Securepoint ssl vpn linux

Подключение на базе SSL VPN для клиентского доступа (remote access)¶

SSL VPN-plus используется для удаленного подключения пользователей к сетям в облаке. Между клиентом для Windows , Linux или Mac и NSX Edge устанавливается зашифрованный SSL-туннель. Он позволяет клиентам подключаться и работать в облаке из любого места при наличии интернета.

SSL-VPN plus нельзя использовать на NSX Edge одновременно с L2VPN SSL.

Вы можете столкнуться со следующей ошибкой:

При установке клиента SSL VPN Plus на MacOS версии 15.10 («Catalina») и выше может появляться сообщение: «The installation failed. The Installer encountered an error that caused the installation to fail. Contact the software manufacturer for assistance».

MacOS версии 15.10 («Catalina») и выше не входит в перечень поддерживаемых операционных систем. Причина в несовместимости MacOS данных версий с 32-битным ПО . Срок появления поддержки неизвестен.

Рекомендуем использовать SSL VPN Plus 64-bit Client for Mac OS версии 6.4.6. Чтобы получить данный клиент, обратитесь в техническую поддержку .

Если при установке появляются проблемы, повторите эту процедуру несколько раз. Со второго или третьего раза установка завершается успешно.

Пример топологии сети с подключением на базе SSL VPN-plus:

Выполните следующие шаги:

Настройка SSL VPN-Plus¶

В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Edges .

Выберите объект из списка, нажав на переключатель слева от названия.

Чтобы узнать информацию о пограничном шлюзе, нажмите на его название. В разделе Configuration → Gateway Interfaces указаны:

в поле Primary IP — публичные IP-адреса Edge Gateway в формате «x.x.x.x»;

в поле Subnets — подсеть Edge Gateway в формате «x.x.x.0/24»;

в поле Gateway — шлюз по умолчанию в формате «x.x.x.254».

На вкладке SSL VPN-Plus → Authentication нажмите + LOCAL , чтобы настроить локальную аутентификацию. Параметры можно оставить по умолчанию.

Если вкладка SSL VPN-plus отсутствует, сделайте заявку на присвоение прав доступа «Role Organization Administrator with SSL VPN». Для этого обратитесь в техническую поддержку .

На вкладке SSL VPN-Plus → Server Settings :

Еnabled — включите, чтобы запустить SSL VPN-plus.

IP Address — выберите публичный IP-адрес Edge Gateway в формате «x.x.x.x».

Port — укажите TCP порт на сервере, например «44444».

Сipher list — выберите тип шифрования. Рекомендуем использовать наиболее стойкий к дешифрованию «AES256-SHA».

На вкладке SSL VPN-Plus → IP pools нажмите на + , чтобы добавить пул IP-адресов.

Заполните форму Create New IP Pool :

IP Range — диапазон IP-адресов для подключившихся клиентов в формате «b.b.b.0-b.b.b.10».

Netmask — маска подсети, например «255.255.255.0».

Gateway — шлюз для подсети в формате «b.b.b.254». Этот адрес будет находиться на NSX Edge.

Status — активируйте, чтобы включить пул IP-адресов.

На вкладке SSL VPN-plus → Private Networks нажмите на + , чтобы добавить подсети, к которым у клиента должен быть доступ после подключения

Заполните форму Add Private Network :

Network — укажите подсеть в формате «a.a.a.0/24». Маршрут к подсети записывается в таблицу маршрутизации клиентского хоста после подключения.

Send Traffic — выберите «Over tunnel», чтобы маршрут установился через туннельный интерфейс.

Enable TCP optimization — установите флаг.

Чтобы локальная аутентификация работала, нужны локальные учетные записи. На вкладе SSL VPN-Plus → Users нажмите на + .

Заполните форму Create New User :

User Id — имя пользователя;

Password и Retype Password — пароль;

Enabled — оставьте переключатель активированным;

Password Details — активируйте переключатель Password never expires .

