Меню

Checkpoint vpn client настройка



Настройка двухфакторной аутентификации Check Point Remote Access VPN

В статье описывается настройка Check Point для подключения к Remote Access VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • СМС
  • Аппаратные OTP токены
  • Приложения OTP: Google Authenticator или Яндекс.Ключ
  • Telegram
  • Мобильное приложение (скоро)

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

  1. Пользователь подключается к VPN, вводит логин и пароль в клиенте Remote Access;
  2. Check Point NGFW подключается к компонету MultiFactor Radius Adapter по протоколу RADIUS;
  3. Компонент либо Check Point NGFW проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне или вводит одноразовый код в клиенте Remote Access VPN (Endpoint Security/MAB).

Настройка Check Point NGFW

Запустите консоль управления SmartConsole.

Настройка RADIUS сервера

Необходимо создать новые объект сервера Radius.

  1. С правой стороны, в разделе объектов, выбрать пункт New > Server > More > RADIUS и выполнить следующие настройки:
    • Название: Multifactor Radius Server;
    • Host: адрес компонента MultiFactor Radius Adapter (создайте новый объект или выберите существующий);
    • Service: NEW-RADIUS (port 1812);
    • Shared Secret: из настроек компонента;
    • Verison: RADIUS Ver. 2.0;
    • Authentication method: PAP.

Настройка Remote Access VPN в Check Point

  1. Откройте настройки объекта шлюза безопасности Check Point, раздел Mobile Access -> Authentication. Откройте Settings:
    • Allow newer clients that supports Multiple Login Options to use this authentication method: да;
    • Authentication method: RADIUS;
    • Server: Multifactor Radius Server.
  1. Повторите настройку для VPN Clients -> Authentication. В итоге конфигурация в обоих разделах должна выглядеть следующим образом:

Настройка группы пользователей

С правой стороны, в разделе объектов, выбрать пункт New > More > User > Access Role. Задать параметры для нового объекта и указать источник данных о пользователях.

Настройка политики доступа

В разделе Security policies > Policy > создайте новую политику для доступа пользователей Remote Access VPN к внутренней сети:

Источник

Checkpoint vpn client настройка

Check Point Security Gateway – это шлюз безопасности. Он позволяет проверять данные на наличие угроз, безопасно публиковать приложения, а также служит VPN хабом для удаленного доступа сотрудников.

Использование устройства Рутокен для VPN-соединения позволяет сделать процесс подключения более безопасным.

Описание процесса аутентификация в Check Point Security Gateway при помощи сертификата, записанного на Рутокен:

Пользователь соединяется с Check Point Security Gateway Appliance при помощи клиентского приложения Check Point Security Gateway. Пользователь подключает Рутокен, на котором хранится сертификат, и вводит PIN -код. После успешной аутентификации пользователь получает доступ к внутренним ресурсам.

Для настройки двухфакторной аутентификации необходимо:

  • Установить и настроить Microsoft Certificate Authority.
  • Наличие у пользователя устройства Рутокен с специальным сертификатом.
  • Установить Панель управления Рутокен.

Процесс настройки Check Point Security Gateway состоит из следующих шагов:

1) Создание учетной записи пользователя и выпуск регистрационного ключа.

2) Создание группы пользователей.

3) Включение возможности аутентификации для VPN-клиентов.

4) Настройка правил фильтрации для VPN-клиентов.

5) Установка политики.

6) Установка сертификата.

7) Разрешение контроля удаления смарт-карты.

Создание учетной записи пользователя и выпуск регистрационного ключа

Для создания учетной записи пользователя и выпуска регистрационного ключа:

1) Откройте Check Point SmartDashboard R77.

2) Введите имя пользователя и пароль.

3) В поле Server IP Address из раскрывающегося списка выберите имя или IP -адрес сервера, на котором расположен Check Point Security Gateway.

4) Нажмите Login.

5) В главном окне Check Point SmartDashboard выберите пункт: Users → New User → Default.

6) В окне User Properties в поле User Name введите имя пользователя.

7) В левой части этого окна выберите пункт Certificates.

8) Нажмите New и выберите пункт Registration Key for certificate enrollment. Откроется окно Registration Key for Certificate Enrollment.

9) В этом окне скопируйте регистрационный ключ.

10) В окне User Properties в списке сертификатов отобразится сертификат. Нажмите ОК.

Создание группы пользователей

Check Point Security Gateway не позволяет определять правила для определенных пользователей, но позволяет делать это для групп пользователей.

Поэтому нам необходимо создать группу пользователей. Для этого:

1) В главном окне Check Point SmartDashboard выберите пункт: User Groups → New Group.

2) В окне Group Properties в поле Name введите название группы (например, VPN_Group).

3) В поле Available Members щелкните по необходимым логинам.

4) Нажмите Add. В результате пользователи с выбранными логинами добавятся в группу.

5) Нажмите OK. В результате группа будет создана.

Включение возможности аутентификации для VPN-клиентов

Чтобы включить возможность аутентификации для VPN-клиентов:

1) В главном окне Check Point SmartDashboard выберите пункт: Check Point → Check Point-ssl → Edit.

2) В окне Check Point Gateway — Checkpoint-ssl выберите пункт: VPN Client → Authentication.

3) В разделе Authentication Method установите переключатель Defined on user record (Legacy Authentication) и нажмите OK.

Настройка правил фильтрации для VPN-клиентов

Чтобы настроить правила фильтрации:

1) В главном окне Check Point SmartDashboard перейдите на вкладку Firewall.

Читайте также:  Удаление всех настроек outlook 2007

2) Выберите пункт Police, затем нажмите Add rule at bottom. В результате добавится новая строка.

3) В столбце Name щелкните в новой строке правой кнопкой мыши и выберите Edit.

4) В окне Rule Name в одноименном поле введите имя правила и нажмите OK.

5) В столбце Destination в новой строке щелкните правой кнопкой мыши и выберите Network Object.

6) В окне Add Object щелкните по названию пункта Internal_network и нажмите OK.

7) В столбце VPN в новой строке щелкните правой кнопкой мыши и выберите Edit Cell.

8) В окне VPN Match Conditions установите переключатель Only connections encrypted in specific VPN communities и нажмите Add.

9) В окне Add Community to rule выберите пункт RemoteAccess и нажмите OK.

Установка политики

Чтобы установить политику:

1) В главном окне Check Point SmartDashboard щелкните по значку Install Policy.

2) В окне Install Policy в столбце Network Security установите галочку и нажмите OK.

3) Дождитесь окончания процесса установки политики и нажмите Close.

Установка сертификата

Чтобы установить сертификат:

1) Подключите Рутокен к компьютеру.

2) Откройте приложение Check Point Endpoint Security.

3) В поле Site введите IP-адрес.

4) В раскрывающемся списке Certificate выберите необходимый сертификат.

5) Нажмите на ссылку Click here if you don’t have a certificate for this site.

6) В раскрывающемся списке Provider выберите значение Aktiv ruToken CSP v1.0.

8) В поле Registration Key введите регистрационный ключ.

9) Нажмите Enroll.

10) В окне Token Logon введите PIN-код Рутокена и нажмите OK.

11) В окне с сообщением об установке нового корневого сертификата нажмите Yes.

12) После завершения процесса установки нажмите ОК.

13) Откройте Панель управления Рутокен и на вкладке Сертификаты проверьте, что сертификат сохранился на Рутокене.

Контроль за извлечением смарт-карты

Чтобы настроить контроль за извлечением смарт-карты:

1) Используя редактор VI, откройте файл $FWDIR/conf/trac_client_1.ttm.

2) Найдите строку disconnect_on_smartcard_removal и выберите необходимое значение параметра:

  • true — разрешить детектирование извлечения смарт-карты для текущего шлюза;
  • false — запретить детектирование извлечения смарт-карты для текущего шлюза;
  • client_deside — разрешить пользователю самостоятельно устанавливать параметр детектирования извлечения смарт-карты для текущего шлюза.

3) Сохраните файл.

4) Установите политику.

5) Откройте окно параметров Check Point Endpoint Security и установите галочку Enable always-connect.

6) Нажмите OK.

Вход на шлюз

Чтобы войти на шлюз:

1) Откройте приложение Check Point Endpoint Security.

2) Подключите Рутокен к компьютеру.

3) Нажмите Connect.

4) В окне Token Logon в поле Password введите PIN-код Рутокена и нажмите OK.

5) На панели задач щелкните по иконке VPN. Если аутентификация прошла успешно, то статус соединения Connected.

Источник

Удаленный доступ с мобильных устройств через VPN с помощью Check Point Mobile Access Blade

Данная статья описывает функциональные возможности и преимущества использования программного блейда Mobile Access от компании Check Point для организации удаленного доступа в корпоративную сеть с мобильных устройств — телефонов, планшетов и персональных компьютеров.

Введение

В современном деловом мире мобильность — важное требование. Командировки, срочные задачи в отпуске, работа дома или в дороге — все это встречается практически в любой организации и для этого неизменно нужно организовать удаленный доступ в корпоративную сеть. Прогресс мобильных технологий уже давно позволяет сотрудникам выполнять многие бизнес-задачи со смартфонов, планшетов и ноутбуков, а распространение мобильного высокоскоростного доступа в интернет и почти повсеместный Wi-Fi обеспечивают необходимые каналы связи. Дело остается за малым — организовать такой доступ на стороне сетевой инфраструктуры компании.

Впрочем, задача по обеспечению удаленного доступа в корпоративную сеть только на первый взгляд кажется простой и не требующей финансовых вложений. На самом деле этот процесс таит в себе множество трудностей. Две основных проблемы — обеспечение сетевой инфраструктуры для приема входящих подключений и организации канала связи и обеспечение защиты информации.

В первую очередь при удаленном подключении необходимо проводить усиленную аутентификацию для исключения доступа в защищенную сеть злоумышленников, узнавших пароль сотрудника или укравших его мобильное устройство.

Также должен защищаться и канал передачи данных, поскольку без реализации шифрования канала от точки подключения мобильного устройства до внутренней сети нельзя с уверенностью говорить о безопасности соединения. Наиболее критичным в этом плане является незашифрованный доступ в корпоративную сеть через открытые точки доступа Wi-Fi, хотя и мобильная передача данных тоже является уязвимой к перехвату и подделке трафика.

Еще одна проблема безопасности — обеспечение программной защиты конечного устройства и применение корпоративных политик безопасности. Мобильные устройства сотрудников не обслуживаются корпоративной ИТ-службой и не контролируются специалистами по информационной безопасности, поэтому они могут быть заражены вирусами, на них могут быть установлены программы-шпионы, а сами сотрудники могут использовать свои устройства для организации утечки информации.

Программный блейд Check Point Mobile Access решает все задачи по обеспечению удаленного доступа — как инфраструктурные, позволяя быстро и просто организовать доступ из внешней сети, так и защитные, предоставляя различный функционал по обеспечению безопасности информации.

Читайте также:  Настройка инфомата в поликлинике

Функциональные возможности

Check Point Mobile Access предоставляет два варианта организации удаленного подключения устройств:

  • Организация удаленного доступа на сетевом уровне модели OSI — возможность подключения в корпоративную сеть с полным доступом к ресурсам локальной сети. Технология реализует классический вариант виртуальной частной сети (VPN) и позволяет удаленному компьютеру или мобильному устройству стать полноправным хостом в локальной сети и выполнять любые задачи, как если бы устройство было напрямую подключено в сеть. Удаленный доступ создается по набору протоколов IPSec, реализующих аутентификацию до установления связи, проверку целостности и шифрования сетевого трафика. Все сетевые соединения защищены и устойчивы к атакам, направленным на перехват трафика или попытки его подмены.

В интерфейсе управления механизмы называются Mobile VPN (для смартфонов и планшетов) и Check Point Mobile (для компьютеров и ноутбуков под управлением Windows и MacOS). Их работа требует наличие не только основной лицензии на Mobile Access, но и дополнительной лицензии на IPSec VPN.

  • Организация удаленного доступа по технологии SSL VPN — возможность получить удаленный доступ через защищенный веб-протокол. Без дополнительных настроек позволяет подключиться к веб-ресурсам корпоративной сети, например к Outlook Web Access, SharePoint, CRM-системам и так далее. С этим видом подключения можно использовать любые приложения, даже не имеющие веб-интерфейса. Для этого требуется установка специального расширения в браузере на удаленном компьютере, которое осуществляет перенаправление сетевого трафика.
  • Решение лицензируется по количеству одновременных подключений.

Check Point Mobile Access в обоих вариантах установки канала удаленного доступа поддерживает различные механизмы аутентификации пользователей. Mobile Access может самостоятельно управлять базой пользователей и паролей или использовать внешний сервер аутентификации RADIUS. Также для аутентификации могут использоваться персональные сертификаты или технология Check Point SecureID. Дополнительно поддерживается усиленная двухфакторная аутентификация с использованием аппаратных токенов (при использовании SecureID), сообщений электронной почты или SMS.

При выборе удаленного доступа на сетевом уровне модели OSI в настройках Check Point Mobile Access задаются различные параметры, связанные с алгоритмами присвоения удаленным хостам IP-адресов. IP-адреса могут задаваться как с использованием пула IP- адресов, так и через DHCP-сервер.

С помощью Check Point Mobile Access можно ограничить предоставляемый удаленный доступ на уровне отдельных бизнес-приложений. Таким образом, удаленные пользователи, попадая в корпоративную сеть, будут ограничены в правах доступа и привилегиях и не смогут вести неконтролируемые действия, что снижает риск утечек.

Check Point Mobile Access имеет интеграцию с продуктом Check Point Endpoint Security и может проверять соответствие удаленного компьютера заданной политике безопасности рабочих станций, что позволяет решить проблему отсутствия контроля за защищенностью личных устройств сотрудников. Без соответствия требуемым политикам доступ в сеть не будет предоставлен. Дополнительно в Check Point Mobile Access присутствуют различные опции по контролю базовой защищенности удаленного устройства и без использования Endpoint Security. Например, блейд умеет определять наличие на клиентском устройстве jailbreak, то есть разблокировку режима суперпользователя, и запрещать доступ таких устройств в сеть.

Для защиты от кражи устройств с конфиденциальной информацией и безопасной работы с ней на мобильных устройствах необходимо использовать другое решение от Check Point — CAPSULE. При этом Check Point Mobile Access помогает найти украденное устройство — в настройках профилей мобильных устройств можно включить сбор GPS-координат и, если пользователь заранее даст согласие на активацию этой функции, местонахождение украденного устройства можно в дальнейшем отследить.

В качестве дополнительных настроек Check Point Mobile Access позволяет кастомизировать приложения, загружаемые пользователями для удаленных подключений. Можно изменить язык интерфейса (есть поддержка русского языка), название приложения, его логотип и адрес сайта, который открывается при нажатии на логотип. Корпоративные пользователи по достоинству оценят брендированный интерфейс приложения, когда им потребуется подключиться к рабочей сети.

Системные требования

Check Point Mobile Access, как и остальные программные блейды, устанавливается на всю линейку корпоративных аппаратных решений Check Point и на программную платформу Check Point. Поддерживаются все устройства Check Point серий 2200, 4000, 12000, 21400 и 61000, а также устройства Check Point Power-1, Check Point IP Appliances, Check Point UTM­­­­-1 и Check Point IAS. Поддерживаемые программные платформы — GaiA версии R75.40 и старше и SecurePlatform версии R71.30 и старше.

Для подключения мобильных устройств по технологии доступа на сетевом уровне модели OSI требуется наличие операционной системы iOS версии 5.0 и старше или Android версии 4.0 и старше. Для подключения персональных компьютеров и ноутбуков требуется операционная система Microsoft Windows XP и более поздние версии (включая Windows 8.1).

Для подключения по технологии доступа SSL VPN требуется операционная система iOS версии 3.1.3 и старше или Android 2.1 и старше. Для персональных компьютеров — Microsoft Windows XP и более поздние версии, Mac OS 10.4 и старше, GNU/Linux (поддерживаемые дистрибутивы, Fedora 8, Ubuntu 7, RHEL 3.0, Red Hat 7.3 и Suse 9).

Читайте также:  Маршрутизатор huawei ws319 настройка

Функция трансляции любой службы при подключении через расширение для браузера по SSL VPN поддерживается в Internet Explorer 5.5 и выше, Firefox 1.0.3 и выше и Safari, на мобильных устройствах с операционными системами iOS и Android функционал не поддерживается.

Настройка Check Point Mobile Access

Check Point Mobile Access настраивается с помощью единого для всех продуктов Check Point модуля администрирования — Check Point SmartDashboard. Основной интерфейс доступен во вкладке Mobile Access в верхней части приложения. Первое окно интерфейса содержит общий обзор системы удаленного доступа мобильных устройств, в обзоре представлен перечень оборудования с установленными программными блейдами Mobile Access, область с важными уведомлениями, обзор настроенных приложений для индивидуального доступа и график активных сессий.

Рисунок 1. Обзорсостояния Mobile Access в Check Point SmartDashboard

В боковом меню представлены основные пункты навигации — политики, настройки шлюзов с установленным Mobile Access, управление приложениями, параметры аутентификации, управление клиентскими сертификатами, настройки приложения для удаленного подключения, параметры интеграции с другими программными блейдами и настройки профилей мобильных устройств.

В разделе управления политиками настраиваются разрешенные доступы удаленных пользователей к корпоративным ресурсам и бизнес-приложениям. В каждом элементе политики задается перечень пользователей, которым разрешен доступ, перечень бизнес-приложений и ресурсов, для которых применяется политика, и выбираются шлюзы удаленного доступа, на которые политика применяется.

Рисунок 2. Переченьполитик Check Point Mobile Access

В управлении шлюзами Mobile Access пользователи настраивают текущие шлюзы, а также управляют установкой и удалением программного блейда Mobile Access на всех устройствах, доступных для управления. В настройках отдельного шлюза есть специальный раздел, содержащий параметры Mobile Access, применимые к данному шлюзу.

Рисунок 3. Настройка CheckPointMobileAccess на отдельном шлюзе

В параметрах можно выбирать действующие технологии предоставления удаленного доступа, настраивать параметры аутентификации, выдачи IP-адресов, кастомизации приложения для удаленного входа и другие настройки. Установка многих параметров дублируется в общем интерфейсе управления Mobile Access, поэтому при наличии большого числа шлюзов доступа рекомендуется управлять общими настройками и унифицировать параметры всех шлюзов.

Рисунок 4. Перечень бизнес-приложений и настройка отдельного приложения в CheckPointMobileAccessBlade

Раздел бизнес-приложений содержит разные предустановленные группы приложений, в которых можно управлять конкретными сервисами. Для каждого приложения указывается его адрес и местоположение и настраиваются дополнительные параметры — требуемый уровень защиты для получения доступа, возможность прозрачной авторизации (т. е. авторизация при подключении автоматически учитывается в бизнес-приложении и повторная авторизация в нем уже не требуется) и другие параметры.

Рисунок 5. Управление сертификатами для удаленных пользователей и шаблонами для их отправки по электронной почте в CheckPointMobileAccessBlade

В управлении сертификатами администратор может выписывать новые сертификаты или отзывать уже выданные, если настроен удаленный доступ с использованием персональных сертификатов. Сертификаты могут быть автоматически направлены на почту сотруднику. В интерфейсе приложения настраивается шаблон сообщения электронной почты, поддерживается локализация сообщений на разных языках и отправка нужного сообщения в зависимости от персональных языковых настроек пользователя. Сертификат передается на мобильное устройство с помощью QR-кода, считываемого из мобильного приложения Check Point.

Рисунок 6. Управление профилем мобильного устройства в CheckPointMobileAccessBlade

Разделы аутентификации, настройки интерфейса приложения (Portal Settings) и интеграции с другими программными блейдами в Check Point дублируют аналогичный раздел из настроек отдельных устройств с установленным Mobile Access Blade.

Выводы

Удаленный доступ необходим в большинстве организаций для решения самых разных бизнес-задач. Обеспечение инфраструктуры для реализации удаленного доступа и защита от новых угроз, возникающих при организации удаленных каналов связи— сложная задача. Но с ней в короткие сроки позволяет справиться программный блейд Check Point Mobile Access.

Этот продукт предоставляет готовую инфраструктуру для удаленного доступа, предлагая на выбор несколько вариантов подключений, подходящих для большинства мобильных устройств, персональных компьютеров и ноутбуков. Широкая поддержка операционных систем разных производителей позволяет с уверенностью говорить о том, что решение подойдет для всех сотрудников компании.

Check Point Mobile Access Blade решает не только инфраструктурные сложности, но и проблемы обеспечения безопасности информации. Гибкие возможности по аутентификации пользователей, разграничению доступа к бизнес-приложениям, поддержка политик безопасности и интеграция с другими программными блейдами позволяет минимизировать все риски, связанные с удаленными подключениями.

Архитектура программных блейдов позволяет настроить и подключить Check Point Mobile Access за считанные минуты, достаточно только приобрести лицензию на продукт и развернуть его в существующей инфраструктуре, при наличии в ней свободных мощностей для нового программного блейда. Единое управление всеми программными блейдами компании Check Point позволяет сократить время на обучение персонала и на обслуживание системы, особенно если другие решения Check Point уже используются в сети.

Дополнительно стоит отметить возможность настройки интерфейса приложений для удаленного подключения и поддержку русского языка в интерфейсах обычных пользователей.

Источник

Adblock
detector