CC Otwarte Systemy Komputerowe Sp. z o.o.

CheckPoint - firewall, endpoint & cloud security

  1. Start
  2. Producenci

Nowość!!!
Express CI

VPN-1 SecureClient

Dynamiczny rozwój zastosowań VPN (Virtual Private Networks - wirtualne sieci prywatne) doprowadził do sytuacji, w której coraz więcej wewnętrznych zasobów sieciowych korporacji jest dostępnych z lokalizacji zewnętrznych. Coraz bardziej rośnie liczba odległych klientów VPN, korzystających z publicznych łączy Internetowych za pośrednictwem modemów i łączy dzierżawionych. W konsekwencji mamy coraz mniejsze panowanie nad tymi rozległymi środowiskami, a nieprzerwane (always-on) połączenie z Internetem naszych odległych użytkowników jedynie zwiększa ryzyko ataku intruzów na indywidualną, odległą maszynę i co za tym idzie -na naszą wewnętrzną sieć.

Powszechną praktyką jest także koncentrowanie się inżynierów bezpieczeństwa na ochronie sieci przed atakami zewnętrznymi, mimo, że od dawna wiadomo, iż najwięcej włamań i największe straty przyniosły ataki z wnętrza organizacji. Oznacza to, że często stosowane w odniesieniu do dostępu z zewnątrz mechanizmy takie jak kontrola dostępu, szyfrowanie i autentykacja użytkowników powinny być wdrażane także w wewnętrznych sieciach przedsiębiorstwa. Dane gromadzone na stacjach roboczych powinny być chronione przed nieuprawnionym dostępem innych użytkowników sieci, a wymiana krytycznych informacji z serwerami nie może być „podsłuchana" przez naszych własnych pracowników. Każda stacja robocza - zarówno lokalna jak i odległa - stanowi potencjalne boczne wejście do naszej sieci w przypadku braku odpowiednich mechanizmów zabezpieczających.

Rozwiązaniem tego problemu jest VPN-1 SecureClient firmy Check Point, który wymusza stosowanie mechanizmów zabezpieczających na stacjach roboczych. Jest to rozszerzenie dobrze znanego pakietu VPN-1 SecuRemote - który przeznaczony jest do standardowej budowy kanałów VPN oferując autentykację użytkowników i szyfrowanie po stronie klienta - o nowe mechanizmy takie jak kontrola dostępu i sterowanie konfiguracją bezpieczeństwa stacji roboczej. VPN-1 SecureClient podnosi stopień bezpieczeństwa całej, rozległej sieci korporacyjnej upewniając nas, że potencjalni intruzi - tacy jak współużytkownicy określonego segmentu sieciowego lub ogólnodostępnych zasobów poza naszą siecią - nie skorzystają z okazji włamując się do niechronionej stacji roboczej i rozszyfrowania aktywnego połączenia VPN. Istotną wartością VPN-1 SecureClient jest także możliwość automatycznego sprawdzenia, że wszystkie stacje robocze w dowolnie szerokiej sieci korporacyjnej są poprawnie zabezpieczone, pozostając w zgodzie z przyjętą polityką bezpieczeństwa.

Podstawowe własności

  • Szyfruje komunikację z odległych i lokalnych stacji roboczych
  • Realizuje funkcję personalnego systemu zaporowego dla PC pracujących w ogólnozakładowej sieci
  • Wymusza bezpieczne konfiguracje na każdym systemie typu klient

Podstawowe korzyści

  • Ochrania połączenia klient-pomost i klient-serwer przed nieuprawnionym przechwytywaniem danych
  • Zabezpiecza całą sieć wymuszając kontrolę dostępu na każdej stacji roboczej
  • Podnosi bezpieczeństwo sieci korporacyjnej wymagając bezpiecznej konfiguracji od każdej stacji roboczej.

Elastyczność

VPN-1 SecureClient oferuje bezpieczne połączenia dla odległych stacji roboczych jak i lokalnych, intranetowych użytkowników. Może być zainstalowane na dowolnej stacji Windows 95/98/NT i obsługuje wszystkie protokoły IP. W odniesieniu do użytkowników odległych (np. pracowników w ruchu) umożliwia korzystanie zarówno ze stałych jak i dynamicznie przydzielanych adresów IP. W przypadku instalacji lokalnych chroni krytyczne połączenia stacji roboczej z wybranymi serwerami typu bastion host (VPN-1 SecureServer) lub pomostami VPN-1.

