ActivPack to system identyfikacji cyfrowej przeznaczony do
Transkrypt
ActivPack to system identyfikacji cyfrowej przeznaczony do
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: [email protected], [email protected].; Ftp.clico.pl.; http://www.clico.pl Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 Spis treści 1. WPROWADZENIE 3 2. WSTĘPNA KONFIGURACJA VPN-1 GATEWAY 4 3. KONFIGURACJA VPN-1 GATEWAY W TRYBIE "HYBRID MODE" 8 4. KONFIGURACJA BAZY UŻYTKOWNIKÓW 9 5. ZDEFINIOWANIE REGUŁY CLIENT ENCRYPTION W POLITYCE BEZPIECZEŃSTWA VPN-1 GATEWAY 11 6. WSTĘPNA KONFIGURACJA KLIENTA VPN (SECUREMOTE) 12 7. UWIERZYTELNIANIE UŻYTKOWNIKÓW SECUREMOTE ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE SYNCHRONICZNYM 13 8. UWIERZYTELNIANIE UŻYTKOWNIKÓW SECUREMOTE ZA POMOCĄ HASEŁ DYNAMICZNYCH W TRYBIE "WYZWANIE-ODPOWIEDŹ" 15 W razie wystąpienia problemów technicznych, bądź wątpliwości dotyczących przedstawionych w dokumencie produktów prosimy o kontakt: [email protected] Copyright by CLICO Centrum Oprogramowania, 1991-2001. 2 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 1. Wprowadzenie System zabezpieczeń Check Point VPN-1 jest najbardziej renomowanym rozwiązaniem klasy VPN na świecie (wg Data Monitor 62% rynku). Za pomocą VPN-1 można tworzyć wirtualne sieci prywatne VPN, funkcjonujące w oparciu o protokoły IPSec, IPSec/IKE, SKIP i FWZ. Zabezpieczenia VPN-1 w zakresie wiarygodnej identyfikacji użytkowników (np. uzyskujących dostęp do sieci korporacyjnej z Internetu) mogą zostać sprawnie wzmocnione przez zastosowanie technologii ActivCard. System identyfikacji cyfrowej ActivPack uzyskał od Check Point certyfikat zgodność OPSEC. W przedstawionych w dalszej części dokumentu przykładach wykorzystano następujące oprogramowanie i urządzenia: − Check Point VPN-1 v4.1/SP5, − Check Point SecuRemote v4.1/SP5 − ActivPack v4.4, − tokeny ActivCard Token One. Procedura integracji serwera uwierzytelniania ActivPack z systemem zabezpieczeń VPN−1 Gateway została przedstawiona na praktycznym przykładzie instalacji w sieci laboratoryjnej (patrz rysunek). Serwer uwierzytelniania ActivPack IP: 192.168.203.100 RADIUS IP: 192.168.203.50 VPN-1 SecuRemote IP: 212.76.48.91 Stacja użytkownika NET: 192.168.10.0 System zabezpieczeń Check Point VPN-1/FireWall-1 Serwer usługi Uwaga: − W przykładach praktycznych wykorzystano oprogramowanie SecuRemote (klient VPN). Konfiguracja dla oprogramowania Secure Client (klient VPN + Personal Firewall) w zakresie IPSec/IKE i uwierzytelniania użytkowników jest taka sama. − Do poprawnego zestawienia VPN (IPSec/IKE) wymagane jest, aby adres IP zewnętrznego interfejsu maszyny VPN-1 Gateway (w przykładzie IP: 212.76.48.91) był podstawowym adresem IP komputera (tzw. hostname address). Adres ten powinien być osiągalny z sieci, gdzie zlokalizowane są stacje użytkowników SecuRemote (zwykle w Internecie). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 3 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 2. Wstępna konfiguracja VPN-1 Gateway 1/ W definicji obiektu VPN-1 Gateway ustalamy RADIUS jako dozwoloną metodę uwierzytelniania użytkowników. 2/ W definicji obiektu VPN-1 Gateway ustalamy domenę VPN (np. sieć chronioną) oraz zezwalamy na kopiowanie topologii VPN przez klientów VPN (Exportable for SecuRemote). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 4 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 3/ Ustalmy parametry VPN obiektu VPN-1 Gateway (IKE | Edit). 