word template - distributeur de solutions & services de...

Endpoint Security VPN

Novembre 2010

©2010 Check Point Software Technologies Ltd. All rights reserved.Classification: [Unrestricted] — For everyone|P.1

Table des matières

Introduction....................................................................................................................3Pourquoi Endpoint Security VPN.............................................................................................................3

Fonctionnalités...............................................................................................................3Connectivité............................................................................................................................................. 4Sécurité................................................................................................................................................... 8

Installation et Utilisation..............................................................................................11Small Footprint : Faible encombrement.................................................................................................11Offline et déploiement Web.................................................................................................................... 11Mises à jour automatiques..................................................................................................................... 11Wizard de création de connexions au Site VPN....................................................................................12CLI Scripting.......................................................................................................................................... 12OPSEC API........................................................................................................................................... 13

Administration..............................................................................................................13Administration centralisée et unifiée......................................................................................................14Administration avancée du client Endpoint Security VPN......................................................................15Systèmes d’exploitations et Concentrateurs VPN Supportés................................................................16


IntroductionEndpoint Security VPN est la nouvelle génération de clients d’accès distant de Check Point. Il offre un accès fiable et sécurisé (VPN IPSec) aux ressources de l’entreprise ainsi qu’un Firewall de poste.Endpoint Security VPN est capable d’établir un accès VPN avec les concentrateurs VPN Check Point tels que UTM-1, Power-1, Appliances IP, et Connectra. Il est supporté sur les environnements Windows, y compris Windows 7 64bits. Enfin, ce client est complètement administré de manière centrale grâce à l’infrastructure d’administration Check Point : gestion des politiques, des utilisateurs, des droits d’accès, rapports d’activité et remontés d’évènements.

Points forts :

Intervention utilisateur réduit au strict minimum (Auto-Connect, Roaming, …)

Support du Roaming (le Tunnel est rétablie automatiquement quand on passe du Wifi au 3G par exemple)

Encapsulation NAT-T ou HTTPS automatique (si l’IPSEC est bloqué) avec détection automatique du Proxy

Détection automatique de Hotspot Wifi avec présentation intégrée de la page d’enregistrement

Installation sans reboot

Upgrade & Update automatique (sans droit admin et sans reboot)

Conformité de poste intégré (Connectra uniquement)

Intégré aux outils d’administration centralisée(SmartCenter, SmartEvent, …)

Déploiement par package MSI personnalisé (package de 13,4MB)

Support CLI

Support Windows VISTA&Seven32 et 64bits

Support du GéoClustering (répartition des flux sur plusieurs passerelles VPN géographique grâce à un mécanisme de DNS)


FonctionnalitésSous la forme d’un agent résident sur les postes de travail fixes ou mobiles des utilisateurs, Endpoint Security VPN incorpore plusieurs technologies de connectivité, de sécurité, d’installation et d’administration.

Connectivité

Etablissement d’une connexion VPN IPSec à la passerelle VPNpour une communication chiffrée et sécurisée. Si la connexion réseau est perdue, le client se reconnecte de manière transparente sans intervention de l’utilisateur.

Fenêtre de connexion sur le poste client

Méthode intelligente et automatique de détection et de connexion

Chaque fois que le poste client change d’emplacement (Wifi, 3G, LAN, etc…), Endpoint Security VPN détecte automatiquement la meilleure méthode pour établir la connexion, c'est-à-dire en utilisant au choix :

IPSec standard

encapsulation NAT-T (RFC 3947)

le mode Visiteur (encapsulation HTTPS)

Connexion via un proxy

Le passage d’une méthode à l’autre est automatique.

Ces modes sont nécessaires lorsque le trafic entre le poste client et la passerelle VPN traverse unepasserelle effectuant de la translation d’adressesIP (NAT). En effet, Pour de multiples raisons, le NAT est incompatible avec le flux IPSEC. De même, les proxies et les firewalls peuvent bloquer les flux IPSEC. Ainsi, le mode NAT-T(UDP port 4500), ou le mode Visiteur (TCP port 443) permettent de s’affranchir de ces contraintes.


Smart Location Awareness

Endpoint Security VPN détecte de manière intelligente si le poste client est à l’intérieur ou à l’extérieur de l’entreprise (domaine VPN) et se connecte ou se déconnecte automatiquementsuivant les cas.

Pour identifierla localisation du poste, on peut vérifier par exemple si le poste est connecté à son contrôleur de domaine, spécifier les réseaux qui sont considérés comme internes, spécifier des suffixes DNS, ou identifier les SSID des réseaux Wifi de l’entreprise.

