EPS Document Security — инсталляция и настройка

Инсталляция и настройка EPS Document Security

Материалы и оборудование, необходимое для развертывания EndPointSecurity Document Security:
  • Сервер AD
  • Учетная запись AD с правами администратора
  • Сheckpoint Appliance с уcтановленной версией Gaia 77.10 или выше
  • Checkpoint Appliance с установленной специализированной версией Gaia 77

В случае эмулирования Checkpoint Appliance Security Gateway:

Для шлюза безопасности:
  • Оперативная память - 512 MB
  • Процессор - 1
  • Жесткий диск - 50GB
  • Сетевые адаптеры - 2
Для системы управления EndpointSecurity Document Security:
  • Оперативная память - 1GB
  • Процессор - 1
  • Жесткий диск - 150GB
  • Сетевые адаптеры - 1

I. Развертывание и настройка Endpoint Security Server

1. Из дистрибутива установите Gaia R77 как обычно. В момент выбора функционирования устройства выберите только сервер управления. Убедитесь, что галочка Security Gateway не установлена.

document security

2. После установки скачайте консоль Smart Dashboard. Не используйте другую консоль! Если у вас уже установлена консоль другой версии Gaia, то удалять её не надо.

3. Откройте установленную консоль и выберите закладку Firewall. Раскройте папку Check Point -> Network Objects и выбирите для редактирования ваш сервер EPS.

document security

4. Включите Endpoint Policy Management в секции Management.

document security

5. Обратите внимание, что Endpoint Management Server использует порт 443 для соединений. GAIA Portal теперь доступен через порт 4434.

6. Включите Log Server на EPS.

7. Сделайте Install Database. Установка EPS на этом завершена.

II. Настройка EPS для работы с DocSec

1. Скачайте предложенные обновления для EPS.

2. Перейдите на вкладку Deployment -> Organization Scanners. Нажмите Add Directory Scanner.

3. Введите имя вашего домена в поле Domain Name. Остальные атрибуты должны появится автоматически, если вы правильно настроили DNS. Здесь же можно что-то сконфигурировать, например, LDAP Path, если вам не нужна вся AD. Для POC лучше сканировать всю – для наглядности; Scan Interval – временной интервал, через который будет повторятся сканирование; Username/Password – учетная запись должна иметь право чтения всех запрошенных папок каталога AD и контейнера удаленных объектов. Это сделано в связи с механикой работы сканера – для понимания того, кто был удален из базы и когда.

4. После окончания работы сканера перейдите в закладку Policy и настройте необходимые для организации программные блейды. Вы можете скрыть или подключить блейды с помощью меню Tools -> Show/Hide Blades в Launch Menu.

5. Для того, чтобы появилась возможность отправлять зашифрованные документы внешним пользователям, необходимо настроить SMTP сервер. Это можно сделать через Launch Menu -> Manage -> Email Server Settings -> Configure Settings.

6. Введите адрес вашего сервера Exchange и вбейте адрес, с которого будут отправляться сообщения.

7. Для того, чтобы продолжить настройку Security Docs необходимо выбрать название организации, которое будет доступно для внешних подключений и настроить ваш DNS. Это можно сделать через меню Policy -> “NewOrganization” configuration settings -> Edit. Помните, что время схождения после настройки DNS может достигать до 3 часов.

8. Сохранитесь и сделайте Install Policy.

III. Установка Endpoint Security Client

1. В консоли управления Endpoint перейдите в закладку Deployment.

2. В Software Deployment Rules нажмите Download под иконкой, соответствующей необходимой операционной системе. Выберите папку, куда будет сохранен msi файл для установки на рабочие станции. Файл будет содержать только ядро системы и ни одного программного блейда, но будет содержать необходимую информацию о сервере EPS.

3. Далее необходимо сконфигурировать Deployment rule для всех необходимых машин. Создаем новое правило.

document security

4. Выбираем машину или группу машин для создания правил.

5. Выбираем блейды, необходимые для установки . Именуем правило и нажимаем Finish.

6. Сохраняем, интсаллируем политику.

7. Забираем из папки, куда мы сохранили msi файл, копируем его на все необходимые машины. Устанавливаем, ждем окончания установки.

8. В меню Overview можно посмотреть прогресс инсталляции.

9. По окончании инсталляции, при запросе от Endpoint security перезагружаем машину.

10. Установка клиента на машины завершена.

IV. Конфигурирование политик организации и защиты документов

1. Создание новой классификации происходит во вкладке Policy. Отредактируйте Defined Classifications (Capsule Docs -> 2 active classifications defined -> Edit -> Create Classification)

2. В данном окне можно выбрать разрешенные действия с документом и проставить марки, которые будут отображаться в разных типах документов (последнее поле).

3. В строчке правила Initial protection classification is Restricted можно выбрать защиту по умолчанию или защиту конкретных групп пользователей.

4. Сохраните необходимую конфигурацию и проинсталлируйте политику.

