Check point

Мы уже опубликовали огромное кол-во обучающих материалов по Check Point. Однако, тема защиты рабочих станций с помощью Check Point SandBlast Agent пока освещена крайне плохо. Мы планируем исправиться и в ближайшее время создать обучающие курсы по этому продукту, который является одним из лидеров сегмента EDR несколько лет подряд. А пока, делимся информацией о новых возможностях агента, которые появились в версии E83.10. Спойлер появилась бета версия под LINUX и новая облачная управлялка.

Новые функции

Все улучшения версии E83.10 можно найти в sk166979. Там много значимой информации, но мы лучше пройдемся по новым функциям.

Новый облачный менеджмент портал

Check Point уже долгое время развивает концепт Infinity, где ключевую роль играет централизованное управление через облачный портал portal.checkpoint.com. На текущий момент есть огромное кол-во сервисов, доступных через этот портал:

• CloudGuard SaaS
• Smart-1 Cloud
• Infinity SOC
• CloudGuard Connect
• Threat Hunting
• SandBlast Mobile
• и многое другое

И вот теперь есть доступ к облачной упралялке SandBlast агентами:



Интеграция теперь гораздо проще и быстрее. Сервис стартует буквально в течении 5 минут и можно начинать раскатывать агенты. Мы не будем заострять внимания на этом, т.к. данная тема заслуживает целого цикла статей, который мы планируем в ближайшее время.

URL Filtering

Название говорит само за себя. Теперь URL фильтрация будет доступна и на агентах. Вы можете фильтровать трафик даже удаленных пользователей, как-будто они сидят в офисе. На текущий момент доступно несколько основных категорий для URL фильтрации:

• Security
• Productivity loss
• Legal Liability & Regulatory compliance
• Bandwidth consumption
• General use

Из плюсов каждый агент включает в себя аддон для браузера, который позволяет осуществлять проверку шифрованного HTTPS трафика, без необходимости промежуточного устройства с функцией SSL инспекции. Это значительно упрощает интеграцию, особенно для удаленных пользователей.
На текущий момент есть несколько ограничений:

• Аддон для браузера доступен только для Google Chrome. Поддержка других браузеров ожидается в ближайшее время.
• Функция URL Filtering пока доступна только через облачный менеджмент. Вот так выглядит интерфейс:

Также стоит отметить, что появилась новая функция Anti-Credential Theft Pass-the-Hash attack Protection. Но о ней мы подробно расскажем наверно уже в рамках будущего курса.

Новые платформы для SandBlast Agent

SandBlast теперь нативно поддерживает работу как в persistent VDI, так и в non-persistent. Но важнее другое. Наконец появилась бета версия SandBlast Agent-а для Linux систем. Вот небольшая демонстрация, где за одно показывается интеграция с Check Point Threat Hunting:



На мой взгляд, управление политиками стало удобнее. Логи с SandBlast Agent-ов теперь тоже в более привычном виде.

Как вы наверно поняли, управление через веб пока доступно только для облачной платформы. Однако, оно станет доступно и для локальных устройств в версии Gaia R81, которую должны анонсировать в первом квартале 21-го года.

Ключевые улучшения агента

Вот несколько ключевых изменений и улучшений SandBlast Agent-а версии E83.10:

Вместо заключения

Уверен будет интересна статья про форензику, которую может предоставлять SandBlast Agent. Как уже было упомянуто, мы планируем публикацию новых обучающих материалов, поэтому следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Кроме того, в ближайшее время состоится несколько полезных вебинаров по Check Point:

• Автоматизация средств ИБ с помощью Red Hat Ansible Automation на примере Check Point
• Удаленный доступ для сотрудников. Новый авторский учебный курс

Успейте зарегистрироваться!

Буквально на днях эксперты Check Point обнаружили новую уязвимость в DNS серверах на базе Windows. Т.е. в опасности практически каждая корпоративная сеть. Имя этой уязвимости CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. CVSS Score 10.0. По утверждению Microsoft уязвимости подвержены абсолютно все версии Windows Server.
Уязвимость нацелена на переполнение буфера и практически не требует участия юзера. Под катом вы найдете видео с реализацией этой атаки, ее подробное описание, а самое главное, как обезопасить себя прямо сейчас.

Видео атаки

Краткое описание

• Источник 1
• Источник 2
• Источник 3

Как защититься?

Способ 1. Обновление

Срочно установить обновление на Windows Server, который выступает в роли DNS сервера.

Способ 2. Workaround

Если сейчас нет возможности установить обновление, то можно уменьшить максимальную длину DNS сообщений, что исключить переполнение буфера.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters /v TcpReceivePacketSize /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS

Способ 3. IPS

Если вы используете IPS на периметре сети (например в составе UTM или NGFW решения), то убедитесь, что у вас есть сигнатура (может придти после обновления). Вот так это выглядит в Check Point:



Должен быть именно Prevent. Если требуется помощь в настройке пишите.

Постараемся обновлять информацию по мере поступления. Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!

Продолжаем цикл статей по работе с новым модельным рядом SMB CheckPoint, напомним что в первой части мы описали характеристики и возможности новых моделей, способы управления и администрирования. Сегодня рассмотрим сценарий развертывания старшей модели серии: CheckPoint 1590 NGFW. Приложим краткое содержание данной части:

1. Распаковка оборудования (описание комплектующих, физическое и сетевое подключение).
2. Первичная инициализация устройства.
3. Первичная настройка.
4. Оценка работоспособности.

Распаковка оборудования

Знакомство с оборудованием начинается с извлечения оборудования из коробки, разбора комплектующих и установки деталей, жмите на спойлер, где кратко представлен процесс

Кратко о комплектующих:

• NGFW 1590;
• Адаптер питания;
• 2 Wifi-Антенны (2.4 ГЦ и 5 ГЦ);
• 2 LTE-антенны;
• Буклеты с документацией ( краткий гайд по первичному подключению, лицензионное соглашение и т.п.)

Что касается сетевых портов и интерфейсов, то здесь есть все современные возможности для передачи трафика и взаимодействия, отдельно выделен порт для DMZ-зоны, USB 3.0 для синхронизации с ПК.

