2. Wstępna konfiguracja FireWall-1
Transkrypt
2. Wstępna konfiguracja FireWall-1
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 Spis treści 1. WPROWADZENIE 3 2. WSTĘPNA KONFIGURACJA FIREWALL-1 4 3. KONFIGURACJA BAZY UŻYTKOWNIKÓW 6 4. ZDEFINIOWANIE REGUŁY USER AUTHENTICATION W POLITYCE BEZPIECZEŃSTWA FIREWALL-1 7 5. UWIERZYTELNIANIE USER AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE SYNCHRONICZNYM 8 6. UWIERZYTELNIANIE USER AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE "WYZWANIE-ODPOWIEDŹ" 10 7. ZDEFINIOWANIE REGUŁY CLIENT AUTHENTICATION W POLITYCE BEZPIECZEŃSTWA FIREWALL-1 12 8. UWIERZYTELNIANIE CLIENT AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE SYNCHRONICZNYM 13 9. UWIERZYTELNIANIE CLIENT AUTHENTICATION ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE "WYZWANIE-ODPOWIEDŹ" 14 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: [email protected] Copyright by CLICO Centrum Oprogramowania, 1991-2001. 2 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 1. Wprowadzenie System zabezpieczeń Check Point FireWall-1 jest najbardziej renomowanym rozwiązaniem klasy Firewall na świecie (wg IDC 41% rynku, certyfikaty rządowe UK ITSEC, US Common Criteria). Zabezpieczenia FireWall-1 w zakresie wiarygodnej identyfikacji użytkowników systemu informatycznego mogą zostać sprawnie wzmocnione przez zastosowanie technologii ActivCard. System identyfikacji cyfrowej ActivPack uzyskał od Check Point certyfikat zgodność OPSEC. Procedura integracji serwera uwierzytelniania ActivPack z systemem zabezpieczeń FireWall-1 została przedstawiona na praktycznym przykładzie instalacji w sieci laboratoryjnej (patrz rysunek). Serwer uwierzytelniania ActivPack IP: 192.168.203.100 RADIUS IP: 192.168.203.50 User/Client Authentication IP: 212.76.48.91 Stacja użytkownika W przedstawionych przykładach i urządzenia: − Check Point FireWall-1 v4.1/SP5, − ActivPack v4.4, − tokeny ActivCard Token One. System zabezpieczeń Check Point VPN-1/FireWall-1 wykorzystano Copyright by CLICO Centrum Oprogramowania, 1991-2001. następujące Serwer usługi oprogramowanie 3 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 2. Wstępna konfiguracja FireWall-1 1/ W definicji obiektu FireWall-1 Gateway ustalamy RADIUS jako dozwoloną metodę uwierzytelniania użytkowników. 2/ Definiujemy obiekt sieciowy Workstation dla serwera ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 4 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 3/ Definiujemy obiekt serwera RADIUS (Manage | Servers | New). W konfiguracji serwera RADIUS należy podąć m.in.: − komputer (Host), gdzie zainstalowany został serwer ActivPack, − port (Service), na którym dostępne są usługi serwera ActivPack (domyślnie 1812/udp), − kod dostępu do serwera RADIUS (Shared Secret), ustalony w konfiguracji serwera ActivPack. 4/ W polityce bezpieczeństwa FireWall-1 zezwalamy na komunikację pomiędzy maszyną FireWall-1 Gateway i serwerem ActivPack za pomocą protokołu RADIUS (domyślnie 1812/udp). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 5 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 3. Konfiguracja bazy użytkowników 1/ Definiujemy użytkownika generic* z metodą uwierzytelniania RADIUS (Manage | Users | New | Default). Uwaga: − Użytkownik generic* z metodą uwierzytelniania RADIUS zdefiniowany w bazie FireWall-1 oznacza, ze istnieje zewnętrzna baza użytkowników na serwerze RADIUS, z której FireWall1 powinien korzystać. − W razie potrzeby zablokowania dostępu dla określonych użytkowników z bazy serwera RADIUS należy ich zdefiniować na FireWall-1 i ustalić dla nich metodę uwierzytelniania "Undefined". − Definiowanie użytkownika generic* nie jest konieczne (tzn. na FireWall-1 można zdefiniować tylko wybranych użytkowników z serwera RADIUS). 2/ Definiujemy grupę użytkowników np. 'Lokalni' (Manage | Users | New | Group), do której dodajemy utworzonego użytkownika generic*. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 6 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 4. Zdefiniowanie reguły User Authentication w polityce bezpieczeństwa FireWall-1 1/ W polityce bezpieczeństwa FireWall-1 dodajemy regułę uwierzytelniania użytkowników w trybie User Authentication. 2/ W konfiguracji parametrów User Authentication (2 razy klikamy w ikonę User Auth) przyjmujemy ustawienie 'All servers'. 3/ Instalujemy politykę bezpieczeństwa FireWall-1. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 7 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 5. Uwierzytelnianie User Authentication za pomocą haseł dynamicznych w trybie synchronicznym 1/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez FireWall-1. W oknie przeglądarki wpisujemy identyfikator użytkownika oraz odczytane z tokenu hasło. Po wpisaniu poprawnego identyfikatora i hasła użytkownik uzyskuje dostęp do żądanej strony serwera WWW. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 8 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Uwaga: Metoda uwierzytelniania User Authentication w systemie zabezpieczeń FireWall-1 może zostać wykorzystana do identyfikacji użytkowników serwerów dostępnych za pomocą protokołów HTTP, FTP, Telnet i Rlogin. Dla wszystkich innych usług należy stosować metody uwierzytelniania Client Authentication lub Session Authentication. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 9 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 6. Uwierzytelnianie User Authentication za pomocą haseł dynamicznych w trybie "Wyzwanie-Odpowiedź" 1/ Przygotowanie serwera ActivPack do uwierzytelniania w trybie "Wyzwanie-Odpowiedź" dokonywane jest w ustawieniach Company | Servers | <serwer> | <gate> | Challenge/Check, gdzie ustala się m.in. przyjazne dla użytkownika komunikaty. Dla przykładu, można wprowadzić następujące ustawienia: − wybór trybu "Wyzwanie-Odpowiedź" nastąpi, gdy użytkownik wpisze w polu hasła literę 'w', − długość kodu "Wyzwanie" wynosi 4 znaki (liczby), − serwer w j. polskim poprosi użytkownika o wpisanie kodu "Wyzwanie" do tokenu. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 10 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 2/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez FireWall-1 i uwierzytelniamy tożsamość użytkownika: − W oknie przeglądarki wpisujemy identyfikator użytkownika, a zamiast hasła literę ‘w’ (tzn. umowny wybór trybu uwierzytelniania „Wyzwanie-Odpowiedź”. − Następnie wpisujemy w tokenie otrzymany od serwera kod (tzw. kodu „Wyzwanie”). − Właściwe uwierzytelnianie użytkownika następuje z użyciem hasła wygenerowanego w tokenie (tzw. kodu „Odpowiedź”). 3/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 11 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 7. Zdefiniowanie reguły Client Authentication w polityce bezpieczeństwa FireWall-1 1/ W polityce bezpieczeństwa FireWall-1 dodajemy regułę uwierzytelniania użytkowników w trybie Client Authentication. 2/ Instalujemy politykę bezpieczeństwa FireWall-1. Uwaga: Konfiguracja i zasady działania uwierzytelniania Session Authentication w systemie zabezpieczeń FireWall-1 są bardzo zbliżone do Client Authentication. Wymagane jest jednak zainstalowanie na stacji użytkownika aplikacji Session Authentication Agent. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 12 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 8. Uwierzytelnianie Client Authentication za pomocą haseł dynamicznych w trybie synchronicznym 1/ Za pomocą programu klienta Telnet łączymy się na port 259 maszyny Firewall lub za pomocą przeglądarki WWW na port 900. Uwaga: − Do uwierzytelniania użytkowników w trybie Client Authentication można wykorzystać programy klienta Telnet lub przeglądarkę WWW. Nie znaczy to jednak, że na maszynie FireWall-1 działają serwery Telnet i WWW. Na portach 259/tcp i 900/tcp maszyny FireWall-1 nasłuchują procesy odpowiedzialne za uwierzytelnianie tożsamości użytkowników, z którymi użytkownik może połączyć się z użyciem popularnych aplikacji (tzn. klienta Telnet i przeglądarki WWW). − Tryb uwierzytelniania Client Authentication (w odróżnieniu od User Authentication) może być wykorzystany do kontroli dostępu do dowolnych usług TCP/IP. − Komunikaty wyświetlane przez FireWall-1 powinny zostać zmodyfikowane tak, aby nie informowały użytkowników, jaki system zabezpieczeń jest wykorzystywany do ochrony sieci. 2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 13 Część IV. Integracja ActivCard z systemem zabezpieczeń Check Point FireWall-1 v4.1 9. Uwierzytelnianie Client Authentication za pomocą haseł dynamicznych w trybie "Wyzwanie-Odpowiedź" 1/ Za pomocą klienta Telnet łączymy się na port 259 maszyny Firewall lub za pomocą przeglądarki WWW na port 900. Uwierzytelnianie użytkownika następuje w analogiczny sposób jak w trybie User Authentication. 2/ Proces uwierzytelniania użytkownika analizujemy w logach FireWall-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Więcej informacji nt. systemów zabezpieczeń Check Point i ActivCard można znaleźć na stronach http://www.clico.pl. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 14