Word Template - fr.security.westcon.comfr.security.westcon.com/documents/39825/2010_11_r_ponse___appel_d... · Web viewAfin de renforcer l’authentification au Connectra, sans

Check Point Connectra

Novembre 2010

©2010 Check Point Software Technologies Ltd. All rights reserved. Classification: [Confidential] For Check Point users and approved third parties | P. 1

Table des matières

Introduction....................................................................................................................................3Principes de sécurité.....................................................................................................................3

Sécurité des ressources applicatives......................................................................................................3Sécurité du poste de travail..................................................................................................................... 7

Authentification, Autorisation et Niveau de protection.................................................................13Validation de l’identité des utilisateurs : Authentification........................................................................13Authentification « Double Facteurs » avec SMS à mot de passe unique..............................................15Liste des applications disponibles : Autorisation....................................................................................17Applications disponibles ET utilisables : niveau de protection...............................................................18Ré-utilisation de l’authentification : Single Sign On...............................................................................18

Accès aux d’applications.............................................................................................................20Applications Webs................................................................................................................................. 20Partage de fichiers................................................................................................................................ 21Applications natives............................................................................................................................... 22Affectation des applications aux groupes utilisateurs............................................................................24

Haute disponibilité.......................................................................................................................25Administration..............................................................................................................................25

Administration du système d’exploitation...............................................................................................25Administration de Connectra.................................................................................................................26

Compatibilité matérielle/logicielle................................................................................................27

©2010 Check Point Software Technologies Ltd. All rights reserved. Classification: [Confidential] For Check Point users and approved third parties| P. 2

Introduction

Connectra est une solution d’accès distant sécurisée basée sur un portail Web, permettant à des utilisateurs de se connecter soit via un navigateur au travers d’une connexion de type VPN SSL, soit via un client léger de type VPN IPSEC (Check Point EndpointSecurity VPN), soit depuis un terminal mobile. L’unification des technologies SSL et IPSEC dans un portail unique simplifie l’accès pour les utilisateurs finaux, et facilite le déploiement des solutions d’accès distants pour les équipes informatiques

Connectra offre également une protection complète des postes utilisateurs, des données manipulées durant une session de travail et des ressources applicatives mises à disposition.

Enfin, Connectra est complètement géré par l’infrastructure d’administration unifiée de Check Point. Les tâches d’exploitation sont effectuées à l’aide des consoles d’administration graphiques, avec pour avantage principal la possibilité de pouvoir mutualiser les objets créés pour toutes les autres solutions Check Point (UTM-1, Power-1, VSX-1, etc…). De même, les journaux d’évènements (logs) de production ou d’audit, puisque centralisés, peuvent être valorisés par des opérations de consolidations ou de corrélations via la solution Check Point SmartEvent.

Page d’accueil du portail Connectra en SSL

Principes de sécurité

Sécurité des ressources applicatives

En plus d’être un portail d’accès distant, Connectra est une passerelle assurant la sécurité des ressources applicatives mises à la disposition des utilisateurs. Elle offre les fonctions de sécurité suivantes :


Sécurité des communications : Concentrateur VPN SSL et IPSEC Sécurité des accès : Firewall Sécurité des applications : IPS (SmartDefense)

Avant de pouvoir atteindre une application, les requêtes d’un utilisateur devront traverser ces trois couches de sécurité.

Sécurité des communications :Concentrateur VPN SSL

Connectra permet de créer un lien de communication sécurisé de type VPNSSL. L’utilisation de la technologie SSL permet d’assurer la confidentialité et l’intégrité des données circulant entre l’utilisateur et l’entreprise (entre le client et le concentrateur).

Simple d’emploi pour les utilisateurs, la technologie SSL n’impose aucune installation préalable ou opération de maintenance sur le poste utilisateur. Présent sur la plupart des systèmes d’exploitation du marché, le navigateur – client SSL universel - est le point d’entré principal pour accéder au portail Connectra et donc aux données de l’entreprise.

