3. NGFW для малого бизнеса. Беспроводная передача данных: WiFi и LTE

3. NGFW для малого бизнеса. Беспроводная передача данных: WiFi и LTE


Здравствуйте, уважаемые читатели блога TS Solution, мы продолжаем цикл статей для решений NGFW СheckPoint сегмента SMB. Для удобства вы можете ознакомиться с модельным рядом, изучить характеристики и возможности в первой части , далее предлагаем обратиться к распаковке и первичной настройке на примере реального оборудования 1590 CheckPoint во второй части .


Для тех кто только знакомится с модельным рядом SMB — оно подходит в малые офисы или филиалы до 200 человек (при выборе модели 1590). Одной из особенностей данного семейства является поддержка беспроводной связи, это может быть полезно когда в инфраструктуре есть устройства которые имеют WiFi-адаптер или NGFW нужен выход в Интернет с помощью мобильной связи. Для перечисленных задач вам будут необходимы технологии: WiFi, LTE. Об этом данная статья, где рассмотрим:


  1. Включение и настройка WiFi-режима работы NGFW.
  2. Включение и настройка LTE-режима работы NGFW.
  3. Общие выводы о беспроводных технологиях для NGFW.

NGFW и WiFi


Если вернуться ко 2 части нашего цикла, то мы оставили опцию беспроводного подключения пользователей выключенной, поэтому необходимо перейти во вкладку Device → Network → Wireless





На приведенном мною скриншоте имеется два возможных режима работы WiFi:


  1. 2.4 ГГЦ — частота, которая поддерживается большинством поколений различных беспроводных устройств.
  2. 5 ГГЦ — частота, которая является современным стандартом для работы с беспроводными устройствами, поддержка есть во всех современных смартфонах, планшетах и ноутбуках.

Также из скриншота (выше) можно отметить, что я уже включил 5 ГГц режим работы, давайте совместно настроим 2.4 ГГц, для этого нажмите на кнопку «Configure».





В окне создания точки доступа нам предлагают указать стандартный набор параметров. В качестве метода аутентификации можно использовать пароль или Radius-сервер. Опция “Allow access from this network to local networks” отвечает за доступ ваших беспроводных клиентов к внутренним ресурсам, которые находятся за CheckPoint NGFW. После того как ваша точка будет сконфигурирована, вы сможете изменять больше параметров.

Доступные настройки











После того, как тестируемое устройство подключилось к вашей точке доступа, мы можем убедиться что оно в нашей сети, перейдите во вкладку: Logs & Monitoring → Status → Wireless Active Devices




Если нажать по объекту с именем, то мы увидим свойства подключенного клиента:





Кроме информации об устройстве, считаю полезные опции:


  • сохранить объект для использования в правилах (1);
  • блокировать доступ данному клиенту (2).


Далее исходя из наших настроек по Application Blade (в терминологии СheckPoint один из модулей) — запрещен переход по потенциально опасным ссылкам.





Пробуем открыть одну из категорий на мобильном устройстве, подключившись с помощью WiFi к NGFW CheckPoint и соответственно выходя через него в Интернет.





Вывод: Пользователь не смог получить доступ к сайту, который относится к категории — Anonymizer.


Таким образом, мы с вами рассмотрели базовую настройку для подключения пользователей с помощью WiFi, это удобно в небольших офисах, где достаточно много беспроводных устройств. При этом решение CheckPoint NGFW позволяет защитить ваших пользователей от уязвимостей и вредоносного содержимого, вы имеете гибкие возможности по контролю за беспроводными хостами. Отдельно упомяну администрирование с помощью мобильного приложения, способ был описан в одной из наших статей .


NGFW и LTE


Модели 1570, 1590 идут с LTE-модемом, который позволяет использовать Micro/Nano SIM и устанавливать за счет этого 4G соединение. Для любознательных под спойлером оставим краткую памятку.


Инструкция для установки SIM


Итак вы установили SIM, после этого необходимо вернуться в Gaia Portal и перейти в следующий раздел Device → Network → Internet. По умолчанию у вас будет установлено одно WAN-соединение, необходимо создать новое подключение перейдя по красной стрелке.





Где нам нужно будет задать имя соединения, определить тип интерфейса ( в нашем случае Cellular)




Дополнительно откроем вкладку «Connection Monitoring», здесь есть возможность автоматически отправлять: ARP-запрос до маршрута по умолчанию, ICMP-пакеты до указанных источников, замечу что вы можете указывать свои ресурсы для мониторинга.





Вкладка «Cellular» отвечает за выбор приоритетов между SIM, ввод данных аутентификации, если это требуется ( APN, PIN).





Во вкладке «Advanced» есть возможность задать сетевые настройки:


  • настройки для интерфейса ( MTU, MAC)
  • QOS
  • ISP Redundancy
  • NAT
  • DHCP

После того как вы создадите новый вид подключения, вы обнаружите таблицу Internet-соединений в Device → Network → Internet:





На скриншоте представленном выше мы видим новое соединение “LTE_TELE2”, как вы уже догадались это SIM от провайдера Tele2. В таблице доступна информация об уровне сигнала, показан процент потерь и время задержки. Дополнительно возможно открыть опцию Connection Monitoring.





В окне мониторинга мы видим результаты отправки запросов до трех серверов, один из них кастомный (ya.ru). Здесь отображается:

  • процент потери пакетов;
  • процент сетевых ошибок;
  • время отклика ( среднее, минимальное и максимальное);
  • джиттер.

Если вас интересует системная информация о LTE-модеме на NGFW Checkpoint, то следует перейти в Logs & Monitoring→ Diagnostics → Tools → Monitor Cellular Modem:





Далее мы проанализировали скорость выхода в Интернет для конечного хоста, который подключен к NGFW по WiFi (5 ГГц), а сам шлюз использует LTE подключение для отправки пакетов в Глобальную сеть. Полученные значения мы сравнили с ситуацией, когда используется то же географическое место, но телефон подключается в Интернет напрямую. Результаты для удобства спрятаны под спойлер.


Результаты SpeedTest




Конечно данные показатели имеют погрешность и свои особенности, давайте выдвинем гипотезу: NGFW 1590 усиливает мощность входящего сотового сигнала за счет двух внешних антенн. Косвенно это утверждение подтверждают результаты SpeedTest, проведенные в одинаковых условиях и показывают уменьшение Ping и времени задержки до одинакового ресурса.


Объект
NGFW + LTE
Mobile + LTE
Ping (ms)
30
34
Jitter (ms)
7.2
5.2
Входящая скорость (Mbp/s)
16.1
12
Исходящая скорость (Mbp/s)
10.9
2.97

Для того чтобы оценить эффективность внешних антенн NGFW CheckPoint 1590 мы измерили уровень приема сигнала, после чего с помощью инженерного меню выполняем аналогичный замер для телефона. Результаты представлены ниже:





Соответственно уровень мощности приема сигнала считается лучшим, когда его отрицательное значение стремится к 0. Для телефона получено значение (-109 ДБм), для модема (-61 ДБм). Что в целом подтверждает нашу гипотезу и говорит о стабильности LTE-связи NGFW семейства SMB.


Общие выводы


Подводя итог сегодняшней части, были рассмотрены две технологии WiFi и LTE, которые поддерживаются моделями 1570, 1590 CheckPoint.


Для малых офисов и филиалов не всегда есть возможность установить отдельные беспроводные точки доступа, поэтому NGFW поможет организовать беспроводную сеть, а самое главное защитить таких пользователей.


Что касается LTE-модема на базе NGFW, на мой взгляд следующие сценарии использования будут востребованы:


  1. Отсутствие возможности проводного подключения для выхода в Интернет. В таком случае вы будете вынуждены использовать мобильную связь для обеспечения соединения Интернет. Также данный сценарий актуален для специфических компаний, род деятельности которых требует “мобильного” размещения своей сетевой инфраструктуры, вне зависимости от условий ( местность, наличие проводной связи и т.д).
  2. Резервирование основного проводного канала доступа. Напомню, что NGFW поддерживает работу с двумя SIM, это увеличивает отказоустойчивость вашей инфраструктуры в случае аварии с одним из проводных линков. Также вы можете вручную включать LTE-подключение, в зависимости от сценария использования.

Большая подборка материалов по Check Point от TS Solution . Следите за обновлениями ( Telegram , Facebook , VK , TS Solution Blog , Яндекс.Дзен ).
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.