Continuamos coa serie de artigos sobre o traballo coa nova gama de modelos SMB CheckPoint, lembrámosche que en describimos as características e capacidades dos novos modelos, métodos de xestión e administración. Hoxe analizaremos o escenario de implantación do modelo máis antigo da serie: CheckPoint 1590 NGFW. Aquí tedes un resumo desta parte:
- Equipos de desembalaxe (descrición dos compoñentes, conexións físicas e de rede).
- Inicialización inicial do dispositivo.
- Configuración inicial.
- Avaliación do rendemento.
Equipo de desembalaxe
Coñecer o equipo comeza coa retirada do equipo da caixa, desmontando compoñentes e instalando pezas; prema no spoiler, onde se presenta brevemente o proceso.
Entrega de NGFW 1590
Brevemente sobre os compoñentes:
- NGFW 1590;
- Adaptador de alimentación;
- 2 Antenas Wifi (2.4 Hz e 5 Hz);
- 2 antenas LTE;
- Folletos con documentación (unha breve guía para a conexión inicial, contrato de licenza, etc.)
En canto aos portos e interfaces de rede, hai todas as capacidades modernas para a transmisión e interacción de tráfico, un porto separado para a zona DMZ, USB 3.0 para sincronización cun PC.
A versión 1590 recibiu un deseño actualizado, opcións modernas para a comunicación sen fíos e a expansión da memoria: 2 ranuras para traballar con Micro/Nano SIM en modo LTE. (pensamos escribir sobre esta opción en detalle nun dos nosos próximos artigos da serie dedicada ás conexións sen fíos); Ranura para tarxetas SD.
Podes ler máis sobre as capacidades do 1590 NGFW e outros modelos novos en dunha serie de artigos sobre solucións CheckPoint SMB. Procederemos á inicialización inicial do dispositivo.
Inicialización primaria
Os nosos lectores habituais xa deberían saber que a liña SMB da serie 1500 usa o novo SO incorporado 80.20, que inclúe unha interface actualizada e capacidades melloradas.
Para comezar a inicializar o dispositivo, cómpre:
- Proporcionar enerxía á pasarela.
- Conecte o cable de rede do seu PC á LAN -1 da pasarela.
- Opcionalmente, pode proporcionar inmediatamente ao dispositivo acceso a Internet conectando a interface ao porto WAN.
- Ir ao portal Gaia Embedded:
Se seguiu os pasos indicados anteriormente, despois de ir á páxina do portal de Gaia, terás que confirmar a apertura da páxina cun certificado non fiable, despois de que se iniciará o asistente de configuración do portal:
Recibirás unha páxina que indica o modelo do teu dispositivo, tes que ir á seguinte sección:
Solicitarase que creemos unha conta para a autorización, é posible especificar altos requisitos de contrasinal para o administrador e indicamos o país onde usaremos a pasarela.
A seguinte xanela refírese á configuración de data e hora; pode configurala manualmente ou usar o servidor NTP da empresa.
O seguinte paso consiste en establecer un nome para o dispositivo e especificar o dominio da empresa para que os servizos de pasarela funcionen correctamente en Internet.
O seguinte paso refírese á elección do tipo de control NGFW, aquí hai que ter en conta:
- Xestión Local. Esta é unha opción dispoñible para xestionar a pasarela localmente mediante a páxina web do Portal de Gaia.
- Xestión Central. Este tipo de xestión inclúe a sincronización cun servidor dedicado de CheckPoint Management, a sincronización coa nube Smart1-Cloud ou con SMP (servizo de xestión para SMB).
Neste artigo, centrarémonos no método de xestión local; podes especificar o método que é necesario. Para familiarizarse co proceso de sincronización cun servidor de xestión dedicado, suxerímoslle da serie de formación CheckPoint Getting Started preparada por TS Solution.
A continuación, presentarase unha xanela que define o modo de funcionamento das interfaces da pasarela:
- O modo de conmutación implica a dispoñibilidade dunha subrede dunha interface á subrede doutra interface.
- O modo Desactivar conmutador desactiva o modo de conmutación; cada porto encamiña o tráfico como para un fragmento de rede separado.
Tamén se propón especificar un conxunto de enderezos DHCP que se utilizarán ao conectarse ás interfaces locais da pasarela.
O seguinte paso é configurar a pasarela para que funcione en modo sen fíos; pensamos discutir este aspecto con máis detalle nun artigo da serie, polo que aprazamos a configuración da configuración. Pode crear un novo punto de acceso sen fíos, establecer un contrasinal para conectarse a el e determinar o modo de funcionamento da canle sen fíos (2.4 Hz ou 5 Hz).
O seguinte paso será configurar o acceso á pasarela para os administradores da empresa. Por defecto, os dereitos de acceso están permitidos se a conexión procede de:
- Subrede interna da empresa
- Rede sen fíos de confianza
- Túnel VPN
A opción de conectarse á pasarela a través de Internet está desactivada por defecto, isto conleva grandes riscos e debe xustificarse para a súa inclusión, se non, recoméndase deixalo como no noso exemplo Tamén é posible especificar que enderezos IP se permitirán para conectarse á pasarela.
A seguinte xanela refírese á activación das licenzas; despois da inicialización do dispositivo, presentarase un período de proba de 30 días. Hai dous métodos de activación dispoñibles:
- Se hai conexión a Internet, a licenza actívase automaticamente.
