チェックポイントに基づいて分散VPNネットワークを構築します。 いくつかの一般的なシナリオ

この記事では、Check Pointを使用して分散ネットワークを構築するためのオプションを検討します。 Check Pointのサイト間VPNの主な機能を説明し、いくつかの典型的なシナリオを検討し、それぞれの長所と短所を説明し、分散VPNネットワークを計画する際にお金を節約できる方法を説明しようとします。

チェックポイントは標準IPSecを使用

これは、チェックポイントのサイト間VPNについて最初に知っておくべきことです。 この論文は、Check Point VPNに関する最も一般的な質問の1つに答えます。

-他のデバイスと「友達を作る」ことは可能ですか？

-はい、できます！

いわゆるサードパーティVPN。 標準のIPSecが使用されているため、VPNはIPSecをサポートするデバイスで構築できます。 個人的には、Cisco ASA、Ciscoルーター、D-Link、Mikrotik、StoneGateでVPNを構築しようとしました。 いくつかの機能がありますが、すべてが機能します。 主なことは、第1フェーズと第2フェーズのすべてのパラメーターを正しく設定することです。 IPSec接続でサポートされるパラメーター：



暗号化方式：IKEv1、IKEv2



IKE Security Association（フェーズ1）

-暗号化アルゴリズム：AES-128、AES-256、DES、3DES、CAST

-データの整合性：SHA1、SHA256、SHA384、MD5、AES-XCBC

-Diffie-Hellmanグループ：グループ1、グループ2、グループ5、グループ14、グループ19、グループ20



IKEセキュリティアソシエーション（フェーズ2）

-暗号化アルゴリズム：AES-128、AES-256、AES-GCM-128、AES-GCM-256、DES、3DES、DES-40CP、CAST、CAST-40、NULL

-データの整合性：SHA1、SHA256、SHA384、MD5、AES-XCBC



追加オプション：

-アグレッシブモードを使用する（フェーズ1）

-Perfect Forward Secrecyを使用する（フェーズ2）

-IP圧縮のサポート（フェーズ2）



なぜなら Check Pointだけでなく、VPNを構築することができます。その場合、すぐに問題が発生します。ブランチに「インストール」するものは何ですか？

支店に使用する機器は何ですか？

選択肢は2つだけです。 それらを考慮し、それぞれの長所と短所を説明してみてください。

1.ブランチのチェックポイント

これが最も簡単なオプションです。 Check Pointは、セントラルオフィス（HQ）とブランチ（ブランチ）にインストールされています。



長所 。 主なプラスは使いやすさです。 セキュリティポリシーは1か所から管理します（セキュリティ管理サーバー）。 すべてのログは1か所に保存されます。 レポートを生成し、全体像を見ることができます。 分散ネットワーク管理が大幅に簡素化されます。 監視システムさえ必要ないかもしれません;機能のいくつかは中央管理サーバーによってデフォルトで実行されます。 VPN設定が高速化され、アクセスリストを無限に編集する必要がなくなりました。 大まかな概算では、これをCisco DMVPNと比較できます（詳細は後述）。



短所 唯一のマイナスは、財務コストです。 もちろん、「高価または安価」という質問は少し哲学的であり、このトピックについては説明しません。 ただし、最小のブランチ（ATMでさえ）でもCheck Pointゲートウェイをインストールする必要があります。 少し後で、そのようなタスクの特定のモデルについて説明します。



このオプションを使用するのは誰ですか（ブランチのチェックポイント）？ 実際、ほとんどすべてのビジネスセグメント：銀行、小売、産業、ヘルスケア、石油およびガス会社。





図 1.すべてのブランチゲートウェイが表示されたCheck Point SmartConsole

2.ブランチでポイントをチェックしないでください

また、かなり一般的なオプションです。 センター（HQ）にはチェックポイントが設定され、ブランチ（ブランチ）にはIPSec VPNをサポートする他のデバイスが設定されています。



長所 。 おそらく唯一のプラスは、最小限の財務コストです。 最も安価なMikrotikまたはD-Linkを配置できます。セントラルオフィスへのVPNは正常に機能します。



短所 短所はもっと大きいです。 実際、以前のバージョンで説明したすべての利点が失われます。 各ブランチの設定を「編集」する必要があります。 2から3の場合、これはそれほど大きな問題ではないでしょう。 しかし、それらの数が5〜10を超える場合、さらなるスケーリングの深刻な問題が発生します。 構成管理、アクセスポリシー、監視、これらすべては、サードパーティソリューション（オープンソースの可能性があります）に基づいて整理する必要があります。 別の大きなマイナス-VPNチャネルの予約を整理することは不可能です。

このオプションを使用するのは誰ですか（ブランチのチェックポイントではありません）？ 通常、これは少数の支店を持つ小規模企業です。

アフィリエイトのインターネットアクセスの種類。 独立または一元化？

ブランチのデバイスの選択は、インターネット接続のタイプによって異なります。 また、2つのオプションがあり、それぞれに長所と短所があります。

1.独立したインターネットアクセス

最も頻繁に使用されます。 VPNチャネルは、セントラルオフィス（Check Pointが立つ場所）のリソースへのアクセス専用に使用されます。



長所 。 インターネットアクセスは、VPNオフィスとセントラルオフィスの機器に依存しません。 つまり セントラルオフィスのすべてが「落ちた」場合、支店はインターネットへのアクセスを保持し、一部の企業リソースへのアクセスを失います。



短所 セキュリティポリシーの管理を大幅に複雑にします。 実際、ブランチを保護するタスクがある場合は、IPS、ストリーミングウイルス対策、URLフィルタリングなどの保護対策を適用する必要があります。 これは、情報セキュリティの管理と監視に関する多くの問題につながります。



推奨事項 もちろん、このオプションでは、ブランチでチェックポイントを使用することをお勧めします。 このすべての「経済」を一元管理できます。 1つの標準インターネットアクセスポリシーを作成し、それをすべてのブランチに展開できます。 監視も大幅に簡素化されます。 すべてのIBインシデントが1か所に表示され、イベントの相関の可能性があります。

2.一元化されたインターネットアクセス

このオプションはあまり頻繁に使用されません。 中央オフィス（Check Pointが存在する場所）に対してVPNが構築されており、すべてのブランチトラフィックがそこにラップされています。 インターネットアクセスは、セントラルオフィス経由でのみ可能です。



長所 。 この場合、基本的にブランチに何があるかは気にしません。主なことは、センターへのVPNを構築することです。 configには大きな問題はないはずです。 実際、「VPN内のすべてのトラフィック」というルールが1つだけあります。 すべてのセキュリティポリシーとアクセスリストは、セントラルオフィスでのみ設定します。 ご存知のように、このオプションを使用すると、Check Pointの購入を大幅に節約できます。



短所 スケーラビリティ、管理、および監視には依然として問題があります（ただし、インターネットへの独立したアクセスほど重要ではありません）。 さらに、支店の業務は中央オフィスに完全に依存しています。 緊急の場合、ネットワーク全体が「落ち」ます。 アフィリエイトはインターネットなしで放置されます。



推奨事項 このオプションは、少数のブランチ（2〜4）に最適です。 もちろん、表明されたリスクに満足している場合（センターへの依存）。 セントラルオフィスにCheck Pointデバイスを選択する場合、ブランチトラフィックを考慮し、必要なパフォーマンスを慎重に計算する価値があります。 基本的に、最小限の財務コストでブランチのトラフィック管理を集中化できます。 ただし、多数のブランチ（および「深刻な」トラフィック）がある場合、このようなスキームは強く推奨されません。 失敗した場合の結果は大きすぎます。 トラブルシューティングは複雑になり、中央オフィスには非常に強力なハードウェアが必要になり、ブランチに独自のCheck Pointゲートウェイがある場合よりも最終的に高価になる可能性があります。

