Двухфакторная аутентифікація в check point security gateway

У цьому пості ми розповімо про те, як налаштувати двухфакторную аутентифікацію в Check Point Security Gateway з використанням електронних ключів на прикладі JaCarta PKI російського розробника рішень з інформаційної безпеки.

Про те, що віддалений доступ до ресурсів організації несе користь, але і створює ряд проблем для IT-департаменту, йдеться скрізь дуже багато. Ми також вважаємо це важливою темою. Тому вирішили присвятити цьому наступний пост.

Можливість коректної ідентифікації користувачів, що запитують доступ до інформаційної системи, досягається за рахунок використання комплексних рішень контролю доступу.

Впровадження рішень для віддаленого доступу без строгої аутентифікації користувачів рівносильно зберігання важливих даних в сейфової скриньки, ключ від якої зберігається на найближчому журнальному столику.

PKI - ефективний метод аутентифікації для систем суворої аутентифікації в аспектах функціональності, безпеки та дотримання залежностей.

JaCarta Client

JaCarta Client - програмне забезпечення, що дозволяє будувати інфраструктуру з відкритими ключами із застосуванням ключових носіїв JaCarta PKI. Це програмне забезпечення дозволяє застосовувати захищену передачу інформації, засновану на інфраструктурі відкритих ключів.

У комплексі з ключами найчастіше використовується JaCarta Management System. забезпечує організації комплексну платформу управління життєвим циклом ключів. JMS пов'язує ідентифікатори з користувачами, дозволяючи контролювати сертифікати, які вживали. JMS дозволяє масштабувати систему без загрози порушення роботи.

Check Point Security GateWay захищає внутрішні і зовнішні мережі, публічні і приватні хмари від внутрішніх і зовнішніх загроз безпеці, захищаючи віртуальні машини і додатки за допомогою повного набору інструментів захисту Check Point Software Blades.

Вимоги до ПО

Інформація в пості застосовна до:

• JaCarta Client - програма, яка керує токенами JaCarta розробки «Аладдін Р.Д.»;
• Check Point Security GateWay.

Версії програмного забезпечення, які були використані для підготовки інструкції по налаштуванню.

• JaCarta PKI Client
• CheckPoint GAIA
• CheckPoint Endpoint Security Client

Кому буде цікаво те, про що ми розповімо далі

Аутентифікація за допомогою сертифікатів з використанням JaCarta PKI Client.

Схема нижче демонструє сценарій аутентифікація за сертифікатом.

Користувач з'єднується з Check Point Security Gateway Appliance за допомогою клієнтської програми Check Point Security Gateway. Користувач вставляє токен JaCarta PKI, на якому розташований його сертифікат, вводить PIN-код токена.

Після успішної аутентифікації користувач отримує доступ до внутрішніх мережевих ресурсів.

попередні вимоги

Тут описуються попередні вимоги, які необхідно задовольнити перш, ніж приступати до налаштування двофакторної аутентифікації за сертифікатами для Check Point Security Gateway з використанням JaCarta PKI.

Для використання аутентифікації за сертифікатами необхідно встановити і налаштувати Microsoft Certificate Authority. Як Засвідчуючого центру може бути використаний будь-який УЦ, але в даному документі розглядається саме Microsoft CA.

Користувачі повинні мати токени JaCarta PKI з випущеними відповідними сертифікатами на них.

JaCarta PKI Client версії 6.30 і вище має бути встановлено на комп'ютерах користувачів.

• JaCarta PKI;
• JaCarta PKI / Flash;
• JaCarta PKI / ГОСТ;
• JaCarta PKI / ГОСТ / Flash.

Налаштування Check Point Security Gateway

Check Point SmartDashboard може бути використано для настройки CheckPoint SSL VPN або IPSec VPN.

Налаштування Check Point Security Gateway вимагає виконання ряду дій.

Створення користувача і випуск ключа реєстрації

Користувач створюється з певною схемою аутентифікації для входу на Check Point Security VPN Client. Потім адміністратор ініціює процес випуску сертифіката на Security Management Server і отримує ключ реєстрації.

У головному вікні Check Point SmartDashboard, під Check Point SmartDashboard, клікніть по Users і потім клацніть по New User> Default.

У вікні параметрів користувачів в поле імені користувача введіть ім'я користувача.

Клацніть по Certificates.

Клацніть по New, потім виберіть Registration Key for certificate enrollment.

У вікні Registration Key for Certificate Enrollment відображається ключ реєстрації.

Скопіюйте даний реєстраційний ключ, збережіть його - він знадобиться для подальшої реєстрації.

У вікні параметрів користувача, в списку сертифікатів, додається очікує установки сертифікат. Натисніть ОК.