En pratique, si les utilisateurs à l’extérieur du réseau de l’entreprise ouvrent leur client de messagerie, la connexion VPN étant ouverte automatiquement et de manière transparente,le client de messagerie peut se connecter au serveur de messagerie située derrière le concentrateur VPN. De la même manière, si les postes clients ont des partages réseaux sur les serveurs du réseau interne, ces partages sont maintenus et fonctionnent même en cas de déplacementdu poste vers un réseau externe.

Fenêtre de gestion des méthodes de connexion


Fenêtre d’administration Location Awareness


Détection des Proxies

Le client détecte automatiquement les serveurs proxies situés entre lui et la passerelle VPN, s’y authentifieautomatiquement et les remplace lorsqu’ils ne sont plus valides.

Fenêtre de configuration sur le poste client


Endpoint Security VPN supporte les fichiers proxy.pac et permet égalementle replacement de la configuration proxy (Proxy Replacement) une fois la connexion VPN établie, afin d’ajouter les adresses IP du domaine VPN dans la configuration proxy.

Mobilité transparente entre les réseaux ou types de réseaux

Lorsque l’adresse IP du poste client change, par exemple si l’utilisateur passe d’un réseau 3G à un réseau Wifi, la session et le tunnel VPN sont tout de même maintenues.

Multiple Sites

Il est possible de définir autant de passerelles VPN que l’on souhaite pour le client Endpoint Security VPN

Enregistrement sécurisé aux HotSpots

Endpoint Security VPNfacilite l’enregistrement aux HotspotsWifi l’lorsque l’utilisateur se connecte dans un aéroport ou un hôtel par exemple. En effet, le client VPN présente le portail automatiquement sans que l’utilisateur n’ait à lancer de navigateur. Par ailleurs, même si la politique firewall interdit le protocole HTTP, le client saura faire la différence et permettra à l’utilisateur d’accéder aux sites d’enregistrement Hotspot sans avoir à modifier la politique de navigation.

Interface utilisateur de Endpoint Security VPN intégrant l’accès au HotSpot

Détection de passerelle « morte » : Dead Gateway Detection

Si le client échoue à recevoir un paquet chiffré dans un intervalle de temps déterminé, il envoie un paquet « tunnel test »à la passerelle VPN. Si le paquet tunnel test est bien reçu alors la passerelle est considérée comme active. Si un certain nombre de paquets échouent, la passerelle est considérée comme inactive ou hors service.


GeoClustering

L’utilisation de passerelles géographiquement distribuées pour un plan de reprise d’activité ou la haute disponibilité est connue sous le terme de GeoClustering. Cette fonctionnalité est disponible sur les passerelles Connectra avec le client Endpoint Security VPN.

GeoClusteringconsiste à utiliser un nom DNS unique pour représenter de multiples passerelles. Des périphériques tierces peuvent améliorer cette fonctionnalité en y rajoutant des notions de surveillance du statut opérationnel des passerelles Connectra et des notions de proximité géographiques des passerelles par rapport aux clients afin d’optimiser les temps de latence du trafic.

Le GeoClustering est à différencier du concept normal de clustering des passerelles et il est utilisé dans des scénarios bien distincts. Le Clustering traditionnel est utilisé pour des passerelles géographiquement proches, tandis que le GeoClusteringpeut s’appliquer à des passerelles éloignées.

Par contre, contrairement au clustering traditionnel, GeoClusteringne fournit pas de synchronisation des connexions et du maintien de celles-ci, en cas de bascule.


Sécurité

Sécurité du poste de travail

Endpoint Security VPN incorpore un pare-feu personnelqui est géré de manière centralisée depuis l’interface SmartConsole.

Il est ainsi possible de créerun jeu de règles pour contrôler les fluxentrée/ sortie du poste de travail. De plus, le jeu de règle tient compte de l’état du tunnel ; c'est-à-dire que la politique du firewall personnel est distincte si le tunnel VPN est monté ou pas.

Configuration des règles Destop Policy depuis la console graphique

Endpoint SecurityOn Demand

Endpoint Security On Demand (ESOD) permet une vérification complète et efficace (contrôle des versions de logiciel,des mises à jour des signatures antivirales, de la présence de programmes malveillants) du poste de travail lors de la connexion et ensuiteàintervalles de temps réguliers et paramètrables.

ESOD est automatiquement lancé lors de la montée de la connexion VPN par le client Endpoint Security VPN à la passerelle VPN.

Les clients qui échouent au scan initial, sontrestreints à une zone bac à sable où ils n’ont accès qu’à un certain nombre de ressources de mise en conformité que l’administrateur aura défini.


