Tunel VPN przy użyciu CheckPoint NGX
12 września 2007 13:14
Patryk Królikowski
W administrowaniu systemem firewallowym takim jak CheckPoint NGX kiedyś przychodzi moment, kiedy potrzebne jest uruchomienie funkcjonalności VPN dla użytkowników mobilnych. Przeważnie też jest to zadanie na wczoraj. Jak więc w kilku prostych krokach uruchomić funkcjonalność VPN Client-to-Site?
Wszystko zależy do tego w jakim trybie chcemy uruchomić funkcjonalność VPN. CheckPoint udostępnia dwa tryby - tzw. Simplified oraz Traditional. W pierwszym przypadku konfiguracja tuneli odbywa się za pomocą tzw. community widocznych w konsoli SmartDashboard w zakładce VPN i nie ma tutaj potrzeby tworzenia dodatkowych reguł "sterujących" kanałem VPN. W drugim przypadku konieczna jest ręczna modyfikacja reguł pozwalająca na ustanowienie kanału VPN. Jest ona bardziej żmudna w konfiguracji, ale daje większą kontrolę nad tym, co w trawie piszczy.
Wybór pomiędzy metodami dokonywany jest z poziomu okna Policy -> Global Properties -> VPN w konsoli SmartDashboard. Po dokonaniu wyboru należy włączyć (jeżeli nie jest już włączona) funkcjonalność VPN na obiekcie zapory, która będzie miała ją realizować.
Włączenie funkcjonalności VPN na obiekcie zapory
Jeżeli wybraliśmy tryb Simplified przechodzimy do zakładki VPN w SmartDashboard i definiujemy parametry Community dostępu zdalnego (Remote-Access). Konfiguracja sprowadza się tutaj tylko i wyłącznie do wskazania zapory, która będzie pełniła rolę koncentratora VPN oraz grupy użytkowników, którzy będą mieli prawo z niej skorzystać.
Przy okazji - jeżeli nie chcemy udostępniać VPN-a wszystkim użytkownikom, a tylko ich ograniczonemu kręgowi możemy stworzyć nową grupę użytkowników klikając New w oknie "Participant User Groups" (we właściwościach Community Remote-Access). Po stworzeniu nowej grupy należy dodać do niej, lub zdefiniować od podstaw użytkowników. Możemy to zrobić z poziomu menu Manage -> Users and Administrators w konsoli SmartDashboard. Z punktu widzenia VPN-ów definiując nowego użytkownika najważniejsze jest nadanie mu "loginu" (zakładka "General"), wskazanie metody uwierzytelniania (zakładka "Authentication"), czasu ważności konta (zakładka "Personal") oraz grupy, do której należy (zakładka "Groups").
Mając już zdefiniowane te parametry można przejść do kolejnego kroku - wskazania domeny szyfrowania (Encryption Domain). Operację tą wykonuje się z poziomu menu Topology we właściwościach obiektu zapory (pole "Set domain for Remote Access Community").
Wskazanie domeny szyfrowania
Wreszcie należy stworzyć reguły, które będą zezwalały grupom użytkowników na dostęp do określonych zasobów. Koniecznie trzeba pamiętać o tym, że nie ma możliwości wskazania pojedynczego użytkownika w regule dostępu VPN - operacje możliwe są tylko i wyłącznie na grupach. Jedynym więc sposobem na zmodyfikowanie zasady dostępowych dla jednego użytkownika jest stworzenie jednoosobowej grupy. Jeżeli zatem planujemy tworzenie wielu zróżnicowanych reguł dostępowych dla C-to-S VPN, to mamy dwie możliwości. Albo na poziomie community dodanie wszystkich użytkowników (obiekt "All Users") i wówczas regulowanie dostępu tylko regułami, albo wraz z pojawieniem się nowej grupy każdorazowe dodawanie jej do community, a następnie tworzenie odpowiedniej reguły.
Tworzenie reguły odbywa się w sposób standardowy z poziomu zakładki Security. Najpierw w polu Source wskazujemy grupę użytkowników ("Add Users Access"). W polu Destination wskazujemy zasób, do którego użytkownicy będą mieli dostęp (w ramach domeny enkrypcji). W polu VPN wybieramy jako "Match conditions" opcję "Only connections encrypted in specific VPN Communities" i w oknie poniżej dodajemy community Remote-Access. W polu Service wskazujemy przepuszczane usługi; w Action wybieramy "Accept". W polu "Track" wskazujemy sposób logowania reguły (lub jego brak), a następnie wskazujemy, na której zaporze reguła zostanie zainstalowana.
W końcu należy zainstalować politykę bezpieczeństwa (Policy -> Install).
Mając skonfigurowanego firewalla można przystąpić do instalowania i konfigurowania oprogramowania klienckiego. Klient VPN jest dystrybuowany w dwóch odmianach SecuRemote oraz SecureClient (co ciekawe, dostarczanych w postaci jednego instalatora - wyboru dokonuje się podczas instalacji). Różnica pomiędzy nimi jest dosyć duża - ten drugi, oprócz podstawowej funkcjonalności VPN, jest min. centralnie zarządzanym osobistym firewallem, umożliwia uruchomienie trybu "Office mode" oraz pozwala na inspekcję zgodności stacji klienckiej z polityką bezpieczeństwa poprzez tzw. SCV (Security Configuration Vertification) np. sprawdzenie wersji oprogramowania antywirusowego przed zezwoleniem na nawiązanie połączenia itp.
Na potrzeby szybkiego uruchomienia dostępu VPN wystarczy SecuRemote, który jest produktem nie objętym dodatkowym licencjonowaniem i dostarczanym wraz z zaporą Check Point.
Konfiguracja sprowadza się do jego zainstalowania na stacji klienckiej oraz wykonania następujących kroków:
1. Wybór rodzaju klienta - SecuRemote
2. Zdefiniowanie nowego połączenia
3. Wskazanie adresu bramy
4. Wybór metody uwierzytelniania
5. Uwierzytelnienie
6. Sposób połączenia z bramą (Advanced tylko w przypadku problemów z trybem Standard)
7. Nawiązanie połączenia z bramą i przesłanie "odcisku palca" certyfikatu
8. Prawidłowe utworzenie połączenia
9. Na koniec nawiązanie połączenia
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...