Download Details
- Size31.3 MB
- Date Published2022-06-21
- ProductCheck Point Mobile for Windows, Endpoint Security VPN, SecuRemote for Windows
- VersionE86
- OSWindows
- File NameE86.50_CheckPointVPN.msi
Preparing download, please wait..
To ensure the integrity of your file, kindly verify the checksum value
- SHA1b14c6fa9eaf2ce973c174632743a012a087828fa
- SHA256c8c7bbb2d566d223c44b2895a7868019c61eb5a2e32b765c83b3a6713ec05aba
Haven’t found what you’re looking for?
Our customer support team is only a click away and ready to help you 24 hours a day.
1. Загрузите последнюю версию дистрибутива с официального сайта.
CheckPoitn доступен для windows и MacOS.
После успешной загрузки, откройте инсталлятор.
2. Соглашаемся на установку и нажимаем Next.
3. Во время установки выберите Check Point Mobile.
4. Принимаем лицензионное соглашение а нажимаем Install.
5. Дожидаемся успешной установки и нажимаем Finish.
In this article I will describe Check Point Remote Access VPN and how to Implement the Check Point Mobile for Windows.
Check Point provides more types of Remote Access Solution such as:
- SSL VPN Portal for published business application
- Layer-3 VPN Tunnel
- Layer-3 VPN Tunnel integrated with Endpoint Security
I will be focusing on Category: Remote Access Solutions – Layer-3 VPN Tunnel, which are characterized by:
- Secure access to the business from any installed application via a Layer-3 VPN tunnel
- Check Point Mobile for Windows, Check Point VPN Plugin for Windows 8.1 and Check Point Capsule VPN for Windows 10 do not support “two factor user authentication”. (The limitation applies only to E80.64 and earlier in the context of Check Point Mobile for Windows.)
- Requires a VPN agent/app installation
- Best fit for both managed or unmanaged-devices
- License required: Check Point Mobile on the Security Gateway. License count per concurrent connected devices.
Check Point Mobile for Windows
- Introduction – is an IPsec VPN client. It is best for medium to large enterprises that do not require an Endpoint Security policy.
- It provides:
- Secure Connectivity
- Security Verification
- Required Licenses – IPsec VPN and Mobile Access Software Blades on the Security Gateway.
Source:
sk67820 – Check Point Remote Access Solutions – Gateway-Based Access
Where to get the Client:
Check Point Endpoint Security Homepage
Checkpoint Documentation for Remote Access VPN Clients for Windows:
Check Point Remote Access VPN Clients for Windows Administration Guide
Prerequisites:
- running Security Management Server
- Check Point Security Management Server R81 Install – How to Tutorial
- running Checkpoint Security Gateway already connected with Security Management Server
- Check Point Security Gateway R81 Install – How to Tutorial
- running Windows System
1. Configure Security Gateway
1.1 Add Network Group for VPN Encryption Domain (Networks to be routed from the RAS Client to the Check Point Gateway)
- add New / Network Group / Name: encdom_sg1
- add Networks according to your needs
1.2 Edit Gateway Object (sg1)
1.3 Enable IPsec VPN Software Blade
1.4 configure Gateway Object (sg1) / Network Management / VPN Domain / User Defined / encdom_sg1
1.5 Edit Select VPN Clients / VPN Clients allowed to connect to this gateway – verify that “Check Point Mobile for windows” is selected
1.6 add Authentication Method – VPN Clients / Authentication / Add
- for the demonstration purposes I will use Username & Password (for the Check Point Local created User)
- it is highly recommended to use better authentication method in the production Environment such as Identity Provider / AD / RADIUS etc.
