Aktuelles aus unserer Technik  -  Q4 / 2017

Seit Check Point auf der Check Point Experience 2017 R80.10 zum Magnum Opus seiner bisherigen Entwicklung erklärt hat und im August 2017 bereits R77.20 auslief, steht für viele Kunden die R80.10 Migration samt Konsolidierung & Optimierung der Security Policy an. Wir setzen diese Projekte erfahren & kundenspezifisch um.

techblog.esc.de

Archiv für 'VPN'

Check Point stellt verschiedene Methoden zur VPN-Einwahl für Remote Access Nutzer zur Verfügung. Nachfolgend stellen wir die Top 10 der bei unseren Kunden beliebtesten Remote Access VPN Methoden vor.

1. Endpoint Security VPN
(Standalone Clients: E80.70 für Microsoft Windows; E80.64 für Apple MacOS)

2. Endpoint Security (Homepage)
(Thin Client, E80.70 Client für Windows 64 bit / 32 bit; E80.64 für Apple MacOS)

3. Mobile Access SSL-VPN Portal

4. SSL Network Extender (SNX) – Clientless SSL-VPN (Installationsanleitung für Linux)

5. Capsule Connect für Apple iPhones und iPads (sk69540) – baut eine vollständige VPN-Verbindung (Layer 3) auf

6. Android Capsule VPN für Android basierte Mobilgeräte (sk84141) – baut eine vollständige VPN-Verbindung (Layer 3) auf

7. Capsule Workspace (Apple iTunes Store, Google Play Store) – SSL-VPN basierter Zugriff auf Mobile Access Inhalte

8. Nativer L2TP Client auf Apple iPhone / iPad bzw. Android Mobilgeräten

9. Microsoft Windows Check Point Mobile VPN plugin (Windows 8.1, Windows 10)

10. SMB Appliance basiertes Remote Access VPN (nur UTM-1 Edge) oder Site-to-Site VPN (700 / 1400 Appliance)

Das Check Point Mobile VPN Plugin ist erstmals Bestandteil von Microsoft Windows ab der Version 8.1 (inkl. Windows RT 8.1). Damit ist keine Installation des Check Point VPN Clients mehr notwendig, da es bereits als VPN Plugin im Betriebssystem vorinstalliert ist (siehe sk96006).

Admin Guide
Release Notes

Screenshot - Eingabe "VPN"

Screenshot - Hinzufügen einer VPN-Verbindung unter Windows 8.1

Screenshot - Auswählen des Check Point Mobile VPN Plugin

Sichere VPN-Einwahlverbindungen sind unersetzlich, will man von zu Hause oder unterwegs sicher auf seine internen Firmendaten zugreifen. Dies wurde traditionell über VPN-Clients zur sicheren VPN-Einwahl realisiert. Check Point bietet hierzu standardmäßig eine Reihe von VPN-Clients für alle marktführenden Betriebssysteme an. Grundlegend sollte das Betriebssystem jedoch nicht älter als Windows XP SP2 oder Mac OS X 10.6 (Snow Leopard) sein. Zusätzlich bietet Check Point für Smartphones und Tablet-PCs eigene Apps zur VPN-Einwahl an. Ferner besteht noch die Web-basierende Möglichkeit, mittels eines SSL-Portals eine (IPsec over SSL) VPN-Verbindung zum internen Firmennetzwerk herzustellen.

Der Trend geht hier seit Jahren zur sog. Clientless VPN-Einwahl, also ganz ohne installierte VPN-Client Software auf den Hostsystemen. Dies realisiert Check Point über sein Mobile Access Portal (Bisher: SSL-VPN Portal; Davor: Connectra Portal).

Eine detaillierte Auflistung aller unterstützten VPN-Einwahlmöglichkeiten führt Check Point im SecureKnowledge Artikel sk67820.


VPN-Clients

Auf Desktop-Systemen steht zudem der Endpoint Security E80.41 Client zur Verfügung, als offizieller Nachfolger des Remote Access Client E75.30. Im Endpoint Security E80.41 Client sind die Remote Access Clients und der Check Point Endpoint Client (Desktop Firewall- & Application Control, Compliance, Anti-Malware etc.) enthalten. Er steht derzeit für folgende Betriebssysteme zur Verfügung:

Windows XP SP2+ (32-bit)

Windows Vista SP1+ (32/64-bit)

Windows 7 (32/64-bit)

Windows 8 (32/64-bit)

Mac OS X 10.6 (32/64-bit)

Mac OS X 10.7 (32/64-bit)

Mac OS X 10.8 (64-bit)

..

Screenshot der VPN-Client Installation:
endpoint_security_e80.41

Übersicht der VPN-Client Funktionen:
VPN_Client_Features


Clientless VPN

Check Point - Mobile Access PortalMobile Access Portal
Check Point - SSL Network Extender PortalSSL Network Extender Portal

Zusätzlich bietet Check Point die Möglichkeit zum VPN-Zugriff (ohne Client-Software) in zwei Varianten. Herkömmlich via Check Point SSL Network Extender (kurz: SNX; auch für Linux) und neu via Mobile Access Portal (SSL-VPN). Beide Einwahlmethoden sind Webbrowser-basierend und somit grundsätzlich unabhängig vom Betriebssystem. SNX wird für die oben genannten Betriebssysteme und die im sk65210 aufgelisteten Linux Distributionen unterstützt. Das Mobile Access Portal bietet zusätzlich die nutzerfreundliche Möglichkeit, zentral für verschiedene Nutzer(-gruppen) spezifische Ressourcen zu definieren. Der Anwender benötigt für die Verwendung des Mobile Access Portals keine administrativen Rechte auf dem Client-PC, solange keine IPsec-over-SSL benötigt. Ist dies der Fall, kann auch innerhalb des Mobile Access Portals der SSL Network Extender gestartet werden.