Версия 1590 получила обновленный дизайн, современные опции для беспроводной связи и расширения памяти: 2 слота для работы с Micro/Nano SIM в режиме LTE. (об этой опции мы планируем подробно написать в одной из следующих наших статей цикла, посвященной беспроводным подключениям); слот для SD-карты.

Подробно о возможностях 1590 NGFW и о других новых моделях можно прочесть в 1 части из цикла статей о решениях SMB CheckPoint. Мы же приступим к первичной инициализации устройства.

Первичная инициализация

Постоянные наши читатели должны уже быть в курсе, что в линейке 1500 серии SMB используется новая ОС 80.20 Embedded, она включает в себя обновленный интерфейс и усовершенствованные возможности.

Для того чтобы начать инициализацию устройства необходимо:

1. Обеспечить электропитание для шлюза.
2. Подключить сетевой кабель от вашего пк в LAN -1 на шлюзе.
3. Опционально можно сразу обеспечить устройству выход в интернет, подключив интерфейс в порт WAN.
4. Перейти на портал Gaia Embedded: https://192.168.1.1:4434/

Если были выполнены ранее озвученные шаги, то после перехода на страницу портала Gaia, вам необходимо будет подтвердить открытие страницы с недоверенным сертификатом, после чего запустится мастер настроек портала:

Вас будет приветствовать страница с указанием модели вашего устройства, необходимо перейти в следующий раздел:

Нам предложат создать учетную запись для авторизации, есть возможность указать высокие требования к паролю для администратора, указываем страну, где будем использовать шлюз.

Следующее окно касается настроек даты и времени, есть возможность задать вручную или использовать NTP-сервер компании.

Следующий шаг подразумевает задание имени для устройства и указание домена компании для корректной работы служб шлюза в Интернете.

Следующий шаг касается выбора вида управления NGFW, здесь следует отметить:

1. Local Management. Этот доступный вариант для локального управления шлюзом с помощью веб-страницы Gaia Portal.
2. Central Management. Данный вид управления включает в себя синхронизацию с выделенным Management сервером CheckPoint, синхронизацию с облаком Smart1-Cloud или c SMP (сервис управления для SMB).

Мы в рамках данной статьи остановимся на способе управления Local Management, вы можете указать способ, который необходим. Для ознакомления с процессом по синхронизации с выделенным Management Server, предлагается ссылка из обучающего цикла CheckPoint Getting Started, подготовленного компанией TS Solution.

Далее будет представлено окно с определением режима работы интерфейсов на шлюзе:

• Режим Switch подразумевает доступность подсети от одного интерфейса к подсети другого интерфейса.
• Режим Disable Switch соответственно отключает режим Switch, каждый порт маршрутизирует трафик, как для отдельного фрагмент сети.

Также предлагается задать пул DHCP адресов, которые будут использоваться при подключение к локальным интерфейсам шлюза.

Следующий шаг это настройка работы шлюза в беспроводном режиме, мы планируем разобрать этот аспект более подробно в одной статей цикла, поэтому отложили конфигурацию настроек. Вы же можете создать новую беспроводную точку доступа, задать пароль для подключения к ней и определить режим работы беспроводного канала ( 2.4 Гц или 5 Гц).

Далее будет предложен шаг по настройке доступа к шлюзу для администраторов компании. По умолчанию права доступа разрешены, если подключение идет от:

1. Внутренняя подсеть компании
2. Доверенная беспроводная сеть
3. VPN туннель

Опция для подключения к шлюзу через Интернет по умолчанию отключена, это несет за собой большие риски и должно быть обосновано для включения, в противном случае рекомендуется оставить как в нашем примере.Также есть возможность указать какие именно IP-адреса будут разрешены для подключения к шлюзу.

Следующее окно касается активации лицензий, при первичной инициализации устройства вам будет представлен 30-дневный триальный период. Существует два доступных способа активации:

1. Если есть подключение в Интернет, то лицензия активируется автоматически.
2. Если вы активируете лицензию оффлайн, то нужно выполнить следующее: скачать лицензию из UserCenter, зарегистрировать ваше устройство на специальном портале. Далее для обоих случаев вам нужно будет импортировать вручную загруженную лицензию.

Наконец последнее окно в мастере настроек предлагает выбрать включаемые блейды, отметим что блейд QOS включается только после первичной инициализации. В итоге вы должны получить окно завершения, которое суммирует ваши настройки:

Наконец последнее окно в мастере настроек предлагает выбрать включаемые блейды, отметим что блейд QOS включается только после первичной инициализации. В итоге вы должны получить окно завершения, которое суммирует ваши настройки:

Первичная настройка

Первым делом рекомендуем проверить состояние лицензий, от этого будет зависеть дальнейшая настройка. Перейдите во вкладку HOME License :

Если лицензии активированы, то рекомендуем сразу обновиться до последней актуальной прошивки, для этого перейдите во вкладку DEVICE System Operations:

Обновления системы находятся в пункте Firmware Upgrade. В нашем случае установлена актуальная и последняя версия прошивки.

Далее предлагаю кратко рассказать о возможностях и настройках блейдов системы. Логически можно разделить на политики уровня Access (Firewall, Application Control, URL Filtering) и Threat Prevention (IPS, Antivirus, Anti-Bot, Threat Emulation).

Перейдем во вкладку Access Policy Blade Control:

По умолчанию используется режим STANDARD, он разрешает: исходящий трафик в Интернет, трафик внутри локальной сети, но при этом блокирует входящий трафик из Интернета.

Что касается блейдов APPLICATIONS & URL FILTERING, то для них по умолчанию установлена блокировка сайтов с высоким уровнем опасности, блокировка приложений обмена (Torrent, File Storage и т.д.). Также дополнительно можно блокировать категории сайтов вручную.

Отметим опцию для пользовательского трафика Limit bandwidth consuming applications с возможностью ограничить скорость исходящего/входящего трафика для групп приложений.

Далее откроем подраздел Policy, по умолчанию правила сгенерированы автоматически согласно ранее описанным настройкам.