2. Configure VPN Community
2.1 Add Gateway (sg1) to the Remote Access Community
3. Create RAS User
3.1 create new test User – New / More / User/Identity /User
3.2 choose Template – Default
3.3 new User – “test“, Authentication method: “Check Point Password“, Set new Password…
4. Configure Office Mode
4.1 Create Office Network Object – New / Network
- New Network: “net_RAS_OfficeMode“
- Network Address: (according to your needs, for demonstration purposes 10.10.10.0/24)
4.2. publish
4.3 Edit Gateway Object (sg1)
- VPN Clients / Office Mode / Allow Office Mode to all users
- if you want to restrict the office mode to selected users, create RAS Users Group and select “Offer Office Mode to group”
- VPN Clients / Office Mode / Using one of the following methods / Manual / Allocate IP addresses from network – “net_RAS_OfficeMode“
5. Configure Security Policy Rules
5.1 add Rule for Remote Access
- Source: Best Practise – Access Role according to your needs, for the demonstration purposes “any“
- Destination: according to your needs, for demonstration purposes – “any“
- vpn: “RemoteAccess” (this rule applies only to RemoteAccess Users)
- Services: (according to your needs, for demonstration purposes – “ssh + Remote Desktop“)
5.2. Publish & Install Policy
6. Install Check Point Mobile for Windows
6.1 Run the Installer
6.2 Choose Product to install – “Check Point Mobile“
6.3 Accept License Agreement
6.4 Finish the installation wizard
7. Configure Site in Check Point Mobile
7.1 open Check Point Mobile from System Tray – “No site is configured. Would you like to configure a new site?” – Yes + Next
7.2 a. Server address or Name: (enter your FQDN or IP Address of the Check Point Gateway you want to connect to, for demonstration purposes I configure “172.21.1.31“)
7.2 b. Display Name: (name the Site according to your needs, for the demonstration purposes I configure “sg1“)
7.3 Please select your preferred login option from the following list: “Username Password (Default)“
7.4 Finish
7.5 Would you like to connect? – Yes
7.6 Site: sg1, Username: test, Password: ****
8. Test Check Point Mobile VPN Connection
8.1 Site: sg1, Username: test, Password: ****
8.2 Let’s take a look at the windows network configuration and Connection test utilizing Check Point Mobile VPN Client
- Windows Client has IP Address from Office Net Address Pool
- Check Point Gateway LAN Interface is responding on icmp
- Encrypted/Decrypted – 4 icmp request packets outgoing, 4 icmp response packets incoming
- Check Point Log Event generated – using VPN Connection from the Windows Client
- test Rule n.2 with RemoteAccess Community and Service: ssh – connecting from Windows Client to Check Point LAN IP with ssh
- Log Decrypt Event for the ssh connection
- Comparison windows routing table with Check Point Mobile Client disconnected and Check Point Mobile Client connected
- The Routes are present from the Network Object encdom_sg1, in this case – net_lan_10.0.1.0_24
The Check Point Remote Access VPN using Check Point Mobile for Windows is now configured and fully functional.
Данная статья описывает функциональные возможности и преимущества использования программного блейда Mobile Access от компании Check Point для организации удаленного доступа в корпоративную сеть с мобильных устройств — телефонов, планшетов и персональных компьютеров.
1. Введение
2. Функциональные возможности
3. Системные требования
4. Пример настройки
5. Выводы
Введение
В современном деловом мире мобильность — важное требование. Командировки, срочные задачи в отпуске, работа дома или в дороге — все это встречается практически в любой организации и для этого неизменно нужно организовать удаленный доступ в корпоративную сеть. Прогресс мобильных технологий уже давно позволяет сотрудникам выполнять многие бизнес-задачи со смартфонов, планшетов и ноутбуков, а распространение мобильного высокоскоростного доступа в интернет и почти повсеместный Wi-Fi обеспечивают необходимые каналы связи. Дело остается за малым — организовать такой доступ на стороне сетевой инфраструктуры компании.
Впрочем, задача по обеспечению удаленного доступа в корпоративную сеть только на первый взгляд кажется простой и не требующей финансовых вложений. На самом деле этот процесс таит в себе множество трудностей. Две основных проблемы — обеспечение сетевой инфраструктуры для приема входящих подключений и организации канала связи и обеспечение защиты информации.
В первую очередь при удаленном подключении необходимо проводить усиленную аутентификацию для исключения доступа в защищенную сеть злоумышленников, узнавших пароль сотрудника или укравших его мобильное устройство.
Также должен защищаться и канал передачи данных, поскольку без реализации шифрования канала от точки подключения мобильного устройства до внутренней сети нельзя с уверенностью говорить о безопасности соединения. Наиболее критичным в этом плане является незашифрованный доступ в корпоративную сеть через открытые точки доступа Wi-Fi, хотя и мобильная передача данных тоже является уязвимой к перехвату и подделке трафика.
Еще одна проблема безопасности — обеспечение программной защиты конечного устройства и применение корпоративных политик безопасности. Мобильные устройства сотрудников не обслуживаются корпоративной ИТ-службой и не контролируются специалистами по информационной безопасности, поэтому они могут быть заражены вирусами, на них могут быть установлены программы-шпионы, а сами сотрудники могут использовать свои устройства для организации утечки информации.
Программный блейд Check Point Mobile Access решает все задачи по обеспечению удаленного доступа — как инфраструктурные, позволяя быстро и просто организовать доступ из внешней сети, так и защитные, предоставляя различный функционал по обеспечению безопасности информации.
Функциональные возможности
Check Point Mobile Access предоставляет два варианта организации удаленного подключения устройств:
- Организация удаленного доступа на сетевом уровне модели OSI — возможность подключения в корпоративную сеть с полным доступом к ресурсам локальной сети. Технология реализует классический вариант виртуальной частной сети (VPN) и позволяет удаленному компьютеру или мобильному устройству стать полноправным хостом в локальной сети и выполнять любые задачи, как если бы устройство было напрямую подключено в сеть. Удаленный доступ создается по набору протоколов IPSec, реализующих аутентификацию до установления связи, проверку целостности и шифрования сетевого трафика. Все сетевые соединения защищены и устойчивы к атакам, направленным на перехват трафика или попытки его подмены.
В интерфейсе управления механизмы называются Mobile VPN (для смартфонов и планшетов) и Check Point Mobile (для компьютеров и ноутбуков под управлением Windows и MacOS). Их работа требует наличие не только основной лицензии на Mobile Access, но и дополнительной лицензии на IPSec VPN.
- Организация удаленного доступа по технологии SSL VPN — возможность получить удаленный доступ через защищенный веб-протокол. Без дополнительных настроек позволяет подключиться к веб-ресурсам корпоративной сети, например к Outlook Web Access, SharePoint, CRM-системам и так далее. С этим видом подключения можно использовать любые приложения, даже не имеющие веб-интерфейса. Для этого требуется установка специального расширения в браузере на удаленном компьютере, которое осуществляет перенаправление сетевого трафика.
- Решение лицензируется по количеству одновременных подключений.
Check Point Mobile Access в обоих вариантах установки канала удаленного доступа поддерживает различные механизмы аутентификации пользователей. Mobile Access может самостоятельно управлять базой пользователей и паролей или использовать внешний сервер аутентификации RADIUS. Также для аутентификации могут использоваться персональные сертификаты или технология Check Point SecureID. Дополнительно поддерживается усиленная двухфакторная аутентификация с использованием аппаратных токенов (при использовании SecureID), сообщений электронной почты или SMS.
При выборе удаленного доступа на сетевом уровне модели OSI в настройках Check Point Mobile Access задаются различные параметры, связанные с алгоритмами присвоения удаленным хостам IP-адресов. IP-адреса могут задаваться как с использованием пула IP- адресов, так и через DHCP-сервер.
С помощью Check Point Mobile Access можно ограничить предоставляемый удаленный доступ на уровне отдельных бизнес-приложений. Таким образом, удаленные пользователи, попадая в корпоративную сеть, будут ограничены в правах доступа и привилегиях и не смогут вести неконтролируемые действия, что снижает риск утечек.
Check Point Mobile Access имеет интеграцию с продуктом Check Point Endpoint Security и может проверять соответствие удаленного компьютера заданной политике безопасности рабочих станций, что позволяет решить проблему отсутствия контроля за защищенностью личных устройств сотрудников. Без соответствия требуемым политикам доступ в сеть не будет предоставлен. Дополнительно в Check Point Mobile Access присутствуют различные опции по контролю базовой защищенности удаленного устройства и без использования Endpoint Security. Например, блейд умеет определять наличие на клиентском устройстве jailbreak, то есть разблокировку режима суперпользователя, и запрещать доступ таких устройств в сеть.
Для защиты от кражи устройств с конфиденциальной информацией и безопасной работы с ней на мобильных устройствах необходимо использовать другое решение от Check Point — CAPSULE. При этом Check Point Mobile Access помогает найти украденное устройство — в настройках профилей мобильных устройств можно включить сбор GPS-координат и, если пользователь заранее даст согласие на активацию этой функции, местонахождение украденного устройства можно в дальнейшем отследить.
В качестве дополнительных настроек Check Point Mobile Access позволяет кастомизировать приложения, загружаемые пользователями для удаленных подключений. Можно изменить язык интерфейса (есть поддержка русского языка), название приложения, его логотип и адрес сайта, который открывается при нажатии на логотип. Корпоративные пользователи по достоинству оценят брендированный интерфейс приложения, когда им потребуется подключиться к рабочей сети.
Системные требования
Check Point Mobile Access, как и остальные программные блейды, устанавливается на всю линейку корпоративных аппаратных решений Check Point и на программную платформу Check Point. Поддерживаются все устройства Check Point серий 2200, 4000, 12000, 21400 и 61000, а также устройства Check Point Power-1, Check Point IP Appliances, Check Point UTM-1 и Check Point IAS. Поддерживаемые программные платформы — GaiA версии R75.40 и старше и SecurePlatform версии R71.30 и старше.
Для подключения мобильных устройств по технологии доступа на сетевом уровне модели OSI требуется наличие операционной системы iOS версии 5.0 и старше или Android версии 4.0 и старше. Для подключения персональных компьютеров и ноутбуков требуется операционная система Microsoft Windows XP и более поздние версии (включая Windows 8.1).
Для подключения по технологии доступа SSL VPN требуется операционная система iOS версии 3.1.3 и старше или Android 2.1 и старше. Для персональных компьютеров — Microsoft Windows XP и более поздние версии, Mac OS 10.4 и старше, GNU/Linux (поддерживаемые дистрибутивы, Fedora 8, Ubuntu 7, RHEL 3.0, Red Hat 7.3 и Suse 9).
Функция трансляции любой службы при подключении через расширение для браузера по SSL VPN поддерживается в Internet Explorer 5.5 и выше, Firefox 1.0.3 и выше и Safari, на мобильных устройствах с операционными системами iOS и Android функционал не поддерживается.
Настройка Check Point Mobile Access
Check Point Mobile Access настраивается с помощью единого для всех продуктов Check Point модуля администрирования — Check Point SmartDashboard. Основной интерфейс доступен во вкладке Mobile Access в верхней части приложения. Первое окно интерфейса содержит общий обзор системы удаленного доступа мобильных устройств, в обзоре представлен перечень оборудования с установленными программными блейдами Mobile Access, область с важными уведомлениями, обзор настроенных приложений для индивидуального доступа и график активных сессий.
Рисунок 1. Обзорсостояния Mobile Access в Check Point SmartDashboard
В боковом меню представлены основные пункты навигации — политики, настройки шлюзов с установленным Mobile Access, управление приложениями, параметры аутентификации, управление клиентскими сертификатами, настройки приложения для удаленного подключения, параметры интеграции с другими программными блейдами и настройки профилей мобильных устройств.
В разделе управления политиками настраиваются разрешенные доступы удаленных пользователей к корпоративным ресурсам и бизнес-приложениям. В каждом элементе политики задается перечень пользователей, которым разрешен доступ, перечень бизнес-приложений и ресурсов, для которых применяется политика, и выбираются шлюзы удаленного доступа, на которые политика применяется.
Рисунок 2. Переченьполитик Check Point Mobile Access
В управлении шлюзами Mobile Access пользователи настраивают текущие шлюзы, а также управляют установкой и удалением программного блейда Mobile Access на всех устройствах, доступных для управления. В настройках отдельного шлюза есть специальный раздел, содержащий параметры Mobile Access, применимые к данному шлюзу.
Рисунок 3. Настройка CheckPointMobileAccess на отдельном шлюзе
В параметрах можно выбирать действующие технологии предоставления удаленного доступа, настраивать параметры аутентификации, выдачи IP-адресов, кастомизации приложения для удаленного входа и другие настройки. Установка многих параметров дублируется в общем интерфейсе управления Mobile Access, поэтому при наличии большого числа шлюзов доступа рекомендуется управлять общими настройками и унифицировать параметры всех шлюзов.
Рисунок 4. Перечень бизнес-приложений и настройка отдельного приложения в CheckPointMobileAccessBlade
Раздел бизнес-приложений содержит разные предустановленные группы приложений, в которых можно управлять конкретными сервисами. Для каждого приложения указывается его адрес и местоположение и настраиваются дополнительные параметры — требуемый уровень защиты для получения доступа, возможность прозрачной авторизации (т. е. авторизация при подключении автоматически учитывается в бизнес-приложении и повторная авторизация в нем уже не требуется) и другие параметры.
Рисунок 5. Управление сертификатами для удаленных пользователей и шаблонами для их отправки по электронной почте в CheckPointMobileAccessBlade
В управлении сертификатами администратор может выписывать новые сертификаты или отзывать уже выданные, если настроен удаленный доступ с использованием персональных сертификатов. Сертификаты могут быть автоматически направлены на почту сотруднику. В интерфейсе приложения настраивается шаблон сообщения электронной почты, поддерживается локализация сообщений на разных языках и отправка нужного сообщения в зависимости от персональных языковых настроек пользователя. Сертификат передается на мобильное устройство с помощью QR-кода, считываемого из мобильного приложения Check Point.
Рисунок 6. Управление профилем мобильного устройства в CheckPointMobileAccessBlade
Разделы аутентификации, настройки интерфейса приложения (Portal Settings) и интеграции с другими программными блейдами в Check Point дублируют аналогичный раздел из настроек отдельных устройств с установленным Mobile Access Blade.
Выводы
Удаленный доступ необходим в большинстве организаций для решения самых разных бизнес-задач. Обеспечение инфраструктуры для реализации удаленного доступа и защита от новых угроз, возникающих при организации удаленных каналов связи— сложная задача. Но с ней в короткие сроки позволяет справиться программный блейд Check Point Mobile Access.
Этот продукт предоставляет готовую инфраструктуру для удаленного доступа, предлагая на выбор несколько вариантов подключений, подходящих для большинства мобильных устройств, персональных компьютеров и ноутбуков. Широкая поддержка операционных систем разных производителей позволяет с уверенностью говорить о том, что решение подойдет для всех сотрудников компании.
Check Point Mobile Access Blade решает не только инфраструктурные сложности, но и проблемы обеспечения безопасности информации. Гибкие возможности по аутентификации пользователей, разграничению доступа к бизнес-приложениям, поддержка политик безопасности и интеграция с другими программными блейдами позволяет минимизировать все риски, связанные с удаленными подключениями.
