Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci

Transkrypt

1 P ROFESJONALNE S YSTEMY B EZPIECZEŃSTWA Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci WARSZTATY ZABEZPIECZEŃ Opracowali: Marek Krauze Check Point Certified Security Expert Plus Piotr Stępniak Check Point Security Engineer CLICO Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; support@clico.pl, orders@clico.pl.; Ftp.clico.pl.;

2 Program warsztatów: 1. Wprowadzenie do SSL VPN. 2. Wstępna konfiguracja urządzenia Connectra. 3. Konfiguracja dostępu SSL VPN w urządzeniach Connetra (Web, poczta, system plików). 4. Konfiguracja zabezpieczeń w urządzeniach Connetra (Web Intelligence, Secure Configuration Verification). 5. Konfiguracja dostępu do dowolnych aplikacji poprzez SSL Network Extender. 6. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą haseł dynamicznych (tokeny ActivCard, RADIUS). 7. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą certyfikatów cyfrowych Check Point ICA (karty inteligentne ActivCard Gold). Check Point Connectra i technologia SSL VPN zapewniają użytkownikom bezpieczny i łatwy dostęp do informacji z każdego miejsca i w każdym czasie. 2

3 1. Wprowadzenie do SSL VPN IPSec jest ogólnie przyjętym standardem i najczęściej stosowaną technologią sieci VPN. W niektórych zastosowaniach posiada jednak istotne ograniczenia (np. zdalny dostęp użytkowników). Alternatywną do IPSec technologią VPN jest SSL. Podstawową zaletą SSL jest dostępność sieci VPN ze zwykłego komputera PC, na którym nie ma potrzeby instalowania i konfigurowania dodatkowego oprogramowania. Technologia SSL VPN opiera się na zasadzie wykorzystania mechanizmów szyfrowania i uwierzytelniania transmisji danych zawartych w przeglądarkach Web. Użytkownicy mogą za pomocą zwykłej przeglądarki Web (np. MS Internet Explorer, Netscape) korzystać z usług systemu informatycznego firmy. SSL VPN jest szczególnie dogodnym sposobem dostępu do sieci firmowej dla pracowników będących w podróży, którzy w hotelach, na lotniskach, czy salach konferencyjnych mają do dyspozycji tylko prekonfigurowane stacje dostępowe do Internetu. SSL VPN posiada oczywiste zalety i w wielu zastosowaniach jest lepszym rozwiązaniem od IPSec. Planując wdrożenie sieci VPN należy jednak zdawać sobie sprawę, że SSL nie jest tak uniwersalnym rozwiązaniem jak IPSec (tzn. nie wszystkie aplikacje są wspierane). SSL VPN stwarza także dodatkowe wymagania bezpieczeństwa. Aplikacje użytkownika Aplikacja dostępowa Transmisja szyfrowana SSL Aplikacje portalu Urządzenie SSL VPN (Connectra) Przeglądarka Web Zdalny komputer użytkownika Serwery aplikacji System informatyczny firmy Wykorzystując protokół SSL można w naturalny sposób zapewnić dostęp do intranetowych aplikacji HTTP. W technologii Web można łatwo zaimplementować emulatory terminali Telnet/SSH. Niektóre aplikacje posiadają możliwości ochrony transmisji danych poprzez SSL (np. aplikacje klienta poczty mogą komunikować się z urządzeniem dostępowym SSL VPN za pomocą protokołów POP-over-SSL, IMAP-over-SSL oraz SMTPover-SSL). Większość aplikacji systemu informatycznego do komunikacji sieciowej nie 3

4 wykorzystuje jednak protokołu HTTP. Ich obsługa w rozwiązaniach SSL VPN wymaga załadowania na komputer użytkownika aplikacji Java lub ActiveX, które przekierowują ruch sieciowy do urządzenia dostępowego SSL VPN (patrz rysunek). Komunikacja aplikacji użytkowników z serwerami w sieci wewnętrznej firmy jest tunelowana za pomocą protokołu SSL. Odbywa się to zwykle z zaangażowaniem serwisu rozwiązywania nazw DNS. Klient aplikacji w odpowiedzi DNS o adres IP docelowego serwera otrzymuje lokalny adres komputera. Połączenie aplikacji do lokalnego komputera jest następnie w sposób zabezpieczony kryptograficznie tunelowane do urządzenia SSL VPN i stamtąd uzyskuje dostęp do serwera w sieci wewnętrznej firmy. Dobrej klasy rozwiązania SSL VPN potrafią rozwiązywać nazwy DNS bez konieczności modyfikowania lokalnej konfiguracji DNS. Mając na uwadze łatwość dostępu do sieci SSL VPN należy wdrożyć stosowne środki bezpieczeństwa. Systemy SSL VPN oferują w tym zakresie szereg mechanizmów zabezpieczeń, m.in.: wiarygodne uwierzytelnianie tożsamości użytkowników (np. RADIUS, SecureID), kontrola dostępu użytkowników do określonych aplikacji systemu informatycznego, weryfikacja stanu bezpieczeństwa zdalnego komputera (np. aktualna wersja skanera antywirusowego, uruchomione zabezpieczenia Personal Firewall), usuwanie danych aplikacji z komputera po zakończeniu pracy użytkownika (np. usuwanie zapisów w pamięci Cache przeglądarki Web), rejestrowanie i raportowania zdarzeń. Systemy SSL VPN wymagają opracowania projektu i wdrożenia, które uwzględnia specyficzne dla tego rozwiązania aspekty bezpieczeństwa. Istotne w tym przypadku jest zagrożenie utraty poufności danych firmy. Wynika ono przede wszystkim z faktu, że użytkownicy mogą korzystać z komputerów niekontrolowanych przez administratorów firmy. Przeglądarka Web domyślnie zapisuje dane w pamięci Cache, które mogą być później odczytane przez innych użytkowników. Na komputerach może być także zainstalowane oprogramowanie rejestrujące dane odczytywane przez przeglądarkę Web i wprowadzane przez użytkowników (np. key logger). Potencjalnie może zdarzyć się także sytuacja gdzie użytkownik korzystający np. z komputera w kawiarence internetowej pozostawi otwarte sesje aplikacji. Stosowaną zwykle praktyką we wdrożeniach SSL VPN jest dostęp do ważnych aplikacji systemu informatycznego tylko z komputerów należących do firmy, po wcześniejszej weryfikacji ich stanu zabezpieczenia. 4

5 2. Wstępna konfiguracja urządzenia Connectra Przygotowanie urządzenia do pracy jest bardzo proste i nie wymaga wielkiego nakładu pracy przy wdrożeniu. Dostępny jest zestaw formularzy wyświetlanych przez program instalacyjny, który w sposób intuicyjny umożliwia dokonanie wstępnej konfiguracji systemu. Na tym etapie możliwe do skonfigurowania są: połączenia sieciowe routing adres serwera DNS nazwę domenową czas Następnie muszą zostać zainicjalizowane komponenty oprogramowania systemu. Aby rozpocząć proces instalacji, należy podłączyć urządzenie Connectra do sieci (interfejs eth0) a następnie uruchomić przeglądarkę internetową, podając jako adres URL: Jest to domyślny adres urządzenia, fabrycznie przypisany do pierwszego interfejsu sieciowego (eth0). Ponieważ połączenie wykorzystuje SSL, musimy zaaprobować certyfikat, który jest certyfikatem typu self-signed 5

6 Następnie należy zaaprobować umowę licencyjną. Strona z umową jest pierwszą stroną, która pojawia się, gdy po raz pierwszy zostaje zestawione połączenie z urządzeniem. Po zaaprobowaniu umowy urządzenie nie będzie jej wyświetlać ponownie. Następnym krokiem jest zalogowanie się do portalu administracyjnego. Domyślny użytkowniku admin, hasło admin. 6

7 Oprogramowanie wymusza zmianę hasła dla administratora. Hasła są kontrolowane przez mechanizmy PAM i muszą być odpowiednio skomplikowane oraz nie opierać się na słowach ze słownika. Możliwe jest również wygenerowanie pliku, który umożliwi zalogowanie w przypadku, gdy zostanie utracone hasło administratora. System prosi o podanie pytania oraz odpowiedzi zabezpieczającej. 7

8 Następnie należy określić lokalizację pliku, potrzebnego do odtworzenia haseł. Po zmianie hasła (i ewentualnym wygenerowaniu wspomnianego pliku) uruchamia się program konfiguracyjny. Pierwszym krokiem jest konfiguracja połączeń sieciowych. Urządzenie standardowo wyposażone jest w dwa interfejsy typu ethernet, z czego pierwszy jest skonfigurowany fabrycznie. 8

9 Na tym etapie możemy zmienić ustawienia adresów IP lub, na przykład, zdefiniować interfejsy wirtualne. Następnie definiuje się tablicę routingu, w tym trasę domyślną. Kolejnym krokiem jest określenie adresów IP serwerów DNS, oraz zdefiniowanie nazwy komputera, nazwy domeny i wybranie podstawowego interfejsu sieciowego. Jest to istotne, ponieważ niektóre usługi będą dostępne poprzez ten interfejs. 9

10 Należy jeszcze skonfigurowanć czas, datę, oraz serwera NTP (o ile taki jest zainstalowany). Po zatwierdzeniu wprowadzonych zmian rozpoczyna się proces inicjalizacji urządzenia. Po zakończeniu inicjalizacji urządzenie informuje o tym wyświetlając odpowiedni komunikat, po czym zostaje wyświetlona strona statusu. Po wykonaniu powyższych czynności konfiguracyjnych urządzenie jest gotowe do pracy, ale dobrą praktyką jest sprawdzenie, czy na stronie producenta są dostępne uaktualnienia systemu. Jeżeli tak, to należy rozważyć ich instalację. Proces instalacji uaktualnień nie jest 10

11 czasochłonny i nie wymaga od użytkownika specjalistycznej wiedzy. W przypadku wystąpienia błędów istnieje możliwość prostego odtworzenia poprzedniej konfiguracji. W celu instalacji uaktualnień należy z menu Settings wybrać opcję Device, a następnie Upgrade, podać ścieżkę do pliku *.tgz, który został uprzednio pobrany ze strony usercenter.checkpoint.com i wgrać plik do urządzenia. Po wgraniu pliku w okienku statusu na dole strony pojawi się informacja o tym, że plik został przegrany do urządzenia. Następnie należy wybrać (lub nie) opcję bezpiecznego lub podwójnie bezpiecznego uaktualnienia. W pierwszym przypadku wykonywana jest kopia migawkowa (snapshoot) urządzenia, z którego zostanie odtworzona konfiguracja, w przypadku, gdyby aktualizacja się nie powiodła. W przypadku podwójnie bezpiecznego uaktualnienia, wymagana jest jeszcze prawidłowo przeprowadzona procedura logowania do urządzenia w ciągu określonego czasu. Gdyby się nie powiodła, to urządzenie powróci do poprzedniego stanu (przed uaktualnieniem). W czasie procedury uaktualniania na bieżąco jest wyświetlany jej stan. Po uaktualnieniu urządzenie wykona automatycznie restart. 11

12 Po prawidłowo zakończonej procedurze, wymagane jest ponowne zalogowanie się. Aktualna wersja oprogramowania będzie widoczna po zalogowaniu się w menu Status. Proces wgrania uaktualnień kończy podstawową konfigurację systemu. Od tej pory rozpocząć można procedurę konfiguracji poszczególnych aplikacji, kont użytkowników i administratorów. W przypadku utraty hasła administratora istnieje możliwość jego zmiany. Posiadając plik do odzyskiwania hasła, na stronie logowania należy wybrać opcję Forgot your password. W oknie dialogowym należy wskazać uprzednio utworzony plik do odzyskiwania haseł, a następnie nacisnąć Send. System zapyta się o hasło, wyświetlając pytanie pomocnicze: W przypadku podania prawidłowej odpowiedzi system umożliwi zmianę hasła administratora. Pliku do odzyskiwania haseł może być użyty tylko raz. Istnieje jednak możliwość ponownego wygenerowania tegi pliku 12

13 3. Konfiguracja dostępu SSL VPN w urządzeniach Connetra (Web, poczta, system plików). W urządzeniu Connectra istnieje możliwość uruchomienia dostępu poprzez przeglądarkę internetową do trzech typów aplikacji sieciowych. Są to: serwisy www (http/https) poczta elektroniczna (pop3/imap) system plików (smb) Poza tym istnieje możliwość uzykania dostępu do dowolnych usług sieciowych poprzez usługę SSL Network Extender (patrz rozdział 5). Opcje konfiguracyjne administracyjnego. poszczególnych aplikacji definiuje się z poziomu portalu Dla aplikacji www należy podać nazwę, która pojawi się dla tej aplikacji w portalu użytkownika, wybrać poziom wymaganych zabezpieczeń, określić nazwę serwera (lub adres IP) oraz numery portów (jeżeli są inne niż standardowe). Można ponadto w portalu użytkownika umieścić w postaci skrótu link do danej aplikacji webowej. 13

14 Dostęp do plików jest definiowany w sposób bardzo podobny. Należy podać nazwę, która pojawi się w portalu użytkownika, wybrać pożądany poziom zabezpieczeń, określić nazwę netbiosową serwera (lub adres IP). Dodatkowo można ograniczyć dostęp tylko do konkretnych folderów sieciowych. Następnie należy zdefiniować nazwę domyślnej domeny/grupy roboczej (o ile taka jest). Można też zdefiniować, czy dane uwierzytelniające użytkownika mają być podawane przy próbie skorzystania z zasobu, czy też zostanie użyty idetyfikator i hasło, za pomocą których użytkownik zalogował się do portalu. Ponadto można umieścić link do danego udziału plikowego w portalu użytkownika w postaci skrótu. Dostęp do aplikacji pocztowych konfiguruje się w podobny sposób. Istnieje możliwość czytania poczty poprzez zainstalowanego w portalu klienta webmail, gdy wybierze się obsługę za pomocą protokołu IMAP. Gdy chce się używać oprogramowania pocztowego (outlook itp.), wykorzystywany jest protokół POP3. Przy tym o ile wybierze się POP3, to nie ma możliwości czytania poczty przez webmail. Jeżeli chodzi o IMAP, to wspieranych jest wiele powszechnie dostępnych serwerów protokołu IMAP4. 14

15 Dodatkowo można określić poziom zabezpieczeń danej aplikacji (Security->Protection Levels), ustalając, czy użytkownicy będą uwierzytelniani w sposób silny, czy też przy pomocy haseł statycznych/dynamicznych, jak również wymusić zachowanie zawartości pamięci cache w przeglądarce oraz poziom zabezpieczeń dla klienta. Kontrola dostępu do poszczególnych aplikacji dla użytkowników jest realizowana poprzez grupy. Aplikacje przypisuje się do grup użytkowników. Do grup mogą należeć użytkownicy (ale już nie grupy zagnieżdżanie nie jest możliwe). Grupy mogą być wewnętrzne (zdefiniowane w urządzeniu) jak również zewnętrzne, dostarczane przez serwery 15

16 RADIUS/LDAP. Jeden użytkownik może należeć do wielu grup, podobnie, jak i aplikacja może być przypisana do wielu grup. Definiując grupę można od razu dodać do niej użytkowników (choć nie jest to konieczne). Po zdefiniowaniu grup pozostaje już tylko dodać użytkowników, przypisać ich do grup i można rozpocząć korzystanie z portalu. 16

17 Użytkownicy, którzy zostali zdefiniowani w wewnętrznej bazie, z wykorzystaniem schematu Internal logują się przy pomocy hasła nadanego przez administratora. W przeglądarce należy otworzyć stronę portalu urządzenia, a następnie podać identyfikator i hasło. Po weryfikacji identyfikatora i hasła system otwiera stronę portalu danego użytkownika. 17

18 W przypadku aplikacji webowych, czy też dostępu do plików istnieje możliwość wpisania ścieżki do konkretnych zasobów (o ile administrator na to zezwolił) oraz wybór uprzednio zdefiniowanych/zapamiętanych linków. Na poniższym rysunku użytkownik ma otwarte dwie aplikacje webowe, klienta pocztowego oraz swój folder domowy na zdalnym komputerze. 18

19 4. Konfiguracja zabezpieczeń w urządzeniach Connetra (Web Intelligence, Endpoint Security). Connectra poza dostępem SSL VPN oferuje również systemy zabezpieczeń sieciowych i aplikacyjnych: SmartDefense, oraz webowych: Web Intelligence znane z produktów VPN-1 R55 i R55W. Ponadto dostępne są zabezpieczenia stacji końcowych Endpoint Security realizowane w oparciu o oprogamowanie Integrity. System SmartDefence oraz WebIntelligence wymaga regularnych uaktualnień. Producent, po wykupieniu subskrypcji udostępnia tego typu uaktualnienia przez swój serwis internetowy. Uaktualnienia zawierają sygnatury i informacje o nowych zagrożeniach sieciowych. Aby wykonać uaktualnienie, należy wybrać z menu Security -> SmartDefense Service. Aby skonfigurować SmartDefense na leży wybrać z menu Security ->SmartDefense. Dostępne są opcje konfiguracyjne znane z oprogramowania VPN-1 PRO. Można zdefiniować ochronę przed atakami sieciowymi(nework) 19

20 oraz aplikacyjnymi (Applications Intelligence). Connectra ma również wbudowany moduł zapewniający ochronę aplikacji webowych - Web Intelligence. W jego skład wchodzi mechanizm Malicious Code Protection, który analizuje przesyłane do aplikacji dane i decyduje, czy jest to kod szkodliwy czy też nie. Ochronę można ustawić na trzech predefiniowanych poziomach - High, Medium i Low. Można zdefiniować sygnatury znanych ataków, oraz włączyć ochronę przed takimi zagrożeniami, jak Cross Site Scripting, SQL Injection, Command Injection czy też Directory Traversal. 20

21 Ponadto można włączyć inspekcję protokołu HTTP, sprawdzającą zgodność przesyłanych danych ze standardami, blokującą niebezpieczne komendy itp. Ze względu na charakter działania Connectry /terminowanie sesji https klienta kontrola zawartości protokołu http nawiązanie nowej sesji http do serwera docelowego/ pokażemy skanowanie zewnętrznego interfejsu urządzenia Connectra. Wszelkie anomalie i nieprawidłowości protokołu http zostaną wykryte przez Connectrę już na tym etapie. Efekty bezpośredniego skanowanie interfejsu Connectry przy pomocy N-Stealth HTTP Security Scanner. Poniższe zrzuty ekranów zawierają przykładowe wpisy w logach generowane przez Connectrę w wyniku skanowania. Jak widzimy logi generowane są przez moduł WebIntelligence, ruch jest odrzucany, urządzenie informuje również o przyczynie i podaje podejrzany ciąg URL. 21

22 Raporty: Przykładowy raport typu Standard Scan - skanowanie pod kątem wszystkich zdefiniowanych w skanerze security checks. 22

23 Przykładowy raport Top 20 Scan - skanowanie pod kątem SANS Top 20 vulnerabilities. Z punktu widzenia użytkownika: Jeśli żądanie HTTP zostanie uznane za nieprawidłowe lub niebezpieczne zostanie zablokowane, użytkownik zostanie o tym poinformowany i zostanie wygenerowany odpowiedni wpis do dziennika zdarzeń. W poniższym przypadku komunikat został wywołany przez próbe directory traversal ciąg../../ wpisany ręcznie przez użytkownika zaraz po adresie IP. 23

24 Endpoint Security W zakresie kontroli poziomu bezpieczeństwa stacji użytkownika łączącego się do zasobów sieci korporacyjnej za pomocą SSL VPN, Connectra, w ramach ICS (Integrity Clientless Security) oferuje sprawdzenie trzech elementów bezpieczeństwa zdalnej maszyny: - obecności personalnego firewall a (musi być to produkt ZoneLabs z linii Integrity), - obecności złośliwego oprogramowania - Malware, - obecności oprogramowania antywirusowego, włącznie z kontrolą aktualności sygnatur wirusów. Aby skonfigurować ICS przechodzimy w menu Connectry do Security > EndpointSecurity. 1. Zakładka General Settings: a) pozwala uaktywnić kontrolę ICS, Security>Protection Levels Dla każdego z trzech poziomów bezpieczeństwa, administrator może określić, czy kontrola ICS musi być aktywna, aby dopuścić użytkownika do zasobów i czy użytkownik musi użyć Integrity Secure Browser aby uzyskać dostęp. 24

25 b) Pozwala wymusić obecność personalnego firewall a Connectra nie ingeruje w sprawdzenie polityki bezpieczeństwa firewall a na stacji roboczej, umożliwia sprawdzenie, czy jest zainstalowany i czy jest uruchomiony. W przypadku nie spełnienia żądanych warunków użytkownik nie uzyskuje dostępu do portalu, a administrator ma do dyspozycji komunikat tekstowy lub przekierowanie do okreslonego URLa, aby poinformować użytkownika o przyczynie odmowy dostępu. c) Pozwala wymusić użycie przeglądarki Integrity Secure Browser. Integrity Secure Browser to przeglądarka autorstwa Check Point pozwalająca na bezpieczny dostęp do zasobów korporacyjnych poprzez portal Connectry. Nie ma potrzeby instalacji na zdalnych stacjach, przy próbie dostępu do Connectry ISB jest automatycznie pobierana i uruchamiana na komputerze zdalnego użytkownika. 2. Security>Endpoint Security>Malware Protection sprawdzanie obecności i usuwanie złośliwego oprogramowania Connectra oferuje ochronę przed 9 typami złośliwego oprogramowania, wykrywa na zdalnej stacji min. konie trojańskie, narzędzia hakerskie, dialery etc. Administrator ma możliwość wyboru jednej z trzech opcji dla każdej z kategorii /od najmniej do najbardziej restrykcyjnej/: Don t scan stacja zdalna nie jest skanowana pod kątem obecności danej kategorii malware. Scan and ask user stacja zdalna jest skanowana pod kątem obecności danej kategorii malware, w przypadku wykrycia administrator pozostawia użytkownikowi decyzję o dostępie. 25

26 Scan and prevent connectivity - stacja zdalna jest skanowana pod kątem obecności danej kategorii malware, w przypadku wykrycia dostęp jest zabroniony. Ta opcja jest domyślna dla wszystkich kategorii oprócz Third Party Cookies dla której domyślna jest opcja Scan and ask user. Lista programów/procesów wykrywanych przez Connectrę w każdej z kategorii jest niejawna i nie jest publikowana. W przypadku wykrycia złośliwego oprogramowania administrator ma możliwość wymuszenia próby jego neutralizacji. Użytkownik jest informowany o programach/procesach wykrytych podczas skanowania i o tych, które udało się zdezaktywować. 3. Security>Endpoint Security>Anti-Virus Rules definicja polityki antywirusowej. 26

27 Connectra oferuje możliwość definiowania reguł polityki antywirusowej dla 7 popularnych programów antywirusowych Administrator aktywując określoną regułę, może ustawić dodatkowe wymagania dla oprogramowania antywirusowego. Po kliknięciu na nazwę, mamy możliwość ustawienia dodatkowych parametrów Anti Virus Constraints : - minimalną żądaną wersję engin a - minimalną wersję pliku z sygnaturami: tu mamy 3 różne możliwości określenia wersji, - określenie, czy oprogramowanie ma być zainstalowane, czy i zainstalowane i uruchomione. 27

28 Po określeniu wymagań wracamy do Security>Endpoint Security>Anti-Virus Rules i w sekcji Action definiujemy zachowanie Connectry w przypadku niespełnienia wymagań dotyczących oprogramowania antywirusowego przez stację końcową. Możemy zezwolić na połączenie, informując użytkownika o różnicach w jego konfiguracji w stosunku do konfiguracji wymaganej lub zabronić połączenia. Mamy możliwość poinformowania użytkownika o przyczynie nieudanego połączenia poprzez wyświetlenie komunikatu lub przekierowanie do określonego URLa. Efekty konfiguracji ICS. Pierwsze logowanie użytkownika do portalu Connectry. Po uruchomieniu przeglądarki i wpisaniu przy aktywnej kontroli ICS użytkownik jest proszony o akceptację uruchomienia Integrity Clientless Security for Connectra. 28

29 Po kliknięciu Yes następuje załadowanie wtyczki (plug-in) i skanowanie maszyny użytkownika. W przypadku zastrzeżeń co do konfiguracji zdalnej maszyny użytkownik jest informowany o rezultatach w naszym przypadku wystąpiły 2 krytyczne błędy brak oprogramowania antywirusowego i brak personalnego firewall a nie mamy możliwości dostępu do portalu. Jedyną opcją jest Scan Again oczywiście dopiero po tym jak zainstalujemy żądane oprogramowanie lub zniesiemy restrykcje na antywirusa i klienta Integrity. 29

30 Po złagodzeniu restrykcji: Security > EndpointSecurity > General Settings brak wymagań co do klienta Integrity oraz Security > EndpointSecurity > Anti Virus Rules dezaktywowacja reguł antywirusowych. I Skanowanie ujawniło kilka Third Party Cookies, jednak domyślne ustawienie w sekcji Malware Scan and ask user pozwala na dostep do portalu. Po kliknięciu Continue anyway uzyskujemy dostep do portalu urządzenia Connectra i możemy się zalogować. 30

31 4. Korzystanie z przeglądarki Integrity Secure Browser W sekcji Security > EndpointSecurity > General Settings zaznaczamy Enable Integrity Secure Browser. Łączymy się do portalu Connectry Klikamy Continue, akceptujemy ściągnięcie plug-ina 31

32 Czekamy na załadowanie przeglądarki I po chwili możemy się zalogować do portalu korzystając z ISB. 32

33 5. Konfiguracja dostępu do dowolnych aplikacji poprzez SSL Network Extender. SSL Network Extender umożliwia, przy wykorzystaniu technologii SSL VPN, bezpieczny dostęp do zasobów korporacyjnych wymagających użycia innego protokołu niż http. Przesyła bezpiecznym, szyfrowanym tunelem SSL ruch aplikacyjny ze zdalnej stacji do urządzenia Connectra. Przy pomocy SSL Network Extendera tunelowany może być praktycznie każdy protokół oparty o IP (TCP, UDP, ICMP, etc.) co umożliwia korzystanie z dowolnych aplikacji (telnet, ftp, usługi terminalowe) poprzez SSL VPN. Klient SSL Network Extender to kontrolka ActiveX automatycznie ładowana przez portal Connectry nie ma konieczności instalacji i konfiguracji oprogramowania klienckiego na zdalnych maszynach, jak ma to miejsce w przypadku rozwiązań IPSec. Rozwiązanie SSL Network Extender dostępne jest za darmo jeśli jest wykorzystywane z urządzeniem Connectra (może być również wykorzystywane z regularnym gateway em VPN-1 PRO, ale wtedy podlega odrębnemu licencjonowaniu). Przykładowo, chcemy zdefiniować dostęp za pomocą SNXa do usługi FTP. Connectra i serwer FTP znajdują się w tym samym segmencie sieci wewnętrznej LAN, który jest chroniony przez Firewall-1. Środowisko testowe i adresacja IP: Sieć Internal /24 FTP_Server /24 Connectra /24 /STATIC NAT za adresem z sieci External / Connectra_NAT /24 Sieć External /24 Remote_PC /24 geko internal /24 external /24 33

34 Reguły firewall a. Polityka bezpieczeństwa jest bardzo prosta, udostępniamy administracyjny i użytkowy dostęp do Connectry ze świata zewnętrznego. W naszym przypadku Connectra była zarządzana z maszyny Remote_PC, stąd również dostęp administracyjny. Serwisy http i https są predefiniowane, SNX i Connectra_ADMIN zostały stworzone jako serwisy TCP z numerami portów odpowiednio 444 i Konfiguracja Connectry Zakładamy, że użytkownicy i grupy już istnieją. Aby umożliwić im korzystanie z aplikacji sieciowych przez SNXa musimy skonfigurować następujące elementy: a) Zdefiniowanie aplikacji sieciowych, b) Przyporządkowanie aplikacji do grup użytkowników c) Konfiguracja SSL Network Extender a Definiowanie aplikacji sieciowych Wybieramy z menu Applications->Network Applications New i definiujemy usługę. W sekcji General podajemy nazwę i informację o naszej aplikacji jakie mają się wyświetlić w portalu użytkownika. W sekcji Connection Configuration określamy typ połączenia (w naszym przypadku Client to Server) i adres IP serwera FTP. Możemy określić również zakres adresów jeśli daną usługę świadczy więcej serwerów. 34

35 W sekcji Services określamy protokół z jakiego dana usługa korzysta, oczywiście możemy stworzyć własny nowy serwis w razie potrzeby. Po wyborze serwisu klikamy na dole strony; nowo zdefiniowany serwis został zachowany i można go przypisać do określonej grupy użytkowników. Przyporządkowanie aplikacji do grup użytkowników Wybieramy z menu Users and Groups> User Groups - Wybieramy grupę użytkowników, której chcemy zezwolić na korzystanie z aplikacji, 35

36 klikamy na link grupy, przechodzimy do zakładki Network Access, zdefiniowana przez nas aplikacja FTP jest dostępna i gotowa do dodania. Wybieramy aplikację z listy i przez klinkięcie Add dodajemy do grupy. Konfiguracja SSL Network Extender a Będąc cały czas we właściwościach grupy użytkowników przechodzimy do zakładki Home Page. W sekcji SSL Network Extender Launch Mode określamy, czy chcemy by SNX był uruchamiany automatycznie po zalogowaniu użytkownika do portalu, czy też chcemy, aby użytkownik aktywował SNXa na własne życzenie. 36

37 Zapisujemy konfigurację grupy klikając przechodząc do Settings > SSL Network Extender. i kontynuujemy konfigurację SNXa W General Settings aktywujemy SNXa i określamy jego zachowanie po zakończeniu połączenia. Do wyboru są trzy opcje: - zachowanie zainstalowanego SNXa, - odinstalowanie SNXa, - pozostawienie decyzji użytkownikowi Zakładka Security pozwala na określenie minimalnego poziomu Protection Level użytkowników, którym można SSL Network Extender a udostepniać. 37

38 Zakładka Upgrade określa zachowanie SNXa w przypadku, kiedy na zdalnej maszynie z której łączy się użytkownik zainstalowana jest starsza wersja SSL Network Extendera. SNX łacząc się z urządzeniem Connectra używa mechanizmu OfficeMode znanego z SecureClient'a. Zakładka Network Address pozwala na zdefiniowanie adresu sieci z której kolejno będą przydzialane adresy IP zdalnym stacjom korzystającym z SSL Network Extendera. Tutaj określa się również do którego adresu IP SNX zestawia szyfrowane połączenie i czy ma być maskowany adres IP łączących się klientów końcowych. Kolejne dwie zakładki WINS Servers i DNS pozwalają na przekazanie dodatkowych parametrów zdalnym klientom. Zapisujemy konfigurację klikając Network Extendera. i ten krok kończy przykładową konfigurację SSL Po zalogowaniu się do portalu Connectry jako użytkownik należący do grupy posiadającej prawo do korzystania z SNXa widać grupę Network Applications, zawierającą zdefiniowaną usługę FTP. Przy zdefiniowaniu uruchomienia SNXa na żądanie, 38

39 aby zestawić bezpieczny tunel trzeba nacisnąć klawisz Connect Klikając Settings po prawej stronie sekcji Network Applications (lub w górnej części portalu) użytkownik może zmienić to ustawienie. Po naciśnięciu Connect, użytkownik wyraża zgodę na instalację i uruchomienie SSL Network Extendera Instalacja trwa kilkanaście sekund, po czym ukazuje się okienko SNXa Przy pierwszym połączeniu do urządzenia Connectra, gateway prezentuje adres IP i fingerprint. Jeśli użytkownik zaakceptuje identyfikację gateway a połączenie zostaje nawiązane, co jest wyraźnie widoczne w oknie SNXa. Minimalizujemy okno SSL Network Extendera i sprawdzamy łączność z serwerem FTP. 39

40 Z maszyny Remote_PC można już zestawić połączenie do serwera FTP. Logi serwera ftp: Zarówno w logach, jak i na konsoli serwera ftp widać, że połączenie klienta zostało zamaskowane adresem IP interfejsu Connectry. 40

41 6. Konfiguracja uwierzytelniania użytkowników Connectra za pomocą haseł dynamicznych (tokeny ActivCard, RADIUS). Connectra, podobnie jak i inne produkty firmy Checkpoint pozwalają na integrację z oprogramowaniem innych dostawców (w ramach aliansu OPSEC), między innymi z systemami silnego uwierzytelniania. Jednym z takich rozwiązań jest oprogramowanie ActivPack(AAA) firmy ActivCard. Integracja z systemami Checkpoint odbywa się z wykorzystaniem protokołu Radius(v.2). Hasła dynamiczne (synchroniczne) mogą być generowane za pomocą tokenów lub kart inteligentnych. Uwierzytelnianie może być zrealizowane na dwa sposoby. Przede wszystkim należy zdefiniować użytkowników na serwerze AAA. Następnie można zdefiniować użytkowników o takich samych identyfikatorach w urządzeniu Connectra jest to jeden ze sposobów. Taka konfiguracja wymaga ręcznego zamapowania użytkowników do grup lokalnych na urządzeniu Connectra. Drugą metodą jest stworzenie grup zewnętrznych typu RADIUS. Użytkownicy do tych grup są przypisywani automatycznie przez serwer AAA. Domyślnie jest do tego używany atrybut Class w słowniku protokołu RADIUS. Aby dodać użytkownika, który będzie uwierzytelniany przez serwer AAA, należy wybrać schemat uwierzytelniania RADIUS. 41