Personalny system zaporowy

VPN-1 SecureClient chroni lokalną lub odległa stację roboczą używając tej samej technologii Stateful Inspection co FireWall-1 lub VPN-1. Pre-definiowane wzory polityki bezpieczeństwa określają dopuszczalny ruch sieciowy i sposoby szyfrowania transmisji dla wszystkich stacji roboczych. Przykładowo, możemy wymagać aby cały ruch do i ze stacji roboczej był szyfrowany. Przyjęcie określonej polityki bezpieczeństwa w odniesieniu do stacji typu klient nie tylko chroni dane określonej stacji roboczej, ale także - w przypadku odległych użytkowników VPN - eliminuje możliwość ataku pochodzącego z sąsiedniej stacji w dzielonej sieci.

Sterowanie konfiguracją bezpieczeństwa

VPN-1 SecureClient upewnia nas, że stacja robocza jest skonfigurowana bezpiecznie zgodnie z przyjętą, ogólnozakładową polityką bezpieczeństwa. Mamy możliwość zablokowania dostępu do zasobów sieciowych do momentu zainstalowania zaaprobowanej konfiguracji. Przykładowo, możemy wymóc konieczność stosowania jedynie protokołów IP, wyłączenia IP forwarding i zainstalowanie określonej polityki bezpieczeństwa. Tylko w przypadku pozytywnej weryfikacji stacja robocza będzie miała dostęp do pomostu Internetowego lub wewnętrznego serwera z krytycznymi danymi.

Centralny serwer polityki bezpieczeństwa

VPN-1 SecureClient korzysta z centralnego serwera zawierającego zdefiniowana politykę bezpieczeństwa dla stacji roboczych. W pierwszej kolejności administrator definiuje stopień zabezpieczania stacji roboczych w całej sieci korporacyjnej. Zarządzanie bazuje na dwóch elementach: polityka bezpieczeństwa instalowana na stacji roboczej i wymagana, bezpieczna konfiguracja tej stacji. Następnie, przyjęta polityka bezpieczeństwa jest „ładowana" z centralnego serwera do każdej stacji roboczej. Użytkownicy muszą zatem zostać poprawnie zidentyfikowani w procesie autentykacji, a ich stacje robocze muszą pozostać w zgodzie z oczekiwaną konfiguracją aby określone połączenie VPN zostało ustanowione.

Obsługa standardów przemysłowych

VPN-1 SecureClient pracuje w oparciu o przemysłowe standardy w odniesieniu do protokołów i algorytmów VPN.

Algorytm szyfrowania

Długość klucza

Triple DES

168-bitów

AES (Rijndael)

128, 256 bitów

DES

56-bitów

FWZ-1

48-bitów

DES-40

40-bitów

CAST-40

40-bitów

Autentykacja użytkownika

  

Cyfrowe certyfikaty X.509

  

IKE Pre-shared secret

  

RADIUS

  

TACACS/TACACS+

  

Bazująca na tokenach

 m.in. obsługiwane są tokeny: ActivCard, Vasco, RSA SecureID, PassGo

Hasło systemu operacyjnego

  

Hasło FireWall-1

  

S/Key

  

Algorytmy klucza publicznego

  

RSA

512-1536 bity

Diffie-Hellman

512-1536 bity

Zarządzanie kluczami

  

IKE (ISAKMP/Oakley)

  
Obsługiwane w schemacie IKE

Integracja

VPN-1 SecureClient bezboleśnie pracuje z przodującą na rynku rodziną produktów VPN-1 firmy Check Point. Polityka bezpieczeństwa dla stacji roboczych definiowana jest za pośrednictwem konsoli zarządzającej VPN-1, tej samej która służy do zarządzania innymi produktami należącymi do tej rodziny. Dzięki temu, że VPN-1 SecureClient ustanawia kanały VPN z 1-Gateway lub VPN-1 SecureServer możliwe jest wymuszanie wszystkich elementów polityki bezpieczeństwa takich jak: kontrola dostępu, autentykacja użytkowników i monitorowanie ruchu.

Wymagania systemowe dla SecureClient

  • Dokładna lista wspieranych funkcji na poszczególnych platformach dostepna jest tutaj
  • Wspierane platformy: Windows: CE, 98, Me NT 4.0, 2000, XP; Solaris 7,8; Linux RH 7; Mac OS 8,9; Pocket PC
  • Wolna powierzchnia dyskowa: 20MB
  • Pamięć RAM: 64MB