ライセンスの節約の可能性

ブランチでCheck Pointを使用することを決定し、VPNのみが必要な場合（たとえば、集中型インターネット接続）、ライセンスを大幅に節約できます。 ブレードIPSec VPNはいかなる方法でもライセンスされていません。 デバイスを購入すると、常にファイアウォールとVPN機能が利用できます。 このためにサービスの拡張機能を購入する必要はありません、すべてがとにかく動作します。



購入しなければならないのはテクニカルサポートサービスのみで、故障した場合にサポートに連絡してデバイスを交換できます。 ただし、 お金を節約するオプションもあります （ただし、お勧めしません）。 知識に自信があり、サポートに連絡する必要がない場合は、テクニカルサポートの延長を購入することはできません。



スペアパーツで1つまたは2つのデバイスを購入できます。ブランチの1つが故障した場合は、このデバイスを変更するだけです。 多数の支社がある場合、他のすべてのデバイスのサポートを購入するよりも、予備のデバイスを購入する方が経済的に有利です。 繰り返しますが、このオプションはお勧めしません。

ブランチポイントチェックポイント（SMB）モデル

Check Pointは大企業専用のベンダーであるという意見があります。 ただし、ラインナップには、SMBセクター用のデバイスオプションがかなりあります。 特に、この「鉄片」が支店に使用され、本社の中央管理サーバーによって管理される場合。





図 2.チェックポイントのラインナップ



SMBソリューションに関する別の記事を既に公開しているため、ブランチで最も頻繁に使用されるモデルをリストします。

1. 大規模支店（150〜200人）向けの5000シリーズ（5100、5200）。
2. 中規模ブランチ（100〜150人）用の3000番目のシリーズ（3100、3200）。
3. 小枝（100人未満）用の1400番目のシリーズ（1430、1450、1470、1490）。

人数に関するデータは、経験に基づく主観的な意見のみです。 ARMプロセッサをベースにした比較的新しいモデルである1400シリーズに注意することを強くお勧めします。 古いモデルと比較して技術的な制限があります（異なるOS-Gaia Embeddedを使用しているため）が、管理サーバーでは、特にブランチネットワークの場合、これらの制限は重要ではありません。

VPNトポロジ（開始、メッシュ）

さらに「技術的な」ことについて話し、VPNトポロジ（チェックポイントの用語でのVPNコミュニティ）から始めましょう。 他のベンダーと同様に、Check Pointには2つのタイプがあります。

1. 星 名前はそれ自体を物語っています。 すべてのブランチからのVPNチャネルはセンターに収束します。 このようなトポロジでは、ブランチが相互に通信する必要がある場合でも、トラフィックはセンターを通過します。 時には非常に便利で実用的ではありません。 実際には、このトポロジが最もよく使用されますが。
2. メッシュ トポロジーは「それぞれに」。 もはやセンターはありません。 1つのメッシュVPNコミュニティに配置されたすべてのゲートウェイは、互いにトンネルを構築できます。

これらの2つのトポロジを組み合わせることを気にする人はいないことに注意してください。 たとえば、1つのメッシュを介して2つの開始コミュニティをリンクします。





図 3.スター+メッシュ

2種類のトンネル

最後に、ブランチにもCheck Pointがあるという条件で、Check Point VPNが本当に便利な理由を説明できるようになりました。 VPNトンネルを構築する場合、2つのタイプの選択肢があります。

1.ドメインベースのVPN

意味は非常に簡単です。 ブランチゲートウェイ（および中央）のプロパティで、チェックポイントの背後にあるネットワークを指定します。 支店のローカルネットワーク。





図 4. VPNドメインの定義



すべてのゲートウェイが1つの管理サーバーの制御下にあるため、この情報は、VPNコミュニティのすべての参加者間で（「スター」または「メッシュ」であるかを問わず）「混乱」しています。 したがって、各ゲートウェイのVPN設定を編集する必要はありません。それらは、VPNを構築するための場所、ネットワーク、およびIPSecパラメーターを既に知っています。 処方ピアやアクセスリストはありません。 セットアップは迅速かつ簡単です。 私の意見では、DMVPNよりもさらに便利です。 ドメインベースのVPNは、実際に最もよく使用されます。

2.ルートベース

このタイプのVPNは、Ciscoのファンには非常に馴染みのあるものです。 VTI（仮想トンネルインターフェイス）がゲートウェイ上に作成され、トンネルアドレスを持つVPNチャネルが発生します。 トンネルにラップされてルーティングされる暗号化されたトラフィック。 さらに、ルートは静的または動的のいずれかです。 たとえば、すべてのブランチでこのようなVPNを上げ、OSPFを実行できます。 したがって、すべてのゲートウェイは、使用可能なすべてのネットワークを認識し、必要なトラフィックを目的のトンネルに自動的に「ラップ」します。 GREトンネルと比較できると思います。

推奨事項

ルートベースのVPNは、 ほとんどの場合、ドメインベースのVPNで十分であり、理解しやすく、セットアップも高速です。 同時に、ブランチ内のサードパーティ製機器（チェックポイントではない）の場合、ドメインベースのVPNを使用できます。 繰り返しますが、個人的な経験に基づいて、ドメインベースのVPNの使用をお勧めします。 問題はずっと少なくなります。 ルートベースはまったく使用しない方がよい（多くの制限、パフォーマンスの低下）。 もちろんそれはすべてあなたのタスクに依存しますが、それぞれのケースは別々に考慮する必要があります。

証明書または事前共有キーのVPN

他のIPSec対応デバイスと同様に、Check Pointは事前共有キーと証明書に基づいてVPNを構築できます。 証明書でのVPNチャネルの利点については説明しません。 Check Pointソリューションで分散ネットワークを構築するもう1つの利点は、統合された証明機関（CA）が存在することです。 このCAは、管理サーバー上に常にデフォルトで存在し、その制御下にあるすべてのCheck Pointゲートウェイの証明書を自動的に生成します。 サードパーティの認証局に「苦しむ」必要はありません（チェックポイントに「ねじ込む」こともできます）。

VPNフェイルオーバー

多くの場合、彼らはこの機会を忘れています。 しかし、彼女はそうです。 ブランチオフィスとセントラルオフィスには、2つのインターネットチャネルがあります。 ブランチにチェックポイントもある場合は、フェイルセーフVPN（ドメインベース）を構成できます。 特に数回のクリックで文字通り設定されるので、このチェックポイントの機能を無視しないでください。

管理サーバーのライセンス

分散ネットワークを計画するときに忘れられるもう1つの重要なポイント。 Security Management Serverは、管理できるゲートウェイの数ごとにライセンスが付与されます。 5つのゲートウェイ、10、25、50、150などを管理するためのライセンスがあります。 同時に、価格は大きく異なります。 クラスターは2つのゲートウェイとしてカウントされます！ 予算を計画するときは注意してください。

Check Point VPNのその他の利点

技術的な観点から見ると、Check Point VPNにはさらに多くの利点があります。 有線モード、トラフィックがなくてもトンネルを継続的に維持する機能、暗号化されたトラフィックと通常のトラフィックに異なるルールを作成する機能、トンネルから特定のタイプのトラフィックを除外する機能などがわかります。 しかし、私は誰も疲れないようにそのような技術的な詳細に行きたくないでしょう。 特定の何かに興味がある場合は、コメントで質問してください。 アーキテクチャの機能について詳しく調べてみました。



PS資料の準備に協力してくれたイリヤ・ゴレルキン （チェック・ポイントの会社）に感謝します。