[Информационная безопасность, Сетевое оборудование, Сетевые технологии, Системное администрирование] 3. NGFW для малого бизнеса. Беспроводная передача данных: WiFi и LTE
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Здравствуйте, уважаемые читатели блога TS Solution, мы продолжаем цикл статей для решений NGFW СheckPoint сегмента SMB. Для удобства вы можете ознакомиться с модельным рядом, изучить характеристики и возможности в первой части, далее предлагаем обратиться к распаковке и первичной настройке на примере реального оборудования 1590 CheckPoint во второй части.
Для тех кто только знакомится с модельным рядом SMB — оно подходит в малые офисы или филиалы до 200 человек (при выборе модели 1590). Одной из особенностей данного семейства является поддержка беспроводной связи, это может быть полезно когда в инфраструктуре есть устройства которые имеют WiFi-адаптер или NGFW нужен выход в Интернет с помощью мобильной связи. Для перечисленных задач вам будут необходимы технологии: WiFi, LTE. Об этом данная статья, где рассмотрим:
- Включение и настройка WiFi-режима работы NGFW.
- Включение и настройка LTE-режима работы NGFW.
- Общие выводы о беспроводных технологиях для NGFW.
NGFW и WiFi
Если вернуться ко 2 части нашего цикла, то мы оставили опцию беспроводного подключения пользователей выключенной, поэтому необходимо перейти во вкладку Device → Network → Wireless
На приведенном мною скриншоте имеется два возможных режима работы WiFi:
- 2.4 ГГЦ — частота, которая поддерживается большинством поколений различных беспроводных устройств.
- 5 ГГЦ — частота, которая является современным стандартом для работы с беспроводными устройствами, поддержка есть во всех современных смартфонах, планшетах и ноутбуках.
Также из скриншота (выше) можно отметить, что я уже включил 5 ГГц режим работы, давайте совместно настроим 2.4 ГГц, для этого нажмите на кнопку «Configure».
В окне создания точки доступа нам предлагают указать стандартный набор параметров. В качестве метода аутентификации можно использовать пароль или Radius-сервер. Опция “Allow access from this network to local networks” отвечает за доступ ваших беспроводных клиентов к внутренним ресурсам, которые находятся за CheckPoint NGFW. После того как ваша точка будет сконфигурирована, вы сможете изменять больше параметров.
Доступные настройки
SPL
После того, как тестируемое устройство подключилось к вашей точке доступа, мы можем убедиться что оно в нашей сети, перейдите во вкладку: Logs & Monitoring → Status → Wireless Active Devices
Если нажать по объекту с именем, то мы увидим свойства подключенного клиента:
Кроме информации об устройстве, считаю полезные опции:
- сохранить объект для использования в правилах (1);
- блокировать доступ данному клиенту (2).
Далее исходя из наших настроек по Application Blade (в терминологии СheckPoint один из модулей) — запрещен переход по потенциально опасным ссылкам.
Пробуем открыть одну из категорий на мобильном устройстве, подключившись с помощью WiFi к NGFW CheckPoint и соответственно выходя через него в Интернет.
Вывод: Пользователь не смог получить доступ к сайту, который относится к категории — Anonymizer.
Таким образом, мы с вами рассмотрели базовую настройку для подключения пользователей с помощью WiFi, это удобно в небольших офисах, где достаточно много беспроводных устройств. При этом решение CheckPoint NGFW позволяет защитить ваших пользователей от уязвимостей и вредоносного содержимого, вы имеете гибкие возможности по контролю за беспроводными хостами. Отдельно упомяну администрирование с помощью мобильного приложения, способ был описан в одной из наших статей.
NGFW и LTE
Модели 1570, 1590 идут с LTE-модемом, который позволяет использовать Micro/Nano SIM и устанавливать за счет этого 4G соединение. Для любознательных под спойлером оставим краткую памятку.
Инструкция для установки SIM
SPL
Итак вы установили SIM, после этого необходимо вернуться в Gaia Portal и перейти в следующий раздел Device → Network → Internet. По умолчанию у вас будет установлено одно WAN-соединение, необходимо создать новое подключение перейдя по красной стрелке.