- Se activas unha licenza sen conexión, debes facer o seguinte: descargar a licenza desde UserCenter, rexistrar o teu dispositivo nun . A continuación, para ambos os casos, terá que importar a licenza descargada manualmente.
Finalmente, a última xanela do asistente de configuración pídelle que seleccione as láminas que se queren activar; teña en conta que a lámina QOS só se acende despois da inicialización. Deberías ter unha xanela de finalización que resuma a túa configuración.
Configuración inicial
En primeiro lugar, recomendamos comprobar o estado das licenzas; disto dependerá a configuración posterior. Vaia á pestana "INICIO" → "Licenza":
Se as licenzas están activadas, recomendamos actualizar inmediatamente ao último firmware actual; para iso, vai á pestana "DISPOSITIVO" → "Operacións do sistema":
As actualizacións do sistema atópanse no elemento Actualización de firmware. No noso caso, está instalada a versión de firmware actual e máis recente.
A continuación, propoño falar brevemente das capacidades e configuracións das láminas do sistema. Loxicamente, pódense dividir en políticas de nivel de Acceso (Firewall, Control de aplicacións, Filtrado de URL) e Prevención de Ameazas (IPS, Antivirus, Anti-Bot, Emulación de Ameazas).
Imos á pestana Política de acceso → Control Blade:
Por defecto, utilízase o modo ESTÁNDAR, permite o tráfico de saída a Internet, o tráfico dentro da rede local, pero ao mesmo tempo bloquea o tráfico entrante de Internet.
En canto ás láminas APLICACIÓNS E FILTRO DE URL, por defecto están configuradas para bloquear sitios cun alto nivel de perigo, bloquear aplicacións de intercambio (Torrent, Almacenamento de ficheiros, etc.). Tamén pode bloquear categorías de sitios manualmente.
Comprobamos a opción para o tráfico de usuarios "Limitar as aplicacións que consumen ancho de banda" coa capacidade de limitar a velocidade do tráfico de entrada/saída para grupos de aplicacións.
A continuación, abra a subsección Política; por defecto, as regras xéranse automaticamente segundo a configuración descrita anteriormente.
A subsección NAT funciona por defecto en Global Hide Nat Automatic, é dicir, todos os hosts internos terán acceso a Internet a través do enderezo IP público. É posible establecer manualmente regras NAT para publicar as súas aplicacións ou servizos web.
A continuación, a sección que se refire á Autenticación de usuarios na rede ofrece dúas opcións: Consultas de Active Directory (integración co seu AD), Autenticación baseada no navegador (o usuario introduce as credenciais do dominio no portal).
Paga a pena mencionar a inspección SSL por separado; a proporción do tráfico HTTPS total na Rede Global está a crecer activamente. Vexamos cales son as funcións que ofrece CheckPoint para as solucións SMB. Para facelo, vai á sección Inspección SSL → Política:
Na configuración pode inspeccionar o tráfico HTTPS; terá que importar o certificado e instalalo no centro de certificados de confianza nas máquinas dos usuarios finais.
Consideramos que o modo BYPASS para categorías predefinidas é unha opción conveniente; isto permite un aforro significativo de tempo ao permitir a inspección.
Despois de configurar as regras a nivel de Firewall / Aplicación, debes proceder a axustar as políticas de seguranza (Prevención de ameazas), para facelo, vai á sección correspondente:
Na páxina aberta vemos as láminas activadas, os estados de actualización da sinatura e da base de datos. Tamén se nos solicita que seleccionemos un perfil para protexer o perímetro da rede e móstranse a configuración correspondente.
Unha sección separada "Proteccións IPS" permítelle configurar a acción para unha sinatura de seguridade específica.
Non hai moito que escribimos no noso blog para Windows Server - SigRed. Comprobamos a súa presenza en Gaia Embedded 80.20 introducindo a consulta “CVE-2020-1350”
Detectouse un rexistro para esta sinatura ao que se lle pode aplicar unha das accións. (Por defecto Preven para o nivel de perigo é Crítico). En consecuencia, ao contar cunha solución para pemes, non quedará fóra en canto a actualizacións e soporte; esta é unha solución NGFW completa para filiais de ata 200 persoas de CheckPoint.
Avaliación do rendemento
Concluíndo o artigo, gustaríame sinalar a dispoñibilidade de ferramentas para solucionar problemas despois da inicialización e configuración inicial da solución SMB. Podes ir á sección "INICIO" → "Ferramentas". Opcións posibles:
- recursos do sistema de seguimento;
- táboa de enrutamento;
- comprobar a dispoñibilidade dos servizos na nube de CheckPoint;
- xeración de CPinfo;
Tamén están dispoñibles os comandos de rede integrados: Ping, Traceroute, Traffic Capture.
Así, hoxe revisamos e estudamos a conexión e configuración inicial do NGFW 1590, realizará accións similares para toda a serie 1500 SMB Checkpoint. As opcións dispoñibles mostráronnos unha gran variabilidade para a configuración, soporte para métodos modernos de protección do tráfico no perímetro da rede.
Hoxe en día, as solucións CheckPoint para protexer pequenas oficinas e sucursais (ata 200 persoas) contan cunha ampla gama de ferramentas e empregan as últimas tecnoloxías (xestión na nube, compatibilidade con tarxetas SIM, ampliación de memoria mediante tarxetas SD, etc.). Continúa mantendo informado e lendo artigos de TS Solution, estamos planeando novos lanzamentos de pezas sobre NGFW CheckPoint da familia SMB, vémonos!
. Estade atentos (, , , , ).
Fonte: www.habr.com