What is check point SecureConnect?

Sikker mobiladgang med Check Point

09/11/2023

Rating: 4.55 (6470 votes)

I en verden hvor mobile enheder er blevet uundværlige værktøjer for både virksomheder og medarbejdere, er det afgørende at sikre, at adgangen til virksomhedens ressourcer er både enkel og sikker. Check Point tilbyder en robust løsning til mobil sikkerhed gennem deres Mobile Access-produkt, som giver medarbejdere sikker adgang til virksomhedens e-mail, kalender, kontakter og andre applikationer, uanset hvor de befinder sig.

What is check point sk69540?
sk69540 - Check Point Capsule Connect application - Layer-3 VPN for Apple iPhone and iPad Follow Us YOU DESERVE THE BEST SECURITY™ ©1994-2025Check Point Software Technologies Ltd. All rights reserved. Copyright | Privacy Policy | User Agreement Applies to: Capsule Connect, Mobile Access / SSL VPN
Indholdsfortegnelse

Hvordan fungerer Check Point Mobile App-godkendelse?

Check Point Mobile Access anvender en række metoder til at sikre, at kun autoriserede brugere får adgang til virksomhedens data. Dette opnås primært gennem certifikatbaseret godkendelse, som kan kombineres med brugernavn og adgangskode for en to-faktor-godkendelse.

Certifikatbaseret godkendelse for mobile enheder

For at mobile enheder kan oprette forbindelse til sikkerheds-gatewayen, skal der være korrekt konfigureret certifikater. Hvis du vælger certifikat som godkendelsesmetode, skal du generere klientcertifikater til dine brugere. Et serversertifikat underskrevet af en betroet tredjeparts-certifikatudsteder (CA) anbefales kraftigt. Hvis du ikke har et tredjepartscertifikat, kan et selvsigneret certifikat bruges, som allerede er konfigureret på serveren.

Administration af klientcertifikater

Check Point Mobile Apps kan bruge certifikatbaseret godkendelse eller en to-faktor-godkendelse med klientcertifikater og brugernavn/adgangskode. Certifikatet er underskrevet af den interne CA for den gateway, der administrerer Mobile Access Security Gateway. Klientcertifikater administreres via SmartConsole under 'Security Policies' > 'Access Control' > 'Client Certificates'. Her kan administratorer oprette, redigere og tilbagekalde certifikater, samt sende certifikatinformation til brugerne via e-mail-skabeloner.

Oprettelse af klientcertifikater

Processen for at oprette og distribuere certifikater er strømlinet via en guide. Når du bruger LDAP eller AD, ændrer oprettelsen af klientcertifikater ikke på LDAP- eller AD-serveren. Guiden tillader valg af distributionsmetode for registreringsnøgler, enten via e-mail til brugerne eller ved at generere en fil med alle registreringsnøgler. Administratorer kan også angive gyldighedsperioden for registreringsnøglerne og tilføje kommentarer til certifikaterne. Efter generering og distribution skal politikken installeres i SmartConsole.

Tilbagekaldelse af certifikater

Hvis et certifikats status er 'Pending Enrollment' (afventer registrering), vil det ikke længere blive vist i listen over klientcertifikater efter tilbagekaldelse. Administratorer kan tilbagekalde et eller flere certifikater direkte fra listen i SmartConsole.

Skabeloner til certifikatdistribution

Administratorer kan oprette og tilpasse e-mail-skabeloner til distribution af klientcertifikater. Disse skabeloner kan indeholde foruddefinerede felter som brugernavn og registreringsnøgle samt links eller QR-koder til enten at downloade en Check Point App eller registrere certifikatet på et specifikt websted. Administratorer kan vælge mellem forskellige klienttyper som Capsule Workspace (sikker container) eller Capsule Connect/VPN (Layer 3 tunnel) og understøttede operativsystemer (iOS, Android).

Mobile enhedsprofiler og indstillinger

For at give brugerne den bedst mulige oplevelse og samtidig opretholde sikkerheden, kan administratorer definere mobile enhedsprofiler. Disse profiler styrer en række indstillinger, der påvirker brugeroplevelsen på mobile enheder.

Konfiguration af mobile profiler

Hver brugergruppe kan tildeles en specifik mobil profil. Som standard får alle brugere tildelt 'Default Profile'. Indstillingerne i en mobil profil omfatter:

  • Adgangskodeindstillinger: Krav til adgangskodens kompleksitet, længde, udløb og antal tilladte mislykkede forsøg.
  • Mail, Kalender og Kontakter: Styring af tilgængeligheden af disse funktioner.
  • Offline indhold: Konfiguration af, hvilke data der gemmes lokalt på enheden, og hvor længe de gemmes, når der ikke er forbindelse til sikkerheds-gatewayen.
  • Kontaktadministration: Hvor kontakter kommer fra (f.eks. virksomhedens globale adresseliste eller enhedens lokale kontaktliste).
  • Sikkerhedsindstillinger: Session-timeout, mulighed for at rapportere eller blokere jailbroken enheder, blokering af tredjeparts tastaturer og skjuling af 'connect anyway' på SSL-tillidsskærmen.
  • Applikationsspecifikke indstillinger: Tilladelse til udskrivning af e-mails, maksimal vedhæftningsstørrelse, synkronisering af kalender og kontakter, samt caching af webindhold og dokumenter.
  • Datatab forebyggelse (DLP): Kontrol over deling af beskyttede og ubeskyttede filer til eksterne apps, tilladelse til at åbne filer med eksterne apps, blokering af skærmbilleder og kopiering/indsættelse til eksterne apps.
  • Harmony Mobile integration: Styring af, hvordan Capsule Workspace interagerer med Harmony Mobile for at håndhæve sikkerhedspolitikker baseret på enhedens overholdelse.
  • Tilpasning af klient: Konfiguration af udseendet af applikationen, herunder farvetemaer og valg af tilgængelige Exchange-funktioner.

Administration af adgangskodeprofiler

Adgangskodeprofiler giver administratorer mulighed for at definere strenge krav til brugernes adgangskoder for at beskytte den sikre container på mobile enheder. Disse profiler kan konfigureres med krav om simpel (4-cifret) eller kompleks adgangskode, inklusive alfanumeriske tegn og specialtegn. Der kan også sættes krav til adgangskodens udløb, en "grace period" for indtastning af adgangskode, samt begrænsning af antallet af mislykkede forsøg, før adgangen spærres. For at forhindre genbrug af gamle adgangskoder kan en adgangskodehistorik håndhæves.

Fjernsletning (Remote Wipe)

I tilfælde af tab eller tyveri af en mobil enhed, eller når en medarbejder forlader virksomheden, kan administratorer udløse en fjernsletning af data på enheden. Fjernsletning fjerner offline data, der er cachelagret på brugerens mobile enhed. Dette kan ske via en push-meddelelse til enheden, eller når enheden forsøger at forbinde til sikkerheds-gatewayen med et tilbagekaldt certifikat. Fjernsletning er aktiveret som standard, og administratorer kan også vælge at aktivere push-meddelelser for at udløse sletningen.

How does check point mobile app authentication work?
) certificate, is already configured on the server. Check Point Mobile Apps for mobile devices can use certificate-only authentication or two-factor authentication with client certificates and username/password. The certificate is signed by the internal CA of the Security Management Server that manages the Mobile Access Security Gateway.

Konfiguration af fjernsletning

Fjernsletning kan konfigureres via kommandolinjen på sikkerheds-gatewayen. Administratorer kan aktivere/deaktivere fjernsletning og fjernsletning via push-meddelelser. For at fjernsletning via push-meddelelser skal fungere, skal de understøttede klientoperativsystemer være angivet. Efter ændringer skal VPN-tjenesten genstartes for at ændringerne træder i kraft.

Udløsning af fjernsletning

For at udløse fjernsletning på en enhed, skal administratoren først sikre sig, at fjernsletning er konfigureret korrekt. Derefter tilbagekaldes klientcertifikatet, hvilket initierer fjernsletningsprocessen.

Push-notifikationer

Check Point Mobile Access understøtter push-notifikationer, som kan bruges til at informere brugere om vigtige opdateringer eller hændelser. Disse notifikationer kan aktiveres via Mobile Access Wizard eller i sikkerheds-gatewayens egenskaber. Kommunikation via push-notifikationer kan konfigureres til at bruge SSL-tunneler for øget sikkerhed.

Konfiguration af push-notifikationer

For at aktivere push-notifikationer skal de være aktiveret for den pågældende sikkerheds-gateway. Hvis der bruges SSL-tunneler, skal et betroet serversertifikat installeres på sikkerheds-gatewayen. For at tvinge al push-notifikationskommunikation gennem SSL-tunneler, skal en specifik konfiguration foretages i databasen via Database Tool (GuiDBEdit Tool) ved at ændre 'mainurl' til at bruge 'https://'.

Overvågning af push-notifikationer

Check Point tilbyder værktøjer som Push Notification Status Utility og 'fwpush' kommandoer til at overvåge, debugge og fejlfinde push-notifikationsaktivitet. Disse værktøjer kan give indsigt i licensstatus, konfiguration, konnektivitet til Check Point Cloud og callback URL'er. Logfiler som '$FWDIR/log/pushdfailedposts' kan også bruges til at identificere fejlede, udløbne eller forsinkede push-notifikationer.

Legal disclaimer: Det er vigtigt at bemærke, at Check Point bruger Apple og Google services til levering af push-notifikationer. Check Point påtager sig intet ansvar for manglende eller succesfuld levering af notifikationer. Data, der sendes via push-notifikationer, passerer gennem Check Points push-service og Apple/Google's service, og Check Point hverken gemmer, filtrerer eller læser disse data.

Systemspecifik konfiguration

Check Point Mobile Access kræver specifik konfiguration for forskellige mobile operativsystemer som iOS og Android for at sikre optimal funktionalitet.

iPhone og iPad konfiguration

ActiveSync-applikationer: Når adgang til ActiveSync-applikationer tillades, kan brugere installere en ActiveSync-profil, der giver dem adgang til virksomhedens e-mail. Denne profil fungerer kun, hvis der også kræves et klientcertifikat for Capsule Workspace. Brugerne skal logge ind på Mobile Access-webstedet og følge instruktionerne for Mail Setup.

Logfiler: For at fejlfinde problemer kan brugere sende logfiler fra deres iPhone/iPad. Dette gøres ved at trykke på 'i'-ikonet og vælge 'Report a Problem'. Logfilerne vedhæftes en e-mail, der kan sendes til administrator.

Deaktivering af Single Sign-On (SSO): Hvis en bruger har problemer med at få adgang til sikkerheds-gatewayen, mens SSO er aktiveret, kan det deaktiveres i klientens indstillinger under 'Mobile global settings'.

Android konfiguration

Webbrowsing med utroværdige serversertifikater: I visse miljøer, som staging eller demo, kan administratorer tillade browsing til servere med utroværdige serversertifikater. Dette frarådes kraftigt til produktionsmiljøer, da det kompromitterer sikkerheden. Brugerne kan aktivere denne funktion i Check Point Mobile-appen.

What is mobile access check point software blade?
The Mobile Access Check Point Software Blade on a Security Gateway that provides a Remote Access VPN access for managed and unmanaged clients. Acronym: MAB. Portal lets mobile and remote workers connect easily and securely to critical resources over the internet.

Session Timeout: For Android-enheder kan inaktivitetstimeout ikke styres af enheden eller sikkerheds-gatewayen. Den eneste relevante timeout er den aktive session-timeout, som konfigureres via indstillingen 'Re-authenticate users every x minutes' i SmartConsole. Dette sikrer, at brugerne skal logge ind igen efter en bestemt periode.

Logfiler: På samme måde som med iOS-enheder kan brugere af Android-enheder sende logfiler fra Check Point-applikationen ved at trykke på 'About' og derefter vælge 'Send Logs'.

Overførsel af klientcertifikat: Klientcertifikater kan eksporteres fra Check Point Mobile-appen i P12- eller PFX-format, hvilket er nødvendigt for at importere dem til tredjeparts mailklienter. Brugeren skal kende certifikatets adgangskode for at fuldføre importen.

Avanceret sikkerheds-gateway konfiguration

Administratorer har mulighed for at tilpasse klientgodkendelse, enhedskrav, certifikatinformation og ActiveSync-adfærd ved hjælp af CLI-kommandoer på sikkerheds-gatewayen. Disse indstillinger gemmes i filen $CVPNDIR/conf/cvpnd.C, og ændringer kræver genstart af Mobile Access-tjenesterne. Det er vigtigt at sikre, at alle medlemmer af et cluster konfigureres ens.

ESOD Bypass for mobile apps

Endpoint Security on Demand (ESOD) er som standard deaktiveret for smartphones og tablets, da disse enheder ikke kan køre ESOD-komponenter. Hvis ESOD er aktiveret i organisationen, kan mobile apps ikke få adgang til ESOD-håndhævede applikationer. Denne indstilling kan ændres via CLI-kommandoen cvpndsettings for at omgå ESOD for mobile apps.

Samlet set tilbyder Check Point Mobile Access en omfattende og fleksibel løsning til at sikre mobil adgang til virksomhedens ressourcer, med fokus på stærk godkendelse, detaljeret politikstyring og vigtige sikkerhedsfunktioner som fjernsletning.

Ofte stillede spørgsmål (FAQ)

Hvad er Check Point SecureConnect?

Check Point SecureConnect er en løsning, der giver sikker adgang til virksomhedens e-mail, kalender og kontakter fra iPhones eller iPads. Den synkroniserer disse data og holder dem opdaterede. SecureConnect er nem at opsætte på enheden og for sikkerhedsadministratorer.

Hvordan fungerer Check Point Mobile App-godkendelse?

Mobile Access for Smartphones and Tablets bruger certifikatbaseret godkendelse, ofte kombineret med brugernavn og adgangskode. Brugerne skal have gyldige certifikater, og administratorer administrerer disse certifikater via SmartConsole, hvor de kan oprette, redigere og tilbagekalde dem.

Hvad er Check Point sk69540?

Check Point sk69540 refererer til Check Point Capsule Connect-applikationen, som leverer Layer-3 VPN-funktionalitet for Apple iPhones og iPads.

Hvis du vil læse andre artikler, der ligner Sikker mobiladgang med Check Point, kan du besøge kategorien Teknologi.

Go up