Dans une utilisation courante de Connectra, deux canaux SSLsont présents :

Le canal « Portail » où sont véhiculées les données associées aux applications de type Web et partage de fichiers.

Le canal « Connecteur » où sont véhiculées les données associées aux applications client/serveur.

Le tableau suivant présente les différents niveaux de chiffrement supportés pour chacun de ces canaux :

Portail AES256-SHADES-CBC3-SHAAES128-SHARC4-SHARC4-MD5

Connecteur TLS_RSA_EXPORT_WITH_RC4_40_MD5TLS_RSA_WITH_RC4_128_MD5 TLS_RSA_WITH_RC4_128_SHA TLS_RSA_EXPORT_WITH_DES40_CBC_SHA TLS_RSA_WITH_DES_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

Niveaux de chiffrement supportés par les canaux Portail et Connecteur.

Il est possible d’optimiser le traitement des opérations de chiffrement/déchiffrement par l’utilisation d’une carte d’accélération (gain observé : jusqu’à 53%) disponible en standard sur l’Appliance Connectra 6000,ou compatible sur n’importe quel serveur du marché supportant le système d’exploitation Check Point SecurePlatform (http://www.checkpoint.com/services/techsupport/hcl/index.html).

Par respect des standards de sécurités propres aux connexions distantes, les canaux SSL sont soumis à deux temporisateurs :


http://www.checkpoint.com/services/techsupport/hcl/index.html

Un temporisateur d’activité : au delà du temps alloué, même si la session est active (données circulant dans le tunnel SSL), l’utilisateur est soumis à une réauthentification.

Un temporisateur d’inactivité : au-delà du temps alloué, si une session est inactive (aucune donnée circulant dans le tunnel SSL), le canal SSL est interrompu.

Connectra supporte le roaming utilisateur : un changement d’adresse IP survenant sur le poste utilisateur n’entraine pas de coupure de la session en cours. Bien entendu, il est possible de désactiver le support du roaming utilisateur si le principe est jugé non conforme à la politique de sécurité de l’entreprise. On active généralement le roaming pour les PDAs.

Paramétrage des temporisateurs et du Roaming utilisateur.

Sécurité des accès : Firewall

Une application mise à disposition sur le portail Connectra est toujours associéeà un jeu de règles de type firewall. Autrement dit, en terminaison du tunnel SSL, les communications sont autorisées ou bloquées en fonction de ce jeu de règles : comme sur un firewall ! Ainsi, l’entreprise maîtrise complètement les destinations et les services autorisés en fonction des applications et des groupesd’utilisateurs.

Check Point est le créateur de la technologie Stateful Inspection utilisée dans ses produits phares VPN-1 et UTM-1. C’est cette même technologie qui anime le moteur firewall embarqué dans Connectra.

La figure suivante illustre l’association d’un jeu de règles firewall à une application de type Web : les zones Hosting et Services permettent de préciser respectivement les destinations et services autorisées. Par la suite, on précisera qui a le droit d’utiliser cette application et selon quels critères (scan du poste, méthode d’authentification, etc.)


Association d’un jeu de règles firewall à une application Web.

Sécurité des applications : IPS (SmartDefense)

Connectra protège l’intégrité des ressources applicatives par l’utilisation d’une technologie de type IDS/IPS nommée SmartDefense. Cette technologie propose des protections multi-niveaux : de la couche réseau (Stateful Inspection) jusqu’à la couche applicative (Application Intelligence) en passant par une spécialisation pour les applications de types Web (Web Intelligence).

SmartDefense valideque les applications et les protocoles sont utilisés dans les règles d’usage, bloque les vulnérabilités ou attaques connues, stoppe les infections virales et les propagations de vers.

Ces mécanismes de sécurités sont indispensables lorsque l’on met à disposition les ressources internes de l’entreprisedepuis des postes distants non maitrisés (cyber café, borne publique, etc.)

SmartDefense fonctionne par profil. La solution d’administration centralisée SmartCenter permetd’exploiter plusieurs passerelles Connectra et d’affecter un profil SmartDefenseà chacune d’entre elles.