Fenêtre utilisateur d’une connexion bloquée car poste jugée non conforme par ESOD

L’utilisateur à accès aux informations sur le scan : ici signature de l’Antivirus obsolète

Connexion réussie suite à mise en conformité du poste


Secure Configuration Verification (SCV)

Le SCV permet à l’administrateur de surveiller la configuration des postes clients lorsque le tunnel VPN est monté et devérifier que la configuration de ces derniers est compatible avec la politique de sécurité de l’entreprise. Le cas échéant, les postes clients non conformes peuvent être ainsi bloqués

Secure Domain Logon (SDL)

Le SDL établit un tunnelVPN avant même la phase de logon de l’utilisateur au domaine Windows, permettant ainsi à l’utilisateur de se loguer sur le contrôleur de domaine de l’entreprisede manière chiffrée et sécurisée.

Full IPSec VPN

Endpoint Security VPN utilise le standard IPsec VPN pour l’authentification, l’intégrité des données et la confidentialité. IPsec fournit la sécurité la plus robuste pour le VPN, incluant le support des standards AES 256, SHA-1 et RSA

Support de multiples méthodes d’authentification

a. Nom d’utilisateur et mot de passes (incluant mot de passes en cache). Les mots de passes sont valider par une base qui peut être interne, LDAP, AD, Radius, Tacacs…

Fenêtre administrateur pour le réglage du cache d’authentification

b. SecurID

c. Challenge-Response

d. Logiciels CAPI et tokens matériels


Endpoint Security VPN supporte l’authentification utilisateur avec les certificats de type PKCS#12.Endpoint Security VPN peut accéder au certificat stocké sous forme de fichier P12 ouvia l’accès au magasin CAPI (CAPI Store) où le certificat aura été préalablement importé.

Hub Mode

Le Hub Mode augmente la sécurité en routant tout le trafic dans le tunnelVPN. Ainsi le trafic du poste client à destination ou depuis Internetpeut également être inspecté par le concentrateur VPN par ses mécanismes de protection contre le contenu malveillant.

Fenêtre administrateur pour la configuration du Hub Mode

Visitor Mode

Lorsque le client Endpoint Security VPN doit traverser un pare-feu intermédiaire qui bloque tout ce qui n’est HTTPS (ou HTTP), le flux IPSec entre le client et VPN sera automatiquement encapsulé dans une connexion TCP standard avec des en-têtes HTTPS rendant la connexion ainsi possible.

Installation et Utilisation

Offline et déploiement WebEndpoint Security VPN est disponible sous forme d’un paquetage MSI. Il peut être founint/déployé par l’administrateur et/ou peut être téléchargé directement depuis le portail Connectra :


Mises à jour automatiques

Les mises à jour du client Endpoint Security VPN sont automatiques et transparentes pour l’utilisateur et ne nécessitent nidroits administrateurs ni redémarrage du poste client.

Fenêtre administrateur de paramètrage des mises à jour automatique


Wizard de création de connexions au Site VPN

L’utilisateur peut très aisément configurerun nouveau site de connexion VPN.

CLI &Scripting

Endpoint Security VPN supporte le mode CLI et peut être ainsi intégré et invoqué par des applications tierces.


Menu d’aide au mode CLI

API

En complément du mode CLI, une API documentée est disponible pour Endpoint Security VPN, permettant une intégration poussée dans des applications tierces.

Guide OPSEC API Endpoint Security VPN


Administration

Administration centralisée et unifiée

Endpoint Security VPN peut être entièrement administrée depuis la console de management SmartCenter/Provider-1.

Fenêtred’administrationd’Endpoint Security VPN


Panneau d’administration contrôlant les droits d’accès sur Connectra

La collecte des données du client Endpoint Security VPN est compatible avec les outils d’administration et de reporting Check Point tels que SmartDashboard, SmartViewTracker/Monitor, SmartEvent.

Il est possible de collecter en un seul fichier sur le poste client l’ensemble des fichiers de logs et de configuration d’Endpoint Security VPN dans le cas d’une intervention du support.

Panneau de collecte de logs sur le client Endpoint Security VPN


Administration avancée du client Endpoint Security VPN

Endpoint Security VPN supporte un mode d’administration spécial qui permet la création de paquetages préconfigurés. L’administrateur ouvre une instance du client, configure l’ensemble des paramètres et sauvegarde l’ensemble de la configuration sous forme d’un nouveau paquetage .msi, qui pourra ensuite redistribuer à l’ensemble des utilisateurs.

Fenêtre de configuration de l’outil de paquetage (Packaging Tool)

Systèmes d’exploitations et Concentrateurs VPN Supportés

Passerelles supportées Appliances Power-1 Appliances UTM-1 Appliances IP Connectra R66 et supérieur VPN-1 R65 HFA_40 et supérieur

OS Supportés Windows 2000 Pro 32-bits en SP1-4 Windows XP Home et Professional 32-bit avec ou

sans SP1-3. Windowas Vista 32 and 64 bits, sans ou avec SP1 Windows Seven 32 bits et 64 bits


word template - distributeur de solutions & services de...

Documents