- PVSM.RU - https://www.pvsm.ru -
В этом посте мы расскажем о том, как настроить двухфакторную аутентификацию в Check Point Security Gateway с использованием электронных ключей на примере JaCarta PKI российского разработчика решений по информационной безопасности.
О том, что удалённый доступ к ресурсам организации несёт пользу, но и создаёт ряд проблем для IT-департамента, говорится везде очень много. Мы также считаем это важной темой. Поэтому решили посвятить этому следующий пост.
Возможность корректной идентификации пользователей, запрашивающих доступ к информационной системе, достигается за счёт использования комплексных решений контроля доступа.
Внедрение решений для удалённого доступа без строгой аутентификации пользователей равносильно хранению важных данных в сейфовой ячейке, ключ от которой хранится на ближайшем журнальном столике.
Хорошие решения по аутентификации пользователей подразумевают гарантированный доступ к ресурсам компании только авторизованным пользователям.
PKI — эффективный метод аутентификации для систем строгой аутентификации в аспектах функциональности, безопасности и соблюдения зависимостей.
JaCarta Client — программное обеспечение, позволяющее строить инфраструктуру с открытыми ключами с применением ключевых носителей JaCarta PKI [1]. Данное программное обеспечение позволяет применять защищённую передачу информации, основанную на инфраструктуре открытых ключей.
Электронные ключи могут поставляться в различных форм-факторах, включая USB-токены, смарт-карты, в т.ч. с широкими возможностями кастомизации (нанесение логотипа, использование корпоративного стиля и т.д.). Все форм-факторы управляются единым интерфейсом, программным обеспечением JaCarta Client. JaCarta Client имеет унифицированные методы работы, такие, как PKCS#11, CAPI, которые обеспечивают поддержку множества приложений «из коробки», поддерживающих данные интерфейсы. Поддерживаются такие сценарии, как защищённый Web-вход, защищённый вход в систему, шифрование данных, шифрование почты. PKI ключи и сертификаты могут быть созданы, размещены и использованы наиболее безопасным способом при помощи аппаратных либо программных токенов.
В комплексе с ключами чаще всего используется JaCarta Management System [2], обеспечивающая организации комплексную платформу управления жизненным циклом ключей. JMS связывает идентификаторы с пользователями, позволяя контролировать сертификаты, используемые ими. JMS позволяет масштабировать систему без угрозы нарушения работы.
Check Point Security GateWay защищает внутренние и внешние сети, публичные и приватные облака от внутренних и внешних угроз безопасности, защищая виртуальные машины и приложения при помощи полного набора инструментов защиты Check Point Software Blades.
В этом посте мы подробно опишем шаги по настройке поддержки входа в удалённую сеть по сертификату пользователя при помощи смарт-карты, либо аппаратного токена JaCarta PKI. Подразумевается, что Check Point Security GateWay окружение уже настроено на статические пароли пользователей для аутентификации.
Информация в посте применима к:
Версии программного обеспечения, которые были использованы для подготовки инструкции по настройке.
По сути, инструкция, о которой пойдёт речь далее, будет интересна системным администраторам, кто знаком с семейством Check Point Security Gateway и заинтересован в использовании возможностей многофакторной аутентификации при помощи смарт-карт и USB-токенов JaCarta.
Аутентификация при помощи сертификатов с использованием JaCarta PKI Client.
Схема ниже демонстрирует сценарий аутентификации по сертификату.
Пользователь соединяется с Check Point Security Gateway Appliance при помощи клиентского приложения Check Point Security Gateway. Пользователь вставляет токен JaCarta PKI, на котором расположен его сертификат, вводит PIN-код токена.
После успешной аутентификации пользователь получает доступ к внутренним сетевым ресурсам.
Здесь описываются предварительные требования, которые необходимо удовлетворить прежде, чем приступать к настройке двухфакторной аутентификации по сертификатам для Check Point Security Gateway с использованием JaCarta PKI.
Для использования аутентификации по сертификатам необходимо установить и настроить Microsoft Certificate Authority. В качестве Удостоверяющего центра может быть использован любой УЦ, но в данном документе рассматривается именно Microsoft CA.
Пользователи должны иметь токены JaCarta PKI с выпущенными подходящими сертификатами на них.
JaCarta PKI Client версии 6.30 и выше должно быть установлено на компьютерах пользователей.
USB-токены:
Смарт-карты:
Для смарт-карт требуется считыватель ASEDriveIII USB.
Check Point SmartDashboard может быть использовано для настройки CheckPoint SSL VPN или IPSec VPN.
Настройка Check Point Security Gateway требует выполнения ряда действий.
Пользователь создаётся с определённой схемой аутентификации для входа на Check Point Security VPN Client. Затем администратор инициирует процесс выпуска сертификата на Security Management Server и получает ключ регистрации.
Пользовательские группы — набор пользователей, имеющих общие задачи, либо обязанности. Группы пользователей, как и отдельные пользователи, могут быть обработаны в политиках безопасности.
Создание групп позволяет назначать задачи определённым пользователям. Шлюз не позволяет определить правила для определённых пользователей, но Вы можете назначать определённые правила группам пользователей.
Шлюзы безопасности имеют, по крайней мере, одну аппаратную платформу, которая используется в качестве точки входа в корпоративную сеть.
Правила шлюза определяют политики разрешений и запретов для шлюза. Правила шлюза строятся на концепции объектов. Для примера, сетевые объекты могут быть использованы в качестве источника и пункта назначения правил.
Новая политика создана.
Клиент устанавливает защищённое соединение с внутренним Удостоверяющим центром Check Point, запрашивает сертификаты с помощью ключа регистрации. Запрашивая сертификат пользователя впервые, предоставьте ключ регистрации и установите сертификат на токен.
*:disconnect_on_smartcard_removal (
gateway (
:default (true)
)
)*
Откройте приложение Check Point Endpoint Security.
Автор: doctorblack
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/vpn/261972
Ссылки в тексте:
[1] JaCarta PKI: https://new.aladdin-rd.ru/catalog/jacarta-pki
[2] JaCarta Management System: https://new.aladdin-rd.ru/catalog/jms
[3] JaCarta: https://www.aladdin-rd.ru/catalog/jacarta/
[4] «Аладдин Р.Д.»: https://new.aladdin-rd.ru/company
[5] Источник: https://habrahabr.ru/post/335250/
Нажмите здесь для печати.