Check Point Security CheckUP — R80.10. Часть 3

в 20:53, , рубрики: checkpoint, Cisco, network security, security, viruses, аудит безопасности, Блог компании TS Solution, ИБ, Сетевые технологии, системное администрирование

Check Point Security CheckUP — R80.10. Часть 3 - 1
Третья и заключительная часть, касающаяся возможности проведения бесплатного аудита безопасности сети с помощью Check Point Security CheckUP. Если вы пропустили прошлые части:

Закончив установку и инициализацию мы можем приступить к самой настройке. Далее будет следовать большое кол-во картинок. Если же вам лень читать, то можете подписаться на наш YouTube канал, где в скором времени появится видео инструкция по CheckUP.

Первым делом необходимо поправить топологию сети, как это показано на рисунке ниже. У нас должно появится два интерфейса.
Check Point Security CheckUP — R80.10. Часть 3 - 2
Далее мы должны определить первый интерфейс (который используется для управления и выхода в интернет) как Internal, включить антиспуфинг в режим detect и отключить логирование (дабы не захламлять отчет):
Check Point Security CheckUP — R80.10. Часть 3 - 3
Второй же интерфейс мы обязательно определяем как External с аналогичными настройками антиспуфинга.
Check Point Security CheckUP — R80.10. Часть 3 - 4
В итоге должно получиться следующее:
Check Point Security CheckUP — R80.10. Часть 3 - 5
Теперь можно переходить к включению блейдов. Для этого двойным кликом открываем свойства шлюза и начинаем галочками отмечать нужные блейды (Application Control, URL Filtering, IPS...):
Check Point Security CheckUP — R80.10. Часть 3 - 6
Если же вы попытаетесь включить Threat Emulation
Check Point Security CheckUP — R80.10. Часть 3 - 7
то обнаружите ошибку:
Check Point Security CheckUP — R80.10. Часть 3 - 8
К сожалению Trial режим на 15 дней не включает функцию облачной песочницы (Threat Emulation). Если данная функция очень нужна, то можно запросить демо-лицензию на месяц.

Для идентификации пользователей (именно username, а на ip-адреса) необходимо настроить интеграцию с AD с помощью блейда Identity Awareness
Check Point Security CheckUP — R80.10. Часть 3 - 9
Для этого используется учетная запись с админскими правами. Фактически Check Point подключается к серверу AD и выгребает логи связанные с аутентификацией пользователей, после чего он может сопоставить пользователя и его ip-адрес. Указав домен, учетные данные и ip-адрес AD сервера мы должны успешно подключиться:
Check Point Security CheckUP — R80.10. Часть 3 - 10
Включив нужные фаервольные блейды (Network Security) мы можем перейти на вкладку Management и включить блейд Smart Event:
Check Point Security CheckUP — R80.10. Часть 3 - 11
Именно этот блейд позволяет генерировать комплексные отчеты.

