Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter



Podobne dokumenty
Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

Zdalny dostęp SSL. Przewodnik Klienta

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

Kancelaria Prawna.WEB - POMOC

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

Instalacja certyfikatu CCK NBP w przeglądarce Mozilla Firefox

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

The Bat Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu The Bat. wersja 1.0

Opis aktualizacji programu Kancelaria Komornika

11. Autoryzacja użytkowników

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Instalacja krok po kroku /instalacja programu, serwera bazy danych/

Instrukcja instalacji nośników USB w systemie internetowym Alior Banku

Instrukcja uzyskania certyfikatu niekwalifikowanego w Urzędzie Miasta i Gminy Strzelin

Instrukcja podłączania komputerów z systemem Microsoft Windows Vista/7 do sieci eduroam

oprogramowania F-Secure

DESlock+ szybki start

Instrukcja instalacji nos niko w USB w bankowos ci Alior Banku

WYPOŻYCZALNIA BY CTI INSTRUKCJA

Instrukcja generowania żądania CSR SOW WERSJA 1.6

4. Podstawowa konfiguracja

Internet Information Service (IIS) 7.0

Poradnik użytkownika pomoc techniczna

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

Instalacja VPN Check Point Mobile Apple macos Hight Sierra (v )

Win Admin Monitor Instrukcja Obsługi

Instrukcja podłączania komputerów z systemem Microsoft Windows 8 do sieci eduroam

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0 UNIZETO TECHNOLOGIES S.A.

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Przewodnik technologii ActivCard

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

ActivCard. ActivClient. Instrukcja użytkownika. Wersja programu 5.4

MultiInfo. Certyfikat dostępu do usługi

INSTALACJA LICENCJI SIECIOWEJ NET HASP Wersja 8.32

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

Bezpieczne logowanie do SAP

Check Point Connectra (SSL VPN) - bezpieczny i łatwy dostęp do sieci

Instalacja certyfikatu CCK NBP w przeglądarce Internet Explorer

Wysyłka wniosko w ZUS - EKS. Instrukcja użytkownika aplikacji Wysyłka wniosków ZUS EKS

R o g e r A c c e s s C o n t r o l S y s t e m 5

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Win Admin Monitor Instrukcja Obsługi

Instrukcjaaktualizacji

I. Uruchomić setup i postępować według instrukcji

Instrukcja konfiguracji funkcji skanowania

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Instrukcja wymiany certyfikatów przeznaczonych do komunikacji aplikacji Komornik SQL z systemem ZUS

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Zintegrowany system usług certyfikacyjnych. Dokumentacja użytkownika. Obsługa wniosków certyfikacyjnych i certyfikatów. Wersja dokumentacji 1.

Instalowanie certyfikatów celem obsługi pracy urządzenia SIMOCODE pro V PN z poziomu przeglądarki internetowej w systemie Android

AKTYWNY SAMORZĄD. Instrukcja instalacji, aktualizacji i konfiguracji.

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej wersja 1.2

Bezpieczeństwo systemów informatycznych

Praca w programie dodawanie pisma.

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

MikroTik Serwer OpenVPN

elektroniczna Platforma Usług Administracji Publicznej

FINNCA INS Instrukcja dla subskrybentów

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Instrukcja instalacji usługi Sygnity SmsService

O2Symfonia by CTI. Instrukcja i opis programu

CEPiK 2 dostęp VPN v.1.7

Konfiguracja konta pocztowego w Thunderbird

elektroniczna Platforma Usług Administracji Publicznej

Instrukcja 1: Instalacja certyfikatu niekwalifikowanego w systemie Microsoft Windows:

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Laboratorium Ericsson HIS NAE SR-16

System Zdalnej Obsługi Certyfikatów 2.0 Instrukcja użytkownika

WYDAWANIE CZYTNIKAMI BY CTI Instrukcja

PUE ZUS Wysyłka elektronicznych zapytan. Instrukcja wysyłki zapytań do ZUZ-PUE za pomocą aplikacji Komornik SQL

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

PUE ZUS Wysyłka elektronicznych zapytan. Instrukcja wysyłki zapytań do ZUZ-PUE za pomocą aplikacji Komornik SQL

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Instrukcja instalacji aplikacji i konfiguracji wersji sieciowej. KomKOD

O2Symfonia by CTI. Instrukcja i opis programu

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

Instrukcja użytkownika

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

Konfiguracja konta pocztowego na szkolnym serwerze

Instrukcja postępowania w celu uzyskania certyfikatu niekwalifikowanego SC Wersja 1.5 z dnia r.