Auf die Web-basierenden Inhalte eines Check Point Mobile Access Portals kann auch mobil via iPhone oder iPad zugegriffen werden. Hierfür steht in Apple’s AppStore die Check Point Mobile App zur Verfügung.


Mobile VPN-Clients (Apps)

Link zu Check Point Mobile VPN im Apple StoreLink zu Check Point Mobile VPN im Google Play Store
Apple Store (iPhone, iPad)
Google Play Store (Android)

Für Mobile Endgeräte (Smartphones, Tablet-PCs, etc.) stellt Check Point u.a. die App Check Point Mobile VPN für Apple iOS und Google Android Betriebssysteme zur Verfügung. Dabei sollte darauf geachtet werden, dass mindestens iOS 5 bzw. Android 4 verwendet wird. Die genauen Vorraussetzungen und Funktionen sind in sk69540 für iOS und in sk84141 für Android im Detail aufgelistet.

Android_VPN_APPS

Um stets alle aktuellen Funktionen der Mobile VPN-Apps nutzen zu können, ist auch das Check Point Firewall- & VPN-Gateway jeweils aktuell zu halten. Ferner muss das Mobile Access Software Blade auf dem Check Point Security Gateway aktiviert sein, damit eine VPN-Verbindung von mobilen VPN-Clients aufgebaut werden kann.

Mobile_VPN_01

Mobile_VPN_02


Mobile Enterprise (App)

Link zu Check Point Enterprise im Apple Store
Apple Store (iPhone, iPad)

Mit R76 veröffentlichte Check Point zugleich die neue App Mobile Enterprise für Apple iOS, welche die VPN-Verbindung zum Firmennetz in einem Sandbox-Verfahren realisiert. Damit werden die Unternehmensdaten sicher innerhalb einer geschützten Sandbox verwaltet und sind nur bei bestehender VPN-Verbindung zugänglich. Durch dieses Verfahren ist die private und dienstliche Nutzung des iOS-Gerätes besser trennbar und die firmeninternen Daten auf dem Mobile Device sind vor unberechtigten Zugriffen geschützt. Folgende Authentifizierungsmöglichkeiten werden derzeit unterstützt: User/Password, Personal Certificate, RSA, RADIUS, DynamicID SMS.

Des Weiteren wurde die neue Check Point Document Security App veröffentlicht, mit welcher spezifische Zugriffsberechtigungen für Dokumente noch während der Erstellung gesetzt werden können. Weitere Informationen hierzu sind in sk92552 und in den R76 Release Notes, sowie den Check Point Mobile Enterprise Release Notes beschrieben.

Mobile_Enterprise_01

Document_Security_01

Document_Security_01

Document_Security_01

Voraussetzung hierfür ist Apple iOS 5 oder höher und ein Check Point Security Gateway ab Version R76.

Eine genaue Auflistung der kompatiblen iOS Geräte samt Download der aktuellen Version für Check Point Mobile, Check Point Mobile VPN, Check Point Document Security und Check Point Mobile Enterprise sind in Apple’s AppStore und in der nachfolgenden Tabele zu finden.

iOS_VPN_APPS

Check Point hat heute eine aktualisierte Version (Build 1.128) seiner neuen Check Point Mobile VPN App im App Store von Apple bereitgestellt. Mit dieser lassen sich native IPsec / SSL basierte VPN-Tunnel aufbauen und systemweit auf allen iOS Geräten nutzen. Neu ist jetzt u.a. der Support für AES-256, automatischer Wiederaufbau einer unterbrochenen VPN-Verbindung, automatischer Aufbau des VPNs beim Zugriff auf die konfigurierte VPN Encryption Domain (on demand), sowie Route-all-traffic. Wie auf der CPX 2012 in Berlin mitgeteilt wurde, plant Check Point zudem noch in Q3 2012 seine alternative Check Point Mobile App für SSL-Zugriffe auf Web-basierte Inhalte von Mobile Access Portalen zu aktualisieren und zu einem vollwertigen Crypto-Container auszubauen.

Vor wenigen Wochen veröffentlichte Check Point eine neue Version des SSL Network Extenders und unterstützt damit nun offiziell aktuelle gängige Linux Distributionen wie Ubuntu 11.10, Fedora 16 (32-bit und 64-bit) sowie Max OSX 10.7.x (32-bit und 64-bit). Die Bezeichnung des neuen Clients gliedert sich in die Reihe der aktuellen Remote Access Clients ein und lautet folglich SSL Network Extender E75. Eine Übersicht u.a. der unterstützen Gateway-Versionen findet man hier. Entfallen ist die Funktion des Verbindungsaufbaus via Kommandozeile. Ebenfalls nicht unterstützt werden die Browser Chrome unter Linux sowie Safari unter Windows.