После этого не забудьте нажать Ok, а не просто закрыть окошко. Теперь можно перейти к настройки некоторых блейдов. Начнем с Application Control. Укажите настройки в соответствии с картинкой ниже:
Check Point Security CheckUP — R80.10. Часть 3 - 12
Тоже самое сделайте для блейда Threat Prevention:
Check Point Security CheckUP — R80.10. Часть 3 - 13
Теперь можно перейти к настройкам политик. Начнем с обычных фаервольных. Естественно разрешаем весь трафик и ВЫКЛЮЧАЕМ логирование. Данные логи абсолютно не интересны в отчете и лишь увеличивают нагрузку на устройство при их обработке:
Check Point Security CheckUP — R80.10. Часть 3 - 14
Теперь Application Control и URL filtering. По умолчанию данная политика отсутствует (в отличии от R77.30) и чтобы это исправить, нужно сначала их включить. Делается это следующим образом:
Check Point Security CheckUP — R80.10. Часть 3 - 15
Добавляем новый Layer:
Check Point Security CheckUP — R80.10. Часть 3 - 16
с именем Apllication и отмечаем только один блейд:
Check Point Security CheckUP — R80.10. Часть 3 - 17
Должно получиться следующее:
Check Point Security CheckUP — R80.10. Часть 3 - 18
Теперь в политиках появилось Application. Разрешаем весь трафик:
Check Point Security CheckUP — R80.10. Часть 3 - 19
И обязательно включаем Detaild Log и Accounting:
Check Point Security CheckUP — R80.10. Часть 3 - 20
Затем можем попробовать обновить базы:
Check Point Security CheckUP — R80.10. Часть 3 - 21
Процесс обновления будет отображаться в левом нижнем углу. Дождитесь его окончания:
Check Point Security CheckUP — R80.10. Часть 3 - 22
Теперь можно перейти к настройкам политики Threat Prevention. По умолчанию устанавливается дефолтная политика с профилем Optimized:
Check Point Security CheckUP — R80.10. Часть 3 - 23
Необходимо поправить настройки. Двойным кликом открываем свойства профиля и выставляем все в режим Detect (нет смысла в Prevent на копии трафика):
Check Point Security CheckUP — R80.10. Часть 3 - 24
В настройках Ативируса включаем «глубокое» сканирование и проверку архивов:
Check Point Security CheckUP — R80.10. Часть 3 - 25
В настройках Threat Emulation (если вы получили лицензию) включаем эмулирование для всех поддерживаемых файлов:
Check Point Security CheckUP — R80.10. Часть 3 - 26
При нажатии Ok, нам предложат сохранить профиль под новым именем:
Check Point Security CheckUP — R80.10. Часть 3 - 27
Сохранив, выставляем его в политиках Threat Prevention (правой кнопкой мыши по профилю):
Check Point Security CheckUP — R80.10. Часть 3 - 28
Теперь можно перейти в раздел Updates и попробовать обновить IPS и другие блейды:
Check Point Security CheckUP — R80.10. Часть 3 - 29
Кроме того, нужно зайти в глобальные свойства Check Point:
Check Point Security CheckUP — R80.10. Часть 3 - 30
И отключить Drop-ы, как на картинке ниже:
Check Point Security CheckUP — R80.10. Часть 3 - 31
Теперь необходимо проинсталлировать политики. Нажимаем Install Policy:
Check Point Security CheckUP — R80.10. Часть 3 - 32
И сначала отмечаем только Access Control (Threat Prevention не установится без этой политики):
Check Point Security CheckUP — R80.10. Часть 3 - 33
После успешной установки еще раз нажимаем Install Policy и выбираем уже только Threat Prevention:
Check Point Security CheckUP — R80.10. Часть 3 - 34
Готово! Если вы правильно настроили SPAN-порт, то Check Point уже должен начать обрабатывать трафик. Чтобы убедиться в этом можно перейти во вкладку Logs & Monitor и отфильтровать логи например по блейду Apllication Control:
Check Point Security CheckUP — R80.10. Часть 3 - 35
Если все хорошо, то оставьте логирование хотя бы на один день, после чего можно будет посмотреть статистику нажав на New Tab — Reports — Security CheckUP Advanced
Check Point Security CheckUP — R80.10. Часть 3 - 36
Должно получиться следующее:
Check Point Security CheckUP — R80.10. Часть 3 - 37
Данный отчет вы сможете скачать в PDF формате, при этом есть возможность сделать отчет анонимным, т.е. исключить параметры, по которым можно идентифицировать вашу организацию.

Желательное время для сбора статистики — две недели. Пример отчета можно посмотреть здесь.

Вот таким «нехитрым» образом можно провести экспресс анализ безопасности вашей сети. Искренне надеемся, что данная информация кому-то пригодится. Если возникнут вопросы то можете смело обращаться. Повторюсь, в скором времени на нашем канале будет выложена видео инструкция.

Автор: cooper051

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js