Nous poursuivons la série d'articles sur le travail avec la nouvelle gamme de modèles SMB CheckPoint, rappelons-nous que dans nous avons décrit les caractéristiques et les capacités des nouveaux modèles, méthodes de gestion et d'administration. Aujourd'hui, nous examinerons le scénario de déploiement de l'ancien modèle de la série : CheckPoint 1590 NGFW. Voici un résumé de cette partie :
- Déballage du matériel (description des composants, connexions physiques et réseau).
- Initialisation initiale de l'appareil.
- La configuration initiale.
- Évaluation de la performance.
Équipement de déballage
La connaissance de l'équipement commence par le retrait de l'équipement de la boîte, le démontage des composants et l'installation des pièces ; cliquez sur le spoiler, où le processus est brièvement présenté.
Livraison du NGFW 1590
En bref sur les composants :
- NGFW1590 ;
- Adaptateur secteur;
- 2 antennes Wifi (2.4 Hz et 5 Hz) ;
- 2 antennes LTE ;
- Livrets avec documentation (un petit guide de connexion initiale, un contrat de licence, etc.)
Quant aux ports et interfaces réseau, il existe toutes les capacités modernes de transmission du trafic et d'interaction, un port séparé pour la zone DMZ, USB 3.0 pour la synchronisation avec un PC.
La version 1590 a reçu un design mis à jour, des options modernes de communication sans fil et d'extension de mémoire : 2 emplacements pour travailler avec Micro/Nano SIM en mode LTE. (nous prévoyons d'écrire sur cette option en détail dans l'un de nos prochains articles de la série dédiée aux connexions sans fil) ; Emplacement pour carte SD.
Vous pouvez en savoir plus sur les capacités du 1590 NGFW et d'autres nouveaux modèles dans à partir d'une série d'articles sur les solutions CheckPoint PME. Nous allons procéder à l'initialisation initiale de l'appareil.
Initialisation primaire
Nos lecteurs réguliers doivent déjà savoir que la gamme SMB de la série 1500 utilise le nouveau système d'exploitation intégré 80.20, qui comprend une interface mise à jour et des fonctionnalités améliorées.
Pour commencer à initialiser l'appareil, vous devez :
- Alimentez la passerelle en électricité.
- Connectez le câble réseau de votre PC au LAN -1 sur la passerelle.
- En option, vous pouvez immédiatement fournir à l'appareil un accès Internet en connectant l'interface au port WAN.
- Accédez au portail Gaia Embedded :
Si vous avez suivi les étapes indiquées précédemment, après avoir accédé à la page du portail Gaia, vous devrez confirmer l'ouverture de la page avec un certificat non fiable, après quoi l'assistant de configuration du portail se lancera :
Vous serez accueilli par une page indiquant le modèle de votre appareil, vous devez vous rendre à la rubrique suivante :
Il nous sera demandé de créer un compte pour l'autorisation, il est possible de spécifier des exigences élevées en matière de mot de passe pour l'administrateur et nous indiquons le pays où nous utiliserons la passerelle.
La fenêtre suivante concerne les paramètres de date et d’heure ; vous pouvez la définir manuellement ou utiliser le serveur NTP de l’entreprise.
L'étape suivante consiste à définir un nom pour l'appareil et à spécifier le domaine de l'entreprise afin que les services de passerelle fonctionnent correctement sur Internet.
L'étape suivante concerne le choix du type de contrôle NGFW, il convient ici de noter :
- La gestion locale. Il s'agit d'une option disponible pour gérer la passerelle localement à l'aide de la page Web du portail Gaia.
- Gestion centrale. Ce type de gestion comprend la synchronisation avec un serveur CheckPoint Management dédié, la synchronisation avec le cloud Smart1-Cloud ou avec SMP (service de gestion pour SMB).
Dans cet article, nous allons nous concentrer sur la méthode de Gestion Locale, vous pouvez préciser la méthode qui est nécessaire. Pour vous familiariser avec le processus de synchronisation avec un Management Server dédié, nous vous proposons de la série de formations CheckPoint Getting Started préparée par TS Solution.
Ensuite, une fenêtre sera présentée définissant le mode de fonctionnement des interfaces sur la passerelle :
- Le mode Switch implique la disponibilité d'un sous-réseau d'une interface vers le sous-réseau d'une autre interface.
- Le mode Disable Switch désactive en conséquence le mode Switch ; chaque port achemine le trafic comme pour un fragment de réseau distinct.
Il est également proposé de spécifier un pool d'adresses DHCP qui sera utilisé lors de la connexion aux interfaces locales de la passerelle.
La prochaine étape consiste à configurer la passerelle pour qu'elle fonctionne en mode sans fil ; nous prévoyons de discuter de cet aspect plus en détail dans un article de la série, nous avons donc reporté la configuration des paramètres. Vous pouvez créer un nouveau point d'accès sans fil, définir un mot de passe pour vous y connecter et déterminer le mode de fonctionnement du canal sans fil (2.4 Hz ou 5 Hz).
La prochaine étape consistera à configurer l'accès à la passerelle pour les administrateurs de l'entreprise. Par défaut, les droits d'accès sont accordés si la connexion provient de :
- Sous-réseau interne de l'entreprise
- Réseau sans fil fiable
- Tunnel VPN
L'option de connexion à la passerelle via Internet est désactivée par défaut, cela comporte de grands risques et doit être justifié pour l'inclusion, sinon il est recommandé de la laisser comme dans notre exemple. Il est également possible de préciser quelles adresses IP seront autorisées pour vous connecter à la passerelle.
La fenêtre suivante concerne l'activation des licences ; lors de la première initialisation de l'appareil, une période d'essai de 30 jours vous sera proposée. Il existe deux méthodes d'activation disponibles :
- S'il existe une connexion Internet, la licence est activée automatiquement.
- Si vous activez une licence hors ligne, vous devez procéder comme suit : télécharger la licence depuis UserCenter, enregistrer votre appareil sur un compte spécial . Ensuite, dans les deux cas, vous devrez importer la licence téléchargée manuellement.
Enfin, la dernière fenêtre de l'assistant de configuration vous invite à sélectionner les lames à activer ; notez que la lame QOS n'est activée qu'après l'initialisation initiale. Vous devriez vous retrouver avec une fenêtre de fin qui résume vos paramètres.
La configuration initiale
Tout d'abord, nous vous recommandons de vérifier l'état des licences ; la configuration ultérieure en dépendra. Allez dans l’onglet « ACCUEIL » → « Licence » :
Si les licences sont activées, nous vous recommandons de mettre à jour immédiatement vers le dernier firmware actuel ; pour cela, rendez-vous dans l'onglet « DEVICE » → « System Operations » :
Les mises à jour du système se trouvent dans l'élément Mise à niveau du micrologiciel. Dans notre cas, la version actuelle et la dernière du firmware est installée.
Ensuite, je propose de parler brièvement des capacités et des paramètres des lames système. Logiquement, elles peuvent être divisées en politiques de niveau accès (pare-feu, contrôle des applications, filtrage d'URL) et prévention des menaces (IPS, antivirus, anti-bot, émulation des menaces).
Passons à l'onglet Politique d'accès → Contrôle de la lame :
Par défaut, le mode STANDARD est utilisé, il autorise le trafic sortant vers Internet, le trafic au sein du réseau local, mais bloque en même temps le trafic entrant en provenance d'Internet.
Quant aux lames APPLICATIONS & URL FILTERING, elles sont paramétrées par défaut pour bloquer les sites à haut niveau de danger, bloquer les applications d'échange (Torrent, File Storage, etc.). Vous pouvez également bloquer manuellement des catégories de sites.
Vérifions l'option pour le trafic utilisateur « Limiter les applications consommatrices de bande passante » avec la possibilité de limiter la vitesse du trafic sortant/entrant pour des groupes d'applications.
Ensuite, ouvrez la sous-section Politique ; par défaut, les règles sont générées automatiquement selon les paramètres décrits précédemment.
La sous-partition NAT fonctionne par défaut en Global Hide Nat Automatic, c'est-à-dire que tous les hôtes internes auront accès à Internet via l'adresse IP publique. Il est possible de définir manuellement des règles NAT pour la publication de vos applications ou services Web.
Ensuite, la section qui concerne l'authentification des utilisateurs sur le réseau propose deux options : Requêtes Active Directory (intégration avec votre AD), Authentification basée sur le navigateur (l'utilisateur saisit les informations d'identification du domaine dans le portail).
Il convient de mentionner l'inspection SSL séparément : la part du trafic HTTPS total sur le réseau mondial est en croissance active. Examinons les fonctionnalités proposées par CheckPoint pour les solutions PME. Pour ce faire, rendez-vous dans la section SSL-Inspection → Politique :
Dans les paramètres, vous pouvez inspecter le trafic HTTPS ; vous devrez importer le certificat et l'installer dans le centre de certificats de confiance sur les machines des utilisateurs finaux.
Nous considérons le mode BYPASS pour les catégories prédéfinies comme une option pratique ; cela permet de gagner beaucoup de temps lors de l'activation de l'inspection.
Après avoir configuré les règles au niveau Pare-feu / Application, vous devez procéder au réglage des politiques de sécurité (Prévention des Menaces), pour cela rendez-vous dans la rubrique appropriée :
Sur la page ouverte, nous voyons les statuts des lames activées, des signatures et de la mise à jour de la base de données. Il nous est également demandé de sélectionner un profil de protection du périmètre du réseau, et les paramètres correspondants s'affichent.
Une section distincte « Protections IPS » vous permet de configurer l'action pour une signature de sécurité spécifique.
Il n'y a pas longtemps, nous avons écrit sur notre blog pour Windows Server - SigRed. Vérifions sa présence dans Gaia Embedded 80.20 en saisissant la requête « CVE-2020-1350 »
Un enregistrement a été détecté pour cette signature auquel une des actions peut être appliquée. (par défaut, Prevent pour le niveau de danger est Critique). Ainsi, en disposant d'une solution PME, vous ne serez pas en reste en termes de mises à jour et de support : il s'agit d'une solution NGFW complète pour les succursales comptant jusqu'à 200 personnes de CheckPoint.
Évaluation de la performance
En conclusion de l'article, je voudrais souligner la disponibilité d'outils de dépannage après l'initialisation et la configuration initiales de la solution SMB. Vous pouvez aller dans la section « ACCUEIL » → « Outils ». Options possibles :
- surveiller les ressources du système ;
- table de routage;
- vérifier la disponibilité des services cloud CheckPoint ;
- Génération CPinfo ;
Des commandes réseau intégrées sont également disponibles : Ping, Traceroute, Traffic Capture.
Ainsi, aujourd'hui, nous avons examiné et étudié la connexion et la configuration initiales du NGFW 1590, vous effectuerez des actions similaires pour l'ensemble de la série 1500 SMB Checkpoint. Les options disponibles nous ont montré une grande variabilité des paramètres et la prise en charge des méthodes modernes de protection du trafic sur le périmètre du réseau.
Aujourd'hui, les solutions CheckPoint de protection des petits bureaux et succursales (jusqu'à 200 personnes) disposent d'une large gamme d'outils et utilisent les dernières technologies (gestion du cloud, support des cartes SIM, extension de mémoire via cartes SD, etc.). Continuez à rester informé et lisez les articles de TS Solution, nous prévoyons d'autres versions de parties sur NGFW CheckPoint de la famille SMB, à bientôt !
. Restez à l'écoute (, , , , ).
Source: habr.com