ActivPack to system identyfikacji cyfrowej przeznaczony do

Transkrypt

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA
Przewodnik technologii ActivCard
Część V. Integracja ActivCard z systemem zabezpieczeń
Check Point VPN-1 v4.1
CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698;
E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl
Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1
Spis treści
1. WPROWADZENIE
3
2. WSTĘPNA KONFIGURACJA VPN-1 GATEWAY
4
3. KONFIGURACJA VPN-1 GATEWAY W TRYBIE "HYBRID MODE"
8
4. KONFIGURACJA BAZY UŻYTKOWNIKÓW
9
5. ZDEFINIOWANIE REGUŁY CLIENT ENCRYPTION W POLITYCE BEZPIECZEŃSTWA
VPN-1 GATEWAY
11
6. WSTĘPNA KONFIGURACJA KLIENTA VPN (SECUREMOTE)
12
7. UWIERZYTELNIANIE UŻYTKOWNIKÓW SECUREMOTE ZA POMOCĄ HASEŁ
DYNAMICZNYCH W TRYBIE SYNCHRONICZNYM
13
8. UWIERZYTELNIANIE UŻYTKOWNIKÓW SECUREMOTE ZA POMOCĄ HASEŁ
DYNAMICZNYCH W TRYBIE "WYZWANIE-ODPOWIEDŹ"
15
W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w
dokumencie produktów prosimy o kontakt: [email protected]
 Copyright by CLICO Centrum Oprogramowania, 1991-2001.
2
1. Wprowadzenie
System zabezpieczeń Check Point VPN-1 jest najbardziej renomowanym rozwiązaniem
klasy VPN na świecie (wg Data Monitor 62% rynku). Za pomocą VPN-1 można tworzyć
wirtualne sieci prywatne VPN, funkcjonujące w oparciu o protokoły IPSec, IPSec/IKE, SKIP
i FWZ. Zabezpieczenia VPN-1 w zakresie wiarygodnej identyfikacji użytkowników (np.
uzyskujących dostęp do sieci korporacyjnej z Internetu) mogą zostać sprawnie wzmocnione
przez zastosowanie technologii ActivCard. System identyfikacji cyfrowej ActivPack uzyskał od
Check Point certyfikat zgodność OPSEC.
W przedstawionych w dalszej części dokumentu przykładach wykorzystano następujące
oprogramowanie i urządzenia:
− Check Point VPN-1 v4.1/SP5,
− Check Point SecuRemote v4.1/SP5
− ActivPack v4.4,
− tokeny ActivCard Token One.
Procedura integracji serwera uwierzytelniania ActivPack z systemem zabezpieczeń
VPN−1 Gateway została przedstawiona na praktycznym przykładzie instalacji w sieci
laboratoryjnej (patrz rysunek).
Serwer uwierzytelniania
ActivPack
IP: 192.168.203.100
RADIUS
IP: 192.168.203.50
VPN-1 SecuRemote
IP: 212.76.48.91
Stacja użytkownika
NET: 192.168.10.0
System zabezpieczeń
Check Point VPN-1/FireWall-1
Serwer usługi
Uwaga:
− W przykładach praktycznych wykorzystano oprogramowanie SecuRemote (klient VPN).
Konfiguracja dla oprogramowania Secure Client (klient VPN + Personal Firewall) w zakresie
IPSec/IKE i uwierzytelniania użytkowników jest taka sama.
− Do poprawnego zestawienia VPN (IPSec/IKE) wymagane jest, aby adres IP zewnętrznego
interfejsu maszyny VPN-1 Gateway (w przykładzie IP: 212.76.48.91) był podstawowym
adresem IP komputera (tzw. hostname address). Adres ten powinien być osiągalny z sieci,
gdzie zlokalizowane są stacje użytkowników SecuRemote (zwykle w Internecie).
3
2. Wstępna konfiguracja VPN-1 Gateway
1/ W definicji obiektu VPN-1 Gateway ustalamy RADIUS jako dozwoloną metodę
uwierzytelniania użytkowników.
2/ W definicji obiektu VPN-1 Gateway ustalamy domenę VPN (np. sieć chronioną) oraz
zezwalamy na kopiowanie topologii VPN przez klientów VPN (Exportable for SecuRemote).
4
3/ Ustalmy parametry VPN obiektu VPN-1 Gateway (IKE | Edit).
