Check Point SSL Network Extender

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Ubuntu 16.04 Xenial Xerus

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Inhaltsverzeichnis

Voraussetzungen
Installation
1. Erfolgreiche Installation
2. Unvollständige Installation
Verbindungsaufbau
1. Ablage der Verbindungs-Daten
Verbindungsabbau
Exkurs weitere Ubuntu-Versionen
Links

Mit dem Check Point SSL Network Extender ist es möglich, eine VPN-Verbindung zur FireWall-1/VPN-1 aufzubauen. Diese Firewall ist eine kommerzielle Software des israelischen Herstellers Check Point {en} .

Voraussetzungen¶

Für den SSL Network Extender werden zusätzliche Pakete benötigt:

libx11-6:i386
libstdc++5:i386
libpam0g:i386

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install libx11-6:i386 libstdc++5:i386 libpam0g:i386

sudo aptitude install libx11-6:i386 libstdc++5:i386 libpam0g:i386

Installation¶

Der SSL Network Extender kann von der Check Point Webseite {en} {dl} heruntergeladen werden. Für Ubuntu wird die Version "SNX NGX R66 HFA 1 for Linux" benötigt.

Zur Installation des SSL Network Extenders muss die Installationsdatei Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh ausführbar^[2] gemacht werden. Danach kann der Check Point SSL Network Extender installiert werden:

sudo sh ./Check_Point_SNX_R66_HFA_01_For_Linux_800004013.sh

Hinweis!

Fremdsoftware kann das System gefährden.

Nach erfolgreicher Installation wird "Installation successfull" ausgegeben.

Erfolgreiche Installation¶

Die Eingabe von

snx

führt zu

failed to open file: /home/user01/.snxrc
Valid attributes are:
   - server          SNX server to connet to
   - sslport         The SNX SSL port (if not default)
   - username        the user name
   - certificate     certificate file to use
   - calist          directory containing CA files
   - reauth          enable automatic reauthentication. Valid values { yes, no }
   - debug           enable debug output. Valid values { yes, 1-5 }
   - cipher          encryption algorithm to use. Valid values { RC4 / 3DES }
   - proxy_name      proxy hostname 
   - proxy_port      proxy port
   - proxy_user      username for proxy authentication

Unvollständige Installation¶

Die Erfolgsmeldung kommt allerdings auch dann, wenn die vorgenannten Pakete gar nicht installiert wurden. Diese Vorbedingung wird vom Installationsprogram nicht geprüft und im Fehlerfall nicht gemeldet. Daher als ersten Test in einem Terminal den Befehl snx eingeben. Es erscheint die irreführende Meldung:

"bash: /usr/bin/snx: Datei oder Verzeichnis nicht gefunden"

/usr/bin/snx ist sehr wohl vorhanden: Pakete nachinstallieren und fertig.

Verbindungsaufbau¶

Verwendungsmöglichkeiten wie gewohnt mit der Option --help ermitteln:

snx --help

ergibt

Check Point's Linux SNX
build 800004013
usage: snx -s <server> {-u <user>|-c <certfile>} [-l <ca dir>] [-p <port>] [-r] [-g] [-e <cipher>]
                                run SNX using given arguments
       snx -f <cf>              run the snx using configuration file
       snx                      run the snx using the ~/.snxrc

       snx -d                   disconnect a running SNX daemon

        -s <server>           connect to server <server>
        -u <user>             use the username <user>
        -c <certfile>         use the certificate file <certfile>
        -l <ca dir>           get trusted ca's from <ca dir>
        -p <port>             connect using port <port>
        -g                    enable debugging
        -e <cipher>           SSL cipher to use: RC4 or 3DES

Mit folgendem Befehl dann die Verbindung zum Server aufbauen, dabei auf Groß-/Kleinschreibung beim Benutzernamen achten:

snx -s [SERVER] -u [BENUTZERNAME]

Konnte die Verbindung erfolgreich aufgebaut werden, erhält man folgende Verbindungsübersicht:

SNX - connected.

Session parameters:
===================
Office Mode IP      : 192.168.0.10
DNS Server          : 192.168.0.2
Secondary DNS Server: 192.168.0.3
Timeout             : 8 hours

Danach ist der Zugriff in das andere Netzwerk möglich.

Beim ersten Verbindungsaufbau muss man einmalig den Zielserver bestätigen, hierzu sollte man natürlich dessen Daten kennen.

Check Point's Linux SNX
build 800004013
Please enter your password:
SNX authentication:
Please confirm the connection to gateway: <gateway-info>
Root CA fingerprint: <fingerprint-data>
Do you accept? [y]es/[N]o:

Ablage der Verbindungs-Daten¶

Damit man nicht immer IP/Benutzername oder Zertifikat angeben muss, können diese Daten im Homeverzeichnis in der Datei ~/.snxrc abgelegt werden. Beispiel:

server IP-ADRESSE
# username BENUTZERNAME
certificate /home/BENUTZERNAME/ZERTIFIKAT.p12

Hinweis:

Kommentarzeilen immer mit # einleiten. Daneben ist snx z.B. entweder mit Benutzername oder Zertifikat betreibbar, nicht aber mit beidem.

Verbindungsabbau¶

Die Verbindung kann mit folgendem Befehl wieder abgebaut werden.

snx -d

Exkurs weitere Ubuntu-Versionen¶

Es ist nicht auszuschließen, dass das hier beschriebene Verfahren auch unter anderen Ubuntu-Versionen funktioniert. Es wurde bis vor kurzem genauso auch unter Ubuntu 14.04 eingesetzt. Aufgrund eines Kernel-Bugs geht dies aber seit Ende Juli 2015 nicht mehr (siehe Forum).