Где нам нужно будет задать имя соединения, определить тип интерфейса ( в нашем случае Cellular)
Дополнительно откроем вкладку «Connection Monitoring», здесь есть возможность автоматически отправлять: ARP-запрос до маршрута по умолчанию, ICMP-пакеты до указанных источников, замечу что вы можете указывать свои ресурсы для мониторинга.
Вкладка «Cellular» отвечает за выбор приоритетов между SIM, ввод данных аутентификации, если это требуется ( APN, PIN).
Во вкладке «Advanced» есть возможность задать сетевые настройки:
- настройки для интерфейса ( MTU, MAC)
- QOS
- ISP Redundancy
- NAT
- DHCP
После того как вы создадите новый вид подключения, вы обнаружите таблицу Internet-соединений в Device → Network → Internet:
На скриншоте представленном выше мы видим новое соединение “LTE_TELE2”, как вы уже догадались это SIM от провайдера Tele2. В таблице доступна информация об уровне сигнала, показан процент потерь и время задержки. Дополнительно возможно открыть опцию Connection Monitoring.
В окне мониторинга мы видим результаты отправки запросов до трех серверов, один из них кастомный (ya.ru). Здесь отображается:
- процент потери пакетов;
- процент сетевых ошибок;
- время отклика ( среднее, минимальное и максимальное);
- джиттер.
Если вас интересует системная информация о LTE-модеме на NGFW Checkpoint, то следует перейти в Logs & Monitoring→ Diagnostics → Tools → Monitor Cellular Modem:
Далее мы проанализировали скорость выхода в Интернет для конечного хоста, который подключен к NGFW по WiFi (5 ГГц), а сам шлюз использует LTE подключение для отправки пакетов в Глобальную сеть. Полученные значения мы сравнили с ситуацией, когда используется то же географическое место, но телефон подключается в Интернет напрямую. Результаты для удобства спрятаны под спойлер.
Результаты SpeedTest
SPL
Конечно данные показатели имеют погрешность и свои особенности, давайте выдвинем гипотезу: NGFW 1590 усиливает мощность входящего сотового сигнала за счет двух внешних антенн. Косвенно это утверждение подтверждают результаты SpeedTest, проведенные в одинаковых условиях и показывают уменьшение Ping и времени задержки до одинакового ресурса.
Объект
NGFW + LTE
Mobile + LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Входящая скорость (Mbp/s)
16.1
12
Исходящая скорость (Mbp/s)
10.9
2.97
Для того чтобы оценить эффективность внешних антенн NGFW CheckPoint 1590 мы измерили уровень приема сигнала, после чего с помощью инженерного меню выполняем аналогичный замер для телефона. Результаты представлены ниже:
Соответственно уровень мощности приема сигнала считается лучшим, когда его отрицательное значение стремится к 0. Для телефона получено значение (-109 ДБм), для модема (-61 ДБм). Что в целом подтверждает нашу гипотезу и говорит о стабильности LTE-связи NGFW семейства SMB.
Общие выводы
Подводя итог сегодняшней части, были рассмотрены две технологии WiFi и LTE, которые поддерживаются моделями 1570, 1590 CheckPoint.
Для малых офисов и филиалов не всегда есть возможность установить отдельные беспроводные точки доступа, поэтому NGFW поможет организовать беспроводную сеть, а самое главное защитить таких пользователей.
Что касается LTE-модема на базе NGFW, на мой взгляд следующие сценарии использования будут востребованы:
- Отсутствие возможности проводного подключения для выхода в Интернет. В таком случае вы будете вынуждены использовать мобильную связь для обеспечения соединения Интернет. Также данный сценарий актуален для специфических компаний, род деятельности которых требует “мобильного” размещения своей сетевой инфраструктуры, вне зависимости от условий ( местность, наличие проводной связи и т.д).
- Резервирование основного проводного канала доступа. Напомню, что NGFW поддерживает работу с двумя SIM, это увеличивает отказоустойчивость вашей инфраструктуры в случае аварии с одним из проводных линков. Также вы можете вручную включать LTE-подключение, в зависимости от сценария использования.
Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).
