Установка check point mobile

Secure Mobile Access

Check Point Mobile Access is the safe and easy solution to securely connect to corporate applications over the Internet with your Smartphone, tablet or PC. Integrated into the Check Point Next Generation Firewalls (NGFW), Mobile Access provides enterprise-grade remote access via both Layer-3 VPN and SSL/TLS VPN, allowing you to simply and securely connect to your email, calendar, contacts and corporate applications.

Mobile Access hero image


Easy access for mobile workers – simply connect from mobile devices to secure connectivity for smartphones, tablets, PCs and laptops


Communicate securely with proven encryption technology, two-factor authentication, and User-Device pairing to eliminate network security threats

Integrated Security

Integrated in Next Generation Firewalls enables consolidation of security controls decreasing costs

Product Specifications

Remote Access With Encrypted VPN Devices

Remote Access with Encrypted VPN Technology

Check Point Mobile Access uses SSL/TLS VPN and IPsec technologies to secure encrypted communication from unmanaged Smartphones, tablets, PCs, and laptops to your corporate IT infrastructure. Mobile Access offers:

  • Secure SSL VPN access
  • Two-factor authentication
  • Device/end-user paring
  • Mobile business portal
  • Provisioning of security features and email profile

SSL/TLS Web Portal

SSL/TLS Web Portal

The SSL/TLS VPN portal is best for connecting securely to corporate resources through a portal from a web browser.

Secure Authorization

Secure Authorization

Mobile Access can be configured to send a One-Time Password (OTP) to an end-user communication device (such as a mobile phone) via an SMS message. Or even with SMS two-factor authentication providing an extra level of security while eliminating the difficulties associated with managing hardware tokens.

A Next Generation Firewall for Any Deployment

Network Security

Dynamic zero-day threat protection with cutting-edge evasion-resistant malware detection, safeguards you against the world’s most dangerous threats.


Cloud Network Security

Automated and elastic public cloud network security to keep assets and data protected while staying aligned to the dynamic needs of public cloud environments.


Harmony Connect SASE tile

Secure Access Service Edge

Harmony Connect, Check Point’s SASE solution, makes it simple to secure remote and internet access for users and branches.


More than a Next Generation Firewall

View our Quantum Next Generation Firewalls

More Than Just a Firewall Security infographic

Implement Zero Trust Security

Security teams must be able to isolate, secure, and control every device on the network at all times. Check Point solutions provide you with the ability to block infected devices from accessing corporate data and assets, including employees’ mobile devices and workstations, IoT devices and Industrial Control Systems. Integrated into the Check Point Infinity Architecture, Mobile Access secures connections to corporate applications over the Internet with your Smartphone, tablet or PC.

Technical Resources

CheckMates Community

The place to discuss all of Check Point’s Remote Access VPN solutions, including Mobile Access Software Blade, Endpoint Remote Access VPN, SNX, Capsule Connect, and more!

Live chat logo tile image

24×7 Technical Support

Our worldwide Technical Assistance Centers are available to assist you 24×7. Open a ticket or Live Chat with our Sales or Support Team.


Documents icon tile image

Admin Guides and More!

Harmonize Security for Users, Devices & Access

Best Prevention. Simple for Everyone.

Protecting today’s hyper-distributed workspace requires endless security functions across user devices, applications and networks. However, stitching together point solutions often leaves security gaps and creates a cumbersome infrastructure that is difficult to manage and scale. Harmony offers an alternative that saves you the overhead and increases security.


Установка check point mobile

Linux setup Check Point Mobile Access VPN

This is a step-by-step tutorial to setup your Linux machine with all the required dependencies to work with Check Point Mobile Access VPN. This tutorial also includes some troubleshooting.

In the past year I had to setup my Ubuntu 18.04 laptop twice. Both times were very exhausting and took long hours until it was ready to use due to so many different errors hard to find the solution on Google. So no need to mention this tutorial (at the current state) is only useful if you’re working with a clean and recently installed Ubuntu LTS distro.

First make sure your operating system is up-to-date with:

Now you need some basic tooling for installing and building independent package vendors:

If your system has no Java version installed, make sure you install the version 8 (or higher). You can do that quickly with SDKMAN!, but first be sure you’re on your home directory with:

And then for installing SDKMAN!:

List the available Java versions and try to find the OpenJDK version 8 or higher (in my case it was 8.0.232-open ) and then install it:

For the Check Point Mobile Access required packages, you’ll need to install xterm and some SSL packages with the following commands:

If you’re running a 64 bit operating system, you’ll need to install some 32 bit compatible libraries:

Downloading the Shell Scripts

There are two shell script files you’ll need to download to setup Check Point Mobile Access VPN on your machine:

  • snx_install.sh
  • cshell_install.sh

Both of them you can get on your company’s Mobile Access VPN page.

2. Click on «Settings» button

3. Click on «Download Installation for Linux» for both SSL Network Extender and Check Point Mobile Access Portal Agent

Running the Shell Scripts

The scripts you’ve just downloaded are just regular files. So we need to change their permissions to make them executable with the following commands:

The first script we’re going to run is the snx_install.sh , which should not give any errors when installing it.

Here comes the tricky part: running the other shell script. The script will ask you for your password because it’s going to run some things as sudo . Everything should be going fine until it gets to the last step: when it tries to run /usr/bin/cshell/launcher . That’s where it gets stuck. This executable file does not work properly with sudo .

When you notice it is stuck at the message above, open Ubuntu’s system monitor and try to find a process called launcher with 0% CPU usage and Sleeping status. Once you find it, kill it.

Do not ever type CTRL+C on the terminal or try to end its process or launcher ‘s. You must kill the launcher process. Otherwise, the script will do a clean-up and erase everything it has made that will allow you to make Check Point Mobile Access VPN work.

If you’ve done everything right, there should be an executable file called launcher at /usr/bin/cshell/ . If so, run it and it should have been displayed some logs as follows:

It means it has successfully been installed, and you should be fine trying to connect to the VPN now, but it doesn’t mean we don’t have more work to do.

If you end up with an error when you’re trying to run /usr/bin/cshell/launcher about a named pipe file called cshell.fifo inside the /tmp folder, just delete it with:

You need to disable one of your system’s startup applications. You should be able to see one of them called cshell with a marked checkbox. All it does is running the launcher executable file in /usr/bin/cshell/ . You must uncheck it because every time you let it run automatically it’s going to be run as sudo , which means it’s going to get stuck.

Now we’re going to do a little trick to make it start automatically without sudo : run it inside the .bashrc file, so every time you open up a terminal it’s going to run with your user normal permissions. Actually, we only want to run it once when you log in, right? So why don’t we simply run it inside .profile ? Because everything in .profile run as sudo , so the launcher is going to get stuck.

So here is the tricky part: let’s create a simple log file to check whether launcher should run every time you open up a terminal window. Add the following lines to the .profile file to remove the log file every time you log in.

Читайте также:  Шевроле автомобиль цены с установкой

On the .bashrc file add the following lines to check whether it should run the launcher file every time you open up a terminal window:

Restart your computer, log into your user account and check if the log file we created is on your home directory by opening a terminal and typing:

Then show its contents by using cat and it should be displayed as the following:

Now you should be all set. Open your company’s Check Point Mobile Access page and you should be able to connect everytime you log into your computer. Just remember to open up a terminal window first 🙂


📚Учимся вместе c Check Point. Подборка полезных материалов

Приветствую читателей нашего блога! Наступила осень, а значит пришло время учиться и узнавать для себя что-то новое. Постоянная аудитория хорошо знает, что мы уделяем большое внимание продуктам от Check Point (большое число решений для комплексной защиты вашей инфраструктуры).

Сегодня мы соберем в одном месте рекомендованные и доступные к ознакомлению циклы статей и курсов. Устраивайтесь поудобнее, будут в основном ссылки на источники.

Материалы от TS Solution

Пожалуй, первичный и обязательный курс, специально подготовленный для того, чтобы изучить основы работы с NGFW Check Point. В нем рассматриваются функциональные возможности, подробно разбираются этапы базовой настройки и администрирования. Рекомендовано к ознакомлению с начальным уровнем подготовки:

Check Point Getting Started R80.20.

Возможно, после прохождения Check Point Getting Started у вас в голове появится много вопросов, требующих ответа — это хорошая реакция.

Специально для самых любознательных и желающих максимально защитить инфраструктуру, был подготовлен следующий курс. В нем рассматриваются “Best Practice” по настройке вашего NGFW (тюнинг профиля защиты, использование более строгих политик, практические рекомендации). Рекомендовано к ознакомлению со средним уровнем подготовки:

Check Point на максимум

Современные тенденции требуют от администраторов сети или специалистов ИБ уметь организовать удаленный доступ для сотрудников.