Створення групи користувачів

Призначені для користувача групи - набір користувачів, що мають спільні завдання, які обов'язки. Групи користувачів, як і окремі користувачі, можуть бути оброблені в політиках безпеки.

Створення груп дозволяє призначати завдання певним користувачам. Шлюз не дозволяє визначити правила для певних користувачів, але Ви можете призначати певні правила групам користувачів.

1. У головному вікні Check Point SmartDashboard, під Users and Administrators, правий клік по User Groups, а потім New Group.

У вікні Group Properties заповніть наступні поля, а потім клацніть ОК.

Name - введіть ім'я групи, наприклад, VPN_Group.

Available Members / Selected Members - в списку доступних членів виберіть членів потрібно додати до групи, потім клацніть Add. Обрані члени будуть переміщені в список Selected Members.

Дозвіл аутентифікації для клієнтів VPN

• У головному вікні Check Point SmartDashboard, під Network Objects, розкрийте Check Point, правий клік по вашому пристрою, наприклад, Checkpoint-ssl, потім клік по Edit.

У вікні Check Point Gateway - Checkpoint-ssl, розкрийте VPN Clients, потім клацніть Authentication.

У Authentication Method виберіть Defined on user record (Legacy Authentication) і потім клік по OK.

Налаштування правил фільтрації для VPN-клієнтів

Шлюзи безпеки мають, принаймні, одну апаратну платформу, яка використовується в якості точки входу в корпоративну мережу.

Правила шлюзу визначають політики дозволів і заборон для шлюзу. Правила шлюзу будуються на концепції об'єктів. Для прикладу, мережеві об'єкти можуть бути використані в якості джерела і пункту призначення правил.

• У головному вікні Check Point SmartDashboard клікніть по Firewall.

Клацніть по Policy, потім по іконці Add rule at bottom. Рядок додасться під меню Policy.

У колонці Name - правий клік по новому рядку і потім Edit.

У вікні Rule Name в поле Rule Name додайте ім'я для правила, потім клацніть по ОК.

У колонці Destination - правий клік по новому рядку, потім клік по Network Object.

У вікні Add Object вибрати Internal_network. Internal_network - синонім до корпоративної мережі підприємства.

У колонці VPN - правий клік по новому рядку, потім Edit Cell.

У вікні VPN Match Conditions виконайте наступні кроки і натисніть ОК.

Вибрати Only connections encrypted in specific VPN communities, натиснути ADD.

У вікні Add Community to rule вибрати RemoteAccess і натиснути ОК.

Нова політика створена.

установка політики

• Процес установки політики наведено нижче.
• Провести евристичну перевірку правил для того, щоб переконатися в сумісності і в ненадлишкових правил.
• Підтвердити, що кожен шлюз безпеки, до якого буде застосовано правило, забезпечує дотримання, принаймні, одного правила.
• Перетворення Політики безпеки в скрипт контролю і скомпілювати цей скрипт в інспекційний код.
• Доставити інспекційний код на ці об'єкти для доставки.
• У головному вікні Check Point SmartDashboard - клік по Install Policy зверху (в меню).

У вікні Install Policy в колонці Network Security вибрати опції для необхідного пристрою і клікнути ОК.

Коли політика встановиться, натиснути Close.

установка сертифіката

Клієнт встановлює захищене з'єднання з внутрішнім Засвідчуючим центром Check Point, запитує сертифікати за допомогою ключа реєстрації. Запитуючи сертифікат користувача вперше, надайте ключ реєстрації та встановіть сертифікат на токен.

В поле Provider виберіть Athena Smart Card CSP.

В поле Registration Key введіть збережений раніше ключ реєстрації, натисніть Enroll.

У вікні Token Logon в поле Token Password введіть PIN-код користувача від використовуваної JaCarta PKI, потім натисніть ОК.

Повідомлення системи безпеки запропонує встановити новий кореневий сертифікат, натисніть YES. Даний сертифікат належить підтверджуючий центр Check Point Internal.

Коли установка завершиться, натисніть ОК.

Відкрийте JaCarta PKI Client і переконайтеся в тому, що сертифікат був успішно випущений.

Далі необхідно зберегти файл і вийти з режиму редагування.

Встановити політику, використовуючи Smart DashBoard.

На комп'ютері, що є клієнтським, відкрийте вікно параметрів Check Point Endpoint Security і поставте галку навпроти Enable always-connect.

Відкрийте додаток Check Point Endpoint Security.

• Вставте JaCarta PKI. Сертифікати на токені будуть відображатися в поле Certificate. Натисніть Connect.

Подібні та інші цікаві проекти в «Аладдін Р.Д.» веде відділ по роботі з технологічними партнерами.

В даний час ми розширюємо штат фахівців, і у нас є вакансія в цьому відділі - Інженер по роботі з партнерами / пресейл-інженер.

Будемо раді вашим відгукам!