===========
Источник:
habr.com
===========
Похожие новости:
- [Настройка Linux, Серверная оптимизация, Серверное администрирование, Системное администрирование] Устанавливаем балансировщик нагрузки HAProxy на CentOS (перевод)
- [IT-стандарты, Информационная безопасность, Криптография, Хранение данных] Утечка данных в Украине. Параллели с законодательством ЕС
- [Информационная безопасность] Ответ к комментарию «как я повелся на ИБ»
- [Информационная безопасность, Разработка веб-сайтов] CRLF-инъекции и HTTP Response Splitting (перевод)
- [IT-компании, Информационная безопасность, Разработка под iOS, Смартфоны] Apple предлагает исследователям безопасности из некоторых стран специальный iPhone для работы
- [Законодательство в IT, Информационная безопасность] США предложили $2 млн за информацию об украинцах, которых обвиняют во взломе SEC
- [PostgreSQL, Администрирование баз данных, Системное администрирование] Борьба с нагрузкой в PostgreSQL, помогает ли репликация в этом Андрей Сальников (Data Egret)
- [Big Data, Data Mining, Информационная безопасность, Сотовая связь] «Вымпелком» выполнит дата-майнинг своих абонентов по заказу любого клиента
- [Информационная безопасность] Зачем внедрять EDR, если есть SIEM, Sysmon и антивирус?
- [Open source, Децентрализованные сети, Информационная безопасность, Криптография, Сетевые технологии] Почему я использую Matrix вместо Telegram
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_setevoe_oborudovanie (Сетевое оборудование), #_setevye_tehnologii (Сетевые технологии), #_sistemnoe_administrirovanie (Системное администрирование), #_ts_solution, #_check_point, #_ngfw, #_smb, #_blog_kompanii_ts_solution (
Блог компании TS Solution
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_setevoe_oborudovanie (
Сетевое оборудование
), #_setevye_tehnologii (
Сетевые технологии
), #_sistemnoe_administrirovanie (
Системное администрирование
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:09
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Здравствуйте, уважаемые читатели блога TS Solution, мы продолжаем цикл статей для решений NGFW СheckPoint сегмента SMB. Для удобства вы можете ознакомиться с модельным рядом, изучить характеристики и возможности в первой части, далее предлагаем обратиться к распаковке и первичной настройке на примере реального оборудования 1590 CheckPoint во второй части. Для тех кто только знакомится с модельным рядом SMB — оно подходит в малые офисы или филиалы до 200 человек (при выборе модели 1590). Одной из особенностей данного семейства является поддержка беспроводной связи, это может быть полезно когда в инфраструктуре есть устройства которые имеют WiFi-адаптер или NGFW нужен выход в Интернет с помощью мобильной связи. Для перечисленных задач вам будут необходимы технологии: WiFi, LTE. Об этом данная статья, где рассмотрим:
NGFW и WiFi Если вернуться ко 2 части нашего цикла, то мы оставили опцию беспроводного подключения пользователей выключенной, поэтому необходимо перейти во вкладку Device → Network → Wireless На приведенном мною скриншоте имеется два возможных режима работы WiFi:
Также из скриншота (выше) можно отметить, что я уже включил 5 ГГц режим работы, давайте совместно настроим 2.4 ГГц, для этого нажмите на кнопку «Configure». В окне создания точки доступа нам предлагают указать стандартный набор параметров. В качестве метода аутентификации можно использовать пароль или Radius-сервер. Опция “Allow access from this network to local networks” отвечает за доступ ваших беспроводных клиентов к внутренним ресурсам, которые находятся за CheckPoint NGFW. После того как ваша точка будет сконфигурирована, вы сможете изменять больше параметров. Доступные настройкиSPLПосле того, как тестируемое устройство подключилось к вашей точке доступа, мы можем убедиться что оно в нашей сети, перейдите во вкладку: Logs & Monitoring → Status → Wireless Active Devices Если нажать по объекту с именем, то мы увидим свойства подключенного клиента: Кроме информации об устройстве, считаю полезные опции:
Далее исходя из наших настроек по Application Blade (в терминологии СheckPoint один из модулей) — запрещен переход по потенциально опасным ссылкам. Пробуем открыть одну из категорий на мобильном устройстве, подключившись с помощью WiFi к NGFW CheckPoint и соответственно выходя через него в Интернет. Вывод: Пользователь не смог получить доступ к сайту, который относится к категории — Anonymizer. Таким образом, мы с вами рассмотрели базовую настройку для подключения пользователей с помощью WiFi, это удобно в небольших офисах, где достаточно много беспроводных устройств. При этом решение CheckPoint NGFW позволяет защитить ваших пользователей от уязвимостей и вредоносного содержимого, вы имеете гибкие возможности по контролю за беспроводными хостами. Отдельно упомяну администрирование с помощью мобильного приложения, способ был описан в одной из наших статей. NGFW и LTE Модели 1570, 1590 идут с LTE-модемом, который позволяет использовать Micro/Nano SIM и устанавливать за счет этого 4G соединение. Для любознательных под спойлером оставим краткую памятку. Инструкция для установки SIMSPLИтак вы установили SIM, после этого необходимо вернуться в Gaia Portal и перейти в следующий раздел Device → Network → Internet. По умолчанию у вас будет установлено одно WAN-соединение, необходимо создать новое подключение перейдя по красной стрелке. Где нам нужно будет задать имя соединения, определить тип интерфейса ( в нашем случае Cellular) Дополнительно откроем вкладку «Connection Monitoring», здесь есть возможность автоматически отправлять: ARP-запрос до маршрута по умолчанию, ICMP-пакеты до указанных источников, замечу что вы можете указывать свои ресурсы для мониторинга. Вкладка «Cellular» отвечает за выбор приоритетов между SIM, ввод данных аутентификации, если это требуется ( APN, PIN). Во вкладке «Advanced» есть возможность задать сетевые настройки:
После того как вы создадите новый вид подключения, вы обнаружите таблицу Internet-соединений в Device → Network → Internet: На скриншоте представленном выше мы видим новое соединение “LTE_TELE2”, как вы уже догадались это SIM от провайдера Tele2. В таблице доступна информация об уровне сигнала, показан процент потерь и время задержки. Дополнительно возможно открыть опцию Connection Monitoring. В окне мониторинга мы видим результаты отправки запросов до трех серверов, один из них кастомный (ya.ru). Здесь отображается:
Если вас интересует системная информация о LTE-модеме на NGFW Checkpoint, то следует перейти в Logs & Monitoring→ Diagnostics → Tools → Monitor Cellular Modem: Далее мы проанализировали скорость выхода в Интернет для конечного хоста, который подключен к NGFW по WiFi (5 ГГц), а сам шлюз использует LTE подключение для отправки пакетов в Глобальную сеть. Полученные значения мы сравнили с ситуацией, когда используется то же географическое место, но телефон подключается в Интернет напрямую. Результаты для удобства спрятаны под спойлер. Результаты SpeedTestSPLКонечно данные показатели имеют погрешность и свои особенности, давайте выдвинем гипотезу: NGFW 1590 усиливает мощность входящего сотового сигнала за счет двух внешних антенн. Косвенно это утверждение подтверждают результаты SpeedTest, проведенные в одинаковых условиях и показывают уменьшение Ping и времени задержки до одинакового ресурса. Объект NGFW + LTE Mobile + LTE Ping (ms) 30 34 Jitter (ms) 7.2 5.2 Входящая скорость (Mbp/s) 16.1 12 Исходящая скорость (Mbp/s) 10.9 2.97 Для того чтобы оценить эффективность внешних антенн NGFW CheckPoint 1590 мы измерили уровень приема сигнала, после чего с помощью инженерного меню выполняем аналогичный замер для телефона. Результаты представлены ниже: Соответственно уровень мощности приема сигнала считается лучшим, когда его отрицательное значение стремится к 0. Для телефона получено значение (-109 ДБм), для модема (-61 ДБм). Что в целом подтверждает нашу гипотезу и говорит о стабильности LTE-связи NGFW семейства SMB. Общие выводы Подводя итог сегодняшней части, были рассмотрены две технологии WiFi и LTE, которые поддерживаются моделями 1570, 1590 CheckPoint. Для малых офисов и филиалов не всегда есть возможность установить отдельные беспроводные точки доступа, поэтому NGFW поможет организовать беспроводную сеть, а самое главное защитить таких пользователей. Что касается LTE-модема на базе NGFW, на мой взгляд следующие сценарии использования будут востребованы:
Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен). =========== Источник: habr.com =========== Похожие новости:
Блог компании TS Solution ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_setevoe_oborudovanie ( Сетевое оборудование ), #_setevye_tehnologii ( Сетевые технологии ), #_sistemnoe_administrirovanie ( Системное администрирование ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:09
Часовой пояс: UTC + 5