После создания хотя бы одной локальной учетной записи, настройте возможность загрузить дистрибутив SSL VPN Сlient.

На вкладке SSL VPN-Plus → Installation Packages нажмите на + .

По умолчанию после подключения на портале можно загрузить SSL VPN client для Windows.

Заполните форму Add Installation Package :

Profile Name — выберите учетную запись;

Gateway — укажите публичный IP-адрес Edge Gateway в формате «x.x.x.x», с которого можно загрузить дистрибутив;

Create installation packages for — для добавления на портал дистрибутивов для Linux и MacOS выберите «Linux» и «Mac»;

Поставьте флаги напротив следующих опций:

Start client on logon — запускать SSL VPN client при загрузке ОС ;

Create desktop icon — создать иконку на рабочем столе;

Server security certificate validation — проверять сертификат сервера.

Остальные флаги поставьте по необходимости:

Allow remember password — сохранить пароль;

Enable silent installation — разрешить «тихую» установку;

Hide SSl client network adapter — спрятать SSL VPN интерфейс из ОС клиента;

Hide client system tray icon — спрятать системную иконку в трее;

Enable silent mode operation — работа в «тихом» режиме.

Сервер функционален и ожидает подключение клиентов.

Загрузка и установка SSL VPN Сlient¶

Перейдите по ссылке https://x.x.x.x:port/sslvpn-plus/

x.х.х.х — IP адрес сервера, который вы указали на шаге 5.

port — порт, который вы указали на шаге 5.

Введите логин и пароль учетной записи, которую вы создали на шаге 13.

Загрузите SSL VPN Сlient по ссылке.

Откройте архив и запустите Installer.exe .

После установки у клиента будут настройки для учетной записи, с помощью которой его загрузили.

Источник

CheckPoint SSL Network Extender или VPN-клиент для удаленного доступа для Ubuntu 12.10 Загрузить

Я все время искал точную загрузку программного обеспечения VPN-клиента для доступа к VPN-серверу CheckPoint в Ubuntu 12.10.

Большинство из них — бесполезная информация и руководства без полезных ссылок для скачивания, а некоторые ссылки, которые кажутся полезными (как указано в фрагментах поиска Google), являются просто мертвыми ссылками.

Посоветуйте, пожалуйста, где именно мы можем загрузить правильный клиент и как его установить, и успешно запустим его для подключения к VPN-серверу.

1 ответ 1

Краткий ответ: Автономный установщик SSL Network Extender (SNX) не доступен из официальных загрузок Check Point.

SNX как классический SSL VPN-клиент — это тонкий клиент, который должен быть установлен во время сеанса при первом подключении из веб-браузера к шлюзу VPN. Сначала вы проходите аутентификацию на VPN-шлюзе, используя обычную веб-форму. Затем, после вашего согласия, SNX загружается и устанавливается с помощью Java-апплета.

Это означает, что основным местом, из которого SNX распространяется на клиентские машины, является VPN-шлюз Check Point. До версии R75.20 шлюза имеется исправление обновления SNX, доступное при загрузке Check Point со ссылками в sk65210 — SSL Network Extender E75. Более поздние версии шлюза (R75.30 до текущей версии R77.30) содержат обновленную версию SNX, доступную на момент выпуска шлюза, но я думаю, что SNX существенно не обновлялся во время этих выпусков шлюза.

Чтобы иметь возможность использовать SNX со шлюзом, там должна быть правильная лицензия (Mobile Access Blade). Также шлюз должен быть настроен соответствующим образом. См. Руководство по администрированию версий Mobile Access R77.

• sk67820 — Решения для удаленного доступа Check Point — информация обо всех VPN-клиентах Check Point, включая поддерживаемые клиентские операционные системы
• sk65210 — SSL Network Extender E75 — специфическая информация о SNX + более подробная информация о JRE и требованиях к библиотеке для различных дистрибутивов Linux

Ubuntu 12.10 официально поддерживается SNX, но поддержка Canonical прекратилась более года назад!