Курс Check Point Remote Access VPN как раз про это. В нем очень подробно рассмотрена концепция VPN в архитектуре Check Point, приведены базовые сценарии развертывания, объясняется порядок лицензирования. Рекомендовано к ознакомлению после прохождения курса Check Point Getting Started .

Check Point Remote Access VPN

Следующий цикл статей познакомит вас с новейшей 1500-серией NGFW семейства SMB. В нем рассматриваются: процесс инициализации устройств, первичная настройка, беспроводная связь, виды управления. Рекомендован для прочтения всем желающим:

Check Point NGFW (SMB)

Долгожданный цикл статей по защите персональных мест пользователей компании с помощью решения Check Point SandBlast Agent и новой облачной системы управления — SandBlast Agent Management Platform . Вся представленная информация актуальна, подробно разобраны этапы развертывания, настройки и управления, затронута и тема лицензирования.

Check Point SandBlast Agent Management Platform

Расследование инцидентов ИБ — это отдельный мир происшествий. В цикле статей мы разобрали конкретные события в разных продуктах Check Point ( SandBlast Network , SandBlast Agent , SandBlast Mobile , CloudGuard SaaS ).

Check Point Forensics

Внешние Источники

Рекомендуем обратить ваше внимание на платформу Udemy, где сам вендор (Check Point) разместил бесплатные полноценные курсы:

Check Point Jump Start: Network Security

Ccылка . Включает в себя модули:

1. Introduction to the Check Point Solution
2. Deploying Check Point Security Management
3. Deploying Check Point Security Gateways
4. Creating a Security Policy
5. Logs and Monitoring
6. Support, Documentation, and Training

Дополнительно предлагается сдать экзамен на Pearson Vue ("решетка" 156-411).

Check Point Jump Start: Maestro part 1,2

Курс рассказывает о построении отказоустойчивого и высоконагруженного комплекса Maestro, рекомендуется знание основ работы NGFW, а также сетевых технологий.

Check Point Jump Start: SMB Appliance Network Security

Новый курс от Check Point для cемейства SMB, внушительное содержание говорит о глубине проработки:

1. Introduction
2. What's New
3. Standalone Deployment
4. Logging and Monitoring
5. Features and Functionality
6. Clustering
7. HTTPS-SSL Inspection
8. Central Management
9. Threat Emulation
10. Security Management Portal
11. Zero Touch and Reach My Device
12. VPN and Certificates
13. Watchtower Mobile App
14. VoIP
15. DDOS
16. Cloud Services and SD-WAN
17. API
18. Troubleshooting

Рекомендован к ознакомлению без отдельных требований к уровню подготовки. О возможности управлять NGFW с помощью мобильного устройства в приложение WatchTower, мы писали в статье .

Вместо заключения

Сегодня мы рассмотрели бесплатные обучающие курсы и циклы статей, сохраняйте себе в закладку и будьте с нами. Впереди много интересного.


Настройка Checkpoint. Часть 1. Установка и первоначальная конфигурация

Checkpoint Logo
Доброго всем времени суток. Сегодня я хочу начать цикл о настройке и принципах работы межсетевых экранов Checkpoint.

Chekpoint — компания, занимающаяся разработкой решений по сетевой безопасности начиная с 1993 года. Компания позиционирует себя как разработчик собственной архитектуры управления\взаимодействия — SMART (SecurityManagment Architecture). На основании этой концепции в конечном итоге была создана операционная система Gaia, путём объединения ОС IPSO (Nokia) и ОС SPLAT (ранняя разработка СР на базе Unix-ориентированных систем). В данном программном обеспечении реализован ряд технологий, связанных с безопасностью обмена данными (например пакетная фильтрация, IPS), а так же проприетарная Stateful Inspection основной задачей которой является контроль конкретных соединений в реальном времени.Wikipedia.

Увы, на Хабре не так много статей, посвященных этому вендору. Хотя, на мой взгляд, он заслуживает большего внимания.

Опытные инженеры систем безопасности, скорее всего, не найдут никакой новой информации в этой и последующих статьях. Но для новичков, я надеюсь, они будут полезными. Мы попробуем разобрать принципы работы основных модулей и системы в целом, а так же рассмотрим примеры настройки из “best practice".

