Home אבטחת מידעCheck Point הסבר על CheckPoint GAiA R77.30

הסבר על CheckPoint GAiA R77.30

by Tal Ben Shushan 27/01/2018 0 comment
הסבר על CheckPoint GAiA R77.30

הסבר על CheckPoint GAiA R77.30

בסיום מאמר זה תוכלו גם לבצע את המעבדה הקצת יותר מתקדמת

התקנת Checkpoint הגדרת רשת DMZ וניתובים

GAiA

שם קוד למערכת ההפעלה של Checkpoint Firewall לפני מערכת זו הייתה מערכת ישנה יותר בשם SPLAT קיצור של SecurePlatform
ה Firewall של צ’ק פוינט זוכה לשבחים רבים והיה מבין החלוצים בעולם אבטחת המידע אחד המייסדים היותר מפורסמים של צ’ק פוינט הוא גיל שוויד (יוצא יחידת 8200)
אז מהו Firewall? מטרתו של ה Firewall היא להוות חוצץ בין רשתות ולסנן את התוכן המועבר בינהם, לרוב ה Firewall ימוקם בין הרשת הפנימית לרשת החיצונית כך שהתעבורה בין הרשת בעולם לרשת הפנימית תמיד מסוננת.
וכל תעבורה שאינה מוגדרת כמותרת לעבור לרשת הפנימית תיחסם על ידי ה Firewall.
כאשר ה Firewall הומצא מטרתו הייתה אחת, לפתוח את ה Packet ולבדוק באיזה פורט היא עוברת ולאיפה, אם ברשימת החוקים אין חוק שמתיר את המעבר ה Firewall יבצע לחבילה Drop.
כאשר חלף הזמן ה Firewall גם של צ’ק פוינט וגם של חברות אחרות כמו: Palo Alto, Fortinet וכו’ התפתח מאוד, ה Firewall של היום מכיל מערכות של VPN, Application Filtering ומערכות נוספות שנעבור במאמר זה.

אפשר להסתכל על הסכמה הבאה:

Firewall יושב באמצע ומסנן את התוכן בין הרשת החיצונית 192.168.1.0 לרשת הפנימית 172.16.1.100 כך שכאשר משתמש 172.16.1.100 רוצה לגשת לרשת 192.168.1.0 הוא עובר דרך ה Firewall והכל מסונן דרכו, מה שהוחלט לא לעבור לא יעבור, אפשר להסתכל על זה בצורה של סלקטור\ית במועדון, אם השם לא נמצא ברשימה לא יכול המשתמש לגשת מהמתחם המתנה למתחם המועדון עצמו או במקרה הזה בין הרשת הפנימית לחיצונית.

בצורה פשוטה ה Firewall יושב כ- Default Gateway לרשתות שמאחוריו ולכן הוא סוג של Router הוא מנתב את הרשתות אחת לשניה ואחראי לתת או לא לתת גישה לרשתות שמחוברות אליו
כך למעשה אין צורך בראוטר וה CheckPoint משמש כראוטר בין הרשתות אבל מבצע תפקיד חשוב והוא לסנן ולתחום את הרשתות הללו.

GAiA מגיע בכמה גרסאות, גרסת Open Server שאותה ניתן להתקין כל כל שרת \ מחשב, גרסת Appliance הוא שרת פיזי המגיע מחברת CheckPoint אל הלקוח וכולל בתוכו R77.30 ומכיל דיסקים,מעבד, זיכרון כרטיסי רשת וכו’ וכך למעשה אינו מצריך שרת שלכם או כל חומרה אחרת והוא מוכן לפעולה (כמובן אחרי הגדרות)

ממשקי ה GAiA מכילים את ה:

Clish

CLISH – השרת עצמו הוא CLI וניתן להגדיר הכל דרך ממשק זה

מתחברים עם המשתמש admin והסיסמא שהוגדרה בהתקנה עצמה (ניתן להתחבר דרך Console או SSH לרוב)
2 מצבים קיימים, המצב הרגיל ומצב Expert

Expert – על מנת להיכנס למצב Expert יש לתת סיסמא לExpert

FW02> set expert-password

ומגדירים סיסמא

כעת רושמים Expert ואז את הסיסמא שהגדרתם קודם

בExpert ניתן לבצע הגדרות רבות והפשוט ביותר הוא למשל ifconfig

יציאה ממצב Expert יש לרשום exit

cpconfig – הוא הגדרות בסיסיות \ ראשוניות שניתן לבצע למשל אם יש תקלה ב SiC בין ה FW ל Security Management ניתן לאפס את SiC כאן

Web UI

Web UI – הממשק הWeb כמו בתמונה
הSmartDomain – מכיל בתוכו כלים GUI להתקנה על מחשב ואיתו ניתן לנהל את החוקים ושאר התצורות של הצ’ק הפוינט

חלוקת תפקידים

2 תפקידים קיימים בצ’ק פוינט פיירוואל

Security Management

“מנהל” את ה Firewall עצמו, מכיל את כל החוקים שמוגדרים לפיירוואל ואחראי על כלל ההגדרות שמוטמעות ב Firewall הלוא הוא ה Security Gateway
ניתן לתת לSecurity Management לנהל גם 10 Firewalls במקביל ובכל אחד להתקין סט חוקים אחר לחלוטין

התוכנה בה משתמשים על מנת לנהל את ה Security Management

Smart DomainManager או ה SmartConsole הוא סט כלים לנהל את ה Security Management.

הכלי המפורסם ביותר הוא ה Smart Dashboard, כך נראה מסך ההתחברות

לאחר שהתחברתם אתם תקבלו את מסך הניהול של ה Security Management וגם את ה Security Gateway

ניתן לראות אותם בצד שמאל למטה:

זה שיש לו מתחת M הוא ה Security Management ואילו ה2 הנוספים הם Security Gateway

בראש המסך נמצאים ה Blades, הם תכונות נוספות הקיימת ב GAiA כמו:

Firewall – ה Firewall עצמו, הגדרות של חוקים וכו’

Application & URL Filtering – חוסם או מאפשר גישה לאתרי אינטרנט, יותר כמו סנן תוכן, יכול לחסום קטגוריות כמו פורנו, אלימות וכו’ ויכול לחסום אתרים מסוימים או וידאו ומוזיקה וכו’

Data Loss Prevention – בודק אימייל שעוברים דרכו וע”פ קריטריונים מגדיר אם המייל יכול לעבור ואם הוא חורג מהמדיניות שהגדרתם אתם תקבלו התראה, נאמר משתמש בארגון שולח קובץ וורד עם אלפי כרטיסי אשראי, ה DLP יזהה את זה וישלח לכם התראה

IPS – קיצור של intrusion prevention system היא מערכת למניעת התקפות, היא מזהה ויקטור תקיפה ומונעת ממנו לעבור או לרשת אותו הוקטור מנסה לגשת, לעומת IDS שהוא Intrusion detection system והוא רק מזהה את הוקטור תקיפה ומדווח לרוב ל SIEM או לכל מערכת התראות אחרת

Threat Prevention – הוא Blade המכיל אנטי וירוס, אנטי בוט,  אנטי Malware וכו’

Anti-Spam & Mail – חוסם ספאם המגיע לשרת הדואר שלכם, זאת אומרת ששרת הדואר שלכם מקבל מיילים רק דרך ה Firewall ולא שער כניסה אחר

Mobile Access – ניהול טלפונים

IPSec VPN – הגדרות VPN (קיים מדריך \ מאמר באתר)

Compliance – מציג מידע האם כל שירותי ה Checkpoint שלי מאורגנים כמו שצריך וע”פ ה Best Practice של צ’ק פוינט

QOS – ניתן להגדיר דרכו אילו שירותים יהיה להם עדיפות ברשת, אחרי הכל ה Firewall משמש כ Gateway

Desktop – ניהול של חוקים ברמת המחשב, מותקן במחשב Client והוא מושך את ה Policy מה Gateway ואז פועל לפיו או לפי החוקים שהוגדרו

 

Security Gateway

ה Firewall עצמו, הוא זה שמבצע את הבדיקות של החבילות לפי סט החוקים שהוגדר לו, כל ההגדרות שחלות עליו, מדיעות מה Security Management.

זה שיש לו מתחת M הוא ה Security Management ואילו ה2 הנוספים הם Security Gateway

על פי שלוש הגדרות ה  Security Gateway בודק את החבילות שעוברת דרכו מרשת אחת לרשת אחרת:

Stateful Inspection

בדיקה בכמה רמות, בדיקה אחת היא מאיזה או מה הפורט שעובר דרך ה Firewall והבדיקה השניה היא החיבור עצמו, הStateful Inspection בודק מאיזה מחשב בוצע התעבורה והאם בוצעה בעבר ובודקת את המידע עד רמת ה Application ב OSI Module

Packet Filtering

שיטה זו היא השיטה הישנה יותר מ Stateful Inspection ובשיטה זו הFirewall בודק את ה Header של כל חבילה בודק את כתובת המען והנמען ואיזה פורט, ואם ע”פ חוקי הפיירוואל אסור לחבילה לעבור, הפיירוואל יחסום את המעבר של חבילה זו, הבעיתיות ב Packet Filtering שהוא בודק רק את ה Header ולא את כל החבילה ולכן יעיל חלקית

Application Intelligence

בתצורה זו מבוצעת בדיקה שכבת ה Application ממש והאפליצקיה נבדקת בכל החבילות שעוברת דרך הפיירוואל, תצורה זו עובדת ב IPS עצמו וכך נבדקים וקטורים שונים

Anti-Spoofing

Spoofing הוא שם קוד לזיוף, שכפול וכו’ זאת אומרת כאשר מחשב מבצע DHCP Soofing הוא גורם למחשבים ברשת לחשוב שהוא ה DHCP או ARP Spoofing שבו התוקף גורם למחשבים ברשת לחשוב שהוא ה Router

Anti-Spoofing לא בא למנוע את המצבים שתיארתי למעלה אלא מונע ממחשב להגדיר עצמו מרשת מסוימת ובכך “לדלג” על החסימה

נאמר מרשת 192.168.1.0 מותר להגיע לרשת 172.16.1.0 בפורט 21.
ואילו מרשת 10.1.1.0 לרשת 172.16.1.0 אסור לעבור בפורט 21
אז משתמש יכול להגדיר שהוא בא מרשת 192.168.1.0 (והוא כרגע נמצא בתוך ברשת 10.1.1.0) ואז לנסות להגיע ל172.16.1.0
Anti-Spoofing בעצם בודק מאיזה רגל הגיע הבקשה ומה הכתובת של המוען (מאיפה החבילה הגיעה) ואם הכתובת שרשומה היא 192.168.1.0 אבל זה הגיע מרגל 10.1.1.0 אז זה יחסם על ידי ה Anti-Spoofing

כלים בתוך ה Security Management התוכנה SmartDashboard

בSmart DomainManager יש סט של כלים, הכלי הראשי הוא Smart Dashboard וכלים נוספים שניתן לפתוח מתוך ה Smart Dashboard או מתיקיית ההתקנה של ה Smart Dashboard

Smart Domain Manager

הוא מנהל ראשי לכל ה Security Management הוא מאגד בתוכו

Smart Dashboard

רוב ההגדרות המבוצעות דרך ה Smart Dashboard הם הגדרות לרשתות עצמן, ניתובים של הפיירוואלים והגדרות החוקים למי מותר מה, מה חסום, איזה פורטים מותר, איזה רשתות מותר לעבור לרשת אחרת ובאילו פורטים וכו’

חוקים –

הצ’ק פוינט בנוי מחוקים, המתירים או אוסרים על גישה לרשת מסוימת בפורט מסוים או מונעת גישה כליל לכל הרשתות ורק חוקים מוסימים שמתירים קיימים

בשיטה זו חוק בתחתית הפיירוואל מוגדר בשם Cleanup Rule שהוא חוסם את כל הגישות ואז מעל החוק הזה נבנים חוקים שמתירים נאמר שהרשתות יוכלו לצאת לאינטרנט בעולם בפורטים 80 ו443 ונאמר שיש שרת FTP בארגון ואליו צריך שמחשב PC1 יוכל לגשת לאותו שרת ב FTP

יש ליצור 2 חוק מתחת לקיים כמו חוק 2 בתמונה, ואז להגדיר אותו במקום Accept ל Drop

לאחר מכן ליצור אובייקטים ולהתיר אותם לפי הרשת שלכם

Implied Rules –

סט חוקים שנוצרים “מאחורי הקלעים” על מנת שהפיירואלים וכל האובייקטים של צ’ק פוינט יעבדו בינהם באופן תקין ויהיה תקשורת

Install Policy & Revision Control

כאשר רוצים להחיל את החוקים שהגדרתם, לא די בכך שרק הכנסתם אותם וזהו, כל ההגדרות שביצעתם בוצעו על ה Security Management ולכן יש להתקין אותם על ה Security Gateway, על ידי לחיצה על

ואז יופיע החלון

בחלון זה נוכל לראות שההתקנה תבוצע על FW01 שהוא ה Security Gateway שלנו, ואם תלחצו Advanced

תוכלו לראות את ה Revision Control – פיצ’ר זה שומר לנו את החוקים שהגדרנו עכשיו, כך שאם בעתיד נשנה את החוקים ואז נתקין שוב ופתאום נגלה שעכשיו יש בעיות של חסימות וכו’ ואנחנו רוצים לחזור אחורה נוכל לחזור אחורה לגרסאות שהוא שמר לנו

Management + Cleanup + Stealth Rules

ה Best Practice של צ’ק פוינט אומר שבכל סביבה צריך להיות 3 חוקים

Management  – חוק שיהיה ניתן להגיע איתו ממחשבים ברשת מסוימת לGateway ול Security Management על מנת לנהל אותו (בתמונה חוק מספר 1)

Cleanup  – חוסם הכל ורק מה שנגדיר שמותר יעבור (בתמונה חוק מספר 4)

Stealth Rules – חוסם את הגישה של כולם אל ה Security Gateways (בתמונה חוק מספר 2)

Networks – מאפשר לרשתות לצאת לעולם

SmartView Monitor

מאפשר לראות את התקינות של הפיירוואלים וה Security Management, האם הכל תקין מבחינת חיבור, מה הגירסה של המערכת, כמה זמן הוא פועל (ככה אפשר לדעת אם הוא ביצע ריסט לאחרונה) כמה CPU בשימוש, כמה זיכרון בשימוש ומידע נוסף כגון: נפח תעבורה, עומס על הקווים שמחוברים אליו וכו’.

SmartView Tracker

אחד הכלים היותר שימושיים בצ’ק פוינט, כאשר מחשב 1 רוצה לגשת לשרת 1 בפורט נאמר 21 FTP והוא אינו מצליח, יכול להיות שיש בעיה בשירות עצמו של ה FTP אבל גם יכול להיות שהפיירוואל חוסם אותו לכן אנו נרצה לבדוק אם הוא חסם אותו וע”פ איזה חוק הוא חסם בתוך ה SmartView Tracker נוכל לראות מה חסום, מה עובר, ואם נלחץ על הלוג פעמיים נוכל לקבל פרטים רבים יותר כמו מה הכתובת IP של הנמען ומה הכתובת הIP של המוען ובאיזה פורט ופרטים נוספים

SmartUpdate

בודק עדכונים קיימים למכונות

Smart Provisioning

הוא מה שמציג לנו את FW01 ואת FW02 ונותן לנו יכולת לנהל אותם למרות שהם Gateways שונים

כלים נוספים קיימים, אכתוב עליהם במאמרים אחרים באתר.

Distributed & Standalone

שתי תצורות התקנה של צ’ק פוינט קיימות, תצורה אחת

Standalone

בתצורה זו ההתקנה של ה Security Management וה Security Gateway מבוצעות על אותו השרת\Appliance וכך כאשר מתחברים מזינים את אותה הכתובת של ה  Security Management וה Security Gateway אבל עדיין יש הפרדה, זאת אומרת 2 התכונות מותקנות על אותו שרת כמו בתמונה

Distributed

הוא התקנה של 2 שרתים האחד הוא  Security Management והוא יכול לנהל כמה פיירוואלים ושרת נוסף שהוא הSecurity Gateway כמו בתמונה

הסבר על DMZ

באמצע תוכלו לראות את ה DMZ – קיצור של Demilitarized Zone אזור מפורז, למשל בתרשים למטה ניתן לראות שיש DNZ שהרשת שלו היא 10.1.1.0, רשת זו יושבת באמצע בין הרשת החיצונית לבין הרשת הפנימית שכן באמצעות 2 הפיירוואלים האלו אנו מקשים על התקפות שכן הפיירוואל הראשון חוסם יותר דברים כלפי העולם והפיירוואל הפנימי מכיל מודלים נוספים. לרוב באזור זה יוגדרו שרת ה DNS שרתי VPN, שרתי RADIUS וכו’

כאשר מתקינים את ה FW בנפרד ואת ה Security Management בנפרד יש לבצע “קישור” בינהם, לקישור הזה קוראים SiC קיצור של Secure Internal Communication, בזמן התקנת ה Security Gateway תדרשו להזין סיסמת SiC, הסיסמא הזו משתמשת כ- Private Key וכאשר אתם רוצים לצרף את ה Security Gateway ל  Security Management עליכם להגדיר SiC ולהזין את כתובת ה IP של ה Security Gateway וסיסמת ה SiC

 

Hide NAT | Static NAT

NAT מאפשר לנו להחביא כתובת אחת בכתובת אחרת, נאמר ואנחנו רוצים להגדיר למשתמש שבמקום שהוא יצא מהרשת שלו בכתובת שלו נאמר 172.16.1.50 והוא יצא בכתובת 10.1.1.40, כך למעשה יחול עליו חוקים אחרים בפיירוואל או שלמחשב שהוא יגיע מתיר רק לשרת 10.1.1.0 להגיע אליו וכו’

Static NAT – כתובת אחת מתרגם לכתובת אחת נאמר מחשב 172.16.1.50 רוצה לגשת למחשב 10.1.1.111 אבל כאשר הוא יגיע הוא יגיע ברשת

Hide NAT מסתיר רשת \ כתובת אחת מאחורי כתובת אחת, נאמר רשת 10.1.1.0 רוצה לצאת לרשת בעולם וכתובת הראוטר זה 192.168.1.1 אז נגדיר Hide NAT על 192.168.1.1 ואת הרשת כ-Source

נאמר הכתובת החיצונית שלכם זה 80.115.100.20 אז נכוון את הכתובת הזו ב Static NAT לרשת פנימית כך שהכתובת הזו תדע לחזור, הרי המשתמשים כולם יוצאים כולם בכתובת אחת וכאשר המידע צריך לחזור הוא לא ידע אך, אז מגדירים Static NAT על הכתובת החיצונית.

מאמרים קשורים

Leave a Comment