Источник

Пробрасываем толстый клиент через SSL туннель с шифрованием по ГОСТ

Привет, Хабровчане!

Сегодня мы хотим рассказать о преимуществах технологии SSL VPN и о практике работы со шлюзом Stonesoft SSL. В статье будет описана настройка данного решения для проброса толстого клиента (на примере хорошо знакомой многим 1С Бухгалтерии) через протокол HTTPS с применением ГОСТовых алгоритмов шифрования. Это позволит нашему любимому главному бухгалтеру удаленно работать с базой 1С по зашифрованному каналу прямо с дачи, нам – быстро подключить к системе пару сотен разбросанных по стране небольших офисов, а нашей организации – выполнить требования законодательства по защите, например, персональных данных.

В статье описывается способ безопасной публикации клиент-серверных приложений через Веб, руководствуясь которым, можно организовать удаленный доступ практически к любому корпоративному ресурсу.

Что такое SSL VPN

Итак, давайте посмотрим, как SSL VPN может облегчить нам жизнь и сэкономить время и нервы. Описывать технологию смысла не вижу, чтобы не докучать сухой технической информацией продвинутому читателю. Освежить знания по SSL VPN можно здесь. Мы же остановимся на практике использования и подумаем, чем же так хорош SSL VPN в сравнении с классическим IPSec VPN.

Суть технологии SSL VPN состоит в следующем: клиент подключается по 443 порту к шлюзу, который в свою очередь инициирует соединение с удаленным сервером (в нашем случае – это 1С), как прокси-сервер.

Во-первых, это удобно. Можно организовать доступ к любому сервису/ресурсу с любого пользовательского устройства из любого места, где есть Интернет. Не надо устанавливать никаких VPN-клиентов, настраивать их, как в случае использования IPSec VPN, достаточно в браузере ввести адрес, аутентифицироваться и работать. Пользователь сможет получить удаленный доступ к корпоративному ресурсу даже через публичный или гостевой Wi-Fi, т.к. 443 порт открыт почти во всех сетях.

Во-вторых, это просто. Просто для всех. Вам не придется объяснять тетеньке-бухгалтеру пользователю, что для получения доступа к какому-то ресурсу ему надо в трее найти иконку VPN-клиента, нажать на ней правой кнопкой мыши, из списка выбрать адрес шлюза, нажать «Connect», ввести логин и пароль (снова привет IPSec VPN). Просто для администраторов, т.к. не надо выдавать пользователю рабочий ноутбук для командировок с установленным и настроенным VPN-клиентом, антивирусом и другим корпоративным ПО.

В-третьих, это безопасно. Есть много механизмов защиты, которые шлюз SSL VPN может применять к клиенту. Два главных механизма – это аутентификация и шифрование. Методы и средства аутентификации можно выбрать самые различные: по логину/паролю, RADIUS, сертификаты, одноразовые пароли, интеграция с Active Directory и многие другие, в зависимости от выбранного решения SSL VPN.

Шифрование тоже на любой вкус, все зависит от вендора. Например, Stonesoft SSL, который мы рассмотрим в этой статье, предлагает нам выбирать из следующих алгоритмов: AES, DES, 3DES, RC2, RC4 и, в версии для России, ГОСТ 28147-89, что очень радует наших гос. регуляторов. Так как мы живем в России и законы не нарушаем, то наличие у этого продукта сертификатов соответствия ФСТЭК и ФСБ позволяет существенно расширить область его применения.

Также можно выделить такие интересные механизмы защиты, как проверка конечного устройства пользователя на соответствие политике безопасности и удаление следов сессии по окончании соединения (cookies, история URL, данные из кэша и временные файлы).

Что имеем и что хотим

Задача стоит следующая: организовать защищенный доступ к серверу 1С по протоколу HTTPS с использованием ГОСТового шифрования с ноутбука бухгалтера, который любит отдыхать и работать на даче. По сути, мы будем прокидывать толстый клиент 1С, который работает по «своим» портам (1540 TCP, 1560-1591 TCP), через порт 443 TCP.

