Третья и заключительная часть, касающаяся возможности проведения бесплатного аудита безопасности сети с помощью Check Point Security CheckUP. Если вы пропустили прошлые части:
Закончив установку и инициализацию мы можем приступить к самой настройке. Далее будет следовать большое кол-во картинок. Если же вам лень читать, то можете подписаться на наш YouTube канал, где в скором времени появится видео инструкция по CheckUP.
Первым делом необходимо поправить топологию сети, как это показано на рисунке ниже. У нас должно появится два интерфейса.
![](https://habrastorage.org/web/e84/a7a/652/e84a7a6523cd4290ae231195bef180d0.png)
Далее мы должны определить первый интерфейс (который используется для управления и выхода в интернет) как Internal, включить антиспуфинг в режим detect и отключить логирование (дабы не захламлять отчет):
![](https://habrastorage.org/web/cb8/3e6/0d5/cb83e60d52c341eab11a75b145914683.png)
Второй же интерфейс мы обязательно определяем как External с аналогичными настройками антиспуфинга.
![](https://habrastorage.org/web/e87/347/c1c/e87347c1c80a474abafa201c256d832f.png)
В итоге должно получиться следующее:
![](https://habrastorage.org/web/3d1/13b/d17/3d113bd170d64886b376f495f5d88c8b.png)
Теперь можно переходить к включению блейдов. Для этого двойным кликом открываем свойства шлюза и начинаем галочками отмечать нужные блейды (Application Control, URL Filtering, IPS...):
![](https://habrastorage.org/web/0a7/3ff/c17/0a73ffc17aa54f759c79f88618641999.png)
Если же вы попытаетесь включить Threat Emulation
![](https://habrastorage.org/web/e66/4a4/bb0/e664a4bb028f46219d067ff446a6f701.png)
то обнаружите ошибку:
![](https://habrastorage.org/web/a45/7db/e29/a457dbe29b2b44b08be2a6251d00700e.png)
К сожалению Trial режим на 15 дней не включает функцию облачной песочницы (Threat Emulation). Если данная функция очень нужна, то можно запросить демо-лицензию на месяц.
Для идентификации пользователей (именно username, а на ip-адреса) необходимо настроить интеграцию с AD с помощью блейда Identity Awareness
![](https://habrastorage.org/web/8c2/eb6/1ab/8c2eb61ab996426890ac2bf1ab1a8dfd.png)
Для этого используется учетная запись с админскими правами. Фактически Check Point подключается к серверу AD и выгребает логи связанные с аутентификацией пользователей, после чего он может сопоставить пользователя и его ip-адрес. Указав домен, учетные данные и ip-адрес AD сервера мы должны успешно подключиться:
![](https://habrastorage.org/web/541/06f/7c4/54106f7c4beb4fd6af2b36eb26a33aa7.png)
Включив нужные фаервольные блейды (Network Security) мы можем перейти на вкладку Management и включить блейд Smart Event:
![](https://habrastorage.org/web/506/bf4/51e/506bf451e0f54f9a914a9ff8d7b86e00.png)
Именно этот блейд позволяет генерировать комплексные отчеты.
После этого не забудьте нажать Ok, а не просто закрыть окошко. Теперь можно перейти к настройки некоторых блейдов. Начнем с Application Control. Укажите настройки в соответствии с картинкой ниже:
Тоже самое сделайте для блейда Threat Prevention:
Теперь можно перейти к настройкам политик. Начнем с обычных фаервольных. Естественно разрешаем весь трафик и ВЫКЛЮЧАЕМ логирование. Данные логи абсолютно не интересны в отчете и лишь увеличивают нагрузку на устройство при их обработке:
Теперь Application Control и URL filtering. По умолчанию данная политика отсутствует (в отличии от R77.30) и чтобы это исправить, нужно сначала их включить. Делается это следующим образом:
Добавляем новый Layer:
![](https://habrastorage.org/web/80a/237/659/80a23765963d4211bdbf82c511aa7acc.png)
с именем Apllication и отмечаем только один блейд:
![](https://habrastorage.org/web/a38/275/0c7/a382750c7d3742cfbdea2adfa1148ea1.png)
Должно получиться следующее:
![](https://habrastorage.org/web/f51/770/c73/f51770c735cc4c8aa10b303ee1b3b37e.png)
Теперь в политиках появилось Application. Разрешаем весь трафик:
И обязательно включаем Detaild Log и Accounting:
Затем можем попробовать обновить базы:
![](https://habrastorage.org/web/0c8/63c/b05/0c863cb05f4e47b8ba0efe4681e53420.png)
Процесс обновления будет отображаться в левом нижнем углу. Дождитесь его окончания:
![](https://habrastorage.org/web/7f9/d31/2fe/7f9d312fe0854eaaac9b055f25b8bc8d.png)
Теперь можно перейти к настройкам политики Threat Prevention. По умолчанию устанавливается дефолтная политика с профилем Optimized:
![](https://habrastorage.org/web/77e/f10/541/77ef1054155c41679c8fb6538ea9d3f8.png)
Необходимо поправить настройки. Двойным кликом открываем свойства профиля и выставляем все в режим Detect (нет смысла в Prevent на копии трафика):
В настройках Ативируса включаем «глубокое» сканирование и проверку архивов:
В настройках Threat Emulation (если вы получили лицензию) включаем эмулирование для всех поддерживаемых файлов:
При нажатии Ok, нам предложат сохранить профиль под новым именем:
Сохранив, выставляем его в политиках Threat Prevention (правой кнопкой мыши по профилю):
Теперь можно перейти в раздел Updates и попробовать обновить IPS и другие блейды:
![](https://habrastorage.org/web/ca6/fa7/8f4/ca6fa78f4ccf41cfa34f1d447cc2f2c7.png)
Кроме того, нужно зайти в глобальные свойства Check Point:
![](https://habrastorage.org/web/983/b30/609/983b306096c046acb85b4864c7d7543e.png)
И отключить Drop-ы, как на картинке ниже:
![](https://habrastorage.org/web/723/f8c/6c7/723f8c6c74624f5c97050336156fdfc9.png)
Теперь необходимо проинсталлировать политики. Нажимаем Install Policy:
![](https://habrastorage.org/web/3e5/2dc/adc/3e52dcadc3b842cdab03407c13a2cb51.png)
И сначала отмечаем только Access Control (Threat Prevention не установится без этой политики):
![](https://habrastorage.org/web/b28/a4f/b4d/b28a4fb4d9fc4b1d97014f191fd1aea3.png)
После успешной установки еще раз нажимаем Install Policy и выбираем уже только Threat Prevention:
![](https://habrastorage.org/web/def/68d/ee7/def68dee756145cfb141a40511be1f0a.png)
Готово! Если вы правильно настроили SPAN-порт, то Check Point уже должен начать обрабатывать трафик. Чтобы убедиться в этом можно перейти во вкладку Logs & Monitor и отфильтровать логи например по блейду Apllication Control:
Если все хорошо, то оставьте логирование хотя бы на один день, после чего можно будет посмотреть статистику нажав на New Tab — Reports — Security CheckUP Advanced
Должно получиться следующее:
Данный отчет вы сможете скачать в PDF формате, при этом есть возможность сделать отчет анонимным, т.е. исключить параметры, по которым можно идентифицировать вашу организацию.
Желательное время для сбора статистики — две недели. Пример отчета можно посмотреть здесь.
Вот таким «нехитрым» образом можно провести экспресс анализ безопасности вашей сети. Искренне надеемся, что данная информация кому-то пригодится. Если возникнут вопросы то можете смело обращаться. Повторюсь, в скором времени на нашем канале будет выложена видео инструкция.
Поделиться с друзьями
DonAlPAtino
>Фактически Check Point подключается к серверу AD и выгребает логи связанные с аутентификацией пользователей, после чего он может сопоставить пользователя и его ip-адрес.
И расскажите как делить пользователей на терминальнике? У ASA вот та же проблема…
cooper051
Для этого есть специальный агент, который устанавливается на терминальный сервер.
DonAlPAtino
И? Если я правильно понимаю, то трафик мы забираем со СПАН порта. Агент висит на терминальном сервере. Что он делает, чтобы чекпойнт потом понял чей конкретно это трафик приехал?
mms
Identity Agent вместе с собой ставит TDI драйвер, который перехватывает все подключения и для каждого пользователя генерирует свой пул source портов, по которым потом сам шлюз определяет каждого пользователя на терминальном сервере.