Одминский блог

Проблема маршрутизации VPN сети в Windows 7

Вскрылся интересный момент работы OpenVPN на клиентском компьютере под управлением Windows 7. Подняли VPN сообщество, чтобы люди могли из дома работать в офисной сети, ну и на одном из компьютеров, надо отметить Apple (что дало ложный ход мысли), после установки дров на принтер, компьютер перестал подключаться к VPN. Точнее он подключался вроде бы, но канал не поднимался, так как человек не мог достучаться по RDP и HTTP до внутренних ресурсов сети.

Так что клиентский админ поехал выяснять в чем дело. Опытным путем выяснили что при подъеме канала по каким то причинам не поднимался маршрут, то есть пакеты которые должны были идти через VPN канал в офисную сеть, не инкапсулировались, а вместо этого стучались по дефолтному маршруту. Я с таким пару раз сталкивался на Checkpoint VPN если не правильно задавались параметры сообщества, но тут явно проблема была в системе.

В итоге опытным путем выявили, что проблема в правах на запуск клиента OpenVPN, так как в системе Windows 7 настройки сети устанавливаются с правами администратора, поэтому и клиент должен запускаться с правами администратора, но после установки новых драйверов или устройства принтера эти права почему то съехали на не привилегированного пользователя. Возможно це не багу, це фича Apple’вских систем, но починить удалось именно переназначением прав.

Рубрика: IT безопасность | Ваш отзыв »

Повышение безопасности VPN сообщества

В дополнение к статье об установке OpenVPN сервера в инфраструктуру предприятия, хочется разродиться измышлениями о том, каким образом можно повысить безопасность при работе через VPN соединение. Ведь не секрет, что работники бывают разные, как в плане пакостности, так и в плане рассеянности, и наличие соединения которое устанавливается одним кликом- в самое сердце предприятия, не есть здорово.

В этой связи можно произвести некоторые телодвижения, которыми возможно если не обезопасить, то хотя бы минимизировать риски, при работе сотрудников через удаленное соединение.

В первую очередь право раздачи удаленных доступов возложить на руководство отделов, а лучше компании, с тем чтобы избежать последующих воплей- как же ты мог допустить!!! Организации всех доступов только по письму начальника отдела. Никаких за шоколадку, на вечер, дочка болеет и прочей слюнявой шняги, ибо если что, то иметь будут персонально вашу задницу.

Крайне желательно, чтобы пользователи не имели вообще никакого доступа к сети, кроме терминального соединения со своей машиной, на которую бы они входили зная свою учетную запись, и IP адрес компьютера, с тем чтобы левому человеку было бы сложно отсканить сетку. В этой связи необходимо создавать базу пользователей и соответствия логинов (и как следствие сертификатов) и IP адресов машин, и поскольку мы заранее знаем какой IP получит сотрудник, то и на фаерволе на виртуальном интерфейсе разрешать прохождение не все ко всем, а определенный IP удаленного клиента, на определенный IP компьютера внутри сети. И только по RDP. Никаких 135, 137 и т.д портов. Ну или же, если у вас в сети есть терминальный сервер, то всех пользователей – на терминальный сервер.

Как я это не ни люблю, но необходимо вести полное логирование безопасности- входов в домен и выходов, а также действий внутри домена.

Естественно, что для удаленного использования, оптимально было бы задействовать двухфакторную аутентификацию, основанную не только на шифровании на основе сертификата, но и на вводе пароля. Ибо если пользователь профуфыкает сертификат, то между логином и доступом в защищенное пространство сети, остается прокладочка в виде пароля. Для этого, для генерации сертификата пользователя, следует использовать команду:
# ./build-key-pass vpn-client
естественно не забывая проделывать все необходимые для генерации процедуры. Но тут мы можем упереться в пользователей не желающих вводить два пароля подряд- их конечно понять можно, но тут уже зависит от вашей настойчивости. Мне, если честно, мои нервы, в этом плане, всегда были дороже.