Подраздел NAT по умолчанию работает в Global Hide Nat Automatic т.е все внутренние хосты будут иметь доступ в Интернет через публичный IP-адрес. Есть возможность задать правила NAT вручную для публикации ваших веб-приложений или сервисов.

Далее раздел, который касается Аутентификации пользователей в сети, предлагается два варианта: Active Directory Queries (интеграция с вашим AD), Browser-Based-Authentication (пользователь вводит доменные учетные данные в портале).

Отдельно стоит коснуться SSL-инспекции, доля общего HTTPS-трафика в Глобальной сети активно растет. Давайте рассмотрим, какие возможности предлагает CheckPoint для решений SMB, для этого нужно перейти в раздел SSL-Inspection Policy:

В настройках есть возможность инспектировать HTTPS-трафик, потребуется импортировать сертификат и установить его в центр доверенных сертификатов на конечные пользовательские машины.

Удобной опцией считаем режим BYPASS для предустановленных категорий, это значительно экономит время при включение инспекции.

После настройки правил на уровне Firewall / Application следует перейти к тюнингу политик безопасности (Threat Prevention), для этого заходим в соответствующий раздел:

На открытой странице мы видим включенные блейды, статусы обновлений сигнатур и баз. Также нам предлагается выбрать профиль для защиты периметра сети, отображаются соответствующие настройки.

Отдельный раздел IPS Protections позволяет конфигурировать действие на определенную сигнатуру безопасности.

Не так давно мы в своем блоге писали о глобальной уязвимости для Windows Server SigRed. Проверим ее наличие в Gaia Embedded 80.20, введя запрос CVE-2020-1350

На данную сигнатуру обнаружена запись, к которой можно применить одно из действий. (по умолчанию Prevent для уровня опасности Critical). Соответственно имея SMB решение, вы не будете обделенным в плане обновлений и поддержки, это полноценное решение NGFW для филиальных офисов до 200 человек от СheckPoint.

Оценка работоспособности

Завершая статью, хотелось бы отметить наличие инструментов для траблшутинга проблем после первичной инициализации и настройки SMB решения. Вы можете перейти в раздел HOME Tools. Возможные опции:

• мониторинг системных ресурсов;
• таблица маршрутизации;
• проверка доступности облачных сервисов CheckPoint;
• генерация CPinfo;

Также доступны встроенные сетевые команды: Ping, Traceroute, Traffic Capture.

Таким образом, сегодня мы рассмотрели и изучили первичное подключение и настройку NGFW 1590, аналогичные действия вы будете производить для всего ряда серии 1500 SMB Checkpoint. Доступные опции показали нам высокую вариативность для настроек, поддержку современных методов защиты трафика на периметре сети.

На сегодняшний день решения СheckPoint для защиты малых офисов и филиалов ( до 200 человек) обладают широким набором средств и используют самые последние технологии (облачное управление, поддержка симкарт, расширение памяти с помощью SD-карт и т.д). Продолжайте быть в курсе и читать статьи от TS Solution, мы планируем дальнейший выпуск частей про NGFW СheckPoint семейства SMB, до встречи!

Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Добро пожаловать на третью статью цикла о новой облачной консоли управления защитой персональных компьютеров Check Point SandBlast Agent Management Platform. Напомню, что в первой статье мы познакомились с порталом Infinity Portal и создали облачный сервис управления агентами Endpoint Management Service. Во второй статье мы изучили интерфейс веб-консоли управления и установили агента со стандартной политикой на пользовательскую машину. Сегодня мы рассмотрим содержимое стандартной политики безопасности Threat Prevention и протестируем её эффективность противодействия популярным атакам.

Стандартная политика Threat Prevention: описание

На рисунке выше представлено стандартное правило политики Threat Prevention, которое по умолчанию распространяется на всю организацию (всех установленных агентов) и включает в себя три логические группы компонентов защиты: Web & Files Protection, Behavioral Protection и Analysis & Remediation. Рассмотрим подробнее каждую из групп.

Web & Files Protection

В стандартной политике для URL Filtering установлено действие Detect и выбрана одна категория Security, для которой будет осуществляться детектирование событий. Данная категория включает в себя различные анонимайзеры, сайты с уровнем риска Critical/High/Medium, фишинговые сайты, спам и многое другое. При этом пользователи всё равно смогут получить доступ к ресурсу благодаря настройке Allow user to dismiss the URL Filtering alert and access the website.




В стандартной политике для Download Protection установлено действие Prevent с возможностью получить очищенную от потенциально вредоносного содержимого копию оригинального документа, а также разрешающая загрузку файлов, которые не поддерживаются средствами эмуляции и очистки.




Стандартная политика для Credential Protection предусматривает Prevent для любых фишинговых ресурсов с невозможностью пользователям получить доступ к потенциально зловредному сайту. Также включена защита от использования корпоративных паролей, однако без указанных доменов данная функция не будет работать.




В стандартной политике для Files Protection включена защита с помощью Anti-Malware и обнаружение зловредных файлов с помощью Files Threat Emulation. Регулярное сканирование осуществляется каждый месяц, а сигнатуры на пользовательской машине обновляются каждые 4 часа. При этом настроена возможность пользователям отменить запланированное сканирование, но не позднее чем через 30 дней с момента последнего успешного сканирования.

Behavioral Protection

Стандартная политика для Behavioral Protection предусматривает Prevent для компонентов Anti-Bot и Behavioral Guard & Anti-Ransomware, с восстановлением зашифрованных файлов в их исходных директориях. Компонент Anti-Exploit отключен и не используется.

Analysis & Remediation

В стандартной политике Analysis & Remediation включена защита, в которую входят автоматические действия для восстановления (завершение процессов, восстановление файлов и пр.), а также активна опция отправки файлов в карантин, причём пользователи могут только удалять файлы из карантина.

Стандартная политика Threat Prevention: тестирование

Check Point CheckMe Endpoint

Самый быстрый и простой способ проверить защищённость пользовательской машины от наиболее популярных типов атак провести тест с помощью ресурса Check Point CheckMe, который осуществляет ряд типовых атак различных категорий и позволяет получить отчёт по итогам тестирования. В данном случае использовался вариант тестирования Endpoint, при котором на компьютер скачивается и запускается исполняемый файл, и затем начинается процесс проверки.



В процессе проверки защищённости рабочего компьютера SandBlast Agent сигнализирует об идентифицированных и отражённых атаках на компьютере пользователя, например: блейд Anti-Bot сообщает об обнаружении заражения, блейд Anti-Malware обнаружил и удалил зловредный файл CP_AM.exe, а блейд Threat Emulation по результатам эмуляции установил, что файл CP_ZD.exe является вредоносным.



По итогам проведения тестирования с помощью CheckMe Endpoint имеем следующий результат: из 6 категорий атак стандартная политика Threat Prevention не справилась только с одной категорией Browser Exploit. Это объясняется тем, что стандартная политика Threat Prevention не включает в себя блейд Anti-Exploit. Стоит отметить, что без установленного SandBlast Agent пользовательский компьютер прошёл проверку только по категории Ransomware.

KnowBe4 RanSim

Для тестирования работы блейда Anti-Ransomware можно использовать бесплатное решение KnowBe4 RanSim, которое запускает ряд тестов на пользовательской машине: 18 сценариев заражения шифровальщиками и 1 сценарий заражения криптомайнером. Стоит отметить, что наличие в стандартной политике многих блейдов (Threat Emulation, Anti-Malware, Behavioral Guard) с действием Prevent не позволяет корректно запустить данный тест. Однако, даже со сниженным уровнем безопасности (Threat Emulation в режиме Off), тест блейда Anti-Ransomware показывает высокие результаты: 18 из 19 тестов успешно пройдены (1 не запустился).

Вредоносные файлы и документы

Показательной является проверка работы разных блейдов стандартной политики Threat Prevention с помощью зловредных файлов популярных форматов, загружаемых на пользовательскую машину. В данном тесте участвовали 66 файлов форматов PDF, DOC, DOCX, EXE, XLS, XLSX, CAB, RTF. Результаты теста показали, что SandBlast Agent смог заблокировать 64 зловредных файла из 66. Заражённые файлы были удалены после скачивания, либо очищены от вредоносного содержимого с помощью Threat Extraction и получены пользователем.

Рекомендации по улучшению политики Threat Prevention

1. URL Filtering

Первое, что необходимо исправить в стандартной политике для повышения уровня защищённости клиентской машины перевести блейд URL Filtering в Prevent и указать соответствующие категории для блокировки. В нашем случае были выбраны все категории, кроме General Use, так как они включают в себя большинство ресурсов, к которым необходимо ограничить доступ пользователям на рабочем месте. Также для подобных сайтов желательно убрать возможность пользователям пропускать предупредительное окно, сняв галочку с параметра Allow user to dismiss the URL Filtering alert and access the website.

2. Download Protection

Вторым параметром, на который стоит обратить внимание, является возможность пользователям скачивать файлы, которые не поддерживаются эмуляцией Check Point. Так как в данном разделе мы рассматриваем улучшения стандартной политики Threat Prevention с точки зрения безопасности, то лучшим вариантом будет запрет загрузки неподдерживаемых файлов.

3. Files Protection

Также необходимо обратить внимание на настройки для защиты файлов в частности на параметры периодического сканирования и возможности пользователю отложить принудительное сканирование. В данном случае необходимо учитывать временные рамки работы пользователя, и хорошим вариантом с точки зрения безопасности и производительности является настройка выполнения принудительного сканирования каждый день, причём время выбирается случайным образом (с 00:00 до 8:00), и пользователь может отложить сканирование максимум на одну неделю.

4. Anti-Exploit

Значительный недостаток стандартной политики Threat Prevention выключенный блейд Anti-Exploit. Рекомендуется включить данный блейд с действием Prevent, чтобы защитить рабочую станцию от атак с использованием эксплойтов. С данным исправлением повторный тест CheckMe успешно завершается без обнаружения уязвимых мест на рабочей машине пользователя.

Заключение

Подведём итоги: в данной статье мы познакомились с компонентами стандартной политики Threat Prevention, протестировали данную политику с помощью различных методов и средств, а также описали рекомендации по улучшению настроек стандартной политики для повышения уровня защищённости пользовательской машины. В следующей статье цикла мы перейдём к изучению политики Data Protection и рассмотрим настройки Global Policy Settings.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Добро пожаловать на четвёртую статью цикла о решении Check Point SandBlast Agent Management Platform. В предыдущих статьях (первая, вторая, третья) мы детально описали интерфейс и возможности веб-консоли управления, а также рассмотрели политику Threat Prevention и протестировали её на предмет противодействия различным угрозам. Данная статья посвящена второму компоненту безопасности политике Data Protection, отвечающей за защиту хранимых на пользовательской машине данных. Также в рамках данной статьи мы рассмотрим разделы Deployment и Global Policy Settings.

Политика Data Protection

Политика Data Protection позволяет настроить доступ к хранимым на рабочей машине данным только авторизованным пользователям, используя функции полного шифрования диска (Full Disk Encryption) и защиты процесса загрузки (Boot Protection). На текущий момент поддерживаются следующие варианты настройки шифрования диска: для Windows Check Point Encryption или BitLocker Encryption, для MacOS File Vault. Рассмотрим подробнее возможности и настройки каждого из вариантов.

Check Point Encryption

Check Point Encryption является стандартным методом шифрования диска в политике Data Protection и обеспечивает шифрование всех файлов системы (временные, системные, удалённые) в фоновом режиме без влияния на работоспособность пользовательской машины. После шифрования диск становится недоступным для неавторизованных пользователей.



Основной настройкой для Check Point Encryption является Enable Pre-boot, которая включает необходимость аутентификации пользователей до загрузки операционной системы. Данная опция рекомендуется к использованию, так как предотвращается возможность применения средств обхода аутентификации на уровне операционной системы. Также есть возможность настраивать параметры временного обхода для функции Pre-boot:

• Allow OS login after temporary bypass отключение функции Pre-boot и переход к аутентификации в операционной системе;

• Allow pre-boot bypass (Wake On LAN WOL) отключение функции pre-boot на компьютерах, которые подключены к серверу управления через Ethernet;

• Allow bypass script позволяет настроить обход функции Pre-boot с указанием времени и даты начала работы скрипта и параметры окончания обхода Pre-boot;

• Allow LAN bypass отключение функции pre-boot при подключении к локальной сети.

Вышеперечисленные опции временного обхода функции Pre-boot не рекомендуется использовать без явных причин (например, технические работы или поиск и устранение проблем) и лучшим решением с точки зрения безопасности является включение функции Pre-boot без указания временных правил обхода. В случае необходимости обходить Pre-boot рекомендуется устанавливать минимально необходимые временные рамки в параметрах временного обхода, чтобы не снижать уровень защиты на продолжительное время.



Также при использовании Check Point Encryption есть возможность настраивать расширенные настройки политики Data Protection, например, более гибко конфигурировать параметры шифрования, настраивать различные аспекты функции Pre-boot и аутентификации Windows.

BitLocker Encryption

BitLocker является частью операционной системы Windows и позволяет шифровать жёсткие диски и съёмные носители. Check Point BitLocker Management является компонентом служб Windows, автоматически запускается вместе с клиентом SandBlast Agent и использует API для управления технологией BitLocker.



При выборе BitLocker Encryption в качестве метода шифрования диска в политике Data Protection можно настроить следующие параметры:

• Initial Encryption настройки первоначального шифрования, позволяют зашифровать весь диск (Encrypt entire drive), что рекомендуется для машин с уже имеющимися пользовательскими данными (файлы, документы и прочее), или зашифровать только данные (Encrypt used disk space only), что рекомендуется для новых инсталляций Windows;

• Drives to encrypt выбор дисков/разделов для шифрования, позволяет зашифровать все диски (All drives) или только раздел с операционной системой (OS drive only);

• Encryption algorithm выбор алгоритма шифрования, рекомендованным является вариант Windows Default, также есть возможность указать XTS-AES-128 или XTS-AES-256.

File Vault

File Vault является стандартным средством шифрования от компании Apple и обеспечивает доступ к данным пользовательского компьютера только авторизованным пользователям. При установленном File Vault пользователю необходимо ввести пароль для запуска системы и получения доступа к зашифрованным файлам. Использование File Vault является единственным способом обеспечения защиты хранимых данных в политике Data Protection для пользователей операционной системы MacOS.



Для File Vault доступна настройка Enable automatic user acquisition, которая требует авторизации пользователя до начала процесса шифрования диска. В случае, если данная функция включена, есть возможность указать количество пользователей, которые должны авторизоваться, прежде чем SandBlast Agent применит функцию Pre-boot, или указать количество дней, по истечении которых функция Pre-boot будет внедрена автоматически для всех авторизованных пользователей, если за этот период хотя бы один пользователь авторизовался в системе.

Восстановление данных

В случае возникновения проблем с загрузкой системы можно воспользоваться различными методами восстановления данных. Администратор может инициировать процесс восстановления зашифрованных данных из раздела Computer Management Full Dick Encryption Actions. В случае использования Check Point Encryption можно расшифровать ранее зашифрованный диск и получить доступ ко всем хранимым файлам. После данной процедуры необходимо заново запускать процесс шифрования диска для работы политики Data Protection.



При выборе BitLocker в качестве метода шифрования диска для восстановления данных необходимо ввести Recovery Key ID проблемного компьютера для генерации Recovery Key, который должен быть введён пользователем для получения доступа к зашифрованному диску.



Для пользователей MacOS с использованием File Vault для защиты хранимой информации процесс восстановления заключается в генерации администратором Recovery Key на основе Serial Number проблемной машины и ввода данного ключа с последующим сбросом пароля.

Политика Deployment

С момента выхода второй статьи, в которой рассматривался интерфейс веб-консоли управления, Check Point успели внести некоторые изменения в раздел Deployment теперь в нём присутствуют подраздел Software Deployment, в котором настраивается конфигурация (включение/отключение блейдов) для уже установленных агентов, и подраздел Export Package, в котором можно создавать пакеты с предустановленными блейдами для дальнейшей установки на пользовательские машины, например, с помощью групповых политик Active Directory. Рассмотрим подраздел Software Deployment, в котором включаются все блейды SandBlast Agent.



Напомню, что в стандартной политике Deployment включены только блейды категории Threat Prevention. С учётом рассмотренной ранее политики Data Protection теперь можно включить данную категорию для установки и работы на клиентской машине с SandBlast Agent. Имеет смысл включить функцию Remote Access VPN, которая позволит пользователю подключаться, например, к корпоративной сети организации, а также категорию Access and Compliance, в которую входят функции Firewall & Application Control и проверка пользовательской машины на соответствие политике Compliance.

Global Policy Settings

В настройках Global Policy Settings настраивается один из самых важных параметров пароль для удаления SandBlast Agent с пользовательской машины. После установки агента пользователь не сможет удалить его без ввода пароля, которым по умолчанию является слово "secret" (без кавычек). Однако этот стандартный пароль легко найти в открытых источниках, и при внедрении решения SandBlast Agent рекомендуется сменить стандартный пароль для удаления агента. В Management Platform при стандартном пароле политику можно установить только 5 раз, так что смена пароля для удаления неизбежна.
Помимо этого, в Global Policy Settings настраиваются параметры данных, которые могут отправляться в Check Point для анализа и улучшения работы сервиса ThreatCloud.



Из Global Policy Settings также настраиваются некоторые параметры политики шифрования диска, а именно требования к паролю: сложность, длительность использования, возможность использовать ранее действующий пароль и прочее. В данном разделе можно загрузить собственные изображения вместо стандартных для Pre-boot или OneCheck.

