[megoldva] CheckPoint – VPN-nel belépés linuxról

Linux-security

A munkahelyemre úgy tudok otthonról VPN-nel belépni, ha a Microsoft Windows alatt futó Check Point Endpoint Security programot (és az RSA security token programot) használom.

Megoldható lenne ezeknek a wine alatti futtatása, vagy létezhet-e linuxos változatuk? Vagy akár virtuális gépről való futtatásuk szóba jön? (A dolgot nehezíti, hogy az RSA program merevlemez-azonosítóhoz van kötve.)

Emiatt a probléma miatt jelenleg az a bizarr helyzet áll fönn, hogy a munkahelyemen tudok linux alól dolgozni (és minden lényeges eszközöm-szkriptem ott van), otthonról viszont nem.

Ha valaki botlott már hasonló szituációba, kíváncsian várom a tapasztalatokat.

  • 11072 megtekintés

( uid_7086 | 2014. 03. 07., p – 15:11 )

Ha ez olyan, amit valaha használtam, akkor...
Milyen a viszonyod a cég biztonsági dolgokért felelős emberével, a checkpointot konfiguráló szakemberrel és tudsz-e valami virtualizációs szoftvert (virtualbox) telepíteni a gépedre?

Legrosszabb esetben cygwin. Arra akár X-et is telepíthetsz.

Ez így gázos.
Ami checkpointot ismerek, az policy-ből szabályozottan kezeli a hálózati forgalmat.
Kellene egy virtuális gépre telepített linux, aminek a forgalmát a checkpoint hajlandó átengedni oda-vissza a vpn interface-en.
Úgy tudom, a checkpoint szoftverek kizárólag windows-on futnak, wine szerintem esélytelen.
Ha rosszul tudom, valaki majdcsak kijavít.

( zeller | 2014. 03. 07., p – 17:02 )

Normális helyen, hivatalosan a saját maszek gépedről nem csatlakozhatsz VPN-en a céges hálózatra, csak a céges policy-nak megfelelő céges gépről, ami célszerűen notebook vagy más kényelmesen hordozható eszköz.
A CheckPoint VPN kliensed nem fog nemwindows alatt menni, úgyhogy én két lehetőséget látok: Vagy nem VPN-ezel be a céghez, mert nincs Windows a saját privát gépeden (és nem fizeti ki neked senki, hogy legyen), vagy fogod a céges standardoknak megfelelő Notebook-odat, és azt használod. Jaaaa, hogy a Notebook-odon nincs távmunkára alkalmas OS? Akkor tessék felrakni rá egyet, és azt használni - akár Dual boot, akár Windows-on virtualbox-ban futtass egy Linuxot, ha tényleg annyira nem bírod elviselni a cygwin-t.

Elvileg Virtualbox-ban tudsz raw disket/partíciót használni (expert mód, tehát a kattintgatós gép létrehozásnál nem fogod megtalálni) - én csinálnék egy Linux-os gépet virtualbox-ban, felrakva rá egy minimál OS-t, odaadnám neki a raw partíció(ka)t, amin a Linux van. a virtuális gép indítása után mount (a raw partíció(ka)t), /dev /proc meg ilyesmit is felcsattintani a megfelelő helyre, aztán chroot, és mehet a móka...
Az viszont jó kérdés, hogy hálózatilag mi lesz a virtuális gépeddel, mert nem biztos, hogy ki fog látni a CP-os tunelen keresztül - ezt ki kell törpölni, hogy hogy jó, milyen sorrendben kell indítani, etc. Ez nagyban függ a CP központilag előrírt beállításaitól is egyébként.

https://supportcenter.checkpoint.com/supportcenter/portal?os=Linux&prod…

Lehet, hogy azóta már ők is felébredtek? :)
Mintha lenne linuxos kliens is.

Virtualbox ott gázos, hogy a checkpointban van beépített csomagszűrő/tűzfal, ha jól van beállítva a policy, akkor a guest nem fog átjutni rajta.

Köszi az ötleteket és a hasznos linket! Ennek alapján találtam meg ezt és egy újabbat is.

Ez pedig már egy szívmelengető pillanat; még akkor is, ha a 13.10-es Ubuntura nem ment fel egyelőre, csak a 11.04-esre:


snx --help

Check Point's Linux SNX
build 800005013
usage: snx -s {-u |-c } [-l ] [-p
] [-r] [-g] [-e ]
run SNX using given arguments
snx -f run the snx using configuration file
snx run the snx using the ~/.snxrc

snx -d disconnect a running SNX daemon

-s connect to server
-u use the username
-c use the certificate file
-l get trusted ca's from
-p
connect using port

-g enable debugging
-e SSL cipher to use: RC4 or 3DES

Szerencsémre az RSA program időhöz van kötve. Úgyhogy óra előreállít 5 perccel, kapott kódot felír, gép újraindít, Ubuntuba bejelentkezik...

Ezt pedig már a belső hálózatról írom. :-) Miközben otthonról gyönyörködöm az intranetes weblapokban.

A terminálon elém táruló látvány:


$ snx -s szerveripcime -u felhasznalonevem
Check Point's Linux SNX
build 800005013
Please enter your password:
SNX authentication:
Please confirm the connection to gateway: ittvan.valami.amitoadott
Root CA fingerprint: ITT MINDEN FELE SZAVAK VANNAK HOSS ZAN EGYM AS UTAN
Do you accept? [y]es/[N]o:
y

SNX - connected.
Session parameters:
===================
Office Mode IP : ez.egy.ip.cim
DNS Server : ezis.egy.ip.cim
DNS Suffix : sokfele,suffix,van,itt,felsorolva
Timeout : 12 hours

Köszi az infókat!
Ez a stoken is mekkora ötlet!

Fut is:

$ stoken --help
usage: stoken [
]

Common operations:

stoken [ tokencode ] [ --stdin ]
stoken import { --token= | --file= } [ --force ]
stoken setpass
stoken setpin

Other commands:

stoken show [ --seed ]
stoken export [ { --blocks | --iphone | --android } ]

Alternate seed sources:

--rcfile=
--token=
--file=
--random

See the stoken(1) man page for additional information.

Szerk: Sikerült frissebb Ubuntun is az snx-telepítés ez alapján: http://www.samuelrossille.com/home/how-to-setup-checkpoint-network-ssl-… - a lényeg: apt-get install libpam0g:i386 libstdc++5:i386

Jó kérdés, hogy az adott kliens jó-e a VPN-koncentrátorhoz, illetve az is problémás, hogy szoftveres RSA-tokent kell használni (drága a fizikai token...), úgyhogy sokszereplős a játék... Azt, hogy hálózatilag gondja lehet a vitrualizált Linuxból, azt a másik hozzászólásban írtam - ezt is "próba - cseresznye" alapon lehet reszelgetni...

Nekem is volt/van szerencsém CP klienssel vpn-ezgetni, de a "jobb a békesség" elvet követve a céges oldalról is támogatott Windows-os klienst használtam/használom - egy rdp-klienst futtatni teljesen jó.

( dikki | 2014. 03. 07., p – 17:27 )

kerj egy macet, van checkpoint ES bash :)

( szz v | 2014. 03. 12., sze – 22:03 )

Egy kezdő kérdés: az ifconfig snxtun down parancson kívül hogy lehet (kulturálisan) lekapcsolni az snx-szel kialakuló vpn kapcsolatot?