VPN concentrator con CheckPoint

monitorPer poter utilizzare CheckPoint FW-1 in modalità VPN gateway è necessario installare il modulo VPN-1 e acquistare la relativa licenza. Per abilitare tale opzione è necessario aprire le proprietà del Gateway CheckPoint e abilitare l’opzione VPN-1 Pro presente nelle General Properties, sezione CheckPoint Products. I seguenti passi sono stati realizzati con la versione VPN-1 NG Feature Pack 2. Si assume che CheckPoint FW-1 NG sia stato già installato sul firewall e che l’utente abbia familiarità con il prodotto e la sua GUI.

Preparazione della Certification Authority

Questo esempio è realizzato usando i certificati digitali X.509 come autenticazione del client. In CheckPoint VPN-1 è possibile sfruttare una Certification Authority esterna, qualora si disponga di una infrastruttura PKI, definendo un nuovo server di tipo CA – OPSEC PKI, importandone il certificato pubblico e definendo la modalità di accesso al Certificate Revocation List (CRL). Qualora non si avesse a disposizione una infrastruttura PKI esistente è possibile definire una Internal Certificate Autority (ICA) creando un nuovo server di tipo CA – Local Management Server. Per maggiori informazioni su come gestire in maniera approfondita le Certification Authority, si faccia riferimento al manuale CheckPoint Virtual Private Networks al capitolo Certification Authorities.

Definizione degli utenti

Un altro passo importante prima di configurare la VPN vera e propria è quello di configurare gli utenti che hanno accesso alla stessa. È pertanto necessario configurare in FW-1 un nuovo utente, e definire le seguenti proprietà:

  • Nella sezione Encryption selezionare IKE e successivamente il pulsante EDIT

user-encryption

  • Nella sezione Authentication selezionare Public Key

user-encryption2

  • Nella sezione Encryption selezionare la checkbox Defined Below, in Encryption Algorithm selezionare 3DES e in Data Integrity selezionare MD5 e premere OK

user-encryption3

  • Premere Generate and Save per generare una nuova richiesta alla CA.

user-certificate

Configurazione del modulo VPN

In questa fase si procede a configurare il modulo VPN su CheckPoint FW-1. A tale scopo nelle proprietà del gateway è necessario:

  • Abilitare il modulo VPN-1 Pro nelle General Properties

object-checkpoint-general

  • Nelle Topology definire manualmente l’oggetto che rappresenta la/e rete/i interna/e e abilitare l’opzione Exportable for SecuRemote/SecureClient

object-checkpoint-topology-roadwarrior

  • In VPN, selezionare IKE e successivamente premere EDIT

object-checkpoint-vpn-ike-x509

  • Selezionare gli algoritmi di crittografia preferiti, ad esempio 3DES e AES-256, selezionare come Data Integrity sia MD5 che SHA-1 e selezionare Public Key Signatures

È necessario successivamente selezionare il pannello delle Global Properties di CheckPoint, selezionare VPN-1 Pro e abilitare il Traditional Mode.

global-vpn-setup-mode

Impostazione della VPN

L’ultima operazione da effettuare è quella dell’impostazione della regola di accesso VPN, aprendo la GUI sulle regole e definendo come sorgente gli utenti abilitati alla VPN, come destinazione la LAN interna, come servizio Any e come azione Client Encrypt. Con l’installazione di tale regola si è completata la configurazione della VPN su CheckPoint FW-1.

policy-roadwarrior