Установка политики

Ознакомившись с возможностями политики Data Protection и настроив соответствующие параметры в разделе Deployment можно приступать к установке новой политики, включающей в себя шифрование диска с помощью Check Point Encryption и остальные блейды SandBlast Agent. После установки политики в Management Platform клиент получит сообщение о необходимости установить новую версию политики сейчас или перенести установку на другое время (максимум 2 дня).



Завершив скачивание и установку новой политики SandBlast Agent предложит пользователю перезагрузить компьютер для включения защиты Full Disk Encryption.



После перезагрузки пользователю необходимо будет ввести свои учётные данные в окне аутентификации Check Point Endpoint Security данное окно будет появляться каждый раз перед стартом операционной системы (Pre-boot). Есть возможность выбрать опцию Single Sign-On (SSO) для автоматического использования учётных данных при аутентификации в Windows.



В случае успешной аутентификации пользователь получает доступ к своей системе, а за кадром начинается процесс шифрования диска. Данная операция никак не влияет на работоспособность машины, хоть и может продолжаться длительное время (в зависимости от объёмов дискового пространства). По завершении процесса шифрования мы можем убедиться, что все блейды включены и функционируют, диск зашифрован, и пользовательская машина защищена.

Заключение

Подведём итоги: в данной статье мы рассмотрели возможности SandBlast Agent по защите хранимой на пользовательской машине информации с помощью шифрования диска в политике Data Protection, изучили настройки распространения политик и агентов через раздел Deployment и установили новую политику с правилами шифрования диска и дополнительными блейдами на машину пользователя. В следующей статье цикла мы детально рассмотрим возможности логирования и отчётности в Management Platform и клиенте SandBlast Agent.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Добро пожаловать на пятую статью цикла о решении Check Point SandBlast Agent Management Platform. С предыдущими статьями можно ознакомиться, перейдя по соответствующей ссылке: первая, вторая, третья, четвёртая. Сегодня мы рассмотрим возможности мониторинга в Management Platform, а именно работу с логами, интерактивными дашбордами (View) и отчётами. Также затронем тему Threat Hunting для выявления актуальных угроз и аномальных событий на машине пользователя.

Logs

Основным источником информации для мониторинга событий безопасности является раздел Logs, который отображает подробную информацию по каждому инциденту, а также позволяет использовать удобные фильтры для уточнения критериев поиска. Например, при нажатии правой кнопкой мыши на параметр (Blade, Action, Severity и пр.) интересующего лога, данный параметр может быть отфильтрован как Filter: Parameter или Filter Out: Parameter. Также для параметра Source может быть выбрана опция IP Tools, в которой можно запустить ping до данного IP-адреса/имени или выполнить nslookup для получения IP-адреса источника по имени.



В разделе Logs для фильтрации событий есть подраздел Statistics, в котором отображается статистика по всем параметрам: временная диаграмма с количеством логов, а также процентные показатели по каждому из параметров. Из данного подраздела можно легко отфильтровать логи без обращения к поисковой строке и написания выражений фильтрации достаточно выбрать интересующие параметры и новый список логов сразу отобразится.



Подробная информация по каждому логу доступна в правой панели раздела Logs, однако более удобным является открытие лога двойным щелчком для анализа содержимого. Ниже приведён пример лога (картинка кликабельна), в котором отображена подробная информация по срабатыванию действия Prevent блейда Threat Emulation на заражённый файл ".docx". Лог имеет несколько подразделов, которые отображают детали события безопасности: сработавшие политика и защита, подробности форензики, информация о клиенте и трафике. Особого внимания заслуживают доступные из лога отчёты Threat Emulation Report и Forensics Report. Данные отчёты также можно открыть из клиента SandBlast Agent.

Threat Emulation Report

При использовании блейда Threat Emulation после осуществления эмуляции в облаке Check Point в соответствующем логе появляется ссылка на подробный отчёт о результатах эмуляции Threat Emulation Report. Содержимое такого отчёта подробно описано в нашей статье про анализ зловредов с помощью форензики Check Point SandBlast Network. Стоит отметить, что данный отчёт является интерактивным и позволяет проваливаться в подробности по каждому из разделов. Также есть возможность просмотреть запись процесса эмуляции в виртуальной машине, скачать оригинальный зловредный файл или получить его хэш, а также обратиться в Check Point Incident Response Team.

Forensics Report

Практически для любого события безопасности генерируется отчёт Forensics Report, который включает в себя подробную информацию о зловредном файле: его характеристики, действия, точку входа в систему и влияние на важные активы компании. Структура отчёта подробно рассматривалась нами в статье про анализ зловредов с помощью форензики Check Point SandBlast Agent. Подобный отчёт является важным источником информации при расследовании событий безопасности, и в случае необходимости можно сразу отправить содержимое отчёта в Check Point Incident Response Team.

SmartView

Check Point SmartView представляет собой удобное средство построения и просмотра динамических дашбордов (View) и отчётов в формате PDF. Из SmartView можно также просматривать пользовательские логи и события аудита для администраторов. На рисунке ниже приведены наиболее полезные отчёты и дашборды для работы с SandBlast Agent.



Отчёты в SmartView представляют собой документы со статистической информацией о событиях за определённый промежуток времени. Поддерживается выгрузка отчётов в формате PDF на машину, где открыт SmartView, а также регулярная выгрузка в PDF/Excel на электронную почту администратора. Помимо этого, поддерживается импорт/экспорт шаблонов отчётов, создание собственных отчётов и возможность скрывать имена пользователей в отчётах. На рисунке ниже представлен пример встроенного отчёта Threat Prevention.



Дашборды (View) в SmartView позволяют администратору получить доступ к логам по соответствующему событию достаточно лишь два раза нажать на интересующий объект, будь то столбец диаграммы или название вредоносного файла. Как и в случае с отчётами можно создавать собственные дашборды и скрывать данные пользователей. Для дашбордов также поддерживается импорт/экспорт шаблонов, регулярная выгрузка в PDF/Excel на электронную почту администратора и автоматическое обновление данных для мониторинга событий безопасности в режиме реального времени.

