Site-to-Site VPN-Tunnel lassen sich ab sofort auch direkt in der Check Point Expert-CLI von Check Point VPN-Gateways mit diesem Einzeiler übersichtlich darstellen:

Ergänzend steht auch eine SmartConsole Extension bereit, um Site-to-Site VPN-Tunnel direkt in der neuen Check Point Unified SmartConsole anzuzeigen.

Update vom 1.12.2022:
Nominiert als Werkzeug des Jahres 2022.

Update vom 11.1.2023:
Ausgezeichnet als Werkzeug des Jahres 2022.

Check Point empfiehlt allen Kunden ältere Endpoint Security Clients zu aktualisieren.

sk171278 – How to find out the standalone VPN client version and mode

sk171292 – How to find out the Endpoint Security Client versions in use

sk170444 – How to uninstall Endpoint Security Client remotely

sk171279 – How to check’n’fix, with Compliance blade, Endpoint Client Cert. issue on 01/01/2021

sk171342 – How to restore the VPN connectivity after January 1st 2021 using Capsule VPN

sk171341 – How to use the EPPatch.msi and cached password to restore connectivity after January 1st …

sk171338 – How to deploy EPPatch.msi via GPO

sk171254 – Endpoint Security Client Patch does not work

sk117536 – Endpoint Security Homepage

Plea for Endpoint Security

Endpoint Security Clients Report

Für Arbeiten aus dem Home Office stellt Check Point diverse Remote Access VPN Lösungen und eine steigende Anzahl von Werkzeugen zur Analyse und Auswertung bereit.

Überblick – Check Point Remote Access VPN

FAQ für alle Fragen und Antworten rund um die VPN-Nutzereinwahl.

Script zur Anzeige der VPN-Nutzerstatistiken via SSH (Expert Mode) sowie innerhalb der SmartConsole (Scripts Repository)

SmartConsole Extension zur direkten Anzeige der VPN-Nutzerstatistiken innerhalb der Check Point SmartConsole.

Remote Access – SmartEvent Reports

• Basic
• Enhanced
• Application Monitoring
• Custom User Stats
• VPN Report

Best Practices Whitepaper

License Guide

Das US-Cert warnt vor einer Schwachstelle in vielen VPN Clients!

VPN Session Cookies werden nicht ausreichend verschlüsselt und zudem an unsicheren Speicherorten abgelegt.

Check Point‘s Remote Access VPN Clients sind nicht betroffen!

Wir empfehlen allen Kunden jedoch zeitnah eine Aktualisierung der VPN Client Software vorzunehmen.

Danke Check Point!

Check Point stellt verschiedene Methoden zur VPN-Einwahl für Remote Access Nutzer zur Verfügung. Nachfolgend stellen wir die Top 10 der bei unseren Kunden beliebtesten Remote Access VPN Methoden vor.

1. Endpoint Security VPN
(Standalone Clients: E80.70 für Microsoft Windows; E80.64 für Apple MacOS)

2. Endpoint Security (Homepage)
(Thin Client, E80.70 Client für Windows 64 bit / 32 bit; E80.64 für Apple MacOS)

3. Mobile Access SSL-VPN Portal

4. SSL Network Extender (SNX) – Clientless SSL-VPN (Installationsanleitung für Linux)

5. Capsule Connect für Apple iPhones und iPads (sk69540) – baut eine vollständige VPN-Verbindung (Layer 3) auf

6. Android Capsule VPN für Android basierte Mobilgeräte (sk84141) – baut eine vollständige VPN-Verbindung (Layer 3) auf

7. Capsule Workspace (Apple iTunes Store, Google Play Store) – SSL-VPN basierter Zugriff auf Mobile Access Inhalte

8. Nativer L2TP Client auf Apple iPhone / iPad bzw. Android Mobilgeräten

9. Microsoft Windows Check Point Mobile VPN plugin (Windows 8.1, Windows 10)

10. SMB Appliance basiertes Remote Access VPN (nur UTM-1 Edge) oder Site-to-Site VPN (700 / 1400 Appliance)

Das Check Point Mobile VPN Plugin ist erstmals Bestandteil von Microsoft Windows ab der Version 8.1 (inkl. Windows RT 8.1). Damit ist keine Installation des Check Point VPN Clients mehr notwendig, da es bereits als VPN Plugin im Betriebssystem vorinstalliert ist (siehe sk96006).

Admin Guide
Release Notes

Sichere VPN-Einwahlverbindungen sind unersetzlich, will man von zu Hause oder unterwegs sicher auf seine internen Firmendaten zugreifen. Dies wurde traditionell über VPN-Clients zur sicheren VPN-Einwahl realisiert. Check Point bietet hierzu standardmäßig eine Reihe von VPN-Clients für alle marktführenden Betriebssysteme an. Grundlegend sollte das Betriebssystem jedoch nicht älter als Windows XP SP2 oder Mac OS X 10.6 (Snow Leopard) sein. Zusätzlich bietet Check Point für Smartphones und Tablet-PCs eigene Apps zur VPN-Einwahl an. Ferner besteht noch die Web-basierende Möglichkeit, mittels eines SSL-Portals eine (IPsec over SSL) VPN-Verbindung zum internen Firmennetzwerk herzustellen.

Der Trend geht hier seit Jahren zur sog. Clientless VPN-Einwahl, also ganz ohne installierte VPN-Client Software auf den Hostsystemen. Dies realisiert Check Point über sein Mobile Access Portal (Bisher: SSL-VPN Portal; Davor: Connectra Portal).

Eine detaillierte Auflistung aller unterstützten VPN-Einwahlmöglichkeiten führt Check Point im SecureKnowledge Artikel sk67820.

VPN-Clients

Auf Desktop-Systemen steht zudem der Endpoint Security E80.41 Client zur Verfügung, als offizieller Nachfolger des Remote Access Client E75.30. Im Endpoint Security E80.41 Client sind die Remote Access Clients und der Check Point Endpoint Client (Desktop Firewall- & Application Control, Compliance, Anti-Malware etc.) enthalten. Er steht derzeit für folgende Betriebssysteme zur Verfügung:

Windows XP SP2+ (32-bit)

Windows Vista SP1+ (32/64-bit)

Windows 7 (32/64-bit)

Windows 8 (32/64-bit)

Mac OS X 10.6 (32/64-bit)

Mac OS X 10.7 (32/64-bit)

Mac OS X 10.8 (64-bit)

..

Screenshot der VPN-Client Installation:

Übersicht der VPN-Client Funktionen:

Clientless VPN

Mobile Access Portal
SSL Network Extender Portal

Zusätzlich bietet Check Point die Möglichkeit zum VPN-Zugriff (ohne Client-Software) in zwei Varianten. Herkömmlich via Check Point SSL Network Extender (kurz: SNX; auch für Linux) und neu via Mobile Access Portal (SSL-VPN). Beide Einwahlmethoden sind Webbrowser-basierend und somit grundsätzlich unabhängig vom Betriebssystem. SNX wird für die oben genannten Betriebssysteme und die im sk65210 aufgelisteten Linux Distributionen unterstützt. Das Mobile Access Portal bietet zusätzlich die nutzerfreundliche Möglichkeit, zentral für verschiedene Nutzer(-gruppen) spezifische Ressourcen zu definieren. Der Anwender benötigt für die Verwendung des Mobile Access Portals keine administrativen Rechte auf dem Client-PC, solange keine IPsec-over-SSL benötigt. Ist dies der Fall, kann auch innerhalb des Mobile Access Portals der SSL Network Extender gestartet werden.

Auf die Web-basierenden Inhalte eines Check Point Mobile Access Portals kann auch mobil via iPhone oder iPad zugegriffen werden. Hierfür steht in Apple’s AppStore die Check Point Mobile App zur Verfügung.

Mobile VPN-Clients (Apps)

Apple Store (iPhone, iPad)
Google Play Store (Android)

Für Mobile Endgeräte (Smartphones, Tablet-PCs, etc.) stellt Check Point u.a. die App Check Point Mobile VPN für Apple iOS und Google Android Betriebssysteme zur Verfügung. Dabei sollte darauf geachtet werden, dass mindestens iOS 5 bzw. Android 4 verwendet wird. Die genauen Vorraussetzungen und Funktionen sind in sk69540 für iOS und in sk84141 für Android im Detail aufgelistet.

Um stets alle aktuellen Funktionen der Mobile VPN-Apps nutzen zu können, ist auch das Check Point Firewall- & VPN-Gateway jeweils aktuell zu halten. Ferner muss das Mobile Access Software Blade auf dem Check Point Security Gateway aktiviert sein, damit eine VPN-Verbindung von mobilen VPN-Clients aufgebaut werden kann.

Mobile Enterprise (App)

Apple Store (iPhone, iPad)

Mit R76 veröffentlichte Check Point zugleich die neue App Mobile Enterprise für Apple iOS, welche die VPN-Verbindung zum Firmennetz in einem Sandbox-Verfahren realisiert. Damit werden die Unternehmensdaten sicher innerhalb einer geschützten Sandbox verwaltet und sind nur bei bestehender VPN-Verbindung zugänglich. Durch dieses Verfahren ist die private und dienstliche Nutzung des iOS-Gerätes besser trennbar und die firmeninternen Daten auf dem Mobile Device sind vor unberechtigten Zugriffen geschützt. Folgende Authentifizierungsmöglichkeiten werden derzeit unterstützt: User/Password, Personal Certificate, RSA, RADIUS, DynamicID SMS.

Des Weiteren wurde die neue Check Point Document Security App veröffentlicht, mit welcher spezifische Zugriffsberechtigungen für Dokumente noch während der Erstellung gesetzt werden können. Weitere Informationen hierzu sind in sk92552 und in den R76 Release Notes, sowie den Check Point Mobile Enterprise Release Notes beschrieben.

Voraussetzung hierfür ist Apple iOS 5 oder höher und ein Check Point Security Gateway ab Version R76.

Eine genaue Auflistung der kompatiblen iOS Geräte samt Download der aktuellen Version für Check Point Mobile, Check Point Mobile VPN, Check Point Document Security und Check Point Mobile Enterprise sind in Apple’s AppStore und in der nachfolgenden Tabele zu finden.

Check Point hat heute eine aktualisierte Version (Build 1.128) seiner neuen Check Point Mobile VPN App im App Store von Apple bereitgestellt. Mit dieser lassen sich native IPsec / SSL basierte VPN-Tunnel aufbauen und systemweit auf allen iOS Geräten nutzen. Neu ist jetzt u.a. der Support für AES-256, automatischer Wiederaufbau einer unterbrochenen VPN-Verbindung, automatischer Aufbau des VPNs beim Zugriff auf die konfigurierte VPN Encryption Domain (on demand), sowie Route-all-traffic. Wie auf der CPX 2012 in Berlin mitgeteilt wurde, plant Check Point zudem noch in Q3 2012 seine alternative Check Point Mobile App für SSL-Zugriffe auf Web-basierte Inhalte von Mobile Access Portalen zu aktualisieren und zu einem vollwertigen Crypto-Container auszubauen.

Vor wenigen Wochen veröffentlichte Check Point eine neue Version des SSL Network Extenders und unterstützt damit nun offiziell aktuelle gängige Linux Distributionen wie Ubuntu 11.10, Fedora 16 (32-bit und 64-bit) sowie Max OSX 10.7.x (32-bit und 64-bit). Die Bezeichnung des neuen Clients gliedert sich in die Reihe der aktuellen Remote Access Clients ein und lautet folglich SSL Network Extender E75. Eine Übersicht u.a. der unterstützen Gateway-Versionen findet man hier. Entfallen ist die Funktion des Verbindungsaufbaus via Kommandozeile. Ebenfalls nicht unterstützt werden die Browser Chrome unter Linux sowie Safari unter Windows.

Immer wieder erleben wir es, dass Check Point’s Endkunden aufgrund der zuletzt sehr zahlreich erschienenen VPN-Clients (SecureClient for Windows 7, Endpoint Connect, Endpoint Security VPN, etc.) unsicher sind, welchen sie denn nun verwenden sollen. Die Antwort ist zum Glück recht einfach. >Diesen hier<. Der zugehörige SK (Secure Knowledgebase Article) wird von Check Point stets aktuell gehalten. Das darüber erhältliche VPN-Client Bundle (aktuell: Remote Access Clients E75.20) stellt die aktuellsten Nachfolger von SecureClient und SecuRemote bereit. Natürlich nur kompatibel den aktuellen R7x Versionen von Check Point. Die NGX-Reihe ist seit März 2011 ohnehin aus dem Support gelaufen.