Установка поддержки SNX и Endpoint Connect на шлюзах

Thursday, 06 May 2010

Установка поддержки SNX R71 на шлюз VPN-1 R65+ и портал Connectra Gateway


Для того, чтобы проапгрейдить движок SNХ на шлюзе VPN-1, делаем следующие процедуры:

  1. Резервируем директорию $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл апгрейд-патча SNX_for_VPN1_Win7.tgz
  3. Распаковываем скаченный файл, в директорию $FWDIR/conf/extender/CSHELL
  4. Перемещаем файлы cashell_ver.txt и slim_ver.txt в директорию $FWDIR/conf/extender
  5. Устанавливаем на шлюзе имеющиеся политики

Для того, чтобы установить патч на портал Connectra Gateway, необходимо проделать следующие шаги:

  1. Резервируем директорию $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл апгрейд-патча SNX_for_Connectra_Win7.tgz
  3. Распаковываем ранее скаченный файл в директорию $CVPNDIR/htdocs/SNX/CSHELL
  4. Устанавливаем политики на портал


Установка поддержки Endpoint Connect R73 на шлюз VPN-1 R65+ HFA40 и портал Connectra Gateway

Для установки поддержки Endpoint Connect R73 на шлюзе VPN-1, начиная с версии R65 HFA 40, необходимо провести следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt содержащиеся в директории $FWDIR/conf/extender/CSHELL
  2. Скачиваем с офф.сайта Checkpoint файл поддержки клиентского софта
    Check_Point_Endpoint_Connect_R73_For_Windows_835000022.cab
  3. Перемещаем файл в директорию $FWDIR/conf/extender/CSHELL и переименовываем его в TRAC.cab
  4. Задаем правильные права доступа к файлу поддержки клиента: chmod 750 TRAC.cab
  5. Редактируем файл trac_ver.txt изменив build number содержащийся внутри файла, на новый 835000022
  6. Устанавливаем политтику на шлюз

Для установки поддержки Endpoint Connect R73 на портале Connectra Gateway совершаем следующие процедуры:

  1. Резервируем файлы TRAC.cab и trac_ver.txt из директории $CVPNDIR/htdocs/SNX/CSHELL
  2. Скачиваем с офф.сайта файл поддержки обновленной версии клиента
    Check_Point_Endpoint_Connect_R73_For_Windows_B835000022.cab
  3. Перемещаем файл в директорию  $CVPNDIR/htdocs/SNX/CSHELL и переименовываем его в TRAC.cab
  4. Даем команду chmod 750 TRAC.cab для того чтобы задать необходимые права доступа к файлу
  5. Изменяем в файле file trac_ver.txt версию build number, изменив имеющийся на 835000022
  6. Устанавливаем политики на портал
VN:F [1.9.21_1169]
Rating: 8.3/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 2 votes)

Checkpoint Secure Client VPN для 64битных Windows 7

Thursday, 06 May 2010

После анонсирования новой системы Windows 7, вскрылась новая проблема, на которую никто не обращал внимания до этого, не смотря на то, что она уже была озвучена применительно еще к системам Vista: на 64-битных системах Windows Vista/7 невозможно использование IPSEC VPN клиента от Checkpoint – Secure Client, с помощью которого удаленный хост может подключаться к шлюзам Connectra, VPN-1, UTM-1 и Power-1 используя протоколы стандарта IPSEC. Это продукт отлично себя зарекомендовал на большинстве систем Microsoft и Mac, но к сожалению, после установки на 64-битную систему, пакет Secure Client не запускается в принципе, так что использование его невозможно.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

VN:F [1.9.21_1169]
Rating: 5.4/10 (8 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)

Снова в строю

Wednesday, 17 Mar 2010

Закончился мой полуторанедельный марафон по сдаче аттестационных экзаменов по продукции McAfee, так что теперь я снова в строю, правда пока что еще с несколько видоизмененным сознанием- ибо сдача онлайн экзаменов в режиме 15 экзаменов в день никому не может пойти на пользу. Первый день в офисе ознаменовался радостным известием, что наш продуктовый портфель увеличился на одного нового вендора- компанию parallels, так что вскоре видимо мне предстоит начать разбираться с их виртуальными машинами и, что для меня наиболее радостно, с их системой управления серверами Parallels Plesk Panel.

Никогда пожалуй я не тянулся к знаниям с такой силой, как в предвкушении этой задачи ;)

Ну это все романтика, а пока собственно новостей особых нет, кроме того, что потерял пароль от одного из своих сайтов на Joomla, ввиду перестановки винды, так что добравшись до работы пересоздал новый пароль, и подключил на сайте несколько интересных опочек, о которых напишу практически следом. Но надеюсь все таки не так, как написал о переезде сайта под WordPress :-D

VN:F [1.9.21_1169]
Rating: 3.3/10 (27 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 3 votes)

Пытаемся подружить iPhone и Cisco ASA VPN

Friday, 25 Dec 2009

Сижу работаю. Приходит коллега и жалуется админу что не может со своего iPhone достучаться до офисного VPN который крутится под Cisco ASA. У меня уши естественно насторожились, поскольку до такой степени задротства, чтобы стучаться в офисную сеть со своего iPhone я еще не дошел. Человек ушел, начал ковыряться в телефоне и смотреть. Вообщем по порядку.

(more…)

VN:F [1.9.21_1169]
Rating: 7.2/10 (13 votes cast)
VN:F [1.9.21_1169]
Rating: +2 (from 4 votes)

Check Point SecuRemote/SecureClient

Monday, 21 Dec 2009

В процессе ковырякания с Sofaware из вне сетки, я поимел проблему относительно того, что установить VPN соединение со шлюзом можно с помощью родного клиента от CheckPoint SecuRemote / SecureClient . Данный VPN клиент уже отправлен на заслуженный отдых, поскольку последняя имеющаяся версия это SecuRemote NGX R60, и компания CheckPoint настоятельно просит пользоваться новыми версиями EndPoint клиента, в чей движок входит модуль старого клиента SecuRemote/SecureClient.  Сам клиент конечно доступен из веб-морды управления шлюзом, но к сожалению по проблемам, описанным раннее, я этого доступа не имел- и одна надежда была на VPN соединение.

При этом, если искать его через стандартную форму поиска на офф.сайте, то все выпавшие ссылки на скачивание SecuRemote/SecureClient ограничиваются просьбой заполниться формочку по которой с вами свяжутся чуть позднее. По которым никто не отвечает, т.к я заполнял почти неделю назад и до сих тишина. Но тем не менее на офф.сайте эти клиенты доступны, правда как попасть в этот раздел, последовательно используя системы меню и навигации, я так и не понял, но тем не менее по этой ссылке там доступны клиенты SecuRemote/SecureClient как для Windows так и для MaC OS X, a также SecureMobile Client.

VN:F [1.9.21_1169]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)

RDP и атака изнутри

Tuesday, 08 Dec 2009

Что делать админу без удаленного доступа к серверу, или рабочей станции. Бегать по этажам, со своего места в серверную, или к клиенту- никаких ног не хватит. Выручает только удаленный доступ, но не ко всем машинам можно достучаться по ssh, у нас же в парке всегда присутствует достаточное количество Windows серверов, и тогда мы прибегаем к помощи RDP.
(more…)

VN:F [1.9.21_1169]
Rating: 6.5/10 (2 votes cast)
VN:F [1.9.21_1169]
Rating: +1 (from 1 vote)