Дополнительные разделы мониторинга

Описание средств мониторинга в Management Platform будет неполным без упоминания разделов Overview, Computer Management, Endpoint Settings и Push Operations. Данные разделы были подробно описаны во второй статье, однако полезным будет рассмотреть их возможности для решения задач мониторинга. Начнём с Overview, состоящего из двух подразделов Operational Overview и Security Overview, которые представляют собой дашборды с информацией о состоянии защищаемых пользовательских машин и событиях безопасности. Как и при взаимодействии с любым другим дашбордом, подразделы Operational Overview и Security Overview при двойном щелчке по интересующему параметру позволяют попасть в раздел Computer Management с выбранным фильтром (например, Desktops или Pre-Boot Status: Enabled), либо в раздел Logs по конкретному событию. Подраздел Security Overview представляет собой дашборд Cyber Attack View Endpoint, который можно настроить под себя и установить автоматическое обновление данных.



Из раздела Computer Management можно отслеживать состояние агента на пользовательских машинах, статус обновления базы данных Anti-Malware, этапы шифрования диска и многое другое. Все данные обновляются в автоматическом режиме, и для каждого из фильтров отображается процентный показатель подходящих пользовательских машин. Также поддерживается экспорт данных о компьютерах в формате CSV.



Важным аспектом мониторинга защищённости рабочих станций является настройка уведомлений о критичных событиях (Alerts) и экспорта логов (Export Events) для хранения на лог-сервере компании. Обе настройки выполняются в разделе Endpoint Settings, и для Alerts существует возможность подключить почтовый сервер для отправки уведомлений о событиях администратору и сконфигурировать пороговые значения срабатывания/отключения уведомлений в зависимости от процента/количества устройств, подходящих под критерии события. Export Events позволяет настроить пересылку логов из Management Platform на лог-сервер компании для дальнейшей обработки. Поддерживаются форматы SYSLOG, CEF, LEEF, SPLUNK, протоколы TCP/UDP, любые SIEM-системы с работающим syslog-агентом, использование шифрования TLS/SSL и аутентификация syslog-клиента.



Для глубокого анализа событий на агенте или в случае обращения в техническую поддержку можно оперативно собрать логи с клиента SandBlast Agent с помощью принудительной операции в разделе Push Operations. Можно настроить пересылку сформированного архива с логами на серверы Check Point или на корпоративные серверы, также архив с логами сохраняется на пользовательской машине в директории C:\Users\username\CPInfo. Поддерживается запуск процесса сбора логов в указанное время и возможность отложить операцию пользователем.

Threat Hunting

Метод Threat Hunting используется для проактивного поиска зловредных действий и аномального поведения в системе для дальнейшего расследования потенциального события безопасности. Раздел Threat Hunting в Management Platform позволяет осуществлять поиск событий с заданными параметрами в данных пользовательской машины.



Инструмент Threat Hunting имеет несколько предустановленных запросов, например: для классификации зловредных доменов или файлов, отслеживания редких обращений к некоторым IP-адресам (относительно общей статистики). Структура запроса состоит из трёх параметров: индикатор (сетевой протокол, идентификатор процесса, тип файла и пр.), оператор (является, не является, включает в себя, один из и пр.) и тело запроса. В теле запроса можно использовать регулярные выражения, поддерживается использование нескольких фильтров одновременно в строке поиска.



После выбора фильтра и завершения обработки запроса появляется доступ ко всем подходящим событиям, с возможностью просмотреть подробную информацию о событии, поместить объект запроса в карантин или сгенерировать подробный отчёт Forensics Report с описанием события. На текущий момент данный инструмент находится в бета-версии и в дальнейшем планируется расширение набора возможностей, например, добавление информации о событии в виде матрицы Mitre Att&ck.

Заключение

Подведём итоги: в данной статье мы рассмотрели возможности мониторинга событий безопасности в SandBlast Agent Management Platform, изучили новый инструмент для проактивного поиска зловредных действий и аномалий на пользовательских машинах Threat Hunting. Следующая статья станет завершающей в данном цикле и в ней мы рассмотрим наиболее частые вопросы по решению Management Platform и расскажем про возможности тестирования данного продукта.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить следующие публикации по теме SandBlast Agent Management Platform следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Приветствую читателей в нашем цикле статей, который посвящен SMB Check Point, а именно модельному ряду 1500 серии. В первой части упоминалось о возможности управления вашими NGFW серии SMB с помощью облачного сервиса Security Management Portal (SMP). Наконец, пришло время рассказать о нем более подробно, показать доступные опции и инструменты администрирования. Для тех кто только присоединился к нам, напомню ранее рассмотренные темы: инициализация и настройка , организация беспроводной передачи трафика ( WiFi и LTE) , VPN

SMP централизованный портал для управления вашими SMB устройствами, включающий в себя веб-интерфейс и инструменты для администрирования до 5 000 устройств. Поддерживаются следующие серии моделей Check Point: 600, 700, 910, 1100, 1200R, 1400, 1500.

Для начала опишем преимущества такого решения:

1. Централизованное техническое обслуживание инфраструктуры. Благодаря облачному порталу вы сможете разворачивать политики, применять настройки, изучать события вне зависимости от вашего местонахождения и количества NGFW в организации.
2. Масштабируемость и эффективность. Приобретая решение SMP, вы берете активную подписку с поддержкой до 5000 NGFW, это позволит легко добавлять новые узлы в инфраструктуру, обеспечивая динамическое взаимодействие между ними благодаря VPN.

Более подробно о вариантах лицензирования возможно узнать из документации к SMP, существует два варианта:

• Cloud Hosted SMP. Сервер управления размещается в облаке Check Point, доступна поддержка до 50 шлюзов.
• On-Premise SMP. Сервер управления размещается в облачном решении заказчика, доступна поддержка до 5000 шлюзов.

Дополним одну важную, на наш взгляд, особенность: при покупке любой модели из 1500-серии в комплект поставки входит одна лицензия SMP. Таким образом, приобретая новое поколение SMB, вам будет доступно облачное управление без дополнительных трат.

Практическое использование

После краткого введения перейдем к практическому знакомству с решением, на текущий момент демо-версия портала доступна при запросе в локальный офис Check Point. Первоначально вас будет приветствовать окно авторизации, где нужно будет указать: домен, имя пользователя, пароль.

В качестве домена указывается непосредственно адрес развернутого SMP-портала, если вы приобретаете его по подписке Cloud Hosted SMP, то для разворачивания нового необходимо отправить запрос, нажав на кнопку New Domain Request (срок рассмотрения до 3х дней).

Далее отображается основная страница портала со статистикой об управляемых шлюзах и доступных опциях из меню.

Рассмотрим каждую вкладку отдельно, кратко описывая ее возможности.

Map

Раздел позволяет отслеживать месторасположения вашего NGFW, просмотреть его состояние или перейти к его непосредственным настройкам.

Gateways

Таблица, включающая в себя управляемые SMB-шлюзы из вашей инфраструктуры, содержит информацию: имя шлюза, модель, версия ОС, профиль политик.

Plans

Раздел содержит список профилей c отображением статуса установленных Блейдов на них, где имеется возможность выбрать права доступа для внесения изменений в конфигурацию (отдельные политики могут быть настроены только локально).

Если зайти в настройки конкретного профиля, то можно получить доступ к полной конфигурации вашего NGFW.

Часть Security Software Blades посвящена настройки каждого из блейдов NGFW, в частности:
Firewall, Applications and URLs, IPS, Anti-Virus, Anti-Spam, QoS, Remote Access, Site-to-Site VPN, User Awareness, Anti-Bot, Threat Emulation, Threat Prevention, SSL Inspection.

Отметим возможность настроить CLI-скрипты которые будут автоматически применяться к шлюзам, которые указаны в Plans->Profile. C их помощью можно задавать отдельные идентичные настройки (дата/время, пароли доступа, работа с протоколами мониторинга SNMP и т.д.)

Останавливаться на конкретных настройках мы подробно не будем, это освещалось ранее, также есть курс Check Point Getting Started.

Logs

Одним из преимуществ использования SMP будет централизованный просмотр логов ваших SMB шлюзов, доступ можно получить перейдя в Logs Gateway Logs.

В фильтре можно задать определенный шлюз, указать адрес источника или назначения и т.д. В целом, работа с логами идентична просмотру в Smart Console, сохраняется гибкость и информативность.

Cyber Views

Раздел содержит статистику в виде отчетов о последних событиях безопасности, они позволяют оперативно систематизировать логи и представить полезную инфографику:

Общие выводы

Таким образом, SMP современный портал, который сочетает в себе интуитивно понятный интерфейс и глубокие возможности в плане администрирования ваших NGFW решений семейства SMB. Отметим еще раз его основные достоинства:

1. Возможность удаленного управления до 5000 NGFW.
2. Техническое обслуживание портала специалистами Check Point ( в случае Cloud Hosted SMP подписки).
3. Информативность и структурированность данных о вашей инфраструктуре в одном инструменте.

Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Добро пожаловать на шестую статью, завершающую цикл материалов о решении Check Point SandBlast Agent Management Platform. В рамках цикла мы рассмотрели основные аспекты разворачивания и администрирования SandBlast Agent с помощью Management Platform. В данной статье мы постараемся ответить на наиболее популярные вопросы, связанные с решением Management Platform, и расскажем о том, как протестировать SandBlast Agent Management Platform с нашей помощью совершенно бесплатно.

FAQ

На текущий момент существует не так много источников информации о SandBlast Agent Management Platform, основными из которых являются: официальный гайд, разделы Infinity Portal и SandBlast Agent на CheckMates. Поэтому мы решили ответить на наиболее популярные вопросы о SandBlast Agent Management Platform, которые интересуют администраторов при рассмотрении данного продукта в качестве решения по защите персональных рабочих мест сотрудников. Также очень подробный FAQ по SandBlast Agent есть в нашем блоге.

1. В чём разница между SandBlast Agent Management Platform и SandBlast Agent Cloud Management?

Решение SandBlast Agent Cloud Management является предшественником Management Platform и позволяет развернуть облачный сервер управления агентами в инфраструктуре Check Point для дальнейшего администрирования с помощью SmartConsole. Это удобный вариант, не требующий затрат ресурсов организации на разворачивание виртуального сервера управления или установки физического устройства, однако ограничением является использование SmartConsole, предусматривающей установку на компьютер администратора и доступной исключительно для Windows. На текущий момент Check Point рекомендуют именно SandBlast Agent Management Platform в качестве основного решения для облачного администрирования агентов, о чём свидетельствует информационное сообщение при попытке создать приложение SandBlast Agent Cloud Management на Infinity Portal.

2. Как лицензируется SandBlast Agent Management Platform?

Для использования SandBlast Agent Management Platform не требуется лицензия, возможность развернуть приложение в Infinity Portal для управления агентами даётся даже при покупке лицензии на одного SandBlast Agent. Также стоит отметить, что при регистрации аккаунта в Infinity Portal предоставляется временная лицензия на 30 дней, после чего необходимо использовать действующую лицензию для SandBlast Agent. Проверка действующей лицензии осуществляется автоматически без участия администратора достаточно привязать аккаунт Check Point к Infinity Portal в разделе Global Settings Contracts Associated Accounts.

3. Как лицензируется SandBlast Agent?

Существует несколько спецификаций SandBlast Agent, отличающихся набором блейдов, подходящих для разных задач защиты пользовательских машин. Ниже приведена таблица с официального сайта Check Point, демонстрирующая различия актуальных спецификаций SandBlast Agent. После выбора подходящей спецификации лицензирование осуществляется на необходимое количество конечных устройств.

4. Какие операционные системы поддерживаются для установки SandBlast Agent?

На текущий момент последняя версия SandBlast Agent доступна для Windows (7, 8, 10), Windows Server (2008 R2, 2012 R2, 2012, 2016, 2019), macOS (10.14, 10.15). Также совсем недавно Check Point анонсировали выход бета-версии под Linux, о чём мы рассказывали в соответствующей статье. Актуальную информацию о текущих релизах SandBlast Agent всегда можно найти в sk117536 Endpoint Security Homepage. Помимо этого, