Endpoint Security VPN Novembre 2010 ©2010 Check Point Software Technologies Ltd. All rights reserved. Classification: [Unrestricted] — For everyone|P.1
Endpoint Security VPN
Novembre 2010
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.1
Table des matières
Introduction....................................................................................................................3Pourquoi Endpoint Security VPN.............................................................................................................3
Fonctionnalités...............................................................................................................3Connectivité............................................................................................................................................. 4Sécurité................................................................................................................................................... 8
Installation et Utilisation..............................................................................................11Small Footprint : Faible encombrement.................................................................................................11Offline et déploiement Web.................................................................................................................... 11Mises à jour automatiques..................................................................................................................... 11Wizard de création de connexions au Site VPN....................................................................................12CLI Scripting.......................................................................................................................................... 12OPSEC API........................................................................................................................................... 13
Administration..............................................................................................................13Administration centralisée et unifiée......................................................................................................14Administration avancée du client Endpoint Security VPN......................................................................15Systèmes d’exploitations et Concentrateurs VPN Supportés................................................................16
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.2
IntroductionEndpoint Security VPN est la nouvelle génération de clients d’accès distant de Check Point. Il offre un accès fiable et sécurisé (VPN IPSec) aux ressources de l’entreprise ainsi qu’un Firewall de poste.Endpoint Security VPN est capable d’établir un accès VPN avec les concentrateurs VPN Check Point tels que UTM-1, Power-1, Appliances IP, et Connectra. Il est supporté sur les environnements Windows, y compris Windows 7 64bits. Enfin, ce client est complètement administré de manière centrale grâce à l’infrastructure d’administration Check Point : gestion des politiques, des utilisateurs, des droits d’accès, rapports d’activité et remontés d’évènements.
Points forts :
Intervention utilisateur réduit au strict minimum (Auto-Connect, Roaming, …)
Support du Roaming (le Tunnel est rétablie automatiquement quand on passe du Wifi au 3G par exemple)
Encapsulation NAT-T ou HTTPS automatique (si l’IPSEC est bloqué) avec détection automatique du Proxy
Détection automatique de Hotspot Wifi avec présentation intégrée de la page d’enregistrement
Installation sans reboot
Upgrade & Update automatique (sans droit admin et sans reboot)
Conformité de poste intégré (Connectra uniquement)
Intégré aux outils d’administration centralisée(SmartCenter, SmartEvent, …)
Déploiement par package MSI personnalisé (package de 13,4MB)
Support CLI
Support Windows VISTA&Seven32 et 64bits
Support du GéoClustering (répartition des flux sur plusieurs passerelles VPN géographique grâce à un mécanisme de DNS)
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.3
FonctionnalitésSous la forme d’un agent résident sur les postes de travail fixes ou mobiles des utilisateurs, Endpoint Security VPN incorpore plusieurs technologies de connectivité, de sécurité, d’installation et d’administration.
Connectivité
Etablissement d’une connexion VPN IPSec à la passerelle VPNpour une communication chiffrée et sécurisée. Si la connexion réseau est perdue, le client se reconnecte de manière transparente sans intervention de l’utilisateur.
Fenêtre de connexion sur le poste client
Méthode intelligente et automatique de détection et de connexion
Chaque fois que le poste client change d’emplacement (Wifi, 3G, LAN, etc…), Endpoint Security VPN détecte automatiquement la meilleure méthode pour établir la connexion, c'est-à-dire en utilisant au choix :
IPSec standard
encapsulation NAT-T (RFC 3947)
le mode Visiteur (encapsulation HTTPS)
Connexion via un proxy
Le passage d’une méthode à l’autre est automatique.
Ces modes sont nécessaires lorsque le trafic entre le poste client et la passerelle VPN traverse unepasserelle effectuant de la translation d’adressesIP (NAT). En effet, Pour de multiples raisons, le NAT est incompatible avec le flux IPSEC. De même, les proxies et les firewalls peuvent bloquer les flux IPSEC. Ainsi, le mode NAT-T(UDP port 4500), ou le mode Visiteur (TCP port 443) permettent de s’affranchir de ces contraintes.
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.4
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.5
Smart Location Awareness
Endpoint Security VPN détecte de manière intelligente si le poste client est à l’intérieur ou à l’extérieur de l’entreprise (domaine VPN) et se connecte ou se déconnecte automatiquementsuivant les cas.
Pour identifierla localisation du poste, on peut vérifier par exemple si le poste est connecté à son contrôleur de domaine, spécifier les réseaux qui sont considérés comme internes, spécifier des suffixes DNS, ou identifier les SSID des réseaux Wifi de l’entreprise.
