Continuamos la serie de artículos sobre cómo trabajar con la nueva gama de modelos CheckPoint SMB, te recordamos que en describimos las características y capacidades de los nuevos modelos, métodos de gestión y administración. Hoy veremos el escenario de implementación del modelo anterior de la serie: CheckPoint 1590 NGFW. A continuación se muestra un resumen de esta parte:
- Desembalaje de equipos (descripción de componentes, conexiones físicas y de red).
- Inicialización inicial del dispositivo.
- Configuración inicial.
- Evaluación del desempeño.
Desembalaje de equipos
Conocer el equipo comienza con sacar el equipo de la caja, desmontar componentes e instalar piezas; haga clic en el spoiler, donde se presenta brevemente el proceso.
Entrega de NGFW 1590
Brevemente sobre los componentes:
- NGFW 1590;
- Adaptador de corriente;
- 2 Antenas Wifi (2.4 Hz y 5 Hz);
- 2 antenas LTE;
- Folletos con documentación (una breve guía para la conexión inicial, acuerdo de licencia, etc.)
En cuanto a los puertos e interfaces de red, existen todas las capacidades modernas para la transmisión e interacción del tráfico, un puerto separado para la zona DMZ, USB 3.0 para sincronización con una PC.
La versión 1590 recibió un diseño actualizado, opciones modernas para comunicación inalámbrica y expansión de memoria: 2 ranuras para trabajar con Micro/Nano SIM en modo LTE. (planeamos escribir sobre esta opción en detalle en uno de nuestros próximos artículos de la serie dedicada a las conexiones inalámbricas); Ranura para tarjetas SD.
Puede leer más sobre las capacidades del 1590 NGFW y otros modelos nuevos en de una serie de artículos sobre las soluciones CheckPoint SMB. Procederemos a la inicialización inicial del dispositivo.
Inicialización primaria
Nuestros lectores habituales ya deberían saber que la línea SMB serie 1500 utiliza el nuevo sistema operativo integrado 80.20, que incluye una interfaz actualizada y capacidades mejoradas.
Para comenzar a inicializar el dispositivo necesita:
- Proporcionar energía a la puerta de enlace.
- Conecte el cable de red de su PC a LAN -1 en la puerta de enlace.
- Opcionalmente, puede proporcionar inmediatamente acceso a Internet al dispositivo conectando la interfaz al puerto WAN.
- Vaya al portal integrado de Gaia:
Si siguió los pasos indicados anteriormente, luego de ir a la página del portal Gaia, deberá confirmar la apertura de la página con un certificado que no es de confianza, después de lo cual se iniciará el asistente de configuración del portal:
Será recibido por una página que indica el modelo de su dispositivo, debe pasar a la siguiente sección:
Se nos pedirá que creemos una cuenta para autorización, es posible especificar altos requisitos de contraseña para el administrador e indicamos el país donde usaremos la puerta de enlace.
La siguiente ventana se refiere a la configuración de fecha y hora; puede configurarla manualmente o utilizar el servidor NTP de la empresa.
El siguiente paso consiste en configurar un nombre para el dispositivo y especificar el dominio de la empresa para que los servicios de puerta de enlace funcionen correctamente en Internet.
El siguiente paso se refiere a la elección del tipo de control NGFW, aquí cabe señalar:
- Administración Local. Esta es una opción disponible para administrar la puerta de enlace localmente utilizando la página web del Portal Gaia.
- Gestión Central. Este tipo de gestión incluye sincronización con un servidor dedicado de CheckPoint Management, sincronización con la nube Smart1-Cloud o con SMP (servicio de gestión para SMB).
En este artículo, nos centraremos en el método de gestión local; puede especificar el método que sea necesario. Para familiarizarse con el proceso de sincronización con un Management Server dedicado, le sugerimos de la serie de capacitación CheckPoint Getting Started preparada por TS Solution.
A continuación se presentará una ventana definiendo el modo de funcionamiento de las interfaces del gateway:
- El modo de conmutación implica la disponibilidad de una subred de una interfaz a la subred de otra interfaz.
- En consecuencia, el modo Disable Switch desactiva el modo Switch; cada puerto enruta el tráfico como para un fragmento de red separado.
También se propone especificar un grupo de direcciones DHCP que se utilizarán al conectarse a las interfaces locales de la puerta de enlace.
El siguiente paso es configurar la puerta de enlace para que funcione en modo inalámbrico; planeamos discutir este aspecto con más detalle en un artículo de la serie, por lo que pospusimos la configuración de los ajustes. Puede crear un nuevo punto de acceso inalámbrico, establecer una contraseña para conectarse a él y determinar el modo de funcionamiento del canal inalámbrico (2.4 Hz o 5 Hz).
El siguiente paso será configurar el acceso al gateway para los administradores de la empresa. Por defecto, se permiten derechos de acceso si la conexión proviene de:
- Subred interna de la empresa
- Red inalámbrica confiable
- túnel vpn
La opción de conectarse al gateway a través de Internet está deshabilitada por defecto, esto conlleva grandes riesgos y se debe justificar su inclusión, en caso contrario se recomienda dejarlo como en nuestro ejemplo, también es posible especificar qué direcciones IP se permitirán. para conectarse a la puerta de enlace.
La siguiente ventana se refiere a la activación de licencias; tras la inicialización inicial del dispositivo, se le presentará un período de prueba de 30 días. Hay dos métodos de activación disponibles:
- Si hay conexión a Internet, la licencia se activa automáticamente.
- Si activa una licencia sin conexión, debe hacer lo siguiente: descargar la licencia desde UserCenter, registrar su dispositivo en un especial . A continuación, para ambos casos, deberá importar la licencia descargada manualmente.
Finalmente, la última ventana del asistente de configuración le solicita que seleccione los blades que desea encender; tenga en cuenta que el blade QOS se enciende solo después de la inicialización inicial. Debería terminar con una ventana de finalización que resuma su configuración.
Configuración inicial
En primer lugar, recomendamos verificar el estado de las licencias, de esto dependerá la configuración adicional. Vaya a la pestaña “INICIO” → “Licencia”:
Si las licencias están activadas, recomendamos actualizar inmediatamente al último firmware actual; para ello, vaya a la pestaña “DISPOSITIVO” → “Operaciones del sistema”:
Las actualizaciones del sistema se encuentran en el elemento Actualización de firmware. En nuestro caso, está instalada la versión de firmware actual y más reciente.
A continuación, propongo hablar brevemente sobre las capacidades y configuraciones de los blades del sistema. Lógicamente, se pueden dividir en políticas a nivel de Acceso (Firewall, Control de Aplicaciones, Filtrado de URL) y Prevención de Amenazas (IPS, Antivirus, Anti-Bot, Emulación de Amenazas).
Vayamos a la pestaña Política de acceso → Control de Blade:
De forma predeterminada, se utiliza el modo ESTÁNDAR, que permite el tráfico saliente a Internet, el tráfico dentro de la red local, pero al mismo tiempo bloquea el tráfico entrante de Internet.
En cuanto a las hojas de APLICACIONES Y FILTRADO DE URL, de forma predeterminada están configuradas para bloquear sitios con un alto nivel de peligro, bloquear aplicaciones de intercambio (Torrent, Almacenamiento de archivos, etc.). También puede bloquear categorías de sitios manualmente.
Marquemos la opción para el tráfico de usuarios "Limitar aplicaciones que consumen ancho de banda" con la capacidad de limitar la velocidad del tráfico saliente/entrante para grupos de aplicaciones.
A continuación, abra la subsección Política; de forma predeterminada, las reglas se generan automáticamente de acuerdo con la configuración descrita anteriormente.
La subsección NAT funciona de forma predeterminada en Global Hide Nat Automatic, es decir, todos los hosts internos tendrán acceso a Internet a través de la dirección IP pública. Es posible configurar manualmente reglas NAT para publicar sus aplicaciones o servicios web.
A continuación, la sección que trata sobre Autenticación de usuario en la red ofrece dos opciones: Consultas de Active Directory (integración con su AD), Autenticación basada en navegador (el usuario ingresa las credenciales del dominio en el portal).
Vale la pena mencionar por separado la inspección SSL: la proporción del tráfico HTTPS total en la red global está creciendo activamente. Veamos qué características ofrece CheckPoint para soluciones para PYMES. Para hacer esto, vaya a la sección Inspección SSL → Política:
En la configuración puede inspeccionar el tráfico HTTPS; deberá importar el certificado e instalarlo en el centro de certificados confiable en las máquinas de los usuarios finales.
Consideramos que el modo BYPASS para categorías predefinidas es una opción conveniente; esto ahorra significativamente tiempo al habilitar la inspección.
Luego de configurar las reglas a nivel de Firewall/Aplicación, se debe proceder a ajustar las políticas de seguridad (Prevención de Amenazas), para ello vaya a la sección correspondiente:
En la página abierta vemos los estados de actualización de las bases de datos, las firmas y los blades habilitados. También se nos pide que seleccionemos un perfil para proteger el perímetro de la red y se muestran las configuraciones correspondientes.
Una sección separada "Protecciones IPS" le permite configurar la acción para una firma de seguridad específica.
No hace mucho escribimos en nuestro blog. para Windows Server - SigRed. Comprobemos su presencia en Gaia Embedded 80.20 ingresando la consulta “CVE-2020-1350”
Para esta firma se ha detectado un registro al que se le puede aplicar una de las acciones. (De forma predeterminada, Prevenir para el nivel de peligro es Crítico). Por lo tanto, al contar con una solución SMB, no te quedarás fuera en términos de actualizaciones y soporte, esta es una solución NGFW completa para sucursales de hasta 200 personas de CheckPoint.
Evaluación del desempeño
Para concluir el artículo, me gustaría señalar la disponibilidad de herramientas para solucionar problemas después de la inicialización y configuración inicial de la solución SMB. Puede ir a la sección “INICIO” → “Herramientas”. Posibles opciones:
- recursos del sistema de monitoreo;
- tabla de ruteo;
- comprobar la disponibilidad de los servicios en la nube de CheckPoint;
- generación de CPinfo;
Los comandos de red integrados también están disponibles: Ping, Traceroute, Traffic Capture.
Así, hoy revisamos y estudiamos la conexión y configuración inicial del NGFW 1590, realizarás acciones similares para toda la serie 1500 SMB Checkpoint. Las opciones disponibles nos mostraron una alta variabilidad de configuración y soporte para métodos modernos de protección del tráfico en el perímetro de la red.
Hoy en día, las soluciones de CheckPoint para proteger pequeñas oficinas y sucursales (hasta 200 personas) cuentan con una amplia gama de herramientas y utilizan las últimas tecnologías (gestión de la nube, soporte para tarjetas SIM, ampliación de memoria mediante tarjetas SD, etc.). Continúe manteniéndose informado y leyendo los artículos de TS Solution, estamos planeando nuevos lanzamientos de piezas sobre NGFW CheckPoint de la familia SMB, ¡nos vemos!
. Manténganse al tanto (, , , , ).
Fuente: habr.com