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Łukasz Przywarty Wrocław, r. Grupa: WT/N 11:15-14:00. Sprawozdanie z zajęć laboratoryjnych: OpenSSL

Transkrypt:

Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter Technologia SSL VPN umożliwia pracownikom przebywającym poza siedzibą firmy oraz klientom i partnerom handlowym swobodny dostęp do aktualnych informacji, ktére są im potrzebne do prowadzenia biznesu. Odbywa się to za pomocą zwykłej przeglądarki Web (Microsoft IE, Netscape, Mozilla), tunelując ruch sieciowy w protokole https (SSL, TLS). Opracowane przez Check Point rozwiązanie Connectra łączy w sobie funkcjonalność portalu aplikacyjnego SSL VPN z rozbudowanymi mechanizmami bezpieczeństwa m.in. Intrusion Prevention System, Endpoint Security, Secure Browser. Techniczny opis rozwiązania i zasad jego konfiguracji można znaleźć w dokumencie: http://www.clico.pl/pdf/warsztaty_connectra.pdf Firmy posiadające już zabezpieczenia Check Point (np. FireWall-1, VPN-1) mogą dokonać wdrożenia Connectra w istniejącym środowisku zarządzania Check Point SmartCenter. W takim przypadku naturalnym jest działanie Connectra nie jako oddzielnego urządzenia zabezpieczeń, ale jako dodatkowego modułu w istniejącym już systemie bezpieczeństwa. Daje to wiele korzyści, m.in. Connectra może korzystać z certyfikatéw cyfrowych wydawanych przez urząd certyfikacji Check Point ICA, zdarzenia rejestrowane przez Connectra mogą być analizowane w odniesieniu do logéw firewall. Connectra to pierwsze na rynku rozwiązanie SSL VPN, ktére jest dostępne jako dedykowane urządzenia Appliance oraz w wersji oprogramowania do instalacji na dowolnym sprzęcie. Zastosowanie własnego sprzętu zwiększa skalowalność rozwiązania oraz daje możliwość doboru platformy o odpowiedniej niezawodności i wydajność zgodnie z indywidualnymi preferencjami. Dostępność programowej wersji Connectra SW sprawia, że rozwiązanie to można łatwo przetestować przed podjęciem decyzji o jego zakupie i wdrożeniu.

Zasady integracji Connectra z systemem zarządzania SCS System Connectra w wersji 2.0 umożliwia integrację z innymi modułami firmy Check Point z wykorzystaniem mechanizmu zaimplementowanego w wersji NG, a mianowicie Secure Internal Communication (SIC). Zestawienie połączenia SIC odbywa się z użyciem certyfikatéw cyfrowych, generowanych przez Internal CA, ktäre jest wbudowane w SmartCenter. Komunikacja jest zabezpieczona kryptograficznie przez protokäł SSL. Dzięki zestawieniu SIC, moduły systemu zabezpieczeń mogą się komunikować ze sobą, a administratorzy wykorzystując narzędzia z rodziny SmartView mogą uzyskać zintegrowany obraz systemu bezpieczeństwa. W celu zestawienia połączenia typu SIC w pierwszej kolejności zapewnić należy komunikację sieciową pomiędzy systemem Connectra i serwerem SmartCenter. Następnie przy pomocy narzędzia SmartDashboard należy stworzyć obiekt typu Check Point Host, nadając mu nazwę, podając adres IP oraz wybierając Firewall, jako zainstalowany moduł.

Następnie należy nacisnąć przycisk Communicaton... Zostanie wtedy wyświetlone okno, w ktérym należy wpisać kod, służący do zestawienia połączenia i uwierzytelnienia stron podczas generowaniu certyfikatéw. Po naciśnięciu Initialize proces zestawiania zostanie zainicjalizowany, lecz samo połączenie nie zostanie utworzone. W portalu administracyjnym systemu Connectra, zestawienie połączenia za pomocą SIC dokonuje się w menu Status. Należy nacisnąć przycisk Establish SIC.

W kolejnym kroku otworzy się okienko, w ktärym należy wpisać adres IP SmartCenter Servera, nazwę obiektu Connectra, tak jak została zdefiniowana przy pomocy SmartDashboard oraz kod, ktäry został wprowadzany przy inicjalizacji obiektu. Po zatwierdzeniu wprowadzonych danych, po kilku chwilach komunikacja powinna zostać nawiązana, a na stronie statusu wyświetlona informacja o zestawieniu połączenia z serwerem. Pozostało skonfigurownie centralnego logowania. W menu Status->Log Settings należy zaznaczyć Send logs to SmartCenter server.

Wszystkie logi, zaréwno te związane z dostępem do zasobéw, jak i audytem działań adminstracyjnych będą wysyłane do centralnego serwera logéw. Do péźniejszej obrébki i korelacji logéw może być użyty moduł SmartView Reporter lub inne narzędzie, certyfikowane w ramach aliansu OPSEC. Status systemu Connectra można sprawdzić za pomocą oprogramowania SmartView Status. W ramach elementu SVN Foundation można sprawdzić takie parametry, jak dostępna pamięć, wolne miejsce na dysku, czy obciążenie procesora.

Wykorzystanie certyfikatäw generowanych przez ICA Za pomocą Check Point ICA można wygenerować certyfikaty, ktére będą służyły zaréwno do uwierzytelnienia portalu, jak i użytkownikéw. Aby wygenerować certyfikat dla portalu, należy we właściwościach obiektu Connectra w programie SmartDashboard zaznaczyć kwadracik VPN. Wtedy automatycznie zostanie wygenerowany certyfikat o nazwie defaultcert. Taki certyfikat należy następnie wyeksportować do formatu PKCS12. W tym celu należy zalogować się do systemu, na ktärym jest zainstalowany SmartCenter Server i z linii komend wydać polecenie: vpn export_p12 -obj sslvpn.example.com -cert defaultcert -file sslvpn.cert -passwd abc123 Plik z wyeksportowanym certyfikatem należy przekopiować do komputera, na ktärym dostępne są narzędzia do obräbki plikäw kryptograficznych, na przykład openssl. Z pliku PKCS12 należy wydobyć certyfikat i klucz prywatny. Za pomocą openssl wykonuje się to w sposéb następujący: [root@fedora1 root]# openssl pkcs12 -in sslvpn.cert -nocerts -out sslvpn_key.pem Enter Import Password: MAC verified OK Enter PEM pass phrase: ****** Verifying - Enter PEM pass phrase: ****** A[root@fedora1 root]# openssl pkcs12 -in sslvpn.cert -nokeys -out sslvpn_cert.pem Enter Import Password: ****** MAC verified OK [root@fedora1 root]# Następnie w pliku sslvpn_cert.pem należy usunąć pierwszy certyfikat (ICA), za pomocą na przykład edytora tekstowego. Plik z kluczem prywatnym sslvpn_key.pem oraz certyfikatem sslvpn_cert.pem należy przekopiować na komputer, gdzie jest zainstalowana przeglądarka do zarządzania portalem.

Certificate. Z menu należy wybrać Settings -> Server Certificate, a następnie Change Server W następnym kroku należy podać lokalizację plikäw z certyfikatem i kluczem, oraz wprowadzić hasło, ktäre było użyte przy wydobywaniu kluczy z pliku PKCS12. Po prawidłowym zainstalowaniu system informuje o tym, wyświetlając aktualne dane dotyczące certyfikatu.

Portal przy logowaniu się do niego, będzie się przedstawiał nowym certyfikatem.

Uwierzytelnienie użytkownikñw za pomocą certyfikatñw oraz kart inteligentnych Użytkownicy, logując się do portalu mogą wykorzystywać certyfikaty cyfrowe, w celu potwierdzenia swojej tożsamości. Certyfikaty mogą być przechowywane w plikach, lub urządzeniach kryptograficznych (karty inteligentne, Security Chip-y). Aby uruchomić uwierzytelnianie w oparciu o certyfikaty potrzebny jest certyfikat urzędu, ktéry będzie wystawiał certyfikaty dla użytkownikéw. Może to być dowolny system CA (wspierane są tylko te z aliansu OPSEC). W naszym przypadku będzie to ICA SmartCenter serwera. Certyfikat ICA można uzyskać przy pomocy SmartDashboard.

Po zapisaniu certyfikatu do pliku należy go zaimportować za pomocą portalu administracyjnego do Connectry. W tym celu należy wybrać z menu Users and Groups -> Authentication -> Trusted CA. Po zainstalowaniu certyfikatu należy jeszcze zdefiniować użytkownikäw, ktärzy będą przedstawiać się certyfikatami cyfrowymi. Tacy użytkownicy powinni mieć wybrany schemat uwierzytelnienia Undefined.

W przypadku generowania certyfikatäw z ICA dla użytkownikäw posługujących się kartami i oprogramowaniem ActivCard Gold, jedynym rozsądnym wyjściem jest użycie oprogramowania SecuRemote/SecureClient. W SmartDashboard preinicjalizuje się certyfikat dla konkretnego użytkownika, a następnie za pomocą SR/SC generuje certyfikat bezpośrednio na karcie. W tym celu w oprogramowaniu SR/SC wybiera się z menu Settings -> Certificates -> Checkpoint Certificates -> Create Certificate

Certyfikat należy zapisać za pomocą CAPI, wybierając ActivCard Gold CSP. Następnie należy podać adres IP bramki VPN, na ktérej został wygenerowany kod inicjujący certyfikat, oraz wpisać ten kod.

Po kilku chwilach, potrzebnych do przeprowadzenia operacji kryptograficznych (generowanie kluczy, podpisy cyfrowe) na karcie zostanie umieszczony certyfikat. W celu zalogowania się do portalu z użyciem certyfikatäw, należy w opcjach logowania na stronie wybrać Certificate Sign In, a następnie wybrać certyfikat z listy dostępnych. Po podaniu PINu do karty sprawdzeniu poprawności certyfikatu użytkownik może rozpocząć pracę z portalem.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres