2. Wstępna konfiguracja FireWall-1

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik technologii ActivCard
Część IV. Integracja ActivCard z systemem zabezpieczeń
Check Point FireWall-1 v4.1
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
Spis treści
1. WPROWADZENIE
3
2. WSTĘPNA KONFIGURACJA FIREWALL-1
4
3. KONFIGURACJA BAZY UŻYTKOWNIKÓW
6
4. ZDEFINIOWANIE REGUŁY USER AUTHENTICATION W POLITYCE BEZPIECZEŃSTWA
FIREWALL-1
7
5. UWIERZYTELNIANIE USER AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH
W TRYBIE SYNCHRONICZNYM
8
6. UWIERZYTELNIANIE USER AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH
W TRYBIE "WYZWANIE-ODPOWIEDŹ"
10
7. ZDEFINIOWANIE REGUŁY CLIENT AUTHENTICATION W POLITYCE
BEZPIECZEŃSTWA FIREWALL-1
12
8. UWIERZYTELNIANIE CLIENT AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH
W TRYBIE SYNCHRONICZNYM
13
9. UWIERZYTELNIANIE CLIENT AUTHENTICATION ZA POMOCĄ HASEŁ
DYNAMICZNYCH W TRYBIE "WYZWANIE-ODPOWIEDŹ"
14
W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w
dokumencie produktów prosimy o kontakt: [email protected]
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
2
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
1. Wprowadzenie
System zabezpieczeń Check Point FireWall-1 jest najbardziej renomowanym
rozwiązaniem klasy Firewall na świecie (wg IDC 41% rynku, certyfikaty rządowe UK ITSEC, US
Common Criteria). Zabezpieczenia FireWall-1 w zakresie wiarygodnej identyfikacji
użytkowników systemu informatycznego mogą zostać sprawnie wzmocnione przez
zastosowanie technologii ActivCard. System identyfikacji cyfrowej ActivPack uzyskał od Check
Point certyfikat zgodność OPSEC.
Procedura integracji serwera uwierzytelniania ActivPack z systemem zabezpieczeń
FireWall-1 została przedstawiona na praktycznym przykładzie instalacji w sieci laboratoryjnej
(patrz rysunek).
Serwer uwierzytelniania
ActivPack
IP: 192.168.203.100
RADIUS
IP: 192.168.203.50
User/Client Authentication
IP: 212.76.48.91
Stacja użytkownika
W przedstawionych przykładach
i urządzenia:
− Check Point FireWall-1 v4.1/SP5,
− ActivPack v4.4,
− tokeny ActivCard Token One.
System zabezpieczeń
Check Point VPN-1/FireWall-1
wykorzystano
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
następujące
Serwer usługi
oprogramowanie
3
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
2. Wstępna konfiguracja FireWall-1
1/ W definicji obiektu FireWall-1 Gateway ustalamy RADIUS jako dozwoloną metodę
uwierzytelniania użytkowników.
2/ Definiujemy obiekt sieciowy Workstation dla serwera ActivPack.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
4
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
3/ Definiujemy obiekt serwera RADIUS (Manage | Servers | New).
W konfiguracji serwera RADIUS należy podąć m.in.:
− komputer (Host), gdzie zainstalowany został serwer ActivPack,
− port (Service), na którym dostępne są usługi serwera ActivPack (domyślnie
1812/udp),
− kod dostępu do serwera RADIUS (Shared Secret), ustalony w konfiguracji serwera
ActivPack.
4/ W polityce bezpieczeństwa FireWall-1 zezwalamy na komunikację pomiędzy maszyną
FireWall-1 Gateway i serwerem ActivPack za pomocą protokołu RADIUS (domyślnie 1812/udp).
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
5
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
3. Konfiguracja bazy użytkowników
1/ Definiujemy użytkownika generic* z metodą uwierzytelniania RADIUS (Manage | Users |
New | Default).
Uwaga:
− Użytkownik generic* z metodą uwierzytelniania RADIUS zdefiniowany w bazie FireWall-1
oznacza, ze istnieje zewnętrzna baza użytkowników na serwerze RADIUS, z której FireWall1 powinien korzystać.
− W razie potrzeby zablokowania dostępu dla określonych użytkowników z bazy serwera
RADIUS należy ich zdefiniować na FireWall-1 i ustalić dla nich metodę uwierzytelniania
"Undefined".
− Definiowanie użytkownika generic* nie jest konieczne (tzn. na FireWall-1 można zdefiniować
tylko wybranych użytkowników z serwera RADIUS).
2/ Definiujemy grupę użytkowników np. 'Lokalni' (Manage | Users | New | Group), do której
dodajemy utworzonego użytkownika generic*.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
6
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
4. Zdefiniowanie reguły User Authentication w polityce
bezpieczeństwa FireWall-1
1/ W polityce bezpieczeństwa FireWall-1 dodajemy regułę uwierzytelniania użytkowników w
trybie User Authentication.
2/ W konfiguracji parametrów User Authentication (2 razy klikamy w ikonę User Auth)
przyjmujemy ustawienie 'All servers'.
3/ Instalujemy politykę bezpieczeństwa FireWall-1.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
7
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
5. Uwierzytelnianie User Authentication za pomocą haseł
dynamicznych w trybie synchronicznym
1/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez
FireWall-1. W oknie przeglądarki wpisujemy identyfikator użytkownika oraz odczytane z tokenu
hasło.
Po wpisaniu poprawnego identyfikatora i hasła użytkownik uzyskuje dostęp do żądanej
strony serwera WWW.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
8
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer
oraz w logach serwera uwierzytelniania ActivPack.
Uwaga:
Metoda uwierzytelniania User Authentication w systemie zabezpieczeń FireWall-1 może zostać
wykorzystana do identyfikacji użytkowników serwerów dostępnych za pomocą protokołów HTTP,
FTP, Telnet i Rlogin. Dla wszystkich innych usług należy stosować metody uwierzytelniania
Client Authentication lub Session Authentication.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
9
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
6. Uwierzytelnianie User Authentication za pomocą haseł
dynamicznych w trybie "Wyzwanie-Odpowiedź"
1/ Przygotowanie serwera ActivPack do uwierzytelniania w trybie "Wyzwanie-Odpowiedź"
dokonywane jest w ustawieniach Company | Servers | <serwer> | <gate> | Challenge/Check,
gdzie ustala się m.in. przyjazne dla użytkownika komunikaty.
Dla przykładu, można wprowadzić następujące ustawienia:
− wybór trybu "Wyzwanie-Odpowiedź" nastąpi, gdy użytkownik wpisze w polu hasła
literę 'w',
− długość kodu "Wyzwanie" wynosi 4 znaki (liczby),
− serwer w j. polskim poprosi użytkownika o wpisanie kodu "Wyzwanie" do tokenu.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
10
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
2/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez
FireWall-1 i uwierzytelniamy tożsamość użytkownika:
− W oknie przeglądarki wpisujemy identyfikator użytkownika, a zamiast hasła literę ‘w’ (tzn.
umowny wybór trybu uwierzytelniania „Wyzwanie-Odpowiedź”.
− Następnie wpisujemy w tokenie otrzymany od serwera kod (tzw. kodu „Wyzwanie”).
− Właściwe uwierzytelnianie użytkownika następuje z użyciem hasła wygenerowanego w
tokenie (tzw. kodu „Odpowiedź”).
3/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer
oraz w logach serwera uwierzytelniania ActivPack.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
11
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
7. Zdefiniowanie reguły Client Authentication w polityce
bezpieczeństwa FireWall-1
1/ W polityce bezpieczeństwa FireWall-1 dodajemy regułę uwierzytelniania użytkowników w
trybie Client Authentication.
2/ Instalujemy politykę bezpieczeństwa FireWall-1.
Uwaga:
Konfiguracja i zasady działania uwierzytelniania Session Authentication w systemie
zabezpieczeń FireWall-1 są bardzo zbliżone do Client Authentication. Wymagane jest jednak
zainstalowanie na stacji użytkownika aplikacji Session Authentication Agent.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
12
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
8. Uwierzytelnianie Client Authentication za pomocą haseł
dynamicznych w trybie synchronicznym
1/ Za pomocą programu klienta Telnet łączymy się na port 259 maszyny Firewall lub za pomocą
przeglądarki WWW na port 900.
Uwaga:
− Do uwierzytelniania użytkowników w trybie Client Authentication można wykorzystać
programy klienta Telnet lub przeglądarkę WWW. Nie znaczy to jednak, że na maszynie
FireWall-1 działają serwery Telnet i WWW. Na portach 259/tcp i 900/tcp maszyny FireWall-1
nasłuchują procesy odpowiedzialne za uwierzytelnianie tożsamości użytkowników, z którymi
użytkownik może połączyć się z użyciem popularnych aplikacji (tzn. klienta Telnet
i przeglądarki WWW).
− Tryb uwierzytelniania Client Authentication (w odróżnieniu od User Authentication) może być
wykorzystany do kontroli dostępu do dowolnych usług TCP/IP.
− Komunikaty wyświetlane przez FireWall-1 powinny zostać zmodyfikowane tak, aby nie
informowały użytkowników, jaki system zabezpieczeń jest wykorzystywany do ochrony sieci.
2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer
oraz w logach serwera uwierzytelniania ActivPack.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
13
Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1
9. Uwierzytelnianie Client Authentication za pomocą haseł
dynamicznych w trybie "Wyzwanie-Odpowiedź"
1/ Za pomocą klienta Telnet łączymy się na port 259 maszyny Firewall lub za pomocą
przeglądarki WWW na port 900. Uwierzytelnianie użytkownika następuje w analogiczny sposób
jak w trybie User Authentication.
2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer
oraz w logach serwera uwierzytelniania ActivPack.
Więcej informacji nt. systemów zabezpieczeń Check Point i ActivCard można znaleźć na
stronach http://www.clico.pl.
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
14