ipsure logo
Logo and Language
Giriş ikonu Dil seçim ikonu
Merhaba, misafir
*NIX Uygulamalar bloğunun başlık resmi Uygulamalar başlık resmi sağ bloğu Uygulamalar başlık resmi son menü bloğu
MS İPUCU PKI Aktif kategori menüsü sol parantez Aktif kategori menüsü sağ parantez PROJELER WORDPRESS YEDEKLEME English UYGULAMALAR HİZMETLER IT BUSINESS İLETİŞİM HAKKIMIZDA REFERANSLAR KOŞULLAR RSS
Ana sayfa Uygulamalar Hizmetler IT Business İletişim Hakkımızda Referanslar Kullanım Koşulları RSS
1

05/03/2010

Check Point Secure Client ve Aladdin eToken PKI Client İle Remote Access VPN

Kategori: PKI — Etiketler:, , , , , , , , , , , ̵ 2; Sezgin Bayrak @ 16:48

eToken PRO 32KBu dökümanda Check Point Secure Client VPN bağlantılarınızı, Aladdin eToken USB tabanlı smart card ve ilişkili PKI clientı kullanarak gerçekleştirmek üzere yapılması gerekenleri adım adım ele alıyoruz. Söz konusu kurulumda eToken Pro 32k kullanıldı. Uygulamanının sorunsuz çalıştığını gözlemlediğim platformlar ise Windows XP ve Vista 32-bit.

Statik IP bağımsız herhangi aktif bir internet bağlantısına sahip PC/laptop üzerinde eToken PKI Client’ını kurmadan önce Check Point Secure Client’ı kurarak başlayacağız. Check Point Secure Client yazılımınıza ilişkin msi paketini kullanarak kurulum sihirbazını çalıştırın. Ben anlatmakta olduğum kurulumda VPN-1_SecureClient_NGX_R60_HFA_02_Supplement_3_630002002.msi kullandım ve söz konusu client sürümüyle R65 firewall sürümüne erişim gerçekleştirme konusunda problem yaşamadığımı bir not olarak belirtirim.

Varsayılan kurulum dizinini değiştirmeden devam ediyoruz;

VPN-1 Secure Client’ı seçiyoruz

ve kurulumu başlatıyoruz;

Check Point Secure Client sürücüleri install edilirken herhangi bir Microsoft Driver Signature uyarısı ile karşılaşırsak “Yes” ile kabul ediyoruz ve kurulumu tamamlıyoruz;

Kurulum tamamlandıktan sonra sisteminizi yeniden başlatmak için uyarı aldığımızda diğer kurulumlara geçmeden önce mutlaka sistemimizi restart ediyoruz.

Bilgisayarımız yeniden başladıktan sonra PKIClient-x32-4.55.msi (bu döküman hazırlandığında ilgili sürüm bu idi) paketini çift tıklayarak eToken PKI Client’ını default ayarları ile kuruyoruz (Next > Next >…) ve kurulum bitince sorulmasa dahi bilgisayarımızı yeniden başlatıyoruz. Sistem açıldığında eToken’ımızı USB portuna takıyor ve eToken PRO sürücülerinin otomatik olarak yüklenmesini bekliyoruz. Mevcut eToken PIN’imizi hatırlamıyorsak ve ya eToken aygıtımız yeni ise kuruluma devam etmeden önce yeni kurduğumuz PKI yazılımının task bardaki ikonuna sağ tuşla tıklayarak Open eToken Properties -> Advanced tabından Tokens & Readers altındaki eToken ismi üzerine gelip “Initialize” ile formatlayıp yeni password veriyoruz. Fakat formatlama işleminin, mevcut ise token içerisinde bulunan sertifikaları sileceğini unutmayın!

Ardından task bardaki Check Point VPN-1 Secure Client logosuna sağ tıklayarak;

Settings sekmesini açıyoruz ve yukarıdaki Certificates tab menüsüne geçiyoruz. Söz konusu durumda Certificate Authority (CA) olan CP firewall’umuz vasıtasıyla yeni bir sertifika oluşturmak üzere Create Certificate butonunu kullanıyoruz;

Açılan pencerede, sertifikamızı eToken donanımımız üzerinde saklamak istediğimiz için Store on a hardware or software token (CAPI) seçeneğini işaretleyerek ilerliyoruz.

eToken Base Cryptographic Provider seçeneğini aktif hale getirerek devam ediyoruz;

Açılan sayfada, Site IP address/Name alanına VPN bağlantısı kuracağımız aynı zamanda bunun için gerekli sertifikanın sağlanması anlamında Certificate Authority olan firewallumuzun interface IP’sini giriyoruz. VPN bağlantısı gerçekleştirecek olan kullanıcının, yani bu durumda sizin, söz konusu sertifikayı talep edebilmeniz için firewall üzerinde sizin için önceden hazırlanmış bir Registration key’e sahip olmanız gerekir. Firewall yöneticisi siz değilseniz bu anahtarı yetkilinin oluşturup size güvenli bir yol ile bildirmesi gereklidir. Firewall’a bizzat erişim ve yönetim hakkınız bulunuyorsa Check Point Management GUI (Smart Dashborad) kullanarak bu anahtarı oluşturabilirsiniz. Bunun için GUI’de Manage ->Users and Administrators… sekmelerini takip edin ve ilgili kullanıcı üzerinde Edit butonunu kullanarak özelliklerine girin. Certificates tab menüsünü kullanarak aşağıda gösterildiği şekilde anahtarı yaratın.

Kullanıcının oluşturulan sertifikayı alması için tanınacak süre 30 gündür. Bu süre sonuna kadar sertifika alınmazsa revoke edilerek geçersiz kılınır.

Registration key, bir kereye mahsus firewall’dan sertifikayı download edebilmek için üretilmiş unique bir keydir. Sertifika yüklemesi başarılı olduğunda firewallumuz tarafından otomatik olarak yok edilir ve bir daha kullanılamaz, kayıtlarınızda tutmanıza gerek yoktur. Eğer yükleme başarılı olmazsa olana kadar tekrar tekrar kullanılabilir, yeni bir anahtara ihtiyaç duyulmaz.

Şekilde görmekte olduğunuz registration key ve IP adresi örnektir. Uygulamamıza kaldığımız yerden devam edebilmemiz için siz ilgili alanlara kendi anahtar ve firewall IP’nizi girin ve devam edin;

Açılan eToken PIN sorgulama ekranına sadece daha önce belirlemiş olduğumuz eToken PIN’imizi giriyoruz;

Bir önceki adımda yanlış bir Registration Key girdiysek karşılaşacağımız hata mesajı aşağıdaki gibi olacaktır;

Eğer bir problem yoksa sertifika download edilerek eToken içerisine install edilmiş olacaktır. Artık Secure Client’ı VPN bağlantısı için hazırlayabiliriz. Task bar üzerindeki Check Point VPN-1 Secure Client ikonuna sağ tıklayarak Settings penceresini açıyoruz ve Connections tabında bulunan New > Site seçeneğini kullanıyoruz. Açılan Site sihirbazı penceresinde Server Address or Name ve Display Name alanlarını doldurarak ilerliyoruz.

Authentication Method penceresinde Certificate seçeneğini işaretliyoruz;

Certificate: pull down menüsünde CN=YourUser,OU=users,… şeklinde “CN=kendi kullanıcı adınız” ile başlayarak belirtilen sertifika tanımını seçerek devam ediyoruz.

Açılan Select Connectivity Settings penceresinde Advanced seçeneğini işaretleyerek devam ediyor, Advanced Settings penceresinde Perform IKE over TCP seçeneğini işaretliyoruz;

İlerlediğimizde sorulacak olan eToken PIN’imizi tekrar giriyoruz. Bağlantı kurulacak, PIN şifremiz doğru ve sertifikamız geçerli ise geçerlilik doğrulama ekranı açılacaktır. Aşağıda, firewall CA fingerprinti özellikle silinmiştir. Bu pencereyi takiben kurlumumuzu başarıyla tamamladığımıza dair final ekranı açılacaktır.

Verileri kaydederek çıktığımızda firewall ve eToken’ımız, sahip olduğumuz sertifika yoluyla kimlik doğrulama gerçekleştirmeye hazır hale gelecektir. Artık sadece eToken PIN’i girerek VPN bağlantısı gerçekleştirebiliriz. Dilediğimiz zaman eToken’ımızı USB portuna takarak ve task bardaki Check Point VPN-1 Secure Client ikonuna sağ tıklayarak seçeceğimiz Connect seçeneği ile encrypted bağlantı gerçekleştirebiliriz.

Bu bir defaya mahsus yapılacak bu kurulum ve akabinde istediğiniz zaman gerçekleştireceğiniz VPN bağlantısı sayesinde statik IP ve şifre ile kimlik doğrulama gerektirmeksizin evden ve ya seyahat esnasında, bulunduğunuz yerdeki herhangi bir internet bağlantısını (ADSL, 3G, Wi-Fi, … ) kullanarak, ofisiniz içerisindeki PC’niz de dahil olmak üzere tüm sistemlere firewall rule base’inde tanımlanmış erişim yetkileriniz dahilinde encrypted erişebilirsiniz.

Elbette eToken’ınızı yanınızda bulundurduğunuz sürece.

Related Posts with Thumbnails
RSS Beslemelerimize ye olun FeedBurner yoluyla email yelii FeedBurner yoluyla RSS yelii

İlgili Makaleler

  İlgili makale bulunamadı.

1 Yorum »

Geri İzlemeler

    IPSURE | Uygulamalar (Weblog) | Aktif Dizinde Oturum Açmak İçin Akıllı Kart «

Okuyucu Yorumları

Henüz bir okuyucu yorumu mevcut değil.

RSS feed for comments RSS feed for comments on this post. Geri İzleme URL'si.

Yorum yapın




Red Hat Ready Business Partner Cisco Registered Partner Share this page Follow us at Facebook Subscribe to our RSS feeds IPSURE.COM Copyright ©2012 Go To Top Of Page TÜM HAKLARI SAKLIDIR.
End of Page