V. Установка ReversProxy для EPS

Установка патча для ReversProxy

1. Capsule Docs Proxy инсталлируется поверх уже установленной Gaia R77.10/R77.20 с включенным блейдом Mobile Access. Реверс-прокси перенаправляет все запросы Capsule Docs к Endpoint Security Management серверу (в соответствии с URL запроса HTTPS). Ссылка на патч находится в конце документа.

2. Скопируйте патч на предустановленный сервер безопасности CP с установленным на нем Mobile Access Blade (далее по тексту – CPMAB) в папку /reverse_proxy (вам потребуется ее создать). Рекомендуется использовать WinSCP. Не забудьте выдать все необходимые разрешения.

3. Откройте ssh подключение к CPMAB .

4. Перейдите в созданную на прошлом этапе папку, и запустите следующую команду для распаковки архива (здесь и далее вы должны находится в режиме expert командной строки, если не указанно другого): tar -zxvf CapsuleDocsProxyR77_20.gz

5. После распаковки выполните команду: ./UnixInstallScript

6. Нажмите y когда система попросит вас остановить все процессы на шлюзе:

document security

 7. Убедитесь, что инсталляция прошла успешно, затем нажмите y, когда будет запрошена перезагрузка.

8. Capsule Docs Proxy по умолчанию выключена. Чтобы включить реверс-прокси, выполните следующее:

  • Откройте ssh-подключение к CPMAB (дождитесь включения устройства после перезагрузки).
  • Наберите в командной строке: DocSecReverseProxy on.
  • Сконфигурируйте адрес своего EndPointSecurity сервера (далее EPS), отредактировав файл vi $CVPNDIR/conf/includes/DocumentSecurity.location.conf. Раскомментируйте линию с адресом вашего EPS CvpnEPSAddress и подставьте адрес вашего сервера.
  • Помните, что после любых изменений в этом файле необходимо выполнить команду cvpnrestart.

9. Этап конфигурации завершен. Теперь вы можете делится зашифрованными файлами с внешними пользователями (в том числе – удаленными мобильными устройствами пользователей, не включенных в AD).

VI. Установка и настройка MAB + Capsule

1. Установите операционную систему Gaia R77.20.

2. После завершения установки откройте консоль Smart Dashbord -> Firewall -> Network Objects -> Check Point.

document security

3. В появившемся меню слева выберите Topology Get -> Interface.

document security

4. На каждом интерфейсе проверьте (если необходимо – поправьте) направления интерфейсов Internal/External. Отключите антиспуфинг!

5. В этом же меню включите NAT.

document security

6. Нажмите ОК, затем Save & Install Policy. Внимание! Обязательно в закладке фаерволл должно быть хотя бы одно правило! Без этого инсталляция политик 7. После инсталляции включите MAB, следуйте интсрукциям помощника конфигурции.

8. Внимание! Обязательно проверьте, что в настройках портала указан внешний адрес вашего устройства! По умолчанию там задан адрес самого устройства.

9. Для проверки работоспособности портала включите Demo web application (world clock), Secure Container Mail и Outlook Web App. Остальные необходимые публикации будут заведены позже.

10. Укажите там же адрес вашего Exchange сервера.

11. Создайте новый домен (если необходимо). Проверьте возможность соединения с помощью кнопки Connect.

12. В следующем окне вбейте реально существующие в домене имя пользователя и его пароль. Проверьте, что доступ к базе AD работает корректно.

13. При необходимости сразу добавьте пользователей или группы пользователей, которые будут иметь доступ к порталу. Если вы не уверены, этот шаг можно пропустить и добавить правила позже.

14. Нажмите Ок и Finish.

15. Перейдите в меню справа Platform Portal и сконфигурируйте доступ к web-порталу по порту 4434 для того, чтобы избежать конфликтов при обращении.

16. Сохранитесь и проинсталлируйте политику. На этом развертывание Mobile Access Blade завершено.

VII. Настройка блейда для работы с клиентом Capsule Workspace (Mobile Enterprise)

1. Перейдите на вкладку Mobile Access –> Authentication.

2. Выберите опцию Require client certificate when using Mobile Application.

document security

3. Сохранитесь и проинсталлируйте политику.

4. Перейдите на Client Certificates. Выберите там шаблон Mobile Enterprise iOS with QR Code.

5. Сконфигурируйте новый Exchange сервер.

document security

document security

6. Выберите пользователя или группу пользователей, для которых необходимо сгенерировать пароль (QR-код).

7. После этого, если все сконфигурировано правильно, пользователю на почту должно прийти письмо с QR-кодом, отсканировав который он сможет получить пароль. В случае невозможности использования QR-кода в письме указан пароль прямым текстом.

8. На смартфон пользователя скачайте приложение Capsule Workspace

9. После ввода пароля следуйте инструкциям на экране.

10. На этом настройка оборудования для работы Capsule Workspace завершена.

Заказать демонстрацию решения