Check Point Software Technologies — один из мировых лидеров в области интернет-безопасности.
Межсетевые экраны Check Point используются во многих банковских учреждениях.
К сожалению, в Интернете практически нет информации о настройке этих устройств.
Попробуем восполнить этот пробел.
Механизмы управления сетевым трафиком
Работа любого межсетевого экрана основана на блокировании (запрещении) или разрешении (разрешении) трафика на основе заранее определенных правил.Check Point использует следующие технологии для дифференциации трафика:
- фильтрация пакетов;
- государственная проверка;
- интеллект приложений.
Фильтрация пакетов
Сообщения в сети делятся на пакеты, описывающие IP-адрес назначения и, собственно, сами данные.Пакеты передаются по одному и часто по разным маршрутам.
Когда пакеты достигают адреса назначения, они формируются в сообщения, понятные более высоким протоколам.
Фильтрация пакетов — основная функция любого межсетевого экрана, работающая на уровнях 3 (сеть) и 4 (транспорт) модели OSI. В общем, типичное правило брандмауэра включает в себя следующие элементы:
- исходный IP-адрес;
- IP-адрес получателя (адрес назначения);
- исходный порт;
- порт назначения;
- протокол.
Проверка статуса соединения
Проверка состояния соединения — технология, разработанная и запатентованная компанией CheckPoint, дополнительно включает в себя просмотр данных пакета на 4 уровне, а не только чтение информации из заголовка.В ходе работы составляется таблица связей для анализа текущих связей.
Таблица соединений используется для сбора информации, необходимой для правильной проверки пакетов.
Например, проверка состояния соединения обеспечивает защиту от сканирования портов, блокируя все порты до тех пор, пока не будет запрошен необходимый.
Интеллект приложений
Application Intelligence — это набор расширенных функций, интегрированных в межсетевой экран и систему предотвращения вторжений (IPS), которые способны обнаруживать и предотвращать сетевые атаки на самых высоких уровнях модели OSI.Установка модулей CheckPoint
Межсетевой экран CheckPoint может работать в операционных системах: Windows, Solaris, SPLAT, IPSO, GAiA. СПЛАТ — ОС на базе RedHat Linux; IPSO — операционная система, устанавливаемая на межсетевые экраны Nokia, подразделение которой было приобретено компанией CheckPoint; GAiA — новая ОС, сочетающая в себе возможности SPLAT и IPSO. Рассмотрим установку межсетевого экрана на ОС СПЛАТ.После загрузки с cdrom мы видим приветствие, которое сообщает нам, что если в течение 90 секунд не нажать энике, то установка остановится.
Нажимаем эникей и переходим в следующее окно.
Ниже представлены скриншоты процесса установки.
Комментарии не нужны.
На этом основная часть установки завершена.
По умолчанию при установке логина администратор , пароль администратор .
После перезагрузки вам будет предложено сменить логин и пароль: 
cpconfig — утилита, используемая для тонкой настройки операционной системы.
Если в сети нет DHCP-сервера, необходимо указать IP-адреса вручную.
Давайте запустим cpconfig , нажимать Н .
Выберите пункт 4: Сетевые соединения , Дальше Настройка соединений , настройте IP-адреса интерфейсов.
Далее нам необходимо настроить необходимый функционал модулей.
Для этого зайдите в веб-интерфейс по указанному выше адресу по протоколу https, введите свои учетные данные и попадите в мастер установки.
Нажмите «Далее», чтобы открыть окно, в котором вы можете редактировать конфигурацию дополнительных сетевых адаптеров.
Следующий пункт — конфигурация маршрута по умолчанию, затем описание DNS-серверов, имени домена, настроек времени и настройки возможностей управления через telnet/ssh. Следующий момент – выбор продуктов для установки.
Межсетевой экран CheckPoint состоит из двух основных частей: модуля управления (Management Server) и, собственно, самого межсетевого экрана (Шлюза).
Эти части, в свою очередь, также делятся по функциональности, как видно на рисунке.
В идеале каждый продукт должен быть установлен на отдельном сервере.
Приблизимся к идеалу и установим Шлюз безопасности вместе с Performance Pack на один сервер, а Сервер управления с модулем Управления безопасностью на другой.
Установите флажки и дважды нажмите «Далее».
Далее вам необходимо ввести ключ инициализации протокола SIC (Secure Internal Communication).
Протокол SIC используется для взаимодействия сервера управления и модулей CheckPoint; оно нам понадобится позже.
Дважды введите любую последовательность символов и нажмите «Далее».
Чтобы завершить установку продуктов, нажмите «Готово».
Вот и все, процесс установки завершен.
Аналогично вам необходимо установить модуль управления Management Server.
Подключение к серверу управления
Для подключения к серверу управления необходим клиент, который можно скачать с самого севера через веб-интерфейс.Клиент находится в группе «Конфигурация продукта», затем «Загрузить SmartConsole».
После скачивания клиент должен быть установлен.
Оставьте все флажки по умолчанию.
Основные настройки брандмауэра выполняются через клиент SmartDashboard. 
Настройка модулей Check Point
В нашей лабораторной работе будет использоваться следующая топология:
Сети: 192.168.0.0/24 – сеть взаимодействия модуля управления и межсетевого экрана; 172.16.0.0/24 — сеть для управления устройствами через ssh/web; 10.0.0.0/24 – внутренняя сеть предприятия; 1.1.1.1/30 - Интернет-интерфейс.
После подключения к серверу управления в дереве сетевых объектов присутствует только сам сервер управления, в моем случае его имя — FWM. Опишем внутренние сети нашего межсетевого экрана; они нам понадобятся позже.
В разделе «Сетевые объекты» щелкните правой кнопкой мыши «Сети» и добавьте сеть.
Это необходимо сделать со всеми сетями, кроме внешних.
Для управления брандмауэрами их необходимо добавить на сервер управления.
Для этого щелкните правой кнопкой мыши «Сетевые объекты», затем «Управление безопасностью/шлюз», выберите «Классический режим».
Заполните поля Имя, IP-адрес.
Для установки доверенного соединения необходим ключ протокола SIC, который мы ввели при установке модуля межсетевого экрана.
Если по каким-то причинам вы забыли ключ, вы можете сбросить его через веб-интерфейс (Конфигурация продукта -> SIC).
Нажмите кнопку «Связь» и введите ключ, затем нажмите кнопку «Инициализировать».
Соединение установлено.
Теперь вы можете автоматически читать конфигурацию брандмауэра.
Нажмите кнопку «Получить», чтобы прочитать версию и программное обеспечение брандмауэра.
На вкладке «Сетевая безопасность» установите флажок «Брандмауэр».
Этого будет достаточно.
Перейдите к пункту Топология в левом столбце.
Нажмите кнопку «Получить», чтобы прочитать топологию.
Для работы функции антиспуфинга (защита от подмены IP-адресов) необходимо указать тип интерфейса: внешний или внутренний и определить сети, которые могут работать через этот интерфейс.
Выберите интерфейс и нажмите кнопку «Изменить».
Во вкладке Топология укажите тип интерфейса и определите сеть, которая будет через него работать.
Вы также можете указать заранее созданную группу сетей или хостов.
Нажмите «ОК» дважды.
Добавлен брандмауэр.
Теперь давайте создадим несколько правил.
Во-первых, давайте добавим правило очистки, которое запретит все.
В главном меню выберите «Правила», затем «Добавить правило», «Ниже».
Измените столбец «Действие» на «Отбросить» (отклонить).
При выборе сброса пакет отбрасывается (съедается), отправитель об этом не знает, а при выборе отклонения пакет отбрасывается, о чем отправитель уведомляется.
Все неясные пункты мы оставляем по умолчанию.
На начальном этапе обучения столбцов Source, Destination и Service вполне достаточно.
После создания правил их необходимо установить на межсетевые экраны.
В главном меню выберите «Политика», затем «Установить политику».
Нажмите кнопку «ОК», чтобы начать установку.
На этой позитивной ноте мы завершаем нашу лабораторную работу.
Если тема настройки CheckPoint актуальна для уважаемого сообщества, я продолжу публиковать посты о настройке фаервола.
Теги: #Сетевые технологии #checkpoint #checkpoint #checkpoint #howto #How To #How To #сетевая безопасность #брандмауэр #сетевой фильтр #информационная безопасность #брандмауэр #брандмауэр #информационная безопасность
-
Сидкемп Восточная Европа
19 Oct, 24
