Организация SSL VPN на базе продукта SSL Explorer

Thursday, 11 Dec 2014

Решил я тут повозиться с SSL VPN, чтобы был свой с бриджем и блудницами. Расписывать по технологии особо не буду, ибо вся инфа гуглится, но основное преимущество SSL VPN перед вcякими IPsec и иже с ними, в том, что для установления соединения через SSL VPN не нужен никакой дополнительный клиент, а достаточно браузера и наличия виртуальной машины Java и выполнения ActiveX, т.е установить соединение с нужным VPN можно с какой угодно машины – хотя в интернет кафе, хоть на вашем ноутбуке. К тому же соединение инкапсулируется в https, т.ч не требуется открытия каких то дополнительных портов, т.ч компьютеру необходимо только доступ в интернет и стандартный порт HTTPS, который частенько открыт даже в самых параноидальных конторах.

Пробовать я решил начать с достаточно древнего пакета SSL Explorer от компании 3sp, версия 1.0.0 RC17 которого была зарелизена аж в 2008 году. На данный момент контора, как я понимаю, ушла под Barracuda Network, которые занимаются разработкой всяческих кирогазов для информационной безопасности, в том числе и SSL VPN appliance, начинающиеся от штуки грина.

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Нужен популярный ноутбук Dell, от mobileplanet.ua недорого.

Ошибка Java при инициализации класса

Wednesday, 10 Dec 2014

В процессе установки SSLExplorer в браузере вылезла ошибка:

HTTP ERROR: 500
Unable to compile class for JSP
Generated servlet error:
/root/sslexplorer-1.0.0_RC17/sslexplorer/tmp/org/apache/jsp/WEB_002dINF/jsp/layouts/layout_jsp.java:7: cannot access java.lang.Object
bad class file: /usr/lib/jvm/java-1.7.0-openjdk-1.7.0.71-2.5.3.1.el7_0.x86_64/jre/lib/rt.jar(java/lang/Object.class)
class file has wrong version 51.0, should be 49.0
Please remove or make sure it appears in the correct subdirectory of the classpath.
public final class layout_jsp extends org.apache.jasper.runtime.HttpJspBase
RequestURI=/selectCertificateSource.do

(more…)

VN:F [1.9.21_1169]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

Проблема маршрутизации VPN сети в Windows 7

Friday, 03 Feb 2012

Вскрылся интересный момент работы OpenVPN на клиентском компьютере под управлением Windows 7. Подняли VPN сообщество, чтобы люди могли из дома работать в офисной сети, ну и на одном из компьютеров, надо отметить Apple (что дало ложный ход мысли), после установки дров на принтер, компьютер перестал подключаться к VPN. Точнее он подключался вроде бы, но канал не поднимался, так как человек не мог достучаться по RDP и HTTP до внутренних ресурсов сети.

Так что клиентский админ поехал выяснять в чем дело. Опытным путем выяснили что при подъеме канала по каким то причинам не поднимался маршрут, то есть пакеты которые должны были идти через VPN канал в офисную сеть, не инкапсулировались, а вместо этого стучались по дефолтному маршруту. Я с таким пару раз сталкивался на Checkpoint VPN если не правильно задавались параметры сообщества, но тут явно проблема была в системе.

В итоге опытным путем выявили, что проблема в правах на запуск клиента OpenVPN, так как в системе Windows 7 настройки сети устанавливаются с правами администратора, поэтому и клиент должен запускаться с правами администратора, но после установки новых драйверов или устройства принтера эти права почему то съехали на не привилегированного пользователя. Возможно це не багу, це фича Apple’вских систем, но починить удалось именно переназначением прав.

VN:F [1.9.21_1169]
Rating: 5.4/10 (5 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 3 votes)

Настройка VPN-сообщества под FreeBSD и OpenVPN

Tuesday, 27 Sep 2011

Возникла тут необходимость дать видеоинженерам клиента удаленный доступ в локалку. Видеоинженеры же народ ленивый- хочет монтировать передачи и ролики, не отрывая задницу от домашнего дивана, так что этим они несколько похожи на одминов. Поскольку клиент оказался нераскручивываем на приобретение CheckPoint UTM-1, а фаервол я ему уже как то поднимал под FreeBSD, то пришлось мутиться с настройкой VPN сервера под фряхой 8.2. Хотя я и хотел поставить Untangle, про который уже как то рассказывал, но по итогам решил, что проще будет поднять все на одной машине, но под управлением хорошо зарекомендовавшего себя пакета OpenVPN, который помимо того что поддерживает все вариации подключений, так еще и идет со своим клиентом. Поднимать все это богатство я решил на сертификатах открытых ключей Х.509 под управлением RSA Key Management. Лить воду на жернов копирайта по поводу выбора сертификации мне неохота, так как меня от этой темы трясет еще с экзаменов CCSA, так что сразу перейду к настройке решения. Ставить будем на нашу любимскую FreeBSD, предварительно заточив её по всем правилам науки.

(more…)

VN:F [1.9.21_1169]
Rating: 8.8/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: +4 (from 4 votes)

Повышение безопасности VPN сообщества

Friday, 02 Sep 2011

В дополнение к статье об установке OpenVPN сервера в инфраструктуру предприятия, хочется разродиться измышлениями о том, каким образом можно повысить безопасность при работе через VPN соединение. Ведь не секрет, что работники бывают разные, как в плане пакостности, так и в плане рассеянности, и наличие соединения которое устанавливается одним кликом- в самое сердце предприятия, не есть здорово.

В этой связи можно произвести некоторые телодвижения, которыми возможно если не обезопасить, то хотя бы минимизировать риски, при работе сотрудников через удаленное соединение.

В первую очередь право раздачи удаленных доступов возложить на руководство отделов, а лучше компании, с тем чтобы избежать последующих воплей- как же ты мог допустить!!! Организации всех доступов только по письму начальника отдела. Никаких за шоколадку, на вечер, дочка болеет и прочей слюнявой шняги, ибо если что, то иметь будут персонально вашу задницу.

Крайне желательно, чтобы пользователи не имели вообще никакого доступа к сети, кроме терминального соединения со своей машиной, на которую бы они входили зная свою учетную запись, и IP адрес компьютера, с тем чтобы левому человеку было бы сложно отсканить сетку. В этой связи необходимо создавать базу пользователей и соответствия логинов (и как следствие сертификатов) и IP адресов машин, и поскольку мы заранее знаем какой IP получит сотрудник, то и на фаерволе на виртуальном интерфейсе разрешать прохождение не все ко всем, а определенный IP удаленного клиента, на определенный IP компьютера внутри сети. И только по RDP. Никаких 135, 137 и т.д портов. Ну или же, если у вас в сети есть терминальный сервер, то всех пользователей – на терминальный сервер.

Как я это не ни люблю, но необходимо вести полное логирование безопасности- входов в домен и выходов, а также действий внутри домена.

Естественно, что для удаленного использования, оптимально было бы задействовать двухфакторную аутентификацию, основанную не только на шифровании на основе сертификата, но и на вводе пароля. Ибо если пользователь профуфыкает сертификат, то между логином и доступом в защищенное пространство сети, остается прокладочка в виде пароля. Для этого, для генерации сертификата пользователя, следует использовать команду:
# ./build-key-pass vpn-client
естественно не забывая проделывать все необходимые для генерации процедуры. Но тут мы можем упереться в пользователей не желающих вводить два пароля подряд- их конечно понять можно, но тут уже зависит от вашей настойчивости. Мне, если честно, мои нервы, в этом плане, всегда были дороже.

Если вы устанавливаете удаленных клиентов на ноутбуки сотрудников, то повторно рекомендую организовать хранение сертификатов на флешках, или, что еще лучше, на шифрованных носителях- крипт-контейнерах. Настройка клиента в этом случае, указана в конце статьи по установке сервера OpenVPN.

Надеюсь, что указанные шаги, помогут вам повысить безопасность вашего VPN-сообщества, без погружения в пучину админской паранойи.

VN:F [1.9.21_1169]
Rating: 10.0/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

Установка поддержки SNX и Endpoint Connect на шлюзах

Thursday, 06 May 2010

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway


Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

  1. Резервируем директорию $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
  3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
  4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
  5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

  1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
  3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
  4. Устанавливаем политики на портал


Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway

Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
    Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
  3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
  4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
  5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
  6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
    Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
  3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
  4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
  5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
  6. Устанавливаем политики на портал
VN:F [1.9.21_1169]
Rating: 10.0/10 (3 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

Checkpoint Secure Client VPN для 64битных Windows 7

Thursday, 06 May 2010

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

VN:F [1.9.21_1169]
Rating: 7.6/10 (5 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)