CheckPoint VPN

[ronenb75]

CheckPoint VPN

הי ח'ברה, לא קיבלתי שום תשובה בפורום השכן, אז אני מנסה את מזלי כאן... יש לי 2 שאלות בנוגע להתחברות ל-VPN דרך SBox-ים. הראשונה, חשובה יותר: כמובן שאין שום בעיה להתחבר עם ה-SecureClient כאשר המחשב מחובר ישירות לאינטרנט (חייגן ישיר), אבל הנסיונות שלי להתחבר כאשר שאני נמצא מאחרי ראוטרים למינהם (לא לכולם יש אופציה ל-VPN Pass Through) - פשוט לא הולכת! מישהו יודע איך מגדירים ככה שאוכל לחבר אנשים, נאמר מהבית (רובם עם מודמים של ECI המוגדרים כראוטר או דברים דומים) כדי שיוכלו להתחבר ל-VPN? האם יש הגדרות מסויימות? פתיחת פורטים מסויימים ב-NAT בראוטר הביתי? שאלה שניה, באספקט של אבטחת הרשת הפנימית: ברור שהיינו מעדיפים שגם משתמשים המחוברים ל-VPN יעבדו ב-DMZ ולא יראו את כל הרשת של החברה אבל ב-SBox-ים הזולים יותר אין רגל ל-DMZ או אפשרות לייצר VLAN, אז אין אתם מונעים מחשב ביתי שאלוהים יודע איזה זבל יש עליו (וירוסים, רוגולות וכו') לזהם את הרשת היחסית סטרילית שיצרתם בתוך החברה, פרט לפתרון של למנוע VPN-ים? תודה לכל מי שיוכל לעזור...

 

[פוֹלי]

לגבי השאלה הראשונה

אני חווה עכשיו את אותה הבעיה, אבל בודדתי מקרים וגיליתי שבגירסת R56 build 619 אנשים מאחורי ראוטרים לא עוברים, אבל עם build 615 הם כן עוברים. אני בודקת את זה בינתיים כדי לראות איך לסדר את זהואעדכן, אם תצליח להקדים אותי - תעדכן

 

[ronenb75]

אני אנסה בהמשך השבוע....

אצלי לא משנה ממש באיזה גרסה השתמשתי - פשוט לא עובד לי... אשמח לשמוע אם יש לך עדכונים טובים...

 

[פוֹלי]

מקווה שמחר עד אחה"צ יהיו לי

אחרת יש לי כמה יוזרים עצבניים במיוחד

 

[פוֹלי]

יש לי מיני עדכון...

דיברתי עם האיש קשר שלי והוא אמר שלא אמורה להיות שום בעיה גם לאלו העובדים מאחורי ראוטרים, מה שכן, צריך לבדוק פרטים כמו UDP encalsulation ו- IKE over TCP. ה UDP Encapsulation אמור לפתור בעיות של אלו שעומדים מאחורי ראוטרים, לא ניסיתי עדיין, אבל אבדוק זאת ביום ראשון. תציץ בינתיים בלינק הבא אולי זה יעזור.

 

[ronenb75]

צדקת

ניסיתי שוב, ובאחד האתרים אני דווקא מצליח (אני, אגב, מאחורי FreeSCO) ובאתר אחר אני עדיין בודק למה הוא לא מוכן... אבל בינתיים זה ככל הנראה כן עובד....

 

[idv]

אצלי דווקא עובד עם הגירסה הנ"ל

גם בראוטרים של אלקטל וגם של ECI. מבלי לפתוח פורטים וכד'

 

[antidot]

לגבי השאלה השניה

לRRAS של מייקרוסופט לא מזמן הוסיפו את ה feature של Remote Access Quarantine שבו אתה יכול להגדיר דרישות מינימליות בהן המחשב המתחבר צריך לעמוד על מנת לקבל גישה מלאה לרשת הפנימית. מחשב שלא עומד בדרישות מוכנס אוטומטית למעיין DNZ בו אתה יכול לתת לו גישה למשל לשרת ממנו אפשר להתקין את האפליקציות אותן צריך להתקין בשביל לספק את הדרישות. למיטב ידיעתי אין פונקציונליות דומה ל SBOX - זה אף פעם לא יועד להיות מוצר עם פונקציונליות שבד"כ מחפשים בחברות קצת יותר גדולות מכמה עשרות משתמשים.

 

[ערן-S]

SBOX

למיטב ידיעתי הפיצ'ר קיים ונקרא: SecureDesk Compliance Checking. אני לא בטוח באיזה גירסה מינימלית של SBOX קיים הפיצ'ר. מפעילים את שרות תחת SERVICES->SecureDesk Compliance Checking. קנפוג בסיסי אומנם תחת SECURITY->SecureDesk. באתר של SOFAWARE תחת DEMO של SAFE@OFFICE ניתן לקבל התרשמות, אם כי לא מלאה.

 

[ronenb75]

אם ככה אז זאת בעיה

משום שגם חברות עם כמה עשרות בודדות של משתמשים רוצים לתת לכמה אנשים גישה מרוחקת.... אבל הבעיה היא שהמשתמשים האלה מחזיקים מחשבים שאינן בהישג ידו של מנהל הרשת ולכן הם למעשה מזבלה עירונית לכל מיני שטויות שהילדים של אותם משתמשים מורידים.... כך שלמעשה נשארתי בבעיה שמראש מטרידה אותי....

 

[antidot]

--->

http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?forum=956&msgid=52591612

 

[ערן-S]

Securedesk

בעצם מאפשר לך לנהל גישת VPN כתלוי בהמצאות ועדכנות אנטי וירוס. ישנם כמה רמות בהתאם לרמת ההיסטריה.

 

[ronenb75]

כמו שאמרת....

זה רק ב-Sbox-ים מדגם מסויים. אצלי זה לא קיים. זה Sbox שאני לא רכשתי, קיבלתי אותו בירושה....

 

[ערן-S]

שדרוג

אם הפיצ'ר חשוב לך מאוד, תשדרג.

 

[Vintage]

לא יודע אם זה רלוונטי לך

אבל הפתרון שלי היה לתת למשתמשים גישה דרך Citrix + CSG, הכוננים המקומיים של המחשבים של המשתמשים לא היו מחוברים, ולא היה לי גם צורך בVPN. אישית בזמנו הייתי מחובר זמנית עם ECI, עבד נהדר. וכמובן שזה הרבה יותר מהיר ונוח מVPN.

 

[TechGrrl]

אז הנה כמה תשובות, מענות וכאלה.

יש לא מעט פתרונות בלינק הבא (באנגלית, מאתר היצרן SofaWare) http://server.iad.liveperson.net/hc/s-9995810/cmd/kbresource/kb-9024504438587674976/view_question!PAGETYPE?sf=101133&documentid=17863&action=view בקיצור - אכן ברוב המקרים IKE over TCP ו- Force UDP Encapsulation פותרים את הבעיה. אבל כדי להציץ במסמך בכל זאת. לגבי השאלה השניה - אני מנחשת (ותקן אותי אם אני טועה) אבל המוצר שיש לך הוא Safe@Office 110. מה שאתה יכול לעשות זה במקום לאפשר ל-VPN לגשת לכלל הרשת בחברה, להגביל באמצעות חוקים את הגישה למכונות ספציפיות וכן שרותים ספציפיים (למשל, Exchange ו-FTP). ההגדרה כאן תלויה כמובן באיזו גישה אתה מעוניין לתת למשתמשים ברשת שלך.