La première année, Connectra comprend un abonnement pour les mises à jour des signaturesSmartDefense.


Configuration SmartDefense

Sécurité du poste de travail

En plus d’assurer la sécuritédes ressources applicatives au niveau de la passerelle, Connectra est capable d’assurer des fonctions de sécurité sur poste de travail de l’utilisateur. Ces fonctions sont les suivantes :

Contrôle d’intégrité et de conformité du poste de travail Confidentialité des données manipulées (bureau virtuel) Contrôle du cache navigateur Contrôle des cookies échangés


Contrôle d’intégrité et de conformité du poste de travail

Avant d’autoriser l’ouverture d’une session à un utilisateur, Connectra peut s’assurer du niveau de conformité du poste utilisateur en employant la technologie Check Point Endpoint Security On Demand (ESOD).

ESOD est un composant ActiveX ou Java qui esttéléchargé à la volée sur le poste de l’utilisateur lorsque celui-ci se connecte sur le portail Connectra. ESOD déroule sa liste de vérifications : recherche de malwares ou de logiciels espion, présence d’un anti-virus activé et à jour, présence d’un firewall, valeur d’une clé de registre, présence d’un processus, etc.

En cas d’anomalie constatée, l’accès au portail et aux applications peut être complètement refusé ou partiellement accepté. Dans le second cas (accès partiellement accepté), certaines des applications proposées peuvent ne pas fonctionnersi le niveau de conformité du poste n’est pas jugé satisfaisant.Afin d’assister l’utilisateur employant un poste jugé non conforme par ESOD, des messages d’aides ou des liens Web lui sont proposés.

Endpoint Security On Demand : le scanneur de poste

ESOD fonctionne en partie sur la base de signatures qu’il est donc nécessaire de mettre à jour régulièrement au travers d’un abonnement SmartDefense Service.

ESOD est supporté sur les postes Windows, MAC OS, et Linux, et s’exécute avec des privilèges d’utilisateur standard uniquement.


La politique de contrôle appliquée par ESOD se configure intuitivement au travers de la console SmartDashboard :


Fonctionnalités de Scan supportés / Système d’exploitation

Windows Mac Linux

Spyware Scan OUI N/A N/A

Anti-Spyware OUI N/A N/A

Anti-Virus OUI OUI OUI

Custom check OUI OUI OUI

Firewall OUI OUI OUI

Windows Security OUI N/A N/A

Confidentialité des données manipulées (bureau virtuel)

Lorsque l’environnement utilisateur n’est pas maîtrisé (cas d’une borne publique par exemple), Connectra peut remplacer le bureau Windows traditionnel par un bureau virtuel qui est isolé dans un environnement « étanche » et totalement chiffré (AES256-ECB). L’objectif est de sécuriser les données manipulées durant la session de travail de l’utilisateur. En effet, ces données sont chiffrées, elles ne peuvent pas sortir du bureau virtuel et elles sont automatiquement détruites en fin de session.

S’il la session utilisateur s’interrompt brusquement sans que l’environnement n’ai pu être détruit, les données conservées sur le disque restent inexploitables puisque complètement chiffrées. Elles seront dans tous les cas effacées à la prochaine ouverture de session, lorsque le bureau virtuel sera recréé.


Exemple d’un bureau virtuel Check Point Secure Workspace.

Connectra utilise la technologie Check Point Secure Workspace. C’est un composant ActiveX ou Java qui s’installe automatiquement sur le poste de l’utilisateur juste après l’ouverture de la session.Le bureau virtuel est totalement configurable au niveau :

Du Look and Feel : fond d’écran Des applications qui seront présentées (menu Démarrer ou bien raccourcis sur le

bureau) Des opérations autorisées par l’utilisateur (copier/coller entre le bureau virtuel et le

bureau Windows, impression, accès à des répertoires du bureau Windows) Des règles firewalls : les communications sortantes des applications clientes

autorisées seront filtrées par des règles firewalls.

Un simple « click » sur une icône résidante sur la barre des taches Windows permet de basculer entre son environnement virtuel SecureWorkspace, et le « host »

La configuration du Secure Workspace est complètement intégrée à l’interface graphique de configuration du Connectra


Configuration du bureau virtuel

Check Point Secure Workspaceétant disponible pour les plateformes Windows uniquement, l’administrateur peut décider si on peut contourner Check Point Secure Workspace, lorsque l’on se connecte depuis un environnement non supporté (MAC, Linux, ou Windows Mobile par exemple)

Contrôle du cache navigateur

Connectra contrôle les informations qui sont cachées au niveau du navigateur client afin de minimiser le risque de laisser des informations sensibles sur le poste de l’utilisateur.

Contrôle des cookies échangés

S’ils sont conservés au niveau du navigateur, les cookies peuvent parfois divulguer des informations sensibles. Pour cette raison, Connectra stocke la plupart des cookies échangés directement sur son disque dur. Ce stockage se fait par nom d’utilisateurs. Ainsi, pour une seconde connexion à une application Web utilisant des cookies persistants, un même utilisateur retrouvera ses cookies échangés lors d’une première session et soigneusement conservés par le Connectra.

Certaines applications Web imposent le stockage de leurs cookies au niveau du navigateur du poste client. Connectra peut autoriser ces exceptions au cas par cas.


Authentification, Autorisation et Niveau de protection

Connectra offre un accès granulaire aux applications disponibles depuis son portail. Les principessuivantssontutilisés :

Validation de l’identité des utilisateurs : Authentification Sélection des applications disponibles : Autorisation Contrôle supplémentaire : Niveau de protection Ré-utilisation de l’authentification : Single Sign On

Lorsqu’un utilisateur ouvre une session, il doit fournir son identité au Portail Connectra. Ce dernier doit d’abord valider cette identité, puis déterminer à quel groupe d’utilisateurs elle appartient.

Lorsque le groupe d’utilisateurs est déterminé, Connectra sélectionne les applications qui lui sont attribuées et les affichesur le portail. Chaque groupe d’utilisateurs a donc un portail différent.

Lorsque l’utilisateur lance une application, Connectra effectue un dernier contrôle afin de vérifier que le contexte de son utilisation est conforme au niveau de protection qui lui est associée.

Enfin, si l’application requiert une authentification, Connectra peut rejouer automatiquement des identifiants qu’il a obtenus de l’utilisateur au moment de sa connexion au portail.

Validation de l’identité des utilisateurs : Authentification

Le principe d’authentification permet d’accéder au portail Connectra. Cependant, il ne permet pas forcément d’accorder l’accès aux applications (voir le principe d’autorisation dans la section suivante).

Connectra est capable de récupérer des informations utilisateurs depuis sa base interne ou depuis plusieurs types de bases externes : RADIUS, SECURID, LDAP.

Quelque soit l’emplacement de stockage des leurs informations, les utilisateurs sont déclarés soit nominativement, soit par profil. C’est cette notion de profil qui permet de rediriger Connectra vers une base de données externe pour une certaine catégorie d’utilisateurs. Il est possible par exemple de créer un profil d’utilisateurs s’authentifiant en RADIUS et un profil d’utilisateur s’authentifiant en SECURID. La figure suivante présente un profil utilisant une authentification RADIUS :


Exemple de profil utilisant l’authentification RADIUS.

Qu’il soit déclaré nominativement ou parprofil, Connectra peut toujours contrôler les jours et plages horaires autorisés d’un utilisateur :

Contrôle des jours et plages horaires autorisés.

Authentification « Double Facteurs » avec SMS à mot de passe uniqueAfin de renforcer l’authentification au Connectra, sans cout supplémentaire (SmartCard, Token, etc..), et sans installer de nouveaux composants sur une machine (certificat par


exemple), il est proposé de réaliser une authentification à deux facteurs grâce à un téléphone portable

Pour rappel, le principe de l’authentification à deux facteurs repose sur deux composants : « ce que l’on connait », et « ce que l’on a ».Pour « ce que l’on connait », on fait référence à un login associé à un mot de passePour « ce que l’on a », on fait référence ici à un téléphone portable.

Connectra peut être configuré également pour envoyer pour envoyer un mot de passe unique (One Time Password – OTP) à un appareil de communication d’un utilisateur (un téléphone portable par exemple), via un message SMS. Le message SMS est envoyé à l’utilisateur après que celui-ci ait été correctement authentifié lors de la première phase de l’authentification (login / mot de passe par exemple). L’utilisateur qui s’authentifie avec succès après la seconde phase, accède alors au portail et aux applications.Si l’utilisateur ne peut s’authentifier correctement lors de la seconde phase (parce qu’il n’a pas son téléphone portable avec lui par exemple), l’accès au portail et aux applications sera plus restreint, ou sera interdit si l’authentification à double facteur est obligatoire.Le numéro de téléphone peut être récupéré depuis un serveur LDAP/Active Directory, ou depuis un fichier texte sur la passerelle

Configuration de l’authentification à double facteur


L’utilisateur reçoit un SMS sur son mobilepour la double authentification

A l’acquisition de Connectra, 50 SMS sont inclus dans le User Center afin de tester la fonctionnalité(cfhttp://www.checkpoint.com/products/dynamic_id/eval.html)


http://www.checkpoint.com/products/dynamic_id/eval.html

Liste des applications disponibles : Autorisation

Une fois l’utilisateur authentifié, Connectra doit déterminer à quel groupe il appartient afin de pouvoir lui présenter les applications dont il a droit.

À l’instar de l’opération de recherche des informations utilisateurs, Connectra utilise soit une base interne, soit des bases externes pour la détermination du groupe utilisateur. Concrètement, il est possible d’authentifier un utilisateur depuis une base A et de déterminer son appartenance à un groupe depuis une base B. Le tableau suivant précise les combinaisons supportées :

Service d’authentification Service d’autorisationBase Interne Base Interne

LDAP LDAPRADIUS LDAP

SECURID LDAPRADIUS / SECURID Base Interne

RADIUS RADIUSCertificats Utilisateurs LDAP / Base Interne

Combinaisons authentification/recherche d’un groupe utilisateurs.

Dans un contexte LDAP, Connectra peut valider l’appartenance d’un utilisateur à un groupe donné, en fonction d’une combinaison d’attributs LDAP (principe de groupes LDAP dynamiques) :

Utilisation d’un groupe LDAP dynamique.

Ainsi, dans la figure ci-dessus, un utilisateur sera considéré comme appartenant au groupe Marketing, s’il possède les attributs LDAP demandés dans la section Applyfilter for dynamic group.


Connectra supporte les annuaires Active Directory, Novell et OpenLDAP. Avec Active Directory, Connectra est en mesure de proposer le renouvellement d’un mot de passe dont l’expiration est proche.


Applications disponibles ET utilisables : niveau de protection

Après avoir été authentifié, puis autorisé à accéder à quelques applications, l’utilisateur n’est pas encore complètement assuré de pouvoir profiter d’une application. En effet, Connectra est capable d’appliquer un troisième principe de sécurité appelé Protection Level ou niveau de protection. Ce principe permet d’associer à une application un profil contenant un ensemble de critères décrivant le contexte dans lequel l’application peut être utilisée sans danger.

L’exécution d’une application listée dans le portail utilisateur est conditionnée le contrôle de ces critères :

La méthode d’authentification utilisée pour accéder au portail Le résultat de l’analyse l’Endpoint Security On Demand (voir chapitre ESOD /

Contrôle d’intégrité et de conformité du poste de travail) L’activation du bureau virtuel SecureWorkspace (voir chapitre Confidentialité des

données manipulées (bureau virtuel)page 10)

Définition d’un niveau de protection.

Dans les figures ci-dessus, le niveau de protection autorise l’accès aux applications associées, quelque soit la méthode d’authentification utilisée, quelque soit le résultat de l’analyse ICS, et quelque soit l’environnement bureau utilisé (Windows ou virtuel). C’est le niveau de protection le plus souple.

Ré-utilisation de l’authentification : Single Sign On

Lorsqu’une ressource applicative mise à disposition sur le portail est soumise à une authentification, Connectra peut rejouer les informations fournies par l’utilisateur au moment de l’ouverture de sa session de travail. Naturellement, lorsque l’application s’appuie sur une autre base de comptes utilisateurs, l’utilisateur à la possibilité d’entrer manuellement son login/mot de passe puis de conserver ces informations d’authentification valides pour les prochaines sessions.


Paramétrage du SSO pour une application Web.

Connectra supporte le SSO pour les applications Web (authentifications HTTP de type Basic, Digest ou NTLM) et les partages de fichiers (NTLM). Connectra ne supporte pas le SSOHTTP sur des formulaires Web.


Accès aux d’applications

Connectra est une solution d’accès distant de nouvelle génération permettant à des utilisateurs de d’accéder simplement à des applications légères (Intranet) ou complexes (applications Client/Server).

Connectra adresse tous les besoins de l’entreprise dans sa démarche de publication d’applications : télé-travail, télé-maintenance, nomadisme, VoIP, etc.).

Les familles d’applications suivantes sont supportées :

Applications Webs Partage de fichiers Applications natives (ou applications client/serveur)

Applications Webs

Connectra peut publier des applications Web simples (Intranet), de typeWebmails (convertisseur SMTP/IMAP) ou bien spécialisées (iNotes, Outlook Web Access, Citrix).

Le principe de base pour une application Web, c’est de faire en sorte que la navigation de l’utilisateur transite en permanence par la passerelle Connectra. Pour assurer ce principe, Connectra propose deux technologies :

Hostname Translation (HT)

Connectra remplace le nom du site Web visité par un nom aléatoire ou figé dont la résolution DNS donne toujours l’adresse IP du Connectra.

En travaillant sur le nom du site Web, Connectra a peu de modifications à faire sur les pages HTML transmises à l’utilisateur : les URLs relatives restent inchangés tandis que Connectra remplace les URLs absolus par d’autres noms aléatoires dont la résolution DNS donne encore une fois l’adresse IP Connectra).

Cette technologie est révolutionnaire dans ce domaine. En plus de ne donner aucune indication sur les noms des intranets grâce à l’utilisation de nomsDNS aléatoires, elle présente l’énorme avantage d’être très performantes, et surtout de supporter un très grand panel d’applications Web.

URL Translation (UT)

C’est la technologie historique de Connectra.

Certains sites Websont incompatibles avec la technologie HT. L’administrateur peut alors choisir d’associer spécifiquement la technologie UT à ces sites.


Avecla technologie UT, Connectra remplacetoutes les URLsd’une page HTML par des URLs présentant explicitement son nom DNS afin de forcer l’utilisateur à constamment le traverser.

Cette technologie est moins performante à cause de la ré-écrituresystématique des pagesWeb. De plus, elle supporte un plus petit panel de sites Web. Par exemple, les pages en JavaScript (ou autres langages) ne sont pas supportés. En effet, Connectra peut être amené à analyser du code JavaScript qui ne contient pas d’URLs. Mais une fois exécuté par le navigateur du poste client, le code JavaScript peut générer des URLsnon modifiées par le Connectraet donc non joignables.

La technologie UT reste une alternative à la technologie HT. Il existe une 3ème

alternative pour joindre un site Web interne : l’utilisation d’un connecteur SSL (voir la section Applications Natives)

En plus de fonctionner comme un reverse proxy UT/HT, Connectra propose également une interface Webmail compatible IMAP/SMTP. Connectra agit alors comme un client IMAP et présente les mails sur le portail.

Application Web : présence d’une barre de navigation Connectra.

