ZyWALL SSL Internet Security Appliance
referentie Z194E
Dit document geeft een verkorte uitleg over de ZyWALL SSL Internet Security Appliance in de ZyWALL SSL Gateway Series.
Introductie
De ZyWALL SSL Gateway Serie heeft een
geïntegreerde SSL VPN waarmee u simpel, veilig en zonder installatie aan de client-kant, een verbinding kunt maken met uw intranet. Werken op afstand was nog nooit zo eenvoudig. Met alleen een standaard webbrowser kunnen uw gebruikers vanaf iedere willekeurige internet computer veilig op afstand gebruik maken van email, bestanden, applicaties, webservers en andere bronnen op uw intranet.
Kenmerken van dit product zijn:
- ZyWALL SecuExtender technologie zorgt voor een beveiligde toegang tot uw intranet met de standaard webbrowser. Het zorgt er ook voor dat de browser-cache automatisch op geschoond wordt als de sessie voorbij is.
- Unified Policy managment
- Endpoint Security Support
- Dual-mode (NAT-/DMZ mode)
- Installatie met een Setup Wizard
Zowel SSL VPN als IPsec VPN kunnen uw gegevens met een sterke beveiliging over het internet transporteren. Het verschil zit in de client.
- De IPsec VPN client moet geïnstalleerd en geconfigureerd worden terwijl de ZyWALL SSL VPN voldoende heeft aan een standaard webbrowser.
- Daar waar een IPsec VPN nog wel eens moeite heeft met NAT en Firewalls, daar komt een SSL VPN zonder extra configuratie doorheen.
- Een SSL VPN is niet geschikt om twee netwerkern aan elkaar te koppelen. Het is bedoelt om een werkstation te verbinden met een netwerk.
Hieronder de lijst met gebruikte technieken per onderdeel.
- Port forwarding >>> Java virtual machine
- Reverse Proxy Mode >>> Java virtual machine
- Network Extension Mode >>> Java virtual machine
- Endpoint Security >>> ActiveX (werkt dus alleen met Microsoft Internet Explorer)
Positionering binnen het netwerk
Er zijn twee basis scenario waarin de ZyWALL zich kan bevinden. Hieronder de scenario's met een aantal aandachtspunten:
- Scenario 1/2:
In-lijn met een aparte firewall
Aandachtspunten:
- De rode lijn is de versleutelde verbinding
- De groene lijn is de ontsleutelde verbinding
- Verbind de WAN-poort van de SSL 10 met een DMZ-poort van uw router
- NAT instelling op de router: Maak de gewenste Port Forwarding naar het ip-adres van de SSL 10 (poorten 80, 443 en 8443 worden gebuikt)
- Firewall instelling op de router: Sta verkeer toe van WAN-naar-DMZ en van DMZ-naar-LAN
- Het LAN op de SSL 10 wordt in deze situatie gebruikt. Kies hier een subnet dat niet op in uw interne netwerk voorkomt.
- Als Full Network Access gebruikt wordt dan moet voor de Remote User IP address pool een Static Route naar de SSL VPN gateway aangemaakt worden op de router.
- Scenario 2/2:
Rechtstreeks als NAT Router
Aandachtspunten:
- De rode lijn is de versleutelde verbinding.
- De groene lijn is de ontsleutelde verbinding.
Setup Wizard
De basis installatie kunt u eenvoudig configureren met de Setup Wizard. Meldt u aan met uw webbrowser bij de ZyWALL als gebruiker admin met het wachtwoord 1234. Klik hierna rechts boven in uw beeld op de toverstaf (de Wizard).
Belangrijk
- U kunt nu het wachtwoord wijzigen via menupad Maintenance > Password
- De interne klok kunt u goed zetten via menupad Maintenance > Date / Time. Dit is belangrijk omdat er met certificaten gewerkt wordt.
Bepaal het basis scenario waarin de ZyWALL zich bevindt.
- In-lijn met een aparte firewall (in de DMZ)
- Rechtstreeks als NAT Router met SSL VPN
Wij kiezen voor Install as New Gateway
- Configureer uw WAN
- (alleen bij scenario 1): Configureer uw LAN
- Maak een gebruiker aan voor de Default Policy
- Configureer uw SSL VPN netwerk
Het VPN netwerk en de IP-pool die mag worden uitgegeven aan SSL VPN gebruikers waarover Full Tunneling kan plaatsvinden.
- Een overzicht voor dat u de wijziging definitief maakt. Druk op Finish.
Applicaties
beschikbaar maken via SSL VPN
De ZyWALL SSL Gateway Serie beschikt over de mogelijkheid om objecten te maken van gebruikers, gebruikersgroepen, netwerk adres ranches en applicaties. Wijzigingen in de objecten worden impliciet doorgevoerd in de security-policies.
Vanuit de Setup Wizard zijn de volgende objecten aangemaakt:
- Gebruiker: user1
- VPN netwerk: default
- Remote User IP-pool: default
Met deze objecten kunnen we nu een VPN inrichten.
Gedeelde
mappen beschikbaar maken
Het beschikbaar maken van gedeelde mappen kan volgens twee methodes:
- File sharing
- Network Extension Mode
Wij kiezen hier voor methode 1 omdat deze een stuk eenvoudiger is en in de meeste situaties voldoet. Methode 1 presenteert de gedeelde map als een webpagina. Deze methode heeft minder overhead dan methode 2 en werkt dus sneller.
- Maak een nieuwe object aan bij Object > SSL Application (zie afbeelding)
- Maak een SSL Application aan van het type File sharing (zie afbeelding)
Let op: Bij het gebruik van Windows 2003 server kunnen zich problemen voordoen. Lees hiervoor de link Problemen met het benaderen van shares op een Windows 2003 Server
Een web-applicatie beschikbaar maken
- Maak een nieuwe object aan bij Object > SSL Application(zie afbeelding)
- Maak een SSL Application aan van het type Web Application (zie afbeelding)
Een
applicatie beschikbaar maken
- Maak een nieuwe object aan bijObject > SSL Application (zie afbeelding)
- Maak een SSL Application aan van het type Application (zie afbeelding)
Rechten uitdelen
- Wijzig de SSL Policy voor gebruiker user1(zie afbeelding)
- Geef aan welke applicaties gebruiker user1 gebruiken mag.(zie afbeelding)
Full Network Access
In de Network Extension Mode maakt de SSL VPN gateway uw netwerk beschikbaar op netwerk niveau.De gebruiker op afstand moet hiervoor over een Microsoft Windows computer beschikken en administrator privileges bezitten.
- Maak een Remote User IP Address Pool object aan. De computers op afstand krijgt een IP-adres uit deze reeks. Het netwerk moet uniek zijn omdat hierover gerouteerd gaat worden.
- Maak een VPN netwerk object aan . Dit object vertegenwoordigd uw interne netwerk IP-range waarop u bij stap 3 toegang kunt verlenen.
- Voeg toe of bewerk een bestaande Policyregel.
In de Policyregel moet u Full Network Access toestaan voor de groep(en) en/of gebruiker(s) in deze Policy
- Maak per gebruiker een Access Controlregel aan en geef hier permissie voor de communicatie.
Let op: Als de SSL VPN router niet de default gateway is voor de te benaderen computers dan moet er een statische route in de default gateway toegevoegd worden voor het netwerk dat gedefineerd is bij het Remote User IP Address Poolobject.
Mijn eerste verbinding met de SSL VPN
Zoals gezegd kunt u met elke moderne webbrowser een SSL VPN opzetten. De ZyWALL SSL Gateway Serie maakt hiervoor gebruik van een java-plugin; de ZyWALL SecuExtender. Dit programma wordt automatisch op uw webbrowser actief en stelt de gateway instaat om de webbrowser op afstand te configureren.
- Start uw webbrowser, ga naar het adres van uw Zywall SSL Gateway en login.
- Accepteer de ZyWALL applet (zie afbeelding).
- Gefeliciteerd! U bent nu verbonden met een SSL VPN. U kunt gebruikmaken van applicaties en bestanden uitwisselen met uw gedeelde map. (zie afbeelding)
Gebruikers
verifieren met certificaten
U kunt met ZyWALL SSL Gateway Serie gebruikers verifiëren met behulp van certificaten. De verbinding wordt niet versleuteld via deze certificaten; het is pure authenticatie. Meer informatie vindt u hierover in de uitgebreide handleiding.
Endpoint Security (EPC)
De ZyWALL SSL Gateway Serie kan een computer controleren volgens een beveiligingsbeleid. De VPN verbinding zal alleen totstand komen als het computer voldoet aan dit beleid.
Let op:Endpoint Security werkt alleen op computers met Microsoft Windows. Hiervoor zal een ActiveX component geïnstalleerd worden.
U kunt de volgende controles opnemen in de EPC:
- Windows besturingssysteem, security patches en service pack versies
- Firewall update versie
- Anti-virus update versie
- Webbrowser versie
- Register sleutels en waarden
- Namen van actieve processen
- Namen van systeem bestanden
FAQ
- Wat zijn de problemen met Reverse Proxy mode op een SSL VPN en hoe deze te verhelpen?
De problemen met Reverse Proxy mode zijn:
- De URL-rewriting methode werkt niet perfect in alle gevallen. Bijvoorbeeld de URL-rewriting in Javascript, VBscript en dynamisch opgebouwde URLs.
- Sommige applicaties zoals Applets en Flash werken niet omdat deze ze met een externe server moeten verbinden.
Als oplossing kunt u de problemen per applicatie uitzoeken en in de applicatie wijzigen. Is dit geen optie dan kunt u gebruikmaken van de full tunneling mode
- Hoe kan ik het inloggen sneller maken?
Een niet optimaal ingestelde SSL VPN configuratie kan het opzetten van de verbinding vertragen. Controlleer onderstaande punten als u denkt dat de verbinding vertraagd opgezet wordt.
- Gebruik een geldig certificaat. Maak eventueel een self-signed certificaat aan en importeer deze eenmalig in de browser als de ZyWALL deze aanbiedt
- Full Network Access heeft meer tijd nodig. Gebruik deze functie alleen als het ook echt nodig is.
- Installeer de laatste Java Runtime Engine op het werkstation, verwijder eventuele oudere versies en herstart de computer.
- Selecteer bij het inloggen: I am connecting via my own computer
- Foutmelding: Locale poort 3389 al in gebruik
Als poort 3389 lokaal gebruikt wordt dan kunt u deze niet gebruiken voor de SSL VPN op dit werkstation. In dit geval zou u een andere poort kunnen kiezen in de SSL-applicatie op de ZyWALL. In dit voorbeeld zou u 3389:3389 kunnen wijzigen in 3389:13389. Lokaal moet men dan connecten met 172.0.0.2:13389
- Certificaat kan niet worden aangemaakt
Het gebruik van punten is niet toegestaan in de naam (de benoeming binnen de ZyWALL)