P ROFESJONALNE S YSTEMY B EZPIECZEŃSTWA
Check Point Connectra (SSL VPN)
- bezpieczny i łatwy dostęp do sieci
WARSZTATY ZABEZPIECZEŃ
Opracowali:
Marek Krauze
Check Point Certified Security Expert Plus
Piotr Stępniak
Check Point Security Engineer
CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected]; Ftp.clico.pl.; http://www.clico.pl
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Program warsztatów:
1. Wprowadzenie do SSL VPN.
2. Wstępna konfiguracja urządzenia Connectra.
3. Konfiguracja dostępu SSL VPN w urządzeniach Connetra (Web, poczta, system
plików).
4. Konfiguracja zabezpieczeń w urządzeniach Connetra (Web Intelligence, Secure
Configuration Verification).
5. Konfiguracja dostępu do dowolnych aplikacji poprzez SSL Network Extender.
6. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą haseł
dynamicznych (tokeny ActivCard, RADIUS).
7. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą certyfikatów
cyfrowych Check Point ICA (karty inteligentne ActivCard Gold).
Check Point Connectra i technologia SSL VPN zapewniają użytkownikom bezpieczny
i łatwy dostęp do informacji z każdego miejsca i w każdym czasie.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
2
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
1. Wprowadzenie do SSL VPN
IPSec jest ogólnie przyjętym standardem i najczęściej stosowaną technologią sieci
VPN. W niektórych zastosowaniach posiada jednak istotne ograniczenia (np. zdalny dostęp
użytkowników). Alternatywną do IPSec technologią VPN jest SSL. Podstawową zaletą SSL
jest dostępność sieci VPN ze zwykłego komputera PC, na którym nie ma potrzeby
instalowania i konfigurowania dodatkowego oprogramowania. Technologia SSL VPN opiera
się na zasadzie wykorzystania mechanizmów szyfrowania i uwierzytelniania transmisji
danych zawartych w przeglądarkach Web.
Użytkownicy mogą za pomocą zwykłej przeglądarki Web (np. MS Internet Explorer,
Netscape) korzystać z usług systemu informatycznego firmy. SSL VPN jest szczególnie
dogodnym sposobem dostępu do sieci firmowej dla pracowników będących w podróży, którzy
w hotelach, na lotniskach, czy salach konferencyjnych mają do dyspozycji tylko prekonfigurowane stacje dostępowe do Internetu. SSL VPN posiada oczywiste zalety i w wielu
zastosowaniach jest lepszym rozwiązaniem od IPSec. Planując wdrożenie sieci VPN należy
jednak zdawać sobie sprawę, że SSL nie jest tak uniwersalnym rozwiązaniem jak IPSec (tzn.
nie wszystkie aplikacje są wspierane). SSL VPN stwarza także dodatkowe wymagania
bezpieczeństwa.
Aplikacje
użytkownika
Aplikacja
dostępowa
Transmisja szyfrowana SSL
Aplikacje
portalu
Urządzenie SSL VPN
(Connectra)
Przeglądarka Web
Zdalny komputer użytkownika
Serwery aplikacji
System informatyczny firmy
Wykorzystując protokół SSL można w naturalny sposób zapewnić dostęp do
intranetowych aplikacji HTTP. W technologii Web można łatwo zaimplementować emulatory
terminali Telnet/SSH. Niektóre aplikacje posiadają możliwości ochrony transmisji danych
poprzez SSL (np. aplikacje klienta poczty mogą komunikować się z urządzeniem
dostępowym SSL VPN za pomocą protokołów POP-over-SSL, IMAP-over-SSL oraz SMTPover-SSL). Większość aplikacji systemu informatycznego do komunikacji sieciowej nie
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
3
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
wykorzystuje jednak protokołu HTTP. Ich obsługa w rozwiązaniach SSL VPN wymaga
załadowania na komputer użytkownika aplikacji Java lub ActiveX, które przekierowują ruch
sieciowy do urządzenia dostępowego SSL VPN (patrz rysunek).
Komunikacja aplikacji użytkowników z serwerami w sieci wewnętrznej firmy jest
tunelowana za pomocą protokołu SSL. Odbywa się to zwykle z zaangażowaniem serwisu
rozwiązywania nazw DNS. Klient aplikacji w odpowiedzi DNS o adres IP docelowego
serwera otrzymuje lokalny adres komputera. Połączenie aplikacji do lokalnego komputera jest
następnie w sposób zabezpieczony kryptograficznie tunelowane do urządzenia SSL VPN
i stamtąd uzyskuje dostęp do serwera w sieci wewnętrznej firmy. Dobrej klasy rozwiązania
SSL VPN potrafią rozwiązywać nazwy DNS bez konieczności modyfikowania lokalnej
konfiguracji DNS.
