SlideShare une entreprise Scribd logo
Secure Access:
Intégration Checkpoint R80.1
Frédéric Van Walle | Presales Engineer
Agenda MCG event:
- Checkpoint Identity-based Integration
- Seamless Secure Access:
Session migration via IF-MAP to Checkpoint: Identity-based Admission Control
- Checkpoint - Admission Control integration
Résumé
Inside
Network
Outside
Network
Connect Secure
SSL VPN
Resources
Protégées
Pulse Workspace
Pulse Client
Policy Secure
Profiling
Pulse Client
Resources
Non protégées
Compliancy CheckCompliancy Check
1) Checkpoint Intégration basée sur l'identité
 Caractéristiques
• Utilisateur se connecte à Pulse Secure
1. Connection L2 ou L3
2. Le nom, adresse IP et roles sont envoyé
au pare-feu par Pulse Secure
3. Le pare-feu permet ou blocque l’accès
aux ressources
 Avantages
• Étendre NAC / BYOD à la défense de
périmètre
Réseau interne
Checkpoint Firewall
Resources
Protégées
Accèes sécurisé transparante
1
Pulse Policy Secure
3
2
L'utilisateur sur
site s'authentifie
sur PPS
Correct VLAN
Vue sur le réseau
Wireless LAN
Switch
Checkpoint Intégration basée sur l'identité
L2 / L3 Authentication
Policy en Checkpoint FW pour
fournir un accès à un utilisateur
Configure Pulse Policy Secure en Checkpoint
Configure Checkpoint Firewall en Pulse Policy Secure
Définir le policy de mappage de table d'authentification
Créer le rôle d’accès utilisateur dans CheckPoint
CaSe SeNsItIvE !!!
Appliquer les rôles d'accès utilisateur
dans les stratégies du pare-feu
Secure Access: Intégration Checkpoint R80.1
Afficher le journal du policy
L'utilisateur de la source est visible
Policy 7 Détail d’un journal
Check the ”auth table” on Checkpoint.
• Log in to the Firewall Console.
• Log in to expert mode.
• Use the ”pdp monitor” command
• ”pdp monitor summary all” – will show the list of auth entries
• ”pdp monitor ip <ip address> - will show the details of this entry
Voir un nom d'utilisateur envoyé au pare-feu
Voir une authentification de la machine envoyée au pare-feu
Voir une authentification MAC envoyée au pare-feu
 Caractéristiques
1. Contrôle d'admission basé sur l'identité PCS
/ PPS pour le Checkpoint FW
2. Les utilisateurs qui s'authentifient via PCS
(distant) ou PPS (local) partagent les
informations de session avec le serveur IF-
MAP (fournisseur), qui envoie ensuite les
informations d'identité au Checkpoint FW.
 Avantages
• Les employés peuvent accéder au
réseau de l'entreprise et aux ressources
protégées situées derrière le Checkpoint
FW, à la fois sur des sites locaux et
distants, sans ressaisir leurs informations
d'identification.
• Solution transparente et évolutive
2) Accès sécurisé transparent
Migration de session par IF-MAP vers Checkpoint:
contrôle d'admission basé sur l'identité
Connect Secure –
Federation Client
(FC1)
Endpoints avec
Pulse Client
Inside network
Checkpoint
Firewall
Outside network
Ressources
protégées
1
IF-MAP
Federation Server
2
3
Un utilisateur
VPN se
connecte à
PCS
Publier l'adresse IP,
l'adresse MAC,
le nom d'utilisateur et les rôles
sur le serveur IF-MAP
Envoyer les informations
de nom d'utilisateur,
de rôle et d'adresse IP
au Checkpoint FW
Policy Secure Fed Client (FC2)
Wireless LAN Switch
1
2
Accès sécurisé transparent
3) CP - Intégration du contrôle d'admission.
L'utilisateur est connecté et les détails de la session sont transmis au Checkpoint:
CP - Intégration du contrôle d'admission.
Pulse Config > Créer l’Admission Control template
CP - Intégration du contrôle d'admission.
Pulse Config > Créer l’Admission Control policy
CP - Intégration du contrôle d'admission.
<<TEST>> L'utilisateur déclenche un événement Botnet / Malware détecté par le
Checkpoint.
La session utilisateur est bloquée:
CP - Intégration du contrôle d'admission.
Checkpoint envoie un message Syslog au PPS
L'utilisateur est mis en quarantaine.
CP - Intégration du contrôle d'admission.
Initialement, le rôle de l'utilisateur est CP‐compliant.
Role Quarantaine est également configuré pour pousser les entrées de table d'authentification
CP - Intégration du contrôle d'admission.
Après le déclenchement de la détection de botnet / 
programme malveillant, le rôle passe en quarantaine.
Secure Access: Intégration Checkpoint R80.1
Secure Access: Intégration Checkpoint R80.1

Contenu connexe

Similaire à Secure Access: Intégration Checkpoint R80.1

Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure ADSecure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
☁️Seyfallah Tagrerout☁ [MVP]
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
Nis
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
Modern Workplace Conference Paris
 
Vpn
VpnVpn
Vpn
kwabo
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Audience
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
Manassé Achim kpaya
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
ppuichaud
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
CERTyou Formation
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
Alice and Bob
 
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Microsoft Technet France
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
Sylvain Maret
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptx
informatiquehageryah
 
Partie III – APM Application Policy Manager
Partie III – APM Application Policy ManagerPartie III – APM Application Policy Manager
Partie III – APM Application Policy Manager
e-Xpert Solutions SA
 
WebSphere MQ Advance Message Security
WebSphere MQ Advance Message SecurityWebSphere MQ Advance Message Security
WebSphere MQ Advance Message Security
Marc Jouve
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
mabrouk
 

Similaire à Secure Access: Intégration Checkpoint R80.1 (20)

Secure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure ADSecure your Digital Workplace with Azure AD
Secure your Digital Workplace with Azure AD
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
2018-10-18 J2 7D - Sécuriser votre Digital Workplace avec Azure AD - Seyfalla...
 
Vpn
VpnVpn
Vpn
 
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFiSolution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
Solution de Déploiement et de Gestion de Réseaux de HotSpot WiFi
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécurité
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
 
83839589 radius
83839589 radius83839589 radius
83839589 radius
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-systemAcs formation-mettre-en-oeuvre-cisco-secure-access-control-system
Acs formation-mettre-en-oeuvre-cisco-secure-access-control-system
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B -  Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
Présentation de Microsoft Office 365 et des briques de sécurité Fédération, P...
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
 
Fortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptxFortinet [Enregistrement automatique].pptx
Fortinet [Enregistrement automatique].pptx
 
Partie III – APM Application Policy Manager
Partie III – APM Application Policy ManagerPartie III – APM Application Policy Manager
Partie III – APM Application Policy Manager
 
WebSphere MQ Advance Message Security
WebSphere MQ Advance Message SecurityWebSphere MQ Advance Message Security
WebSphere MQ Advance Message Security
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 

Plus de Technofutur TIC

L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
Technofutur TIC
 
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internetBye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Technofutur TIC
 
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Technofutur TIC
 
Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu
Technofutur TIC
 
Bosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challengesBosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challenges
Technofutur TIC
 
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Technofutur TIC
 
Réussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entrepriseRéussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entreprise
Technofutur TIC
 
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Technofutur TIC
 
Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018
Technofutur TIC
 
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l..."Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
Technofutur TIC
 
Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...
Technofutur TIC
 
Community manager, content manager
Community manager, content managerCommunity manager, content manager
Community manager, content manager
Technofutur TIC
 
PIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINTPIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINT
Technofutur TIC
 
Des outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associationsDes outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associations
Technofutur TIC
 
Créer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphoneCréer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphone
Technofutur TIC
 
Crowdfunding Spot
Crowdfunding SpotCrowdfunding Spot
Crowdfunding Spot
Technofutur TIC
 
La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !
Technofutur TIC
 
Amplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficaceAmplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficace
Technofutur TIC
 
Les outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projetLes outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projet
Technofutur TIC
 
Wordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communicationWordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communication
Technofutur TIC
 

Plus de Technofutur TIC (20)

L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
L’entretien d’embauche: 7 astuces pour convaincre votre futur employeur du se...
 
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internetBye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
Bye-bye 9-to-5 : comment j'ai créé mon propre job sur internet
 
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
Les leçons de 17 années dans la Silicon Valley. Une autre expérience de la ré...
 
Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu Le Gaming au service de la formation, où comment apprendre par le jeu
Le Gaming au service de la formation, où comment apprendre par le jeu
 
Bosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challengesBosser pour une startup tech: avantages et challenges
Bosser pour une startup tech: avantages et challenges
 
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
Pourquoi et comment sensibiliser vos employés à devenir des acteurs dans votr...
 
Réussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entrepriseRéussir la transformation digitale de son entreprise
Réussir la transformation digitale de son entreprise
 
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
Comment réussir son projet de reconversion professionnelle ? - Job IT day 2018
 
Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018Le Design Thinking - Job IT day 2018
Le Design Thinking - Job IT day 2018
 
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l..."Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
"Gamification, AI, Big Data, Réalité Augmentée... : les nouveaux métiers de l...
 
Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...Quels sont les besoins en compétences numériques et comment combler le phénom...
Quels sont les besoins en compétences numériques et comment combler le phénom...
 
Community manager, content manager
Community manager, content managerCommunity manager, content manager
Community manager, content manager
 
PIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINTPIONEERING GEN V SECURITY WITH CHECK POINT
PIONEERING GEN V SECURITY WITH CHECK POINT
 
Des outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associationsDes outils informatiques abordables pour les associations
Des outils informatiques abordables pour les associations
 
Créer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphoneCréer un courte vidéo promotionnelle avec un smartphone
Créer un courte vidéo promotionnelle avec un smartphone
 
Crowdfunding Spot
Crowdfunding SpotCrowdfunding Spot
Crowdfunding Spot
 
La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !La communication dans le non-marchand, une chance à saisir !
La communication dans le non-marchand, une chance à saisir !
 
Amplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficaceAmplifiez votre message grâce à une campagne d'emailing efficace
Amplifiez votre message grâce à une campagne d'emailing efficace
 
Les outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projetLes outils collaboratifs pour optimiser sa gestion de projet
Les outils collaboratifs pour optimiser sa gestion de projet
 
Wordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communicationWordpress, un formidable outil pour votre communication
Wordpress, un formidable outil pour votre communication
 

Secure Access: Intégration Checkpoint R80.1

  • 1. Secure Access: Intégration Checkpoint R80.1 Frédéric Van Walle | Presales Engineer
  • 2. Agenda MCG event: - Checkpoint Identity-based Integration - Seamless Secure Access: Session migration via IF-MAP to Checkpoint: Identity-based Admission Control - Checkpoint - Admission Control integration
  • 3. Résumé Inside Network Outside Network Connect Secure SSL VPN Resources Protégées Pulse Workspace Pulse Client Policy Secure Profiling Pulse Client Resources Non protégées Compliancy CheckCompliancy Check
  • 4. 1) Checkpoint Intégration basée sur l'identité  Caractéristiques • Utilisateur se connecte à Pulse Secure 1. Connection L2 ou L3 2. Le nom, adresse IP et roles sont envoyé au pare-feu par Pulse Secure 3. Le pare-feu permet ou blocque l’accès aux ressources  Avantages • Étendre NAC / BYOD à la défense de périmètre
  • 5. Réseau interne Checkpoint Firewall Resources Protégées Accèes sécurisé transparante 1 Pulse Policy Secure 3 2 L'utilisateur sur site s'authentifie sur PPS Correct VLAN Vue sur le réseau Wireless LAN Switch Checkpoint Intégration basée sur l'identité L2 / L3 Authentication Policy en Checkpoint FW pour fournir un accès à un utilisateur
  • 6. Configure Pulse Policy Secure en Checkpoint
  • 7. Configure Checkpoint Firewall en Pulse Policy Secure
  • 8. Définir le policy de mappage de table d'authentification
  • 9. Créer le rôle d’accès utilisateur dans CheckPoint CaSe SeNsItIvE !!!
  • 10. Appliquer les rôles d'accès utilisateur dans les stratégies du pare-feu
  • 12. Afficher le journal du policy L'utilisateur de la source est visible
  • 13. Policy 7 Détail d’un journal
  • 14. Check the ”auth table” on Checkpoint. • Log in to the Firewall Console. • Log in to expert mode. • Use the ”pdp monitor” command • ”pdp monitor summary all” – will show the list of auth entries • ”pdp monitor ip <ip address> - will show the details of this entry
  • 15. Voir un nom d'utilisateur envoyé au pare-feu
  • 16. Voir une authentification de la machine envoyée au pare-feu
  • 17. Voir une authentification MAC envoyée au pare-feu
  • 18.  Caractéristiques 1. Contrôle d'admission basé sur l'identité PCS / PPS pour le Checkpoint FW 2. Les utilisateurs qui s'authentifient via PCS (distant) ou PPS (local) partagent les informations de session avec le serveur IF- MAP (fournisseur), qui envoie ensuite les informations d'identité au Checkpoint FW.  Avantages • Les employés peuvent accéder au réseau de l'entreprise et aux ressources protégées situées derrière le Checkpoint FW, à la fois sur des sites locaux et distants, sans ressaisir leurs informations d'identification. • Solution transparente et évolutive 2) Accès sécurisé transparent Migration de session par IF-MAP vers Checkpoint: contrôle d'admission basé sur l'identité
  • 19. Connect Secure – Federation Client (FC1) Endpoints avec Pulse Client Inside network Checkpoint Firewall Outside network Ressources protégées 1 IF-MAP Federation Server 2 3 Un utilisateur VPN se connecte à PCS Publier l'adresse IP, l'adresse MAC, le nom d'utilisateur et les rôles sur le serveur IF-MAP Envoyer les informations de nom d'utilisateur, de rôle et d'adresse IP au Checkpoint FW Policy Secure Fed Client (FC2) Wireless LAN Switch 1 2 Accès sécurisé transparent
  • 20. 3) CP - Intégration du contrôle d'admission. L'utilisateur est connecté et les détails de la session sont transmis au Checkpoint:
  • 21. CP - Intégration du contrôle d'admission. Pulse Config > Créer l’Admission Control template
  • 22. CP - Intégration du contrôle d'admission. Pulse Config > Créer l’Admission Control policy
  • 23. CP - Intégration du contrôle d'admission. <<TEST>> L'utilisateur déclenche un événement Botnet / Malware détecté par le Checkpoint. La session utilisateur est bloquée:
  • 24. CP - Intégration du contrôle d'admission. Checkpoint envoie un message Syslog au PPS L'utilisateur est mis en quarantaine.
  • 25. CP - Intégration du contrôle d'admission. Initialement, le rôle de l'utilisateur est CP‐compliant. Role Quarantaine est également configuré pour pousser les entrées de table d'authentification
  • 26. CP - Intégration du contrôle d'admission. Après le déclenchement de la détection de botnet /  programme malveillant, le rôle passe en quarantaine.