4/ Definiujemy obiekt sieciowy Workstation dla serwera ActivPack.
5
5/ Definiujemy obiekt serwera RADIUS (Manage | Servers | New).
W konfiguracji serwera RADIUS należy podąć m.in.:
− komputer (Host), gdzie zainstalowany został serwer ActivPack,
− port (Service), na którym dostępne są usługi serwera ActivPack (domyślnie
1812/udp),
− kod dostępu do serwera RADIUS (Shared Secret), ustalony w konfiguracji serwera
ActivPack.
6/ W polityce bezpieczeństwa VPN-1 zezwalamy na komunikację pomiędzy maszyną VPN-1
Gateway i serwerem ActivPack za pomocą protokołu RADIUS (domyślnie 1812/udp).
6
7/ W polityce bezpieczeństwa VPN-1 zezwalamy na komunikacje wymaganą do poprawnego
funkcjonowania SecuRemote (IPSec/IKE):
− protokół FW-1_topo (kopiowanie topologii VPN),
− protokół IKE (negocjowanie VPN).
Uwaga:
− W konfiguracji istniejących w sieci zabezpieczeń Firewall (np. listy ACL na ruterach) należy
zezwolić protokoły VPN: IP 50, 500/udp i 264/tcp.
− Jeżeli w sieci na drodze kanałów VPN istnieją urządzania wykonujące translację adresów
NAT w konfiguracji VPN-1 Gateway należy uruchomić tryb UDP Encapsulation.
8/ W konfiguracji Policy | Properties | Desktop Security ustalamy, aby kopiowanie topologii
VPN przez stacje SecuRemote odbywało się po uwierzytelnieniu użytkownika przez kanały
szyfrowane.
7
3. Konfiguracja VPN-1 Gateway w trybie "Hybrid Mode"
Tryb „Hybrid Mode” umożliwia wykorzystanie do identyfikacji użytkowników VPN
(IPSec/IKE) dowolnej metody uwierzytelniania np. haseł dynamicznych (w standardzie
IPSec/IKE są hasła statyczne Pre-Shared Secret).
Konfiguracja „Hybrid Mode” na maszynie VPN-1 Gateway przebiega w następującej
kolejności:
1/ Zatrzymujemy system zabezpieczeń VPN-1: fwstop
2/ Definiujemy wewnętrzny Urząd Certyfikacji w systemie VPN-1:
fw internalca create -dn "o=Firma,c=PL"
3/ Generujemy certyfikat cyfrowy dla modułu VPN-1:
fw internalca certify -o zapora "o=Firma,c=PL"
4/ Uruchamiamy system zabezpieczeń VPN-1: fwstart
5/ W definicji obiektu VPN-1 Gateway sprawdzamy, czy certyfikat został zainstalowany.
6/ Aktywujemy tryb "Hybrid Mode" w konfiguracji VPN-1 Gateway (IKE Properties).
8
4. Konfiguracja bazy użytkowników
1/ Definiujemy użytkownika generic* z metodą uwierzytelniania RADIUS (Manage | Users |
New | Default).
Uwaga:
− Użytkownik generic* z metodą uwierzytelniania RADIUS zdefiniowany w bazie VPN-1
oznacza, ze istnieje zewnętrzna baza użytkowników na serwerze RADIUS, z której VPN-1
powinien korzystać.
− W razie potrzeby zablokowania dostępu dla określonych użytkowników z bazy serwera
RADIUS należy ich zdefiniować na VPN-1 i ustalić dla nich metodę uwierzytelniania
"Undefined".
− Definiowanie użytkownika generic* nie jest konieczne (tzn. na VPN-1 można zdefiniować
tylko wybranych użytkowników z serwera RADIUS).
9
2/ Ustalamy parametry Encryption dla użytkownika generic*:
− schemat VPN (Encryption | IKE),
− hasło do kopiowania topologii VPN (IKE Properties | Password),
− parametry kryptograficzne (IKE Properties | Encryption).
3/ Definiujemy grupę użytkowników np. 'Mobilni' (Manage | Users | New | Group), do której
dodajemy utworzonego użytkownika generic*.
10
5. Zdefiniowanie reguły Client Encryption w polityce
bezpieczeństwa VPN-1 Gateway