Сегодня на повестке дня установка и начальная конфигурация устройства. Добро пожаловать под кат.

На Хабре уже была статья о том, как установить две фаервольных ноды и сделать из них кластер. Попытаюсь уделить внимание вопросам, которые в той статье рассмотрены не были.

Этап 0. Подготовка

В первую очередь нам необходимо подобрать оборудование. Есть, по сути, только два варианта: либо покупать устройство, с любовью оклеенное этикетками Checkpoint и помещенное в специально подготовленный для него корпус, или же собирать платформу самостоятельно. В любом случае выбор устройства будет зависеть от очень большого количества параметров. Мы можем опираться лишь на свой опыт и на ту документацию, которую нам предоставляет сам вендор. Список поддерживаемых серверов можно посмотреть по ссылке. Так же можно примерно посчитать на какую нагрузку будет рассчитан конкретный девайс от компании Checkpoint (осторожно PDF). К сожалению, Checkpoint не предоставляет информацию об установленном в устройства оборудовании, лишь объем оперативной памяти и количество интерфейсов, но в Интернете можно найти кое-какую информацию о CPU.

Этап 1. Установка операционной системы Gaia

После того, как мы выбрали платформу, перейдем к установке операционной системы. Кстати, об операционной системе: Gaia (последняя из операционных систем Checkpoint’а) базируется на дистрибутиве RedHat 5.2. А значит, если Вы до этого работали с linux-based операционными системами, то Вам будет приятно увидеть многие знакомые утилиты и команды.

Здесь будет рассматриваться Gaia R77.10 в виртуальном окружении. Установка предыдущих, так и последующих версий этой операционной системы, ничем не отличается. На сегодняшний день последней является Gaia R77.30.

Компания Checkpoint не предоставляет дистрибутивы своих операционных систем без регистрации и SMS на сайте, поэтому поиск образа я полностью доверяю вам. Если же у вас имеется учетная запись, то загрузить необходимый дистрибутив можно по ссылке.

Теперь мы вооружены всем необходимым и можем перейти непосредственно к установке.

Большинство следующих скриншотов не требуют пояснения: далее, далее, готово. Никто не предлагает установить Mail.Агент или какое-либо другое приложение, не имеющее отношение к теме.

Единственное, на что хочу обратить Ваше внимание – разметка диска. Система выдаст ошибку и прекратит установку, если объем жесткого диска менее 8Гб. В случае наличия от 8 до 15 Гб система самостоятельно разбивает диск на необходимые ей разделы. Если же объем больше 15Гб, то нам разрешат немного повлиять на этот процесс, а именно: изменить размер разделов под system-root (/) и логи (/var/logs/). Эта информация может пригодиться тем, кто собирается ставить Checkpoint на виртуальную машину. Остальным же требуется знать лишь, основное правило, которое заключается в том, что размер раздела “Backup and upgrade" должен быть не менее, чем сумма system-root и logs, так как снэпшоты операционной системы помещаются именно туда.

  • Рут должен быть не менее 6Гб, а если планируется использование дополнительных компонентов (блейдов), таких как: IPS, Application Control, URL Filtering, стоит увеличить размер, хотя бы до 10Гб.
  • Логи – наше все. По крайней мере на менеджент сервере. Все доступное пространство выделяем им, ведь основная функция менеджмент сервера, помимо настройки правил – это хранение всевозможных логов и обновлений.
  • Рут – единственный раздел который фаерволу действительно нужен, и 10Гб, при включенных дополнительных блейдах, будет тоже вполне достаточно.
  • Размер раздела для логов не так критичен, ведь логи пишутся на менеджмент сервер, а на фаерволе эта директория используется, в основном, для обновлений, поэтому хватит даже 5Гб.
Читайте также:  Установка колец поршень скутер

Рис 1.1
Выбираем пункт “Install Gaia on this system":

Рис 1.1
Рис 1.2

Тут мы можем посмотреть информацию об установленном оборудовании:

Рис 1.2

Рис 1.3
Выбираем язык:

Рис 1.3

Рис 1.4
Размечаем диск:

Рис 1.4

Рис 1.5
Придумываем пароль:

Рис 1.5

Рис 1.6
Тут мы можем выбрать и настроить интерфейс, который в дальнейшем будем использовать для подключения к устройству через https и ssh.
Рис 1.6

Рис 1.7
Непосредственно, настройка.
Рис 1.7

После этого придется немного подождать, пока система установится на выбранный сервер.

Этап 2.1 Подготовка к настройке

  • Выбор роли сервера
  • Параметры менеджмент интерфейса
  • Правила доступа
  • Параметры DNS, NTP, Proxy серверов (proxy только через WebUI)

Первичная настройка Checkpoint для последующей работы с ним доступна в упомянутой выше статье. Мы же сейчас попробуем сделать то же самое, но при помощи командной строки, для этого нам не понадобится отдельный компьютер, сетевое подключение к фаерволу и даже монитор, если Вы знаете толк в извращениях не боитесь трудностей.

Для того что бы произвести конфигурацию фаервола через CLI у нас есть специальная утилита config_system, точнее, это обычный bash-скрипт, содержимое которого Вы можете посмотреть и отредактировать. Лежит он в /bin/config_system.

Этот скрипт редактирует файл базы данных Gaia OS /config/db/initial.

Давайте разберем принцип его работы на примере функции по изменению ip-адреса:

Получение текущих настроек из базы происходит при помощи утилиты /bin/dbget, а изменяет конфигурацию команда /bin/dbset. Вот так выглядит кусок файла, описывающий настройки интерфейса eth0:

Параметр отделяется от значения пробелом. Теперь мы можем попробовать получить какие-нибудь значения при помощи DBGET.

Ключ -c необходим для вывода имени дочернего параметра с не нулевым значением. Что бы дополнительно показать значение этого параметра существует ключ -v.

Мы получили значение равное t, то есть true. По сути это означает лишь то, что на интерфейсе задан ip-адрес, равный

  • Удалить текущие значения ip-адреса и маски
  • Установить новое значение ip-адреса
  • Установить новое значение маски
  • Сохранить конфигурацию

Этап 2.2 Первоначальная конфигурация

Config_system принимает либо файл, либо строку из необходимых параметров, разделенных амперсандом (&). Синтаксис команды со строкой в качестве параметра будет выглядеть следующим образом:

Значение каждого из этих параметров мы разберем далее. А сейчас разберемся с конфигурационным файлом.
Конфигурационный файл содержит в себе все те же самые значения, каждое на отдельной строке.

Первым делом мы создадим шаблон конфигурационного файла, который потом будем редактировать.

В самом шаблоне довольно подробно описан каждый параметр. Поэтому я просто приведу пример конфигурации для менеджмент сервера:

И одного фаервола:

Единственное, на чем хочется остановиться отдельно — параметр ftw_sic_key="". SIC, или Secure Internal Communication key — это одноразовый пароль, который нужен, что бы фаерволом можно было управлять с менеджмент сервера (поэтому мы задали его только на фаерволе). Он нам будет нужен один раз при добавлении фаервола в панель управления менеджмент сервера.

Последний шаг — это отдать полученный файл скрипту и подождать пока завершится конфигурация:

Теперь перезагружаем сервер и все готово.

Этап 3. Подведение итогов

Теперь у нас есть один менеджмент сервер и один фаервол. Они готовы к дальнейшей настройке.

В следующей статье мы научимся добавлять фаерволы для управления с одного менеджмент сервера. Узнаем как из них организовать кластер, если изначально мы к этому готовы не были. Рассмотрим варианты кластеров и их принцип работы. А так же пробежимся по способам настройки NATа и простейшим фаервольным политикам.


Удаленный доступ с мобильных устройств через VPN с помощью Check Point Mobile Access Blade

Аватар пользователя Иван Бойцов

Данная статья описывает функциональные возможности и преимущества использования программного блейда Mobile Access от компании Check Point для организации удаленного доступа в корпоративную сеть с мобильных устройств — телефонов, планшетов и персональных компьютеров.


В современном деловом мире мобильность — важное требование. Командировки, срочные задачи в отпуске, работа дома или в дороге — все это встречается практически в любой организации и для этого неизменно нужно организовать удаленный доступ в корпоративную сеть. Прогресс мобильных технологий уже давно позволяет сотрудникам выполнять многие бизнес-задачи со смартфонов, планшетов и ноутбуков, а распространение мобильного высокоскоростного доступа в интернет и почти повсеместный Wi-Fi обеспечивают необходимые каналы связи. Дело остается за малым — организовать такой доступ на стороне сетевой инфраструктуры компании.

Впрочем, задача по обеспечению удаленного доступа в корпоративную сеть только на первый взгляд кажется простой и не требующей финансовых вложений. На самом деле этот процесс таит в себе множество трудностей. Две основных проблемы — обеспечение сетевой инфраструктуры для приема входящих подключений и организации канала связи и обеспечение защиты информации.

В первую очередь при удаленном подключении необходимо проводить усиленную аутентификацию для исключения доступа в защищенную сеть злоумышленников, узнавших пароль сотрудника или укравших его мобильное устройство.

Также должен защищаться и канал передачи данных, поскольку без реализации шифрования канала от точки подключения мобильного устройства до внутренней сети нельзя с уверенностью говорить о безопасности соединения. Наиболее критичным в этом плане является незашифрованный доступ в корпоративную сеть через открытые точки доступа Wi-Fi, хотя и мобильная передача данных тоже является уязвимой к перехвату и подделке трафика.

Еще одна проблема безопасности — обеспечение программной защиты конечного устройства и применение корпоративных политик безопасности. Мобильные устройства сотрудников не обслуживаются корпоративной ИТ-службой и не контролируются специалистами по информационной безопасности, поэтому они могут быть заражены вирусами, на них могут быть установлены программы-шпионы, а сами сотрудники могут использовать свои устройства для организации утечки информации.

Программный блейд Check Point Mobile Access решает все задачи по обеспечению удаленного доступа — как инфраструктурные, позволяя быстро и просто организовать доступ из внешней сети, так и защитные, предоставляя различный функционал по обеспечению безопасности информации.

Функциональные возможности

Check Point Mobile Access предоставляет два варианта организации удаленного подключения устройств:

  • Организация удаленного доступа на сетевом уровне модели OSI — возможность подключения в корпоративную сеть с полным доступом к ресурсам локальной сети. Технология реализует классический вариант виртуальной частной сети (VPN) и позволяет удаленному компьютеру или мобильному устройству стать полноправным хостом в локальной сети и выполнять любые задачи, как если бы устройство было напрямую подключено в сеть. Удаленный доступ создается по набору протоколов IPSec, реализующих аутентификацию до установления связи, проверку целостности и шифрования сетевого трафика. Все сетевые соединения защищены и устойчивы к атакам, направленным на перехват трафика или попытки его подмены.

В интерфейсе управления механизмы называются Mobile VPN (для смартфонов и планшетов) и Check Point Mobile (для компьютеров и ноутбуков под управлением Windows и MacOS). Их работа требует наличие не только основной лицензии на Mobile Access, но и дополнительной лицензии на IPSec VPN.

  • Организация удаленного доступа по технологии SSL VPN — возможность получить удаленный доступ через защищенный веб-протокол. Без дополнительных настроек позволяет подключиться к веб-ресурсам корпоративной сети, например к Outlook Web Access, SharePoint, CRM-системам и так далее. С этим видом подключения можно использовать любые приложения, даже не имеющие веб-интерфейса. Для этого требуется установка специального расширения в браузере на удаленном компьютере, которое осуществляет перенаправление сетевого трафика.
  • Решение лицензируется по количеству одновременных подключений.

Check Point Mobile Access в обоих вариантах установки канала удаленного доступа поддерживает различные механизмы аутентификации пользователей. Mobile Access может самостоятельно управлять базой пользователей и паролей или использовать внешний сервер аутентификации RADIUS. Также для аутентификации могут использоваться персональные сертификаты или технология Check Point SecureID. Дополнительно поддерживается усиленная двухфакторная аутентификация с использованием аппаратных токенов (при использовании SecureID), сообщений электронной почты или SMS.

Читайте также:  Установка заднего бампера приора рестайлинг

При выборе удаленного доступа на сетевом уровне модели OSI в настройках Check Point Mobile Access задаются различные параметры, связанные с алгоритмами присвоения удаленным хостам IP-адресов. IP-адреса могут задаваться как с использованием пула IP- адресов, так и через DHCP-сервер.

С помощью Check Point Mobile Access можно ограничить предоставляемый удаленный доступ на уровне отдельных бизнес-приложений. Таким образом, удаленные пользователи, попадая в корпоративную сеть, будут ограничены в правах доступа и привилегиях и не смогут вести неконтролируемые действия, что снижает риск утечек.