Mając na uwadze łatwość dostępu do sieci SSL VPN należy wdrożyć stosowne środki
bezpieczeństwa. Systemy SSL VPN oferują w tym zakresie szereg mechanizmów
zabezpieczeń, m.in.:
– wiarygodne uwierzytelnianie tożsamości użytkowników (np. RADIUS, SecureID),
– kontrola dostępu użytkowników do określonych aplikacji systemu
informatycznego,
– weryfikacja stanu bezpieczeństwa zdalnego komputera (np. aktualna wersja
skanera antywirusowego, uruchomione zabezpieczenia Personal Firewall),
– usuwanie danych aplikacji z komputera po zakończeniu pracy użytkownika (np.
usuwanie zapisów w pamięci Cache przeglądarki Web),
– rejestrowanie i raportowania zdarzeń.
Systemy SSL VPN wymagają opracowania projektu i wdrożenia, które uwzględnia
specyficzne dla tego rozwiązania aspekty bezpieczeństwa. Istotne w tym przypadku jest
zagrożenie utraty poufności danych firmy. Wynika ono przede wszystkim z faktu, że
użytkownicy mogą korzystać z komputerów niekontrolowanych przez administratorów firmy.
Przeglądarka Web domyślnie zapisuje dane w pamięci Cache, które mogą być później
odczytane przez innych użytkowników. Na komputerach może być także zainstalowane
oprogramowanie rejestrujące dane odczytywane przez przeglądarkę Web i wprowadzane
przez użytkowników (np. key logger). Potencjalnie może zdarzyć się także sytuacja gdzie
użytkownik korzystający np. z komputera w kawiarence internetowej pozostawi otwarte sesje
aplikacji. Stosowaną zwykle praktyką we wdrożeniach SSL VPN jest dostęp do ważnych
aplikacji systemu informatycznego tylko z komputerów należących do firmy, po
wcześniejszej weryfikacji ich stanu zabezpieczenia.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
4
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
2. Wstępna konfiguracja urządzenia Connectra
Przygotowanie urządzenia do pracy jest bardzo proste i nie wymaga wielkiego nakładu pracy
przy wdrożeniu. Dostępny jest zestaw formularzy wyświetlanych przez program instalacyjny,
który w sposób intuicyjny umożliwia dokonanie wstępnej konfiguracji systemu. Na tym etapie
możliwe do skonfigurowania są:
• połączenia sieciowe
• routing
• adres serwera DNS
• nazwę domenową
• czas
Następnie muszą zostać zainicjalizowane komponenty oprogramowania systemu.
Aby rozpocząć proces instalacji, należy podłączyć urządzenie Connectra do sieci (interfejs
eth0) a następnie uruchomić przeglądarkę internetową, podając jako adres URL:
https://192.168.1.1:4433
Jest to domyślny adres urządzenia, fabrycznie przypisany do pierwszego interfejsu sieciowego
(eth0).
Ponieważ połączenie wykorzystuje SSL, musimy zaaprobować certyfikat, który jest
certyfikatem typu “self-signed”
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
5
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Następnie należy zaaprobować umowę licencyjną. Strona z umową jest pierwszą stroną, która
pojawia się, gdy po raz pierwszy zostaje zestawione połączenie z urządzeniem. Po
zaaprobowaniu umowy urządzenie nie będzie jej wyświetlać ponownie.
Następnym krokiem jest zalogowanie się do portalu administracyjnego. Domyślny
użytkowniku admin, hasło admin.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
6
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Oprogramowanie wymusza zmianę hasła dla administratora. Hasła są kontrolowane przez
mechanizmy PAM i muszą być odpowiednio skomplikowane oraz nie opierać się na słowach
ze słownika.
Możliwe jest również wygenerowanie pliku, który umożliwi zalogowanie w przypadku, gdy
zostanie utracone hasło administratora. System prosi o podanie pytania oraz odpowiedzi
zabezpieczającej.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
7
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Następnie należy określić lokalizację pliku, potrzebnego do odtworzenia haseł.
Po zmianie hasła (i ewentualnym wygenerowaniu wspomnianego pliku) uruchamia się
program konfiguracyjny.
Pierwszym krokiem jest konfiguracja połączeń sieciowych. Urządzenie standardowo
wyposażone jest w dwa interfejsy typu ethernet, z czego pierwszy jest skonfigurowany
fabrycznie.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
8
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Na tym etapie możemy zmienić ustawienia adresów IP lub, na przykład, zdefiniować
interfejsy wirtualne.
Następnie definiuje się tablicę routingu, w tym trasę domyślną.
Kolejnym krokiem jest określenie adresów IP serwerów DNS, oraz zdefiniowanie nazwy
komputera, nazwy domeny i wybranie podstawowego interfejsu sieciowego. Jest to istotne,
ponieważ niektóre usługi będą dostępne poprzez ten interfejs.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
9
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Należy jeszcze skonfigurowanć czas, datę, oraz serwera NTP (o ile taki jest zainstalowany).
Po zatwierdzeniu wprowadzonych zmian rozpoczyna się proces inicjalizacji urządzenia. Po
zakończeniu inicjalizacji urządzenie informuje o tym wyświetlając odpowiedni komunikat, po
czym zostaje wyświetlona strona statusu.
Po wykonaniu powyższych czynności konfiguracyjnych urządzenie jest gotowe do pracy, ale
dobrą praktyką jest sprawdzenie, czy na stronie producenta są dostępne uaktualnienia
systemu. Jeżeli tak, to należy rozważyć ich instalację. Proces instalacji uaktualnień nie jest
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
10
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
czasochłonny i nie wymaga od użytkownika specjalistycznej wiedzy. W przypadku
wystąpienia błędów istnieje możliwość prostego odtworzenia poprzedniej konfiguracji.
W celu instalacji uaktualnień należy z menu Settings wybrać opcję Device, a następnie
Upgrade, podać ścieżkę do pliku *.tgz, który został uprzednio pobrany ze strony
usercenter.checkpoint.com i wgrać plik do urządzenia.
Po wgraniu pliku w okienku statusu na dole strony pojawi się informacja o tym, że plik został
przegrany do urządzenia.
Następnie należy wybrać (lub nie) opcję bezpiecznego lub podwójnie bezpiecznego
uaktualnienia.
W pierwszym przypadku wykonywana jest kopia migawkowa (snapshoot) urządzenia, z
którego zostanie odtworzona konfiguracja, w przypadku, gdyby aktualizacja się nie powiodła.
W przypadku podwójnie bezpiecznego uaktualnienia, wymagana jest jeszcze prawidłowo
przeprowadzona procedura logowania do urządzenia w ciągu określonego czasu. Gdyby się
nie powiodła, to urządzenie powróci do poprzedniego stanu (przed uaktualnieniem). W czasie
procedury uaktualniania na bieżąco jest wyświetlany jej stan. Po uaktualnieniu urządzenie
wykona automatycznie restart.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
11
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po prawidłowo zakończonej procedurze, wymagane jest ponowne zalogowanie się. Aktualna
wersja oprogramowania będzie widoczna po zalogowaniu się w menu Status.
Proces wgrania uaktualnień kończy podstawową konfigurację systemu. Od tej pory rozpocząć
można procedurę konfiguracji poszczególnych aplikacji, kont użytkowników i
administratorów.
W przypadku utraty hasła administratora istnieje możliwość jego zmiany. Posiadając plik do
odzyskiwania hasła, na stronie logowania należy wybrać opcję Forgot your password. W
oknie dialogowym należy wskazać uprzednio utworzony plik do odzyskiwania haseł, a
następnie nacisnąć Send. System zapyta się o hasło, wyświetlając pytanie pomocnicze:
W przypadku podania prawidłowej odpowiedzi system umożliwi zmianę hasła administratora.
Pliku do odzyskiwania haseł może być użyty tylko raz. Istnieje jednak możliwość ponownego
wygenerowania tegi pliku
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
12
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
3. Konfiguracja dostępu SSL VPN w urządzeniach Connetra (Web, poczta,
system plików).
W urządzeniu Connectra istnieje możliwość uruchomienia dostępu poprzez przeglądarkę
internetową do trzech typów aplikacji sieciowych. Są to:
• serwisy www (http/https)
• poczta elektroniczna (pop3/imap)
• system plików (smb)
Poza tym istnieje możliwość uzykania dostępu do dowolnych usług sieciowych poprzez
usługę SSL Network Extender (patrz rozdział 5).
Opcje konfiguracyjne
administracyjnego.
poszczególnych
aplikacji
definiuje
się
z
poziomu
portalu
Dla aplikacji www należy podać nazwę, która pojawi się dla tej aplikacji w portalu
użytkownika, wybrać poziom wymaganych zabezpieczeń, określić nazwę serwera (lub adres
IP) oraz numery portów (jeżeli są inne niż standardowe). Można ponadto w portalu
użytkownika umieścić w postaci “skrótu” link do danej aplikacji webowej .
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
13
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Dostęp do plików jest definiowany w sposób bardzo podobny. Należy podać nazwę, która
pojawi się w portalu użytkownika, wybrać pożądany poziom zabezpieczeń, określić nazwę
netbiosową serwera (lub adres IP). Dodatkowo można ograniczyć dostęp tylko do
konkretnych folderów sieciowych. Następnie należy zdefiniować nazwę domyślnej
domeny/grupy roboczej (o ile taka jest). Można też zdefiniować, czy dane uwierzytelniające
użytkownika mają być podawane przy próbie skorzystania z zasobu, czy też zostanie użyty
idetyfikator i hasło, za pomocą których użytkownik zalogował się do portalu. Ponadto można
umieścić link do danego udziału plikowego w portalu użytkownika w postaci “skrótu”.
Dostęp do aplikacji pocztowych konfiguruje się w podobny sposób. Istnieje możliwość
czytania poczty poprzez zainstalowanego w portalu klienta webmail, gdy wybierze się obsługę
za pomocą protokołu IMAP. Gdy chce się używać oprogramowania pocztowego (outlook
itp.), wykorzystywany jest protokół POP3. Przy tym o ile wybierze się POP3, to nie ma
możliwości czytania poczty przez webmail. Jeżeli chodzi o IMAP, to wspieranych jest wiele
powszechnie dostępnych serwerów protokołu IMAP4.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
14
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Dodatkowo można określić poziom zabezpieczeń danej aplikacji (Security->Protection
Levels), ustalając, czy użytkownicy będą uwierzytelniani w sposób silny, czy też przy pomocy
haseł statycznych/dynamicznych, jak również wymusić zachowanie zawartości pamięci cache
w przeglądarce oraz poziom zabezpieczeń dla klienta.
Kontrola dostępu do poszczególnych aplikacji dla użytkowników jest realizowana poprzez
grupy. Aplikacje przypisuje się do grup użytkowników. Do grup mogą należeć użytkownicy
(ale już nie grupy – zagnieżdżanie nie jest możliwe). Grupy mogą być wewnętrzne
(zdefiniowane w urządzeniu) jak również zewnętrzne, dostarczane przez serwery
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
15
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
RADIUS/LDAP. Jeden użytkownik może należeć do wielu grup, podobnie, jak i aplikacja
może być przypisana do wielu grup. Definiując grupę można od razu dodać do niej
użytkowników (choć nie jest to konieczne).
Po zdefiniowaniu grup pozostaje już tylko dodać użytkowników, przypisać ich do grup i
można rozpocząć korzystanie z portalu.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
16
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Użytkownicy, którzy zostali zdefiniowani w wewnętrznej bazie, z wykorzystaniem schematu
Internal logują się przy pomocy hasła nadanego przez administratora. W przeglądarce należy
otworzyć stronę portalu urządzenia, a następnie podać identyfikator i hasło.
Po weryfikacji identyfikatora i hasła system otwiera stronę portalu danego użytkownika.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
17
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
W przypadku aplikacji webowych, czy też dostępu do plików istnieje możliwość wpisania
ścieżki do konkretnych zasobów (o ile administrator na to zezwolił) oraz wybór uprzednio
zdefiniowanych/zapamiętanych linków. Na poniższym rysunku użytkownik ma otwarte dwie
aplikacje webowe, klienta pocztowego oraz swój folder domowy na zdalnym komputerze.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
18
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
4. Konfiguracja zabezpieczeń w urządzeniach Connetra (Web Intelligence,
Endpoint Security).
Connectra poza dostępem SSL VPN oferuje również systemy zabezpieczeń sieciowych i
aplikacyjnych: SmartDefense, oraz webowych: Web Intelligence znane z produktów VPN-1
R55 i R55W. Ponadto dostępne są zabezpieczenia stacji końcowych Endpoint Security
realizowane w oparciu o oprogamowanie Integrity.
System SmartDefence oraz WebIntelligence wymaga regularnych uaktualnień. Producent, po
wykupieniu subskrypcji udostępnia tego typu uaktualnienia przez swój serwis internetowy.
Uaktualnienia zawierają sygnatury i informacje o nowych zagrożeniach sieciowych. Aby
wykonać uaktualnienie, należy wybrać z menu Security -> SmartDefense Service.
Aby skonfigurować SmartDefense na leży wybrać z menu Security ->SmartDefense.
Dostępne są opcje konfiguracyjne znane z oprogramowania VPN-1 PRO. Można zdefiniować
ochronę przed atakami sieciowymi(Nework)
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
19
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
oraz aplikacyjnymi (Applications Intelligence).
Connectra ma również wbudowany moduł zapewniający ochronę aplikacji webowych - Web
Intelligence. W jego skład wchodzi mechanizm Malicious Code Protection, który analizuje
przesyłane do aplikacji dane i decyduje, czy jest to kod szkodliwy czy też nie. Ochronę można
ustawić na trzech predefiniowanych poziomach - High, Medium i Low. Można zdefiniować
sygnatury znanych ataków, oraz włączyć ochronę przed takimi zagrożeniami, jak Cross Site
Scripting, SQL Injection, Command Injection czy też Directory Traversal.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
20
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Ponadto można włączyć inspekcję protokołu HTTP, sprawdzającą zgodność przesyłanych
danych ze standardami, blokującą niebezpieczne komendy itp.
Ze względu na charakter działania Connectry /terminowanie sesji https klienta – kontrola
zawartości protokołu http – nawiązanie nowej sesji http do serwera docelowego/ pokażemy
skanowanie zewnętrznego interfejsu urządzenia Connectra. Wszelkie anomalie i
nieprawidłowości protokołu http zostaną wykryte przez Connectrę już na tym etapie.
Efekty bezpośredniego skanowanie interfejsu Connectry przy pomocy N-Stealth HTTP
Security Scanner.
Poniższe zrzuty ekranów zawierają przykładowe wpisy w logach generowane przez Connectrę
w wyniku skanowania. Jak widzimy logi generowane są przez moduł WebIntelligence, ruch
jest odrzucany, urządzenie informuje również o przyczynie i podaje podejrzany ciąg URL.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
21
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Raporty:
Przykładowy raport typu “Standard Scan“ - skanowanie pod kątem wszystkich
zdefiniowanych w skanerze “security checks”.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
22
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Przykładowy raport “Top 20 Scan” - skanowanie pod kątem SANS Top 20 vulnerabilities.
Z punktu widzenia użytkownika:
Jeśli żądanie HTTP zostanie uznane za nieprawidłowe lub niebezpieczne zostanie
zablokowane, użytkownik zostanie o tym poinformowany i zostanie wygenerowany
odpowiedni wpis do dziennika zdarzeń. W poniższym przypadku komunikat został wywołany
przez próbe directory traversal – ciąg “../../” wpisany ręcznie przez użytkownika zaraz po
adresie IP.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
23
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Endpoint Security
W zakresie kontroli poziomu bezpieczeństwa stacji użytkownika łączącego się do zasobów
sieci korporacyjnej za pomocą SSL VPN, Connectra, w ramach ICS (Integrity Clientless
Security) oferuje sprawdzenie trzech elementów bezpieczeństwa zdalnej maszyny:
- obecności personalnego firewall’a (musi być to produkt ZoneLabs z linii Integrity),
- obecności złośliwego oprogramowania - Malware,
- obecności oprogramowania antywirusowego, włącznie z kontrolą aktualności sygnatur
wirusów.
Aby skonfigurować ICS przechodzimy w menu Connectry do Security > EndpointSecurity.
1. Zakładka General Settings:
a) pozwala uaktywnić kontrolę ICS,
Security>Protection Levels
Dla każdego z trzech poziomów bezpieczeństwa, administrator może określić,
czy kontrola ICS musi być aktywna, aby dopuścić użytkownika do zasobów i
czy użytkownik musi użyć Integrity Secure Browser aby uzyskać dostęp.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
24
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
b) Pozwala wymusić obecność personalnego firewall’a – Connectra nie ingeruje w
sprawdzenie polityki bezpieczeństwa firewall’a na stacji roboczej, umożliwia sprawdzenie,
czy jest zainstalowany i czy jest uruchomiony. W przypadku nie spełnienia żądanych
warunków użytkownik nie uzyskuje dostępu do portalu, a administrator ma do dyspozycji
komunikat tekstowy lub przekierowanie do okreslonego URLa, aby poinformować
użytkownika o przyczynie odmowy dostępu.
c) Pozwala wymusić użycie przeglądarki Integrity Secure Browser.
Integrity Secure Browser to przeglądarka autorstwa Check Point pozwalająca na bezpieczny
dostęp do zasobów korporacyjnych poprzez portal Connectry. Nie ma potrzeby instalacji na
zdalnych stacjach, przy próbie dostępu do Connectry ISB jest automatycznie pobierana i
uruchamiana na komputerze zdalnego użytkownika.
2. Security>Endpoint Security>Malware Protection – sprawdzanie obecności i usuwanie
złośliwego oprogramowania
Connectra oferuje ochronę przed 9 typami złośliwego oprogramowania, wykrywa na zdalnej
stacji min. konie trojańskie, narzędzia hakerskie, dialery etc. Administrator ma możliwość
wyboru jednej z trzech opcji dla każdej z kategorii /od najmniej do najbardziej restrykcyjnej/:
Don’t scan –
stacja zdalna nie jest skanowana pod kątem obecności
danej kategorii malware.
Scan and ask user –
stacja zdalna jest skanowana pod kątem obecności
danej kategorii malware, w przypadku wykrycia
administrator pozostawia użytkownikowi decyzję o
dostępie.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
25
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Scan and prevent connectivity -
stacja zdalna jest skanowana pod kątem obecności
danej kategorii malware, w przypadku wykrycia
dostęp jest zabroniony. Ta opcja jest domyślna dla
wszystkich kategorii oprócz „Third Party Cookies” dla
której domyślna jest opcja „Scan and ask user”.
Lista programów/procesów wykrywanych przez Connectrę w każdej z kategorii jest niejawna
i nie jest publikowana.
W przypadku wykrycia złośliwego oprogramowania administrator ma możliwość wymuszenia
próby jego neutralizacji. Użytkownik jest informowany o programach/procesach wykrytych
podczas skanowania i o tych , które udało się zdezaktywować.
3. Security>Endpoint Security>Anti-Virus Rules – definicja polityki antywirusowej.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
26
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Connectra oferuje możliwość definiowania reguł polityki antywirusowej dla 7 popularnych
programów antywirusowych
Administrator aktywując określoną regułę, może ustawić dodatkowe wymagania dla
oprogramowania antywirusowego. Po kliknięciu na nazwę, mamy możliwość ustawienia
dodatkowych parametrów „Anti Virus Constraints”:
- minimalną żądaną wersję „engin’a”
- minimalną wersję pliku z sygnaturami: tu mamy 3 różne możliwości określenia wersji,
- określenie, czy oprogramowanie ma być zainstalowane, czy i zainstalowane i uruchomione.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
27
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po określeniu wymagań wracamy do Security>Endpoint Security>Anti-Virus Rules i w sekcji
Action definiujemy zachowanie Connectry w przypadku niespełnienia wymagań dotyczących
oprogramowania antywirusowego przez stację końcową. Możemy zezwolić na połączenie,
informując użytkownika o różnicach w jego konfiguracji w stosunku do konfiguracji
wymaganej lub zabronić połączenia.
Mamy możliwość poinformowania użytkownika o przyczynie nieudanego połączenia poprzez
wyświetlenie komunikatu lub przekierowanie do określonego URLa.
Efekty konfiguracji ICS. Pierwsze logowanie użytkownika do portalu Connectry.
Po uruchomieniu przeglądarki i wpisaniu https://IP.Connectry , przy aktywnej kontroli ICS
użytkownik jest proszony o akceptację uruchomienia Integrity Clientless Security for
Connectra.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
28
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po kliknięciu “Yes” następuje załadowanie wtyczki (plug-in) i skanowanie maszyny
użytkownika.
W przypadku zastrzeżeń co do konfiguracji zdalnej maszyny użytkownik jest informowany o
rezultatach – w naszym przypadku wystąpiły 2 krytyczne błędy – brak oprogramowania
antywirusowego i brak personalnego firewall’a – nie mamy możliwości dostępu do portalu.
Jedyną opcją jest „Scan Again” – oczywiście dopiero po tym jak zainstalujemy żądane
oprogramowanie lub zniesiemy restrykcje na antywirusa i klienta Integrity.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
29
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po złagodzeniu restrykcji:
Security > EndpointSecurity > General Settings – brak wymagań co do klienta Integrity oraz
Security > EndpointSecurity > Anti Virus Rules – dezaktywowacja reguł antywirusowych. I
Skanowanie ujawniło kilka „Third Party Cookies”, jednak domyślne ustawienie w sekcji
Malware – „Scan and ask user” pozwala na dostep do portalu. Po kliknięciu „Continue
anyway” uzyskujemy dostep do portalu urządzenia Connectra i możemy się zalogować.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
30
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
4. Korzystanie z przeglądarki Integrity Secure Browser
W sekcji Security > EndpointSecurity > General Settings zaznaczamy Enable Integrity Secure
Browser.
Łączymy się do portalu Connectry
Klikamy Continue, akceptujemy ściągnięcie plug-ina
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
31
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Czekamy na załadowanie przeglądarki
I po chwili możemy się zalogować do portalu korzystając z ISB.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
32
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
5. Konfiguracja dostępu do dowolnych aplikacji poprzez SSL Network
Extender.
SSL Network Extender umożliwia, przy wykorzystaniu technologii SSL VPN, bezpieczny
dostęp do zasobów korporacyjnych wymagających użycia innego protokołu niż http. Przesyła
bezpiecznym, szyfrowanym tunelem SSL ruch aplikacyjny ze zdalnej stacji do urządzenia
Connectra. Przy pomocy SSL Network Extendera tunelowany może być praktycznie każdy
protokół oparty o IP (TCP, UDP, ICMP, etc.) co umożliwia korzystanie z dowolnych aplikacji
(telnet, ftp, usługi terminalowe) poprzez SSL VPN. Klient SSL Network Extender to
kontrolka ActiveX automatycznie ładowana przez portal Connectry – nie ma konieczności
instalacji i konfiguracji oprogramowania klienckiego na zdalnych maszynach, jak ma to
miejsce w przypadku rozwiązań IPSec.
Rozwiązanie SSL Network Extender dostępne jest za darmo jeśli jest wykorzystywane z
urządzeniem Connectra (może być również wykorzystywane z regularnym gateway’em
VPN-1 PRO, ale wtedy podlega odrębnemu licencjonowaniu).
Przykładowo, chcemy zdefiniować dostęp za pomocą SNXa do usługi FTP. Connectra i
serwer FTP znajdują się w tym samym segmencie sieci wewnętrznej LAN, który jest
chroniony przez Firewall-1.
Środowisko testowe i adresacja IP:
Sieć Internal
192.168.1.0/24
FTP_Server
192.168.1.2/24
Connectra
192.168.1.1/24 /STATIC NAT za adresem z sieci External 192.168.10.1/
Connectra_NAT
192.168.10.1/24
Sieć External
192.168.10.0/24
Remote_PC
192.168.10.110/24
geko
internal 192.168.1.10/24
external 192.168.10.56/24
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
33
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Reguły firewall’a.
Polityka bezpieczeństwa jest bardzo prosta, udostępniamy administracyjny i użytkowy dostęp
do Connectry ze świata zewnętrznego. W naszym przypadku Connectra była zarządzana z
maszyny Remote_PC, stąd również dostęp administracyjny.
Serwisy http i https są predefiniowane, SNX i Connectra_ADMIN zostały stworzone jako
serwisy TCP z numerami portów odpowiednio 444 i 4433.
Konfiguracja Connectry
Zakładamy, że użytkownicy i grupy już istnieją. Aby umożliwić im korzystanie z aplikacji
sieciowych przez SNXa musimy skonfigurować następujące elementy:
a) Zdefiniowanie aplikacji sieciowych,
b) Przyporządkowanie aplikacji do grup użytkowników
c) Konfiguracja SSL Network Extender’a
Definiowanie aplikacji sieciowych
Wybieramy z menu Applications->Network Applications – New i definiujemy usługę.
W sekcji General podajemy nazwę i informację o naszej aplikacji jakie mają się wyświetlić w
portalu użytkownika. W sekcji Connection Configuration określamy typ połączenia (w
naszym przypadku Client to Server) i adres IP serwera FTP. Możemy określić również zakres
adresów jeśli daną usługę świadczy więcej serwerów.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
34
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
W sekcji Services określamy protokół z jakiego dana usługa korzysta, oczywiście możemy
stworzyć własny nowy serwis w razie potrzeby.
Po wyborze serwisu klikamy
na dole strony; nowo zdefiniowany serwis został
zachowany i można go przypisać do określonej grupy użytkowników.
Przyporządkowanie aplikacji do grup użytkowników
Wybieramy z menu Users and Groups> User Groups - Wybieramy grupę użytkowników,
której chcemy zezwolić na korzystanie z aplikacji,
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
35
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
klikamy na link grupy, przechodzimy do zakładki „Network Access”, zdefiniowana przez nas
aplikacja FTP jest dostępna i gotowa do dodania. Wybieramy aplikację z listy i przez
klinkięcie Add dodajemy do grupy.
Konfiguracja SSL Network Extender’a
Będąc cały czas we właściwościach grupy użytkowników przechodzimy do zakładki Home
Page. W sekcji SSL Network Extender Launch Mode określamy, czy chcemy by SNX był
uruchamiany automatycznie po zalogowaniu użytkownika do portalu, czy też chcemy, aby
użytkownik aktywował SNXa na własne życzenie.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
36
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Zapisujemy konfigurację grupy klikając
przechodząc do Settings > SSL Network Extender.
i kontynuujemy konfigurację SNXa
W General Settings aktywujemy SNXa i określamy jego zachowanie po zakończeniu
połączenia. Do wyboru są trzy opcje:
- zachowanie zainstalowanego SNXa,
- odinstalowanie SNXa,
- pozostawienie decyzji użytkownikowi
Zakładka Security pozwala na określenie minimalnego poziomu Protection Level
użytkowników, którym można SSL Network Extender’a udostepniać.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
37
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Zakładka Upgrade określa zachowanie SNXa w przypadku, kiedy na zdalnej maszynie z
której łączy się użytkownik zainstalowana jest starsza wersja SSL Network Extendera.
SNX łacząc się z urządzeniem Connectra używa mechanizmu OfficeMode znanego z
SecureClient'a. Zakładka Network Address pozwala na zdefiniowanie adresu sieci z której
kolejno będą przydzialane adresy IP zdalnym stacjom korzystającym z SSL Network
Extendera. Tutaj określa się również do którego adresu IP SNX zestawia szyfrowane
połączenie i czy ma być maskowany adres IP łączących się klientów końcowych.
Kolejne dwie zakładki WINS Servers i DNS pozwalają na przekazanie dodatkowych
parametrów zdalnym klientom.
Zapisujemy konfigurację klikając
Network Extendera.
i ten krok kończy przykładową konfigurację SSL
Po zalogowaniu się do portalu Connectry jako użytkownik należący do grupy posiadającej
prawo do korzystania z SNXa widać grupę Network Applications, zawierającą zdefiniowaną
usługę FTP.
Przy zdefiniowaniu uruchomienia SNXa na żądanie,
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
38
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
aby zestawić bezpieczny tunel trzeba nacisnąć klawisz „Connect”
Klikając „Settings” po prawej stronie sekcji Network Applications (lub w górnej części
portalu) użytkownik może zmienić to ustawienie.
Po naciśnięciu „Connect”, użytkownik wyraża zgodę na instalację i uruchomienie SSL
Network Extendera
Instalacja trwa kilkanaście sekund, po czym ukazuje się okienko SNXa
Przy pierwszym połączeniu do urządzenia Connectra, gateway prezentuje adres IP i
fingerprint. Jeśli użytkownik zaakceptuje identyfikację gateway’a połączenie zostaje
nawiązane, co jest wyraźnie widoczne w oknie SNXa. Minimalizujemy okno SSL Network
Extendera i sprawdzamy łączność z serwerem FTP.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
39
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Z maszyny Remote_PC można już zestawić połączenie do serwera FTP.
Logi serwera ftp:
Zarówno w logach, jak i na konsoli serwera ftp widać, że połączenie klienta zostało
zamaskowane adresem IP interfejsu Connectry.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
40
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
6. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą haseł
dynamicznych (tokeny ActivCard, RADIUS).
Connectra, podobnie jak i inne produkty firmy Checkpoint pozwalają na integrację z
oprogramowaniem innych dostawców (w ramach aliansu OPSEC), między innymi z
systemami silnego uwierzytelniania. Jednym z takich rozwiązań jest oprogramowanie
ActivPack(AAA) firmy ActivCard. Integracja z systemami Checkpoint odbywa się z
wykorzystaniem protokołu Radius(v.2). Hasła dynamiczne (synchroniczne) mogą być
generowane za pomocą tokenów lub kart inteligentnych. Uwierzytelnianie może być
zrealizowane na dwa sposoby. Przede wszystkim należy zdefiniować użytkowników na
serwerze AAA. Następnie można zdefiniować użytkowników o takich samych
identyfikatorach w urządzeniu Connectra – jest to jeden ze sposobów. Taka konfiguracja
wymaga ręcznego zamapowania użytkowników do grup lokalnych na urządzeniu Connectra.
Drugą metodą jest stworzenie grup zewnętrznych typu “RADIUS”. Użytkownicy do tych grup
są przypisywani automatycznie przez serwer AAA. Domyślnie jest do tego używany atrybut
“Class” w słowniku protokołu RADIUS.
Aby dodać użytkownika, który będzie uwierzytelniany przez serwer AAA, należy wybrać
schemat uwierzytelniania RADIUS.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
41
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Konieczne jest również zdefiniowanie serwera RADIUS. Dokonuje się tego w menu Users
and Groups -> Authentication -> RADIUS Server.
Shared Secret jest parametrem który musi być taki sam zarówno po stronie serwera AAA jak i
klienta, którym w tym przypadku jest Connectra.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
42
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
W przypadku uwierzytelniania poprzez grupy RADIUSowe, należy taką grupę stworzyć, a
następnie w “Authorization profile” serwera AAA dodać dla atrybutu “Class” wartości, takie
jak nazwa grupy. Jeżeli atrybut “Class” jest wykorzystywany, to można użyć innego atrybutu
dokonując odpowiednich zmian w plikach konfiguracyjnych systemu Connectra (procedura
opisana w UM).
Hasła dynamiczne generuje się za pomocą oprogramowania ActivCard Gold lub tokenów
ActivCard ONE. Wygenerowane hasło oraz identyfikator użytkownika należy wpisać przy
logowaniu się do portalu.
UWAGA: znaki w wygenerowanym haśle należy wpisać dokładnie tak, jak się pojawiają
(duże, małe litery są rozróżniane).
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
43
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
44
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
7. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą
certyfikatów cyfrowych Check Point ICA (karty inteligentne ActivCard
Gold).
Użytkownicy, logując się do portalu mogą wykorzystywać certyfikaty cyfrowe, w celu
potwierdzenia swojej tożsamości. Certyfikaty mogą być przechowywane w plikach, lub
urządzeniach kryptograficznych(karty inteligentne, Security Chip-y). Aby uruchomić
uwierzytelnianie w oparciu o certyfikaty potrzebny jest certyfikat urzędu, który będzie
wystawiał certyfikaty dla użytkowników. Może to być dowolny system CA(wspierane są tylko
te z aliansu OPSEC). W naszym przypadku będzie to ICA SmartCenter serwera. Certyfikat
ICA można uzyskać przy pomocy SmartDashboard.
Po zapisaniu certyfikatu do pliku należy go zaimporotwać za pomocą portala
administracyjnego do Connectry. W tym celu należy wybrać z menu Users and Groups ->
Authentication -> Trusted CA.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
45
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po zainstalowaniu certyfikatu należy jeszcze zdefiniować użytkowników, którzy będą
przedstawiać się certyfikatami cyfrowymi. Tacy użytkownicy powinni mieć wybrany schemat
uwierzytelnienia Undefined.
W przypadku generowania certyfikatów z ICA dla użytkowników posługujących się kartami i
oprogramowaniem ActivCard Gold, jedynym rozsądnym wyjściem jest użycie
oprogramowania SecuRemote/SecureClient. W SmartDashboard preinicjalizuje się certyfikat
dla konkretnego użytkownika, a następnie za pomocą SR/SC generuje certyfikat bezpośrednio
na karcie.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
46
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
W tym celu w oprogramowaniu SR/SC wybiera się z menu Settings -> Certificates ->
Checkpoint Certificates -> Create Certificate
Certyfikat należy zapisać za pomocą CAPI, wybierając ActivCard Gold CSP.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
47
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Następnie należy podać adres IP bramki VPN, na której został wygenerowany kod inicjujący
certyfikat, oraz wpisać ten kod.
Po kilku chwilach, potrzebnych do przeprowadzenia operacji kryptograficznych (generowanie
kluczy, podpisy cyfrowe) na karcie zostanie umieszczony certyfikat.
W celu zalogowania się do portalu z użyciem certyfikatów, należy w opcjach logowania na
stronie wybrać Certificate Sign In, a następnie wybrać certyfikat z listy dostępnych.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
48
Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci
Po podaniu PINu do karty sprawdzeniu poprawności certyfikatu użytkownik może rozpocząć
pracę z portalem.
© 2005 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
49
Download

TECH-MASTERS: Safety Clean Gel [web]