1/ W polityce bezpieczeństwa VPN-1 Gateway dodajemy regułę do tworzenia kanałów VPN dla
zdalnych użytkowników (Client Encryption). Uwierzytelnianie użytkowników SecuRemote w
systemie zabezpieczeń VPN-1 jest obowiązkowe.
2/ Instalujemy politykę bezpieczeństwa VPN-1.
11
6. Wstępna konfiguracja klienta VPN (SecuRemote)
1/ W konfiguracji SecuRemote ustalamy tryb negocjowania VPN: Tools | Encryption Scheme |
Default Key Scheme | IKE
2/ Definiujemy punkt dostępu VPN (Sites | Create New) i podajemy adres IP maszyny VPN-1
Gateway (Name/IP). Powinien to być podstawowy adres IP maszyny VPN-1 Gateway (tzw.
hostname address).
3/ Kopiujemy topologię VPN z maszyny VPN-1 Gateway. Podajemy statyczne hasło IKE
ustawowe w konfiguracji użytkownika generic* (Encryption | IKE Properties).
4/ Usuwamy hasło zapisane w programie SecuRemote: Passwords | Erase Passwords
Uwaga:
− Hasło statyczne IKE Password wykorzystywane jest tylko przy kopiowaniu topologii VPN.
− Konfiguracja stacji Secure Client (tzn. SecuRemote z opcja Personal Firewall) w zakresie
IPSec/IKE i uwierzytelniania użytkowników jest analogiczna.
12
7. Uwierzytelnianie użytkowników SecuRemote za pomocą
haseł dynamicznych w trybie synchronicznym
1/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez VPN-1.
2/ W oknie SecuRemote podajemy identyfikator użytkownika i hasło odczytane z tokenu.
Po wpisaniu poprawnego identyfikatora i hasła użytkownik uzyskuje dostęp poprzez VPN
do żądanej strony serwera WWW. Usługa WWW jest tylko przykładem. Dostęp VPN jest
możliwy dla każdej usługi TCP/IP.
13
3/ Proces uwierzytelniania użytkownika SecuRemote analizujemy w logach VPN-1 za pomocą
Log Viewer oraz w logach serwera uwierzytelniania ActivPack.
14
8. Uwierzytelnianie użytkowników SecuRemote za pomocą
haseł dynamicznych w trybie "Wyzwanie-Odpowiedź"
1/ Przygotowanie serwera ActivPack do uwierzytelniania w trybie "Wyzwanie-Odpowiedź"
dokonywane jest w ustawieniach Company | Servers | <serwer> | <gate> | Challenge/Check,
gdzie ustala się m.in. przyjazne dla użytkownika komunikaty.
Dla przykładu, można wprowadzić następujące ustawienia:
− wybór trybu "Wyzwanie-Odpowiedź" nastąpi, gdy użytkownik wpisze w polu hasła
literę 'w',
− długość kodu "Wyzwanie" wynosi 4 znaki (liczby),
− serwer w j. polskim poprosi użytkownika o wpisanie kodu "Wyzwanie" do tokenu.
15
2/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez VPN-1.
3/ W oknie SecuRemote podajemy identyfikator użytkownika oraz w polu hasło wpisujemy
umowny znak wyboru trybu uwierzytelniania "Wyzwanie-Odpowiedz" (np. 'w'). W następnym
oknie wpisujemy odczytane z tokenu hasło.
4/ Proces uwierzytelniania użytkownika SecuRemote analizujemy w logach VPN-1 za pomocą
Log Viewer oraz w logach serwera uwierzytelniania ActivPack.
Więcej informacji nt. systemów zabezpieczeń Check Point i ActivCard można znaleźć na
stronach http://www.clico.pl.
16

ActivPack to system identyfikacji cyfrowej przeznaczony do

Transkrypt

Podobne dokumenty

Instalacja i wstępna konfiguracja Check Point SecurePlatform

Procedura konfiguracji Entrust/PKI i Check Point VPN-1

Zasady konfiguracji Check Point VPN-1 Net

Bezpieczny dostęp na poziomie sieci poprzez Web

Kompleksowe zabezpieczenie dostępu w jednym rozwi¹zaniu

smartdefence firmy check point

Internet