Ниже рассмотрим 2 варианта исполнения подключения через шлюз SSL VPN:

• 1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP, база 1С хранится в СУБД, установленной на том же сервере
• 1С-клиент работает напрямую с базой, которая находится в папке с общим доступом

Для реализации этих сценариев в лаборатории был собран стенд:

• Сервер 1С: Windows Server 2008 R2 x64, MS SQL 2008 R2 Express, 1С 8.3.1.531
• Клиент: Windows XP SP2, клиент 1С 8.3.1.531, КриптоПро CSP 3.6
• Межсетевой экран (МЭ): Stonesoft FW/VPN 5.4.3.9685
• Шлюз SSL VPN: Stonesoft SSL 1.5.200.2002 kc1 GOST, для клиента доступен по адресу https://ssl.sglab.ru/
• Удостоверяющий центр: тестовый УЦ КриптоПро

МЭ стоит для эмуляции работы через интернет: на внешнем интерфейсе открыт только порт 443 TCP

и настроен NAT на интерфейс шлюза SSL VPN.

Как видно из схемы и правил на МЭ, доступа извне к серверу 1С нет (безопасность прежде всего!).

Настраиваем SSL VPN

Описывать процесс установки прошивки с поддержкой ГОСТ на шлюз SSL VPN и его первоначальной настройки не буду, все это можно найти в Интернетах и гайдах. Так что условимся, что у нас есть чистый Stonesoft SSL с установленными криптобиблиотеками КритоПро CSP, сгенерированными ключами, импортированными сертификатами шлюза и доверенного Удостоверяющего центра.

Ниже приведены сертификаты шлюза Stonesoft SSL и пользователя, выпущенные на тестовом Удостоверяющем центре.

Сертификат шлюза SSL VPN:

Сертификат пользователя:

Настройку шлюза SSL VPN можно разделить на следующие шаги:

• Настройка аутентификации пользователей
• Публикация ресурсов на портале приложений шлюза SSL VPN
  • Вариант №1: 1С-клиент работает с сервером 1С по портам 1540 TCP, 1560-1591 TCP
    • Создание туннельного ресурса
    • Создание объекта на портале приложений
  • Вариант №2: 1С-клиент работает напрямую с базой, которая находится в папке с общим доступом
    • Создание стандартного ресурса

Ниже приведено подробное описание настроек со скриншотами.

Настройка аутентификации пользователей

Сначала настроим аутентификацию пользователей. Мы выбрали следующую схему: аутентификация по сертификатам, выданным только доверенным УЦ без привязки к какому-либо хранилищу пользователей. Т.е. если у пользователя есть сертификат, выданный УЦ, который шлюз считает доверенным, то пользователь может аутентифицироваться. Итак, заходим на https://10.30.0.213:8443/ и попадаем на консоль администрирования шлюза Stonesoft SSL.

Идем на вкладку Manage System – Authentication Methods.

Добавляем новый метод – жмем Add Authentication Method…, выбираем тип User Certificate, задаем имя методу и выбираем УЦ, который будет использоваться для данного типа аутентификации.

По умолчанию аутентифицироваться может не любой пользователь, а только тот, чья учетная запись известна шлюзу. Для нашей схемы нужно добавить новый атрибут для созданного метода аутентификации: жмем Add Extended Property…, выбираем атрибут Allow user not listed in Any User Storage и выставляем значение атрибута true.

Все, новый метод аутентификации готов, для применения изменений жмем кнопку Publish. Это, наверное, самая важная кнопка при работе с Stonesoft SSL, не забывайте жать ее каждый раз, когда что-то меняете.

Публикация ресурса. Вариант №1

Теперь надо опубликовать ресурс, чтобы он был доступен пользователю на портале приложений шлюза SSL VPN. Сначала рассмотрим Вариант №1: 1С-клиент подключается к серверу 1С и работает с базой в СУБД.

