecione Definido pelo usuário
    • Clique no botão [...].
    • Clique em Novo > Grupo > Grupo simples e digite um nome.
    • Clique em OK (deixe Objeto do grupo vazio).

    CheckPoint Conexão Ativar IPsec
    Figura 2: CheckPoint conexão ativar IPsec

  3. Para incluir o gateway do IBM VPN como dispositivo interoperável,acesse o Object Explorer. Em seguida, clique em Novo> Mais> Objeto de Rede> Mais> Dispositivo Interoperável para abrir a nova página do dispositivo interoperável Insira o endereço IP público pequeno do gateway de VPN baseado em rota da IBM no campo de endereço IPv4.

    Para obter mais informações sobre o IP público pequeno, veja este aviso importante.

    CheckPoint Conexão Incluir Dispositivo Interoperável
    Figura 3: CheckPoint conexão incluir dispositivo interoperável

  4. Para criar a comunidade VPN, selecione SmartConsole > Políticas de Segurança > Ferramentas de Acesso > Comunidades VPN. Em seguida, clique em Star Community para abrir a nova página da comunidade VPN. Inclua o gateway do CheckPoint e o gateway de VPN baseado em rota da IBM.

    CheckPoint Conexão Criar a comunidade VPN
    Figura 4: CheckPoint cria a comunidade VPN

  5. Para configurar o tráfego criptografado, clique em Tráfego criptografado na comunidade VPN e, em seguida, selecione Aceitar todo o tráfego criptografado.

    CheckPoint Conexão Configurar o Tráfego Criptografado
    Figura 5: CheckPoint de conexão configurar o tráfego criptografado

  6. Para configurar as propostas IKE e IPsec, clique em Criptografia na comunidade VPN. Em seguida, selecione um método de criptografia, Suite e Perfect Forward Secrecy. Esses valores devem corresponder à configuração de VPN baseada em rota da IBM.

    CheckPoint Conexão Configurar as Propostas IKE e IPsec
    Figura 6: CheckPoint Conexão Configurar as Propostas IKE e IPsec

  7. Para configurar o gerenciamento de túneis, clique em Gerenciamento de túneis na comunidade VPN. Em seguida, selecione Em todos os túneis da comunidade e Um túnel VPN por par de gateways.

    CheckPoint
    Figura 7: CheckPoint

  8. Para configurar a chave pré-compartilhada, clique em Segredo compartilhado na comunidade VPN. Configure a mesma chave pré-compartilhada como o gateway baseado em rota da IBM VPN.

    CheckPoint Conexão Configurar Chave Pré-compartilhada
    Figura 8: CheckPoint conexão configurar chave pré-compartilhada

  9. Para ativar a correspondência direcional, selecione Menu> Propriedades globais> VPN> Avançado, em seguida, clique em Ativar correspondência direcional de VPN na coluna VPN.

    CheckPoint Conexão Ativar Correspondência Direcional
    Figura 9: CheckPoint conexão ativar correspondência direcional

  10. Para incluir regras de VPN de correspondência direcional, selecione SmartConsole > Políticas de segurança > Controle de Acesso > Política e, em seguida, inclua uma nova regra de VPN. A regra direcional deve conter essas condições de correspondência direcional:

    • Sua comunidade VPN > Sua comunidade VPN
    • Sua comunidade VPN > Internal_Clear
    • Internal_Clear > Sua comunidade VPN

    CheckPoint Regras de VPN de correspondência direcional de inclusão de conexão
    Figura 10: CheckPoint regras de VPN de correspondência direcional de inclusão de conexão

  11. Para instalar a política, selecione SmartConsole > Políticas de segurança e, em seguida, clique em Política de instalação.

    CheckPoint
    Figura 11: CheckPoint

  12. Para incluir uma interface de túnel virtual (VTI), selecione Portal Gaia > Gerenciamento de rede > Interfaces de rede e, em seguida, clique em Incluir > Túnel VPN.

    CheckPoint Túnel VPN de Inclusão de Conexão
    Figura 12: CheckPoint túnel VPN de inclusão de conexão

  13. Para incluir a rota estática, selecione Portal Gaia > Gerenciamento de rede > IPv4 Rotas estáticas e, em seguida, clique em Incluir. O destino CIDR é a sub-rede da IBM VPC.

    CheckPoint Rota Estática de Inclusão de Conexão
    Figura 13: CheckPoint rota estática de inclusão de conexão

  14. Para atualizar a topologia de rede, siga estas etapas:

    • Selecione SmartConsole > Gateways e Serviços e, em seguida, clique no nome do gateway de segurança para abrir a página de configuração do Security Gateway.
    • Selecione Gerenciamento de rede e, em seguida, clique em Interfaces GET > Interfaces GET com topologia.

    CheckPoint Topologia de Rede de Atualização de Conexão
    Figura 14: CheckPoint topologia de rede de atualização de conexão

Criando uma política IKE customizada para um Check Point Security Gateway

Por padrão, o Check Point Security Gateway usa o IKEv1, portanto, deve-se criar uma política IKE customizada para substituir a política padrão para a VPN na VPC. No exemplo de política a seguir, deve-se usar a política de IKE e IPsec correspondidas.

Para usar uma política de IKE customizada no VPN for VPC:

  1. Na página do VPN for VPC no console da IBM Cloud, selecione a guia Políticas de IKE.
  2. Clique em Nova política IKE e especifique os valores a seguir:
    • Para o campo Versão do IKE, selecione 1.
    • Para o campo Autenticação, selecione sha256.
    • Para o campo Criptografia, selecione aes256.
    • Para o campo Grupo DH, selecione 19.
    • Para o campo Tempo de vida da chave, especifique 86400.
  3. Quando você criar a conexão de VPN em sua VPC, selecione esta política IKE customizada.

Criando uma política IPsec customizada para o Check Point Security Gateway

Para usar uma política IPsec customizada no VPN for VPC:

  1. Na página do VPN for VPC no console da IBM Cloud, selecione a guia Políticas de IPsec.
  2. Clique em Nova política IPsec e especifique os valores a seguir:
    • Para o campo Autenticação, selecione sha256.
    • Para o campo Criptografia, selecione aes256.
    • Para o campo Tempo de vida da chave, especifique 3600.
  3. Ao criar a conexão VPN no VPC, selecione essa política IPsec customizada.

Garantindo que o NAT-T esteja sempre ativado

Certifique-se de que o recurso NAT-T esteja ativado em seu dispositivo VPN no local. A lista a seguir mostra os comportamentos padrão:

  • O NAT-T é ativado quando um dispositivo NAT é detectado.
  • offer_nat_t_initator é configurado como false (o inicializador envia o tráfego do NAT-T).
  • offer_nat_t_responder_for_known_gw é configurado como true (o respondente aceita o tráfego do NAT-T de gateways conhecidos).
  • force_nat_t é configurado como false (força o NAT-T, mesmo que não haja nenhum dispositivo NAT-T).

É recomendável mudar essas configurações padrão para as seguintes:

  • Ativar o NAT-T.
  • Configure offer_nat_t_initator como true.
  • Se você souber que não há nenhum dispositivo NAT no ambiente, configure force_nat_t como true.

É possível visualizar e mudar essas variáveis usando a ferramenta GuiDBedit. Consulte a documentação do Check Point para a sua versão em particular para confirmar essas etapas.

  1. Na área de janela superior esquerda, clique em TABLE > Objetos de rede > network_objects.
  2. Na área de janela superior direita, selecione o objeto do Security Gateway aplicável.
  3. Na área de janela inferior, consulte a seção VPN.
  4. Para salvar as mudanças, clique em Arquivo > Salvar todos.
  5. No SmartConsole, instale a Política de controle de acesso neste objeto do Security Gateway.

Para obter mais informações, consulte Compatibilidade NAT-T com Dispositivos de Ponto de Verificação