Если вы устанавливаете удаленных клиентов на ноутбуки сотрудников, то повторно рекомендую организовать хранение сертификатов на флешках, или, что еще лучше, на шифрованных носителях- крипт-контейнерах. Настройка клиента в этом случае, указана в конце статьи по установке сервера OpenVPN.

Надеюсь, что указанные шаги, помогут вам повысить безопасность вашего VPN-сообщества, без погружения в пучину админской паранойи.

Рубрика: IT безопасность | Ваш отзыв »

Настройка VPN-сообщества под FreeBSD и OpenVPN

Возникла тут необходимость дать видеоинженерам клиента удаленный доступ в локалку. Видеоинженеры же народ ленивый- хочет монтировать передачи и ролики, не отрывая задницу от домашнего дивана, так что этим они несколько похожи на одминов. Поскольку клиент оказался нераскручивываем на приобретение CheckPoint UTM-1, а фаервол я ему уже как то поднимал под FreeBSD, то пришлось мутиться с настройкой VPN сервера под фряхой 8.2. Хотя я и хотел поставить Untangle, про который уже как то рассказывал, но по итогам решил, что проще будет поднять все на одной машине, но под управлением хорошо зарекомендовавшего себя пакета OpenVPN, который помимо того что поддерживает все вариации подключений, так еще и идет со своим клиентом. Поднимать все это богатство я решил на сертификатах открытых ключей Х.509 под управлением RSA Key Management. Лить воду на жернов копирайта по поводу выбора сертификации мне неохота, так как меня от этой темы трясет еще с экзаменов CCSA, так что сразу перейду к настройке решения. Ставить будем на нашу любимскую FreeBSD, предварительно заточив её по всем правилам науки.

(more…)

Рубрика: FreeBSD, IT безопасность | Ваш отзыв »

Установка поддержки SNX и Endpoint Connect на шлюзах

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway

Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

1. Резервируем директорию $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
4. Устанавливаем политики на портал

Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway
Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
   Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
   Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
6. Устанавливаем политики на портал

Рубрика: Check Point | Ваш отзыв »

Checkpoint Secure Client VPN для 64битных Windows 7

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Рубрика: Check Point | Ваш отзыв »

Снова в строю

Закончился мой полуторанедельный марафон по сдаче аттестационных экзаменов по продукции McAfee, так что теперь я снова в строю, правда пока что еще с несколько видоизмененным сознанием- ибо сдача онлайн экзаменов в режиме 15 экзаменов в день никому не может пойти на пользу. Первый день в офисе ознаменовался радостным известием, что наш продуктовый портфель увеличился на одного нового вендора- компанию parallels, так что вскоре видимо мне предстоит начать разбираться с их виртуальными машинами и, что для меня наиболее радостно, с их системой управления серверами Parallels Plesk Panel.

Никогда пожалуй я не тянулся к знаниям с такой силой, как в предвкушении этой задачи

Ну это все романтика, а пока собственно новостей особых нет, кроме того, что потерял пароль от одного из своих сайтов на Joomla, ввиду перестановки винды, так что добравшись до работы пересоздал новый пароль, и подключил на сайте несколько интересных опочек, о которых напишу практически следом. Но надеюсь все таки не так, как написал о переезде сайта под Wordpress

Рубрика: Дела Одминские | Ваш отзыв »

Пытаемся подружить iPhone и Cisco ASA VPN

Сижу работаю. Приходит коллега и жалуется админу что не может со своего iPhone достучаться до офисного VPN который крутится под Cisco ASA. У меня уши естественно насторожились, поскольку до такой степени задротства, чтобы стучаться в офисную сеть со своего iPhone я еще не дошел. Человек ушел, начал ковыряться в телефоне и смотреть. Вообщем по порядку.

(more…)

Рубрика: iPhone | Ваш отзыв »