En pratique, si les utilisateurs à l’extérieur du réseau de l’entreprise ouvrent leur client de messagerie, la connexion VPN étant ouverte automatiquement et de manière transparente,le client de messagerie peut se connecter au serveur de messagerie située derrière le concentrateur VPN. De la même manière, si les postes clients ont des partages réseaux sur les serveurs du réseau interne, ces partages sont maintenus et fonctionnent même en cas de déplacementdu poste vers un réseau externe.
Fenêtre de gestion des méthodes de connexion
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.6
Fenêtre d’administration Location Awareness
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.7
Détection des Proxies
Le client détecte automatiquement les serveurs proxies situés entre lui et la passerelle VPN, s’y authentifieautomatiquement et les remplace lorsqu’ils ne sont plus valides.
Fenêtre de configuration sur le poste client
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.8
Endpoint Security VPN supporte les fichiers proxy.pac et permet égalementle replacement de la configuration proxy (Proxy Replacement) une fois la connexion VPN établie, afin d’ajouter les adresses IP du domaine VPN dans la configuration proxy.
Mobilité transparente entre les réseaux ou types de réseaux
Lorsque l’adresse IP du poste client change, par exemple si l’utilisateur passe d’un réseau 3G à un réseau Wifi, la session et le tunnel VPN sont tout de même maintenues.
Multiple Sites
Il est possible de définir autant de passerelles VPN que l’on souhaite pour le client Endpoint Security VPN
Enregistrement sécurisé aux HotSpots
Endpoint Security VPNfacilite l’enregistrement aux HotspotsWifi l’lorsque l’utilisateur se connecte dans un aéroport ou un hôtel par exemple. En effet, le client VPN présente le portail automatiquement sans que l’utilisateur n’ait à lancer de navigateur. Par ailleurs, même si la politique firewall interdit le protocole HTTP, le client saura faire la différence et permettra à l’utilisateur d’accéder aux sites d’enregistrement Hotspot sans avoir à modifier la politique de navigation.
Interface utilisateur de Endpoint Security VPN intégrant l’accès au HotSpot
Détection de passerelle « morte » : Dead Gateway Detection
Si le client échoue à recevoir un paquet chiffré dans un intervalle de temps déterminé, il envoie un paquet « tunnel test »à la passerelle VPN. Si le paquet tunnel test est bien reçu alors la passerelle est considérée comme active. Si un certain nombre de paquets échouent, la passerelle est considérée comme inactive ou hors service.
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.9
GeoClustering
L’utilisation de passerelles géographiquement distribuées pour un plan de reprise d’activité ou la haute disponibilité est connue sous le terme de GeoClustering. Cette fonctionnalité est disponible sur les passerelles Connectra avec le client Endpoint Security VPN.
GeoClusteringconsiste à utiliser un nom DNS unique pour représenter de multiples passerelles. Des périphériques tierces peuvent améliorer cette fonctionnalité en y rajoutant des notions de surveillance du statut opérationnel des passerelles Connectra et des notions de proximité géographiques des passerelles par rapport aux clients afin d’optimiser les temps de latence du trafic.
Le GeoClustering est à différencier du concept normal de clustering des passerelles et il est utilisé dans des scénarios bien distincts. Le Clustering traditionnel est utilisé pour des passerelles géographiquement proches, tandis que le GeoClusteringpeut s’appliquer à des passerelles éloignées.
Par contre, contrairement au clustering traditionnel, GeoClusteringne fournit pas de synchronisation des connexions et du maintien de celles-ci, en cas de bascule.
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.10
Sécurité
Sécurité du poste de travail
Endpoint Security VPN incorpore un pare-feu personnelqui est géré de manière centralisée depuis l’interface SmartConsole.
Il est ainsi possible de créerun jeu de règles pour contrôler les fluxentrée/ sortie du poste de travail. De plus, le jeu de règle tient compte de l’état du tunnel ; c'est-à-dire que la politique du firewall personnel est distincte si le tunnel VPN est monté ou pas.
Configuration des règles Destop Policy depuis la console graphique
Endpoint SecurityOn Demand
Endpoint Security On Demand (ESOD) permet une vérification complète et efficace (contrôle des versions de logiciel,des mises à jour des signatures antivirales, de la présence de programmes malveillants) du poste de travail lors de la connexion et ensuiteàintervalles de temps réguliers et paramètrables.
ESOD est automatiquement lancé lors de la montée de la connexion VPN par le client Endpoint Security VPN à la passerelle VPN.
Les clients qui échouent au scan initial, sontrestreints à une zone bac à sable où ils n’ont accès qu’à un certain nombre de ressources de mise en conformité que l’administrateur aura défini.