Процесс создания и публикации ресурса можно описать следующим образом:

• Создание хоста (в нашем случае это сервер 1С)
• Создание ссылки на портале приложений шлюза SSL VPN

Идем на вкладку Manage Resource Access – Tunnel Resources, жмем Add Tunnel Resource Host… Заполняем имя ресурса, IP-адрес и порты, по которым мы хотим получить доступ к серверу 1С.

Теперь нужно создать элемент на портале приложений. Идем на вкладку Manage Resource Access – Tunnel Sets, жмем Add Tunnel Set и заполняем имя, выбираем иконку, которая будет видна пользователю (можно выбрать из готовых или загрузить свою), в поле Link Text пишем текст, который будет отображаться под иконкой.

На следующем шаге мы должны указать шлюзу SSL VPN, какой трафик заворачивать в SSL, для этого добавляем динамический туннель, для чего жмем Add Dynamic Tunnel to the Set… и из выпадающего списка в поле Resource выбираем хост с сервером 1С. Все остальные поля заполняются автоматически в соответствии со свойствами ресурса, который мы выбрали.

Теперь самый ответственный момент, необходимо правильно написать команду, которая будет выполняться на клиентском ПК, автоматически запуская клиент 1С с требуемыми параметрами подключения к серверу. У меня она выглядит следующим образом: «C:\Program Files\1cv8\8.3.1.531\bin\1cv8c.exe» /S«10.30.0.238\1c». Стоит помнить о том, что если пользователей несколько, то у всех путь к исполняемому файлу должен быть одинаковым. Если это по каким-то причинам невозможно, то можно поле Startup Command оставить пустым, тогда клиент 1С придется запускать вручную и указывать все параметры после открытия ресурса на портале приложений.

После всех проделанных действий жмем Publish.

Теперь можем проверить, что у нас вышло. Запускаем браузер, пишем в адресной строке https://ssl.sglab.ru/ и видим окно с выбором сертификата.

После аутентификации попадаем на портал приложений.

Жмем на 1С и видим, как загружается Access Client, запускается команда, которую мы писали в свойствах Tunnel Set и в итоге стартует клиент 1С: Предприятие и подключается к серверу.

В момент подключения можно посмотреть логи на МЭ и убедиться, что все работает через HTTPS.

Публикация ресурса. Вариант №2

Теперь настроим другой сценарий – пользователь жмет на иконке 1С на портале приложений и получает доступ к папке с базой на сервере 1С.

Заходим на консоль администрирования шлюза, идем на вкладку Manage Resource Access – Standard Resources – File Sharing Resources – Microsoft Windows File Share и жмем Add this Standard Resource.

Заполняем имя ресурса, IP-адрес сервера 1С, имя папки с базой, к которой открыт общий доступ, выбираем иконку для портала приложений и пишем отображаемое имя.

Собственно, все. Не забываем опубликовать изменения на портале.

Теперь с клиентского ПК снова заходим на https://ssl.sglab.ru/ и жмем на созданной иконке База 1С.

После чего мы видим папку с базой 1С.

Далее все просто и понятно – добавляем в клиенте 1С новую информационную базу, указываем путь \\10.30.0.238\1cbase и работаем с ней по защищенному каналу через HTTPS.

Заключение

Таким образом, мы настроили шлюз SSL VPN для удаленной работы с сервером 1С в двух вариантах по зашифрованному ГОСТовыми алгоритмами каналу и позволили нашим пользователям безопасно работать с корпоративными ресурсами через толстые клиенты.

Это далеко не все, на что способен Stonesoft SSL VPN. Приведенную конфигурацию несложно будет «оттюнинговать» под свои потребности.

Надеемся, эта статья будет вам полезна. В дальнейшем мы планируем продолжить делиться с хабражителями нашим опытом в области информационной безопасности. Будем рады вопросам и пожеланиям в комментах.

Источник