Меню Рубрики

Установка и настройка checkpoint

CheckPoint: установка, первоначальная настройка и организация кластера из двух фаервольных модулей

Check Point в этом году представил новую версию своей операционной системы GAIA R77.

Из основных нововведений это:
• Threat Emulation
• HyperSPECT technology
• Новые програмный блейды (Compliance Blade) и более 50 новых функций.

Цель это статьи – гайда, помочь новичкам при работе с оборудованием Check Point. Что с ним делать? как подготовить к работе? и т.д. Так же здесь найдете ответ как организовать кластер с 2х фаервольных модулей. Несмотря на то что с версии Gaia R76, менеджмент может быть на одной из кластерных нод, в этом гайде будет описан метод «по старинке». Два фаервольных модуля плюс отдельный менеджмент.

Threat Emulation – защита от атак 0 дня. Работает по такому принципу:

1. Инспектирует файл.
2. Запускает его в нескольких операционных системах.
3. Если файл вредоносный блокирует.
4. Если файл не вредоносный дает возможность конечному пользователю его открыть.

HyperSPECT technology – ускорение шлюзов безопасности до 50%. Ниже диаграмма от вендора:

Compliance Blade – проверка настроек оборудования согласно стандартам информационной безопасности, в данный момент Check Point «знает» такие стандарты:

Так же на рисунке изображено как это работает.

Как уже было сказано выше, у нас задача: два фаервольных модуля плюс отдельный менеджмент.
Для выполнения этой задачи понадобится:
• Первый фаервольный модуль с установленной Gaia R77(3 сетевых интерфейса);
• Второй фаервольный модуль с установленной Gaia R77(3 сетевых интерфейса);
• Менеджмент сервер с установленной Gaia R77;
• Рабочая станция администратора с установленной SmartConsole.

1. Установка ОС Gaia R77 на фаервольные модуля.

1.1. Загрузится с загрузочного диска/флеш накопителя. И выбрать “Install Gaia on this system”

1.2. Подтвердить установку ОС, нажать ОК. Выбрать языковую раскладку US и нажать ОК.

1.3. В следующем окне ввести пароль администратора, далее IP адрес сервера, после этого подтвердить форматирование жесткого диска и дождаться окончания установки.

1.4. Аналогично устанавливаем ОС на второй фаервольный модуль и менеджмент сервер.

2. Первоначальная настройка Gaia R77

2.1. Зайти на web интерфейс фаервольного модуля. В нашем случае это первоначальная конфигурация первой ноды, IP адресс – 172.16.1.15.

2.2. Авторизоваться в веб интерфейсе, нажать Next в мастере первоначальной настройке.

2.3. Проверить настройки сетевого интерфейса, указать имя хоста, временную зону.

2.4. В следующем меню поставить галочку на «Security Gateway or Security Management»

2.5. Далее если настраивается один из фаервольный модулей нужно выбрать конфигурацию которая изображена на скрине, ввести ключ активации SIC, нажать Finish и дождаться перезагрузки.

2.6. При настройке менеджмент сервера, нужно выбрать конфигурацию, которая изображена на скрине, по желанию изменить логин/пароль, указать кому доступен GUI клиент, нажать Finish.

3. Установка Smart Console

3.1. Для скачивания SmartConsole нужно зайти на веб интерфейс одного из фаервольных модулей либо же менеджмент сервера. Выбрать в разделе Maintenance, пункт Download Smart Console, нажать кнопку Download.

3.2. После скачивания смарт консоли, запустить процесс инсталляции, для установки понадобятся дополнительные компоненты.

3.3. После установки выше перечисленного, начнется инсталляция непосредственно смарт консоли. Процесс инсталляции ниже отображен на скринах.

4. Организация кластера с двух фаервольных модулей

После проделанной выше работы мы имеем такой результат:
• Установлена/первоначально настроенная ОС на первом фаервольном модуле.
• Установлена/первоначально настроенная ОС на втором фаервольном модуле.
• Установлена/первоначально настроенная ОС на менеджмент сервере.
• Установлена смарт консоль на рабочую станцию администратора с предустановленной Windows XP.

Читайте также:  Установка люка сливной ямы

4.1. Запускаем SmartDashboard, вводим логин/пароль и IP адрес менеджмент сервера.

4.2. В открытом SmartDashboard выбираем раздел “More”, пункт “Desktop”.

4.3. Далее нужно добавить фаервольные модули в SmartCentre
Для этого слева нужно выбирать папку Check Point, открыть контекстное меню и выбрать пункт “Security Gateway/Management”. Далее выбрать “Classic mode”.

4.4. Прописать имя хоста, IP адрес и нажать Communication.

4.5. Ввести Activation Key и нажать кнопку “Initialize”, если операция прошла успешно, появится надпись Trust established. После этого действия нажать кнопку “OK”, в следующем окне нажать “Close”. Повторить это действие и для второго фаервольного модуля.

4.6. После добавления фаервольных модулей в SmartCentre имеем такую картину:

4.7. Слева выбрать раздел Check Point, открыть контекстное меню, выбрать Security Cluster => Check Point Appliance/Open server.