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.11
Fenêtre utilisateur d’une connexion bloquée car poste jugée non conforme par ESOD
L’utilisateur à accès aux informations sur le scan : ici signature de l’Antivirus obsolète
Connexion réussie suite à mise en conformité du poste
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.12
Secure Configuration Verification (SCV)
Le SCV permet à l’administrateur de surveiller la configuration des postes clients lorsque le tunnel VPN est monté et devérifier que la configuration de ces derniers est compatible avec la politique de sécurité de l’entreprise. Le cas échéant, les postes clients non conformes peuvent être ainsi bloqués
Secure Domain Logon (SDL)
Le SDL établit un tunnelVPN avant même la phase de logon de l’utilisateur au domaine Windows, permettant ainsi à l’utilisateur de se loguer sur le contrôleur de domaine de l’entreprisede manière chiffrée et sécurisée.
Full IPSec VPN
Endpoint Security VPN utilise le standard IPsec VPN pour l’authentification, l’intégrité des données et la confidentialité. IPsec fournit la sécurité la plus robuste pour le VPN, incluant le support des standards AES 256, SHA-1 et RSA
Support de multiples méthodes d’authentification
a. Nom d’utilisateur et mot de passes (incluant mot de passes en cache). Les mots de passes sont valider par une base qui peut être interne, LDAP, AD, Radius, Tacacs…
Fenêtre administrateur pour le réglage du cache d’authentification
b. SecurID
c. Challenge-Response
d. Logiciels CAPI et tokens matériels
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.13
Endpoint Security VPN supporte l’authentification utilisateur avec les certificats de type PKCS#12.Endpoint Security VPN peut accéder au certificat stocké sous forme de fichier P12 ouvia l’accès au magasin CAPI (CAPI Store) où le certificat aura été préalablement importé.
Hub Mode
Le Hub Mode augmente la sécurité en routant tout le trafic dans le tunnelVPN. Ainsi le trafic du poste client à destination ou depuis Internetpeut également être inspecté par le concentrateur VPN par ses mécanismes de protection contre le contenu malveillant.
Fenêtre administrateur pour la configuration du Hub Mode
Visitor Mode
Lorsque le client Endpoint Security VPN doit traverser un pare-feu intermédiaire qui bloque tout ce qui n’est HTTPS (ou HTTP), le flux IPSec entre le client et VPN sera automatiquement encapsulé dans une connexion TCP standard avec des en-têtes HTTPS rendant la connexion ainsi possible.
Installation et Utilisation
Offline et déploiement WebEndpoint Security VPN est disponible sous forme d’un paquetage MSI. Il peut être founint/déployé par l’administrateur et/ou peut être téléchargé directement depuis le portail Connectra :
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.14
Mises à jour automatiques
Les mises à jour du client Endpoint Security VPN sont automatiques et transparentes pour l’utilisateur et ne nécessitent nidroits administrateurs ni redémarrage du poste client.
Fenêtre administrateur de paramètrage des mises à jour automatique
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.15
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.16
Wizard de création de connexions au Site VPN
L’utilisateur peut très aisément configurerun nouveau site de connexion VPN.
CLI &Scripting
Endpoint Security VPN supporte le mode CLI et peut être ainsi intégré et invoqué par des applications tierces.
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.17
Menu d’aide au mode CLI
API
En complément du mode CLI, une API documentée est disponible pour Endpoint Security VPN, permettant une intégration poussée dans des applications tierces.
Guide OPSEC API Endpoint Security VPN
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.18
Administration
Administration centralisée et unifiée
Endpoint Security VPN peut être entièrement administrée depuis la console de management SmartCenter/Provider-1.
Fenêtred’administrationd’Endpoint Security VPN
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.19
Panneau d’administration contrôlant les droits d’accès sur Connectra
La collecte des données du client Endpoint Security VPN est compatible avec les outils d’administration et de reporting Check Point tels que SmartDashboard, SmartViewTracker/Monitor, SmartEvent.
Il est possible de collecter en un seul fichier sur le poste client l’ensemble des fichiers de logs et de configuration d’Endpoint Security VPN dans le cas d’une intervention du support.
Panneau de collecte de logs sur le client Endpoint Security VPN
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.20
Administration avancée du client Endpoint Security VPN
Endpoint Security VPN supporte un mode d’administration spécial qui permet la création de paquetages préconfigurés. L’administrateur ouvre une instance du client, configure l’ensemble des paramètres et sauvegarde l’ensemble de la configuration sous forme d’un nouveau paquetage .msi, qui pourra ensuite redistribuer à l’ensemble des utilisateurs.
Fenêtre de configuration de l’outil de paquetage (Packaging Tool)
Systèmes d’exploitations et Concentrateurs VPN Supportés
Passerelles supportées Appliances Power-1 Appliances UTM-1 Appliances IP Connectra R66 et supérieur VPN-1 R65 HFA_40 et supérieur
OS Supportés Windows 2000 Pro 32-bits en SP1-4 Windows XP Home et Professional 32-bit avec ou
sans SP1-3. Windowas Vista 32 and 64 bits, sans ou avec SP1 Windows Seven 32 bits et 64 bits
©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.21