Архитектура программных блейдов позволяет настроить и подключить Check Point Mobile Access за считанные минуты, достаточно только приобрести лицензию на продукт и развернуть его в существующей инфраструктуре, при наличии в ней свободных мощностей для нового программного блейда. Единое управление всеми программными блейдами компании Check Point позволяет сократить время на обучение персонала и на обслуживание системы, особенно если другие решения Check Point уже используются в сети.
Дополнительно стоит отметить возможность настройки интерфейса приложений для удаленного подключения и поддержку русского языка в интерфейсах обычных пользователей.
Check Point Mobile Access Software Blade
Check Point Mobile Access is the safe and easy solution to securely connect to corporate applications over the Internet with your Smartphone, tablet or PC. Integrated into the Check Point Infinity Architecture, Mobile Access provides enterprise-grade remote access via both Layer-3 VPN and SSL/TLS VPN, allowing you to simply and securely connect to your email, calendar, contacts and corporate applications.
Check Point Security Gateway Blade
Mobile Access Blade for unlimited concurrent connections
*The purchase of a Security Gateway container is required per user
#CPSB-MOB-U
List Price: $10,400.00
Our Price: $8,639.28
Click here to jump to more pricing!
Overview:
Remote work is the new norm. Efforts to slow the spread of COVID-19 accelerated the transition of employees working from
home and accessing corporate resources securely through various VPN (Virtual Private Network) technologies. In a recent
Gartner CFO survey 74% of companies said they intend to shift employees to work from home permanently.
Check Point Mobile Access is the safe and easy solution to securely connect to corporate applications over the Internet with your Smartphone, tablet or personal computer (PC). Mobile Access allows remote and mobile workers to simply and securely connect to email, calendar, contacts and corporate applications. Because it’s fully integrated into the Check Point network security suite, administrators can easily set policy and monitor remote user’s use of corporate assets.
Flexible
Easy access for mobile workers – simply connect from mobile devices to secure connectivity for smartphones, tablets, PCs and laptops
Secure
Communicate securely with proven encryption technology, two-factor authentication, and User-Device pairing to eliminate network security threats
Unified
Easily deploy and manage on your existing security gateways with full integration into the Check Point Infinity Architecture
Full Layer-3 VPN Technology using a Client
IPsec VPNs authenticate and encrypt every communication session. Layer-3 VPN technology is highly scalable and allows flexible any-to-any connectivity.
Encrypted SSL/TLS VPN using a Browser
Encrypt communications from unmanaged mobile devices. Both web-based and network-level access through SSL/TLS encryption is delivered through a browser.
Pricing Notes:
- Pricing and product availability subject to change without notice.
- Check Point Mobile Access Blade enables the Check Point Mobile client for Windows and Smartphones, SSL VPN Portal, SNX, Endpoint Security on Demand and SecureWorkspace. The Endpoint Security on Demand signature updates require an IPS software blade.
- Check Point Mobile Access Blade is not additive.
- Mobile Access Blade is not Supported on IP appliances.
Check Point Security Gateway Blade
Mobile Access Blade for unlimited concurrent connections
*The purchase of a Security Gateway container is required per user
#CPSB-MOB-U
List Price: $10,400.00
Our Price: $8,639.28
Check Point Security Gateway Blades for High Availability
Mobile Access Blade for up to 50 concurrent connections for High Availability
*The purchase of a Security Gateway container is required per user
#CPSB-MOB-50-HA
List Price: $1,390.00
Our Price: $1,154.67
Mobile Access Blade for up to 200 concurrent connections for High Availability
*The purchase of a Security Gateway container is required per user
#CPSB-MOB-200-HA
List Price: $3,690.00
Our Price: $3,065.28
Mobile Access Blade for unlimited concurrent connections for High Availability
*The purchase of a Security Gateway container is required per user
#CPSB-MOB-U-HA
List Price: $8,320.00
Our Price: $6,911.42