4/ Definiujemy obiekt sieciowy Workstation dla serwera ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 5 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 5/ Definiujemy obiekt serwera RADIUS (Manage | Servers | New). W konfiguracji serwera RADIUS należy podąć m.in.: − komputer (Host), gdzie zainstalowany został serwer ActivPack, − port (Service), na którym dostępne są usługi serwera ActivPack (domyślnie 1812/udp), − kod dostępu do serwera RADIUS (Shared Secret), ustalony w konfiguracji serwera ActivPack. 6/ W polityce bezpieczeństwa VPN-1 zezwalamy na komunikację pomiędzy maszyną VPN-1 Gateway i serwerem ActivPack za pomocą protokołu RADIUS (domyślnie 1812/udp). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 6 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 7/ W polityce bezpieczeństwa VPN-1 zezwalamy na komunikacje wymaganą do poprawnego funkcjonowania SecuRemote (IPSec/IKE): − protokół FW-1_topo (kopiowanie topologii VPN), − protokół IKE (negocjowanie VPN). Uwaga: − W konfiguracji istniejących w sieci zabezpieczeń Firewall (np. listy ACL na ruterach) należy zezwolić protokoły VPN: IP 50, 500/udp i 264/tcp. − Jeżeli w sieci na drodze kanałów VPN istnieją urządzania wykonujące translację adresów NAT w konfiguracji VPN-1 Gateway należy uruchomić tryb UDP Encapsulation. 8/ W konfiguracji Policy | Properties | Desktop Security ustalamy, aby kopiowanie topologii VPN przez stacje SecuRemote odbywało się po uwierzytelnieniu użytkownika przez kanały szyfrowane. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 7 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 3. Konfiguracja VPN-1 Gateway w trybie "Hybrid Mode" Tryb „Hybrid Mode” umożliwia wykorzystanie do identyfikacji użytkowników VPN (IPSec/IKE) dowolnej metody uwierzytelniania np. haseł dynamicznych (w standardzie IPSec/IKE są hasła statyczne Pre-Shared Secret). Konfiguracja „Hybrid Mode” na maszynie VPN-1 Gateway przebiega w następującej kolejności: 1/ Zatrzymujemy system zabezpieczeń VPN-1: fwstop 2/ Definiujemy wewnętrzny Urząd Certyfikacji w systemie VPN-1: fw internalca create -dn "o=Firma,c=PL" 3/ Generujemy certyfikat cyfrowy dla modułu VPN-1: fw internalca certify -o zapora "o=Firma,c=PL" 4/ Uruchamiamy system zabezpieczeń VPN-1: fwstart 5/ W definicji obiektu VPN-1 Gateway sprawdzamy, czy certyfikat został zainstalowany. 6/ Aktywujemy tryb "Hybrid Mode" w konfiguracji VPN-1 Gateway (IKE Properties). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 8 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 4. Konfiguracja bazy użytkowników 1/ Definiujemy użytkownika generic* z metodą uwierzytelniania RADIUS (Manage | Users | New | Default). Uwaga: − Użytkownik generic* z metodą uwierzytelniania RADIUS zdefiniowany w bazie VPN-1 oznacza, ze istnieje zewnętrzna baza użytkowników na serwerze RADIUS, z której VPN-1 powinien korzystać. − W razie potrzeby zablokowania dostępu dla określonych użytkowników z bazy serwera RADIUS należy ich zdefiniować na VPN-1 i ustalić dla nich metodę uwierzytelniania "Undefined". − Definiowanie użytkownika generic* nie jest konieczne (tzn. na VPN-1 można zdefiniować tylko wybranych użytkowników z serwera RADIUS). Copyright by CLICO Centrum Oprogramowania, 1991-2001. 9 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 2/ Ustalamy parametry Encryption dla użytkownika generic*: − schemat VPN (Encryption | IKE), − hasło do kopiowania topologii VPN (IKE Properties | Password), − parametry kryptograficzne (IKE Properties | Encryption). 3/ Definiujemy grupę użytkowników np. 'Mobilni' (Manage | Users | New | Group), do której dodajemy utworzonego użytkownika generic*. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 10 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 5. Zdefiniowanie reguły Client Encryption w polityce bezpieczeństwa VPN-1 Gateway 1/ W polityce bezpieczeństwa VPN-1 Gateway dodajemy regułę do tworzenia kanałów VPN dla zdalnych użytkowników (Client Encryption). Uwierzytelnianie użytkowników SecuRemote w systemie zabezpieczeń VPN-1 jest obowiązkowe. 2/ Instalujemy politykę bezpieczeństwa VPN-1. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 11 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 6. Wstępna konfiguracja klienta VPN (SecuRemote) 1/ W konfiguracji SecuRemote ustalamy tryb negocjowania VPN: Tools | Encryption Scheme | Default Key Scheme | IKE 2/ Definiujemy punkt dostępu VPN (Sites | Create New) i podajemy adres IP maszyny VPN-1 Gateway (Name/IP). Powinien to być podstawowy adres IP maszyny VPN-1 Gateway (tzw. hostname address). 3/ Kopiujemy topologię VPN z maszyny VPN-1 Gateway. Podajemy statyczne hasło IKE ustawowe w konfiguracji użytkownika generic* (Encryption | IKE Properties). 4/ Usuwamy hasło zapisane w programie SecuRemote: Passwords | Erase Passwords Uwaga: − Hasło statyczne IKE Password wykorzystywane jest tylko przy kopiowaniu topologii VPN. − Konfiguracja stacji Secure Client (tzn. SecuRemote z opcja Personal Firewall) w zakresie IPSec/IKE i uwierzytelniania użytkowników jest analogiczna. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 12 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 7. Uwierzytelnianie użytkowników SecuRemote za pomocą haseł dynamicznych w trybie synchronicznym 1/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez VPN-1. 2/ W oknie SecuRemote podajemy identyfikator użytkownika i hasło odczytane z tokenu. Po wpisaniu poprawnego identyfikatora i hasła użytkownik uzyskuje dostęp poprzez VPN do żądanej strony serwera WWW. Usługa WWW jest tylko przykładem. Dostęp VPN jest możliwy dla każdej usługi TCP/IP. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 13 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 3/ Proces uwierzytelniania użytkownika SecuRemote analizujemy w logach VPN-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 14 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 8. Uwierzytelnianie użytkowników SecuRemote za pomocą haseł dynamicznych w trybie "Wyzwanie-Odpowiedź" 1/ Przygotowanie serwera ActivPack do uwierzytelniania w trybie "Wyzwanie-Odpowiedź" dokonywane jest w ustawieniach Company | Servers | <serwer> | <gate> | Challenge/Check, gdzie ustala się m.in. przyjazne dla użytkownika komunikaty. Dla przykładu, można wprowadzić następujące ustawienia: − wybór trybu "Wyzwanie-Odpowiedź" nastąpi, gdy użytkownik wpisze w polu hasła literę 'w', − długość kodu "Wyzwanie" wynosi 4 znaki (liczby), − serwer w j. polskim poprosi użytkownika o wpisanie kodu "Wyzwanie" do tokenu. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 15 Część V. Integracja ActivCard z systemem zabezpieczeń Check Point VPN-1 v4.1 2/ Za pomocą przeglądarki WWW otwieramy połączenie z serwerem chronionych przez VPN-1. 3/ W oknie SecuRemote podajemy identyfikator użytkownika oraz w polu hasło wpisujemy umowny znak wyboru trybu uwierzytelniania "Wyzwanie-Odpowiedz" (np. 'w'). W następnym oknie wpisujemy odczytane z tokenu hasło. 4/ Proces uwierzytelniania użytkownika SecuRemote analizujemy w logach VPN-1 za pomocą Log Viewer oraz w logach serwera uwierzytelniania ActivPack. Więcej informacji nt. systemów zabezpieczeń Check Point i ActivCard można znaleźć na stronach http://www.clico.pl. Copyright by CLICO Centrum Oprogramowania, 1991-2001. 16