7. NGFW для малога бізнэсу. Прадукцыйнасць і агульныя рэкамендацыі

Наступіла час для завяршэння цыклу артыкулаў аб новым пакаленні SMB Check Point (1500 серыя). Мы спадзяемся, што для вас гэта быў карысны вопыт, і вы працягнеце быць з намі ў блогу TS Solution. Тэма для заключнага артыкула шырока не асветлена, але не менш важная – цюнінг прадукцыйнасці SMB. У ёй мы абмяркуем магчымасці канфігурацыі апаратнай і праграмнай часткі працы NGFW, апішам даступныя каманды і спосабы ўзаемадзеяння.

Усе артыкулы цыкла аб NGFW для малога бізнэсу:

1. Новая лінейка CheckPoint 1500 Security Gateway

2. Распакоўка і настройка

3. Бесправадная перадача даных: WiFi і LTE

4. VPN

5. Воблачнае кіраванне SMP

6. Smart-1 Cloud

На бягучы момант існуе не так шмат крыніц інфармацыі аб цюнінгу прадукцыйнасці для SMB рашэнняў з прычыны абмежаванняў ўнутранай АС - Gaia 80.20 Embedded. У нашым артыкуле мы будзем выкарыстоўваць макет з цэнтралізаваным кіраваннем (выдзелены Management Server) – ён дазваляе прымяніць большую колькасць інструментаў пры працы з NGFW.

апаратная частка

Перш чым закранаць архітэктуру Check Point сямейства SMB, вы заўсёды можаце звярнуцца да вашага партнёра, каб ён выкарыстоўваў утыліту Appliance Sizing Tool, для падбору аптымальнага рашэння паводле зададзеных характарыстык (прапускная здольнасць, чаканая колькасць карыстальнікаў і г.д).

Важныя нататкі пры ўзаемадзеянні з апаратнай часткай вашага NGFW

1. NGFW рашэнні сямейства SMB не маюць магчымасці апаратнага апгрэйду сістэмных кампанентаў (CPU, RAM, HDD), у залежнасці ад мадэлі ёсць падтрымка SD-карт, гэта дазваляе пашырыць ёмістасць дыска, але не значна.

2. Праца сеткавых інтэрфейсаў патрабуе кантролю. У Gaia 80.20 Embedded не так шмат інструментаў для маніторынгу, але вы заўсёды можаце выкарыстоўваць агульнавядомую каманду ў CLI праз рэжым Expert 

   # ifconfig

   

   Звярніце ўвагу на падкрэсленыя радкі, яны дазволяць вам ацаніць колькасць памылак на інтэрфейсе. Вельмі рэкамендуецца правяраць дадзеныя параметры пры першасным укараненні вашага NGFW, а таксама перыядычна ўжо падчас эксплуатацый.

3. Для паўнавартаснай Gaia ёсць каманда:

   > show diag

   З яе дапамогай магчыма атрымаць інфармацыю аб тэмпературы апаратнага забеспячэння. Нажаль, у 80.20 Embedded дадзенай опцыі няма, пакажам найболей папулярныя SNMP-traps:

   Назва 

   Апісанне

   Interface disconnected

   Адключэнне інтэрфейсу

   VLAN removed

   Выдаленне Vlan

   High memory utilization

   Высокая ўтылізацыя RAM

   Нізкая дыскавая прастора

   Мала месца на HDD

   High CPU utilization

   Высокая ўтылізацыя CPU

   High CPU interrupts rate

   Высокая частата перапыненняў

   High connection rate

   Высокі паток новых падлучэнняў

   High concurrent connections

   Высокі ўзровень канкурэнтных сесій

   High Firewall throughput

   Высокі ўзровень прапускной здольнасці Firewall

   High accepted packet rate

   Высокі ўзровень прыёму пакетаў

   Cluster member state changed

   Змена стану кластара

   Connection with log server error

   Страта сувязі з Log-Server

4. Праца вашага шлюза патрабуе кантролю RAM. Для працы Gaia (Linux падобная OC) гэта нармальная сітуацыя, Калі выдатак RAM даходзіць да 70-80% выкарыстання.

   У архітэктуры SMB-рашэнняў не прадугледжана выкарыстанні SWAP-памяці, у адрозненне ад больш старэйшых мадэляў Check Point. Тым не менш, у сістэмных файлах Linux быў заўважаны , Што кажа аб тэарэтычнай магчымасці змяняць параметр SWAP.

Праграмная частка

На момант выхаду артыкула актуальная версіі Gaia - 80.20.10. Вам трэба ведаць, што прысутнічаюць абмежаванні пры працы ў CLI: у рэжыме Expert падтрымліваюцца некаторыя Linuх каманды. Для ацэнкі працы NGFW патрабуецца ацэнка працы дэманаў і службаў, больш падрабязна пра гэта можна даведацца ў артыкуле майго калегі. Мы ж разгледзім магчымыя каманды для SMB.

Праца з Gaia OS

1. Прагляд шаблонаў SecureXL

   # fwaccel stat

   

2. Прагляд загрузкі па ядрах

   # fw ctl multik stat

   

3. Прагляд колькасці сесій (злучэнняў).

   # fw ctl pstat

   

4. *Прагляд стану кластара

   # cphaprob stat

   

5. Класічная Linux-каманда TOP

Лагіраванне

Як вы ўжо ведаеце, ёсць тры спосабу працы з логамі NGFW (захоўванне, апрацоўка): лакальна, цэнтралізавана і ў воблаку. Апошнія два варыянты маюць на ўвазе наяўнасць сутнасці – Management Server.

Магчымыя схемы кіравання NGFW

Найбольш каштоўныя файлы логаў

1. Сістэмныя паведамленні (змяшчае менш інфармацыі, чым у паўнавартаснай Gaia)

   # tail -f /var/log/messages2

   

2. Паведамлення пра памылкі ў працы блейдаў (дастаткова карысны файл пры пошуку праблем)

   # tail -f /var/log/log/sfwd.elg

   

3. Прагляд паведамленняў з буфера на ўзроўні ядра сістэмы.

   # dmesg

   

Канфігурацыя блейдаў

Дадзеная частка не будзе ўтрымоўваць паўнавартасных інструкцый па наладзе вашага NGFW Сheck Point, ён толькі ўтрымоўвае нашы рэкамендацыі, падабраныя дасведчаным шляхам.

Application Control / URL Filtering

• Рэкамендавана пазбягаць у правілах умовы ANY, ANY (Source, Destination).

• У выпадку задання кастамнага URL-рэсурсу больш дзейсна будзе выкарыстоўваць рэгулярны выраз тыпу: (^|..)checkpoint.com

• Пазбягайце празмернага выкарыстання лагіравання па правілах і паказу старонак блакіроўкі (UserCheck).

• Пераканайцеся, што карэктна працуе тэхналогія "SecureXL". Большая частка трафіку павінна праходзіць праз accelerated / medium path. Таксама не забывайце фільтраваць правілы па найболей выкарыстоўваным (поле колькасць праглядаў ).

HTTPS-Inspection

Ні для каго не сакрэт, што 70-80% карыстацкага трафіку прыпадае на HTTPS-злучэнні, адпаведна, гэта патрабуе рэсурсаў ад працэсара вашага шлюза. Акрамя гэтага, HTTPS-Inspection удзельнічае ў рабоце IPS, Antivirus, Antibot.

Пачынаючы з версіі 80.40 з'явілася магчымасць працаваць з HTTPS-правіламі без Legacy Dashboard, вось некаторы рэкамендуемы парадак правіл:

• Bypass для групы адрасоў і сетак (Destination).

• Bypass для групы URL-адрасоў.

• Bypass для ўнутраных IP і сетак з прывілеяваным доступам (Source).

• Inspect для неабходных сетак, карыстальнікаў

• Bypass для ўсіх астатніх.

* Заўсёды лепш выбіраць уручную сэрвісы HTTPS ці HTTPS Proxy, не пакідаць Any. Лагаваць падзеі па правілах Inspect.

IPS

Блэйд IPS можа выклікаць памылку пры ўсталёўцы палітыкі на вашым NGFW , калі выкарыстоўваецца занадта шмат сігнатур. Згодна артыкуле ад Check Point, архітэктура SMB прылад не разлічана для запуску поўнага рэкамендуемага профіля налад IPS.

Каб вырашыць ці прадухіліць праблему, выканайце наступныя крокі:

1. Клануйце Optimized профіль пад назвай “Optimized SMB” ( альбо іншым на ваша меркаванне).

2. Адрэдагуйце профіль, перайдзіце ў падзел IPS → Pre R80.Settings і выключыце Server Protections.

   

3. Па вашым меркаванні вы можаце дэактываваць CVE старэйшыя за 2010, дадзеныя ўразлівасці могуць быць рэдка выяўленыя ў малых офісах, але ўплываюць на прадукцыйнасць. Каб адключыць некаторыя з іх, перайдзіце ў Profile→ IPS→ Additional Activation → Protections to deactivate list

   

замест заключэння

У рамках цыкла артыкулаў аб новым пакаленні NGFW сямейства SMB (1500) мы пастараліся асвятліць асноўныя магчымасці рашэння, прадэманстравалі на канкрэтных прыкладах наладу важных кампанентаў бяспекі. Будзем рады адказаць на любыя пытанні аб прадукце ў каментарах. Застаемся з вамі, дзякуй за ўвагу!

Вялікая падборка матэрыялаў па Check Point ад TS Solution. Каб не прапусціць новыя публікацыі - сачыце за абнаўленнямі ў нашых сацыяльных сетках (Тэлеграма, Facebook, VK, TS Solution Blog, Яндэкс.Дзэн).

Крыніца: habr.com