Check Point Mobile Access имеет интеграцию с продуктом Check Point Endpoint Security и может проверять соответствие удаленного компьютера заданной политике безопасности рабочих станций, что позволяет решить проблему отсутствия контроля за защищенностью личных устройств сотрудников. Без соответствия требуемым политикам доступ в сеть не будет предоставлен. Дополнительно в Check Point Mobile Access присутствуют различные опции по контролю базовой защищенности удаленного устройства и без использования Endpoint Security. Например, блейд умеет определять наличие на клиентском устройстве jailbreak, то есть разблокировку режима суперпользователя, и запрещать доступ таких устройств в сеть.

Для защиты от кражи устройств с конфиденциальной информацией и безопасной работы с ней на мобильных устройствах необходимо использовать другое решение от Check Point — CAPSULE. При этом Check Point Mobile Access помогает найти украденное устройство — в настройках профилей мобильных устройств можно включить сбор GPS-координат и, если пользователь заранее даст согласие на активацию этой функции, местонахождение украденного устройства можно в дальнейшем отследить.

В качестве дополнительных настроек Check Point Mobile Access позволяет кастомизировать приложения, загружаемые пользователями для удаленных подключений. Можно изменить язык интерфейса (есть поддержка русского языка), название приложения, его логотип и адрес сайта, который открывается при нажатии на логотип. Корпоративные пользователи по достоинству оценят брендированный интерфейс приложения, когда им потребуется подключиться к рабочей сети.

Системные требования

Check Point Mobile Access, как и остальные программные блейды, устанавливается на всю линейку корпоративных аппаратных решений Check Point и на программную платформу Check Point. Поддерживаются все устройства Check Point серий 2200, 4000, 12000, 21400 и 61000, а также устройства Check Point Power-1, Check Point IP Appliances, Check Point UTM­­­­-1 и Check Point IAS. Поддерживаемые программные платформы — GaiA версии R75.40 и старше и SecurePlatform версии R71.30 и старше.

Для подключения мобильных устройств по технологии доступа на сетевом уровне модели OSI требуется наличие операционной системы iOS версии 5.0 и старше или Android версии 4.0 и старше. Для подключения персональных компьютеров и ноутбуков требуется операционная система Microsoft Windows XP и более поздние версии (включая Windows 8.1).

Для подключения по технологии доступа SSL VPN требуется операционная система iOS версии 3.1.3 и старше или Android 2.1 и старше. Для персональных компьютеров — Microsoft Windows XP и более поздние версии, Mac OS 10.4 и старше, GNU/Linux (поддерживаемые дистрибутивы, Fedora 8, Ubuntu 7, RHEL 3.0, Red Hat 7.3 и Suse 9).

Функция трансляции любой службы при подключении через расширение для браузера по SSL VPN поддерживается в Internet Explorer 5.5 и выше, Firefox 1.0.3 и выше и Safari, на мобильных устройствах с операционными системами iOS и Android функционал не поддерживается.

Настройка Check Point Mobile Access

Check Point Mobile Access настраивается с помощью единого для всех продуктов Check Point модуля администрирования — Check Point SmartDashboard. Основной интерфейс доступен во вкладке Mobile Access в верхней части приложения. Первое окно интерфейса содержит общий обзор системы удаленного доступа мобильных устройств, в обзоре представлен перечень оборудования с установленными программными блейдами Mobile Access, область с важными уведомлениями, обзор настроенных приложений для индивидуального доступа и график активных сессий.

Рисунок 1. Обзорсостояния Mobile Access в Check Point SmartDashboard

Обзор состояния Mobile Access в Check Point SmartDashboard

В боковом меню представлены основные пункты навигации — политики, настройки шлюзов с установленным Mobile Access, управление приложениями, параметры аутентификации, управление клиентскими сертификатами, настройки приложения для удаленного подключения, параметры интеграции с другими программными блейдами и настройки профилей мобильных устройств.

В разделе управления политиками настраиваются разрешенные доступы удаленных пользователей к корпоративным ресурсам и бизнес-приложениям. В каждом элементе политики задается перечень пользователей, которым разрешен доступ, перечень бизнес-приложений и ресурсов, для которых применяется политика, и выбираются шлюзы удаленного доступа, на которые политика применяется.

Рисунок 2. Переченьполитик Check Point Mobile Access

Перечень политик Check Point Mobile Access

В управлении шлюзами Mobile Access пользователи настраивают текущие шлюзы, а также управляют установкой и удалением программного блейда Mobile Access на всех устройствах, доступных для управления. В настройках отдельного шлюза есть специальный раздел, содержащий параметры Mobile Access, применимые к данному шлюзу.

Рисунок 3. Настройка CheckPointMobileAccess на отдельном шлюзе

Настройка Check Point Mobile Access на отдельном шлюзе

В параметрах можно выбирать действующие технологии предоставления удаленного доступа, настраивать параметры аутентификации, выдачи IP-адресов, кастомизации приложения для удаленного входа и другие настройки. Установка многих параметров дублируется в общем интерфейсе управления Mobile Access, поэтому при наличии большого числа шлюзов доступа рекомендуется управлять общими настройками и унифицировать параметры всех шлюзов.

Рисунок 4. Перечень бизнес-приложений и настройка отдельного приложения в CheckPointMobileAccessBlade

Перечень бизнес-приложений и настройка отдельного приложения в Check Point Mobile Access Blade

Раздел бизнес-приложений содержит разные предустановленные группы приложений, в которых можно управлять конкретными сервисами. Для каждого приложения указывается его адрес и местоположение и настраиваются дополнительные параметры — требуемый уровень защиты для получения доступа, возможность прозрачной авторизации (т. е. авторизация при подключении автоматически учитывается в бизнес-приложении и повторная авторизация в нем уже не требуется) и другие параметры.

Рисунок 5. Управление сертификатами для удаленных пользователей и шаблонами для их отправки по электронной почте в CheckPointMobileAccessBlade

Управление сертификатами для удаленных пользователей и шаблонами для их отправки по электронной почте в Check Point Mobile Access Blade

В управлении сертификатами администратор может выписывать новые сертификаты или отзывать уже выданные, если настроен удаленный доступ с использованием персональных сертификатов. Сертификаты могут быть автоматически направлены на почту сотруднику. В интерфейсе приложения настраивается шаблон сообщения электронной почты, поддерживается локализация сообщений на разных языках и отправка нужного сообщения в зависимости от персональных языковых настроек пользователя. Сертификат передается на мобильное устройство с помощью QR-кода, считываемого из мобильного приложения Check Point.

Рисунок 6. Управление профилем мобильного устройства в CheckPointMobileAccessBlade

Управление профилем мобильного устройства в Check Point Mobile Access Blade

Разделы аутентификации, настройки интерфейса приложения (Portal Settings) и интеграции с другими программными блейдами в Check Point дублируют аналогичный раздел из настроек отдельных устройств с установленным Mobile Access Blade.


Удаленный доступ необходим в большинстве организаций для решения самых разных бизнес-задач. Обеспечение инфраструктуры для реализации удаленного доступа и защита от новых угроз, возникающих при организации удаленных каналов связи— сложная задача. Но с ней в короткие сроки позволяет справиться программный блейд Check Point Mobile Access.

Этот продукт предоставляет готовую инфраструктуру для удаленного доступа, предлагая на выбор несколько вариантов подключений, подходящих для большинства мобильных устройств, персональных компьютеров и ноутбуков. Широкая поддержка операционных систем разных производителей позволяет с уверенностью говорить о том, что решение подойдет для всех сотрудников компании.

Check Point Mobile Access Blade решает не только инфраструктурные сложности, но и проблемы обеспечения безопасности информации. Гибкие возможности по аутентификации пользователей, разграничению доступа к бизнес-приложениям, поддержка политик безопасности и интеграция с другими программными блейдами позволяет минимизировать все риски, связанные с удаленными подключениями.

Архитектура программных блейдов позволяет настроить и подключить Check Point Mobile Access за считанные минуты, достаточно только приобрести лицензию на продукт и развернуть его в существующей инфраструктуре, при наличии в ней свободных мощностей для нового программного блейда. Единое управление всеми программными блейдами компании Check Point позволяет сократить время на обучение персонала и на обслуживание системы, особенно если другие решения Check Point уже используются в сети.

Дополнительно стоит отметить возможность настройки интерфейса приложений для удаленного подключения и поддержку русского языка в интерфейсах обычных пользователей.

Подписывайтесь на канал «Anti-Malware» в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.