4.8. Указать имя создаваемого кластера и его IP адрес. Перейти на вкладку “Cluster member” и добавить два фаервольных модуля.

4.9. Далее нужно перейти в раздел Topology и нажать кнопку Edit.

4.10. Выбрать конфигурацию как указано на скрине.

После этого нажать “Get” => “All Members’ Interfaces with Topology и нажать ОК”.
Далее проделать такие действия: Save => Install policy.

В результате проделанных действий у нас собран кластер из 2х фаервольных нод. Далее нужно прописывать правила межсетевого экрана, настраивать остальные блейды.

источник

Настройка Checkpoint. Часть 1. Установка и первоначальная конфигурация


Доброго всем времени суток. Сегодня я хочу начать цикл о настройке и принципах работы межсетевых экранов Checkpoint.

Chekpoint — компания, занимающаяся разработкой решений по сетевой безопасности начиная с 1993 года. Компания позиционирует себя как разработчик собственной архитектуры управления\взаимодействия — SMART (SecurityManagment Architecture). На основании этой концепции в конечном итоге была создана операционная система Gaia, путём объединения ОС IPSO (Nokia) и ОС SPLAT (ранняя разработка СР на базе Unix-ориентированных систем). В данном программном обеспечении реализован ряд технологий, связанных с безопасностью обмена данными (например пакетная фильтрация, IPS), а так же проприетарная Stateful Inspection основной задачей которой является контроль конкретных соединений в реальном времени.Wikipedia.

Увы, на Хабре не так много статей, посвященных этому вендору. Хотя, на мой взгляд, он заслуживает большего внимания.

Опытные инженеры систем безопасности, скорее всего, не найдут никакой новой информации в этой и последующих статьях. Но для новичков, я надеюсь, они будут полезными. Мы попробуем разобрать принципы работы основных модулей и системы в целом, а так же рассмотрим примеры настройки из “best practice».

Сегодня на повестке дня установка и начальная конфигурация устройства. Добро пожаловать под кат.

На Хабре уже была статья о том, как установить две фаервольных ноды и сделать из них кластер. Попытаюсь уделить внимание вопросам, которые в той статье рассмотрены не были.

В первую очередь нам необходимо подобрать оборудование. Есть, по сути, только два варианта: либо покупать устройство, с любовью оклеенное этикетками Checkpoint и помещенное в специально подготовленный для него корпус, или же собирать платформу самостоятельно. В любом случае выбор устройства будет зависеть от очень большого количества параметров. Мы можем опираться лишь на свой опыт и на ту документацию, которую нам предоставляет сам вендор. Список поддерживаемых серверов можно посмотреть по ссылке. Так же можно примерно посчитать на какую нагрузку будет рассчитан конкретный девайс от компании Checkpoint (осторожно PDF). К сожалению, Checkpoint не предоставляет информацию об установленном в устройства оборудовании, лишь объем оперативной памяти и количество интерфейсов, но в Интернете можно найти кое-какую информацию о CPU.

Читайте также:  Установка плинтуса на столешницу угол

Этап 1. Установка операционной системы Gaia

После того, как мы выбрали платформу, перейдем к установке операционной системы. Кстати, об операционной системе: Gaia (последняя из операционных систем Checkpoint’а) базируется на дистрибутиве RedHat 5.2. А значит, если Вы до этого работали с linux-based операционными системами, то Вам будет приятно увидеть многие знакомые утилиты и команды.

Здесь будет рассматриваться Gaia R77.10 в виртуальном окружении. Установка предыдущих, так и последующих версий этой операционной системы, ничем не отличается. На сегодняшний день последней является Gaia R77.30.

Компания Checkpoint не предоставляет дистрибутивы своих операционных систем без регистрации и SMS на сайте, поэтому поиск образа я полностью доверяю вам. Если же у вас имеется учетная запись, то загрузить необходимый дистрибутив можно по ссылке.

Теперь мы вооружены всем необходимым и можем перейти непосредственно к установке.

Большинство следующих скриншотов не требуют пояснения: далее, далее, готово. Никто не предлагает установить Mail.Агент или какое-либо другое приложение, не имеющее отношение к теме.

Единственное, на что хочу обратить Ваше внимание – разметка диска. Система выдаст ошибку и прекратит установку, если объем жесткого диска менее 8Гб. В случае наличия от 8 до 15 Гб система самостоятельно разбивает диск на необходимые ей разделы. Если же объем больше 15Гб, то нам разрешат немного повлиять на этот процесс, а именно: изменить размер разделов под system-root (/) и логи (/var/logs/). Эта информация может пригодиться тем, кто собирается ставить Checkpoint на виртуальную машину. Остальным же требуется знать лишь, основное правило, которое заключается в том, что размер раздела “Backup and upgrade» должен быть не менее, чем сумма system-root и logs, так как снэпшоты операционной системы помещаются именно туда.

Теперь несколько рекомендаций по разметке дисков для менеджмент сервера и для фаервольных нод.
Менеджмент сервер:

  • Рут должен быть не менее 6Гб, а если планируется использование дополнительных компонентов (блейдов), таких как: IPS, Application Control, URL Filtering, стоит увеличить размер, хотя бы до 10Гб.
  • Логи – наше все. По крайней мере на менеджент сервере. Все доступное пространство выделяем им, ведь основная функция менеджмент сервера, помимо настройки правил – это хранение всевозможных логов и обновлений.

Фаервол:

  • Рут – единственный раздел который фаерволу действительно нужен, и 10Гб, при включенных дополнительных блейдах, будет тоже вполне достаточно.
  • Размер раздела для логов не так критичен, ведь логи пишутся на менеджмент сервер, а на фаерволе эта директория используется, в основном, для обновлений, поэтому хватит даже 5Гб.

Рис 1.1
Выбираем пункт “Install Gaia on this system»:


Рис 1.2

Тут мы можем посмотреть информацию об установленном оборудовании:

Рис 1.5
Придумываем пароль:

Рис 1.6
Тут мы можем выбрать и настроить интерфейс, который в дальнейшем будем использовать для подключения к устройству через https и ssh.

Рис 1.7
Непосредственно, настройка.

После этого придется немного подождать, пока система установится на выбранный сервер.

Этап 2.1 Подготовка к настройке

После того, как мы установили операционную систему, логично было бы сразу перейти к настройке политик и другим фаервольным прелестям. Но тут оказывается, что нам необходимо предварительно выбрать, какую функцию будет наш сервер выполнять: будет это фаервол или менеджмент сервер. Таким образом первоначальная конфигурация включает в себя следующие пункты:

  • Выбор роли сервера
  • Параметры менеджмент интерфейса
  • Правила доступа
  • Параметры DNS, NTP, Proxy серверов (proxy только через WebUI)
Читайте также:  Установка жесткого диска wd blue

Первичная настройка Checkpoint для последующей работы с ним доступна в упомянутой выше статье. Мы же сейчас попробуем сделать то же самое, но при помощи командной строки, для этого нам не понадобится отдельный компьютер, сетевое подключение к фаерволу и даже монитор, если Вы знаете толк в извращениях не боитесь трудностей.

Для того что бы произвести конфигурацию фаервола через CLI у нас есть специальная утилита config_system, точнее, это обычный bash-скрипт, содержимое которого Вы можете посмотреть и отредактировать. Лежит он в /bin/config_system.

Этот скрипт редактирует файл базы данных Gaia OS /config/db/initial.

Давайте разберем принцип его работы на примере функции по изменению ip-адреса:

Получение текущих настроек из базы происходит при помощи утилиты /bin/dbget, а изменяет конфигурацию команда /bin/dbset. Вот так выглядит кусок файла, описывающий настройки интерфейса eth0:

Параметр отделяется от значения пробелом. Теперь мы можем попробовать получить какие-нибудь значения при помощи DBGET.

Ключ -c необходим для вывода имени дочернего параметра с не нулевым значением. Что бы дополнительно показать значение этого параметра существует ключ -v.

Мы получили значение равное t, то есть true. По сути это означает лишь то, что на интерфейсе задан ip-адрес, равный 192.168.1.2.

А теперь изменим ip-адрес на интерфейсе. Для этого нам надо:

  • Удалить текущие значения ip-адреса и маски
  • Установить новое значение ip-адреса
  • Установить новое значение маски
  • Сохранить конфигурацию

Этап 2.2 Первоначальная конфигурация

Config_system принимает либо файл, либо строку из необходимых параметров, разделенных амперсандом (&). Синтаксис команды со строкой в качестве параметра будет выглядеть следующим образом:

Значение каждого из этих параметров мы разберем далее. А сейчас разберемся с конфигурационным файлом.
Конфигурационный файл содержит в себе все те же самые значения, каждое на отдельной строке.

Первым делом мы создадим шаблон конфигурационного файла, который потом будем редактировать.

В самом шаблоне довольно подробно описан каждый параметр. Поэтому я просто приведу пример конфигурации для менеджмент сервера:

Единственное, на чем хочется остановиться отдельно — параметр ftw_sic_key=»». SIC, или Secure Internal Communication key — это одноразовый пароль, который нужен, что бы фаерволом можно было управлять с менеджмент сервера (поэтому мы задали его только на фаерволе). Он нам будет нужен один раз при добавлении фаервола в панель управления менеджмент сервера.

Последний шаг — это отдать полученный файл скрипту и подождать пока завершится конфигурация:

Теперь перезагружаем сервер и все готово.

Теперь у нас есть один менеджмент сервер и один фаервол. Они готовы к дальнейшей настройке.

В следующей статье мы научимся добавлять фаерволы для управления с одного менеджмент сервера. Узнаем как из них организовать кластер, если изначально мы к этому готовы не были. Рассмотрим варианты кластеров и их принцип работы. А так же пробежимся по способам настройки NATа и простейшим фаервольным политикам.

Спасибо за внимание. Буду рад ответить на ваши вопросы.

источник