Connectra supporte nativement les environnements Citrix v3.x (pas besoin de client Citrix pré-installé). En v4.x, Connectra supporte les environnements Citrix avec le connecteur SSL (page 23) - Citrix ayant fortement changé le format de ses protocoles sans les communiquer aux acteurs tiers.

Partage de fichiers

Connectra possède un module CIFS/SMB afin d’accéder aux serveurs de fichiers internes.


Partage de fichiers sur le portail Connectra

Applications natives

Une application native est une application client/serveur. Autrement dit, l’utilisateur accède à une ressource applicative, non plus par l’intermédiaire d’un client de type navigateur, mais par l’intermédiaire d’un client natif (par exemple Outlook, SSH ou Telnet).

Le client lourd peut être déjà présent sur le poste de travail de l’utilisateur, ou bien téléchargé depuis le portail Connectra.

Il est possible d’étendre le catalogue des applications proposées en téléchargement. Ces nouvelles applications doivent alors être « légères » et monolithiques (pas de DLL externes). Elles peuvent également être en Java pour un support multi OS.

Les applications pré-intégrées sont :

TelnetSSH

TN3270TN5250

Remote Desktop (RDP)Putty (Terminal)

JabberFTP

Une application native est toujours lancée au travers d’un connecteur. Connectra propose deux types de connecteurs :

SSL Network Extender Network Mode ou SNX NM


Dans ce mode, un composant ActiveX/Java est injecté sur le poste de l’utilisateur. Ce composant crée une interface TCP/IP virtuelle (visible en lançant la commande ipconfig/ifconfig) dont l’adresse IP est déclarée centralement depuis le serveur d’administration.

Le trafic routé via cette interface est chiffré et acheminé dans le tunnel SSL jusqu’à la passerelle Connectra. En sortie du tunnel, l’adresse IP source peutêtre translatée si cela est nécessaire.

Pour rester compatible aux environnements utilisant plusieurs plages d’adresses IP pour les accès distants, l’adresse IP de l’interface virtuelle du connecteur SNX NMpeut être définie par groupe utilisateurs.

Ce connecteur est supporté sur Windows, Linux et MacOS. Son installation nécessite les droits administrateurs (à cause de la création de l’interface virtuelle). Par la suite, son utilisation courante ne nécessite aucun droit particulier.

Le connecteur SNX NM supporte toutes les applications TCP,UDP, ICMP, etc. avec ou sans ports dynamiques.

C’est ce mode (NM) qui est utilisé par défaut.

Connecteur SNX Network Mode.

SSL Network Extender Application Mode ou SNX AM

Dans ce mode, un composant ActiveX/Java est injecté sur le poste de l’utilisateur. Ce composant devient le processus parent de toutes les applications qui sont invoquées par lui. Cette affiliation permet à SNX AM d’intercepter tous les appels de fonctions Winsock (principe de hooking) et ré-orienteainsi la communication vers le tunnel SSL.

SNX AM est un connecteur non impactant : il n’a besoin d’aucun droit particulier pour son installation et son utilisation.


SNX AM fonctionne avec les applications TCP.

SNX AM marque visuellement sa présence en encadrant l’application qu’il sécurise d’un cadre de couleur configurable. L’utilisateur peut ainsi facilement repérer s’il travaille depuis une application sécurisée ou non.

Application sécurisée par SNX Application Mode.

De manière générale, le connecteur SNX peut : être pré-déployé sur le poste de travail de l’utilisateur (package MSI) désactiver/activer la fonction de SPLIT TUNNELING invoquer le lancement d’un script (pour monter automatiquement un partage de

fichiers par exemple) être imposé ou laissé en option à l’utilisateur se lancer automatiquement lors de la connexion au portail

Le lien suivant présente une liste non exhaustive des applications connues pour fonctionner avec les connecteurs SNX NM et AM :

http://www.opsec.com/solutions/snx_support.html

Affectation des applications aux groupes utilisateursLes applications publiées sur le portail Connectra dépendent du groupe d’utilisateurs. L’association « groupe utilisateurs » / « applications autorisées » s’effectue depuis la solution d’administration centralisée Check Point.

Politique d’accès aux applications.


http://www.opsec.com/solutions/snx_support.html

Haute disponibilité

Connectra supporte laconfiguration en cluster. La technologie utilisée n’est pas nouvelle et a été déjà très largement éprouvée au travers des solutions Check Point VPN-1. C’est la technologie ClusterXL.

Connectra supporte en standard (sans surcoût), les clusters Actif/Passif et Actif/Actif.

En mode cluster, le principe d’administration centralisée permet de répliquer simplement la politique d’accès distant VPNSSL sur tous les membres d’un même cluster. D’un point de vue pratique, la centralisation des informations permet également de simplifier la configuration réseau du cluster comme l’illustre la figure suivante :

Configuration de la topologie d’un cluster Connectra.

Connectra (depuis R66) supporte également le géo-clustering, et permet l’utilisation d’un unique nom DNS pour plusieurs passerelles Connectra distantes géographiquement. L’utilisation d’équipements spéciaux spécialisés dans le Load-Balancing est requise, la liste des équipements supportés est dans la documentation Connectra.

Administration

Administration du système d’exploitation

Connectra fonctionnesur le système d’exploitation Check Point SecurePlatform. SecurePlatform est un dérivé de Linux complètement maintenu et sécurisé par Check Point.

L’administration système et réseau s’effectue par des moyens classiques de type CLI ou WebUI.

En mode CLI, les accès aux systèmes s’effectuent depuis un KVM, un port console ou un accès distant SSH. Une commande – sysconfig – suffit à paramétrer l’ensemble des composants systèmes et réseaux.


Le shell par défaut est restreint à un jeu de commandes Check Point (cpshell). Pour les administrateurs désireux de profiter de la puissance de l’environnement Unix, la commande expertpermet d’invoquer un shell UNIX traditionnel.

SecurePlatformintègre nativement des mécanismes de sauvegarde automatique et de restauration.

La plupart des opérations réalisables en mode CLI, le sont également en mode WebUI en ouvrant un navigateur pointant sur l’URL https://connectra:4433.Pour les administrateurs de maitrisant pas Linux, l’interface Web est largement suffisante pour mettre en place la solution.

Écran d’accueil SecurePlatform du mode WebUI.

Administration de Connectra

Connectra s’administre complètement avec un GUI : gestion des politiques, des utilisateurs, des applications, consultation des logs, etc.

Par ailleurs, Connectra est entièrement supporté par l’infrastructure d’administration unifiée et centralisée Check Point. Cette infrastructure 3-tiers propose :

Les consoles graphiques d’exploitation (GUI) Le serveur d’administration SmartCenter Les passerelles Connectra

L’exploitation au jour le jour s’effectue donc au travers des consoles graphiques :

SmartDashboard pour l’exploitation principale - via l’ongletMobile Access SmartViewTracker pour le contrôle de l’activité et le troubleshooting SmartViewMonitor pour la supervision (en option) SmartUpdatepour la maintenance (en option)


https://connectra:4433/

SmartEvent : les logs générés par Connectra peuvent être consolidés ou corrélés et valorisés par la solution SmartEvent (en option)

Console SmartDashboard et onglet Mobile Access.

Compatibilité matérielle/logicielle

Connectra est proposé sous 2 formes :

Connectra Software : la solution Connectra s’installe sur un serveur Intel compatibleSecurePlatform ou sur VMware ESX.

Connectra Appliance : 3 Appliancessont disponibles :


Appliances Connectra.

Au niveau du poste client, Connectra supporte les navigateurs Internet Explorer 6, 7 et 8, Mozilla, Firefox 2.0, etc Les OS Windows 2000/XP/Vista, Linux et Mac

Compatibilité détaillée des navigateurs.


Compatibilité détaillée des OS et des droits nécessaires sur le poste nomade.


Documents

Word Template - fr.security.westcon.comfr.security.westcon.com/documents/39825/2010_11_r_ponse___appel_d... · Web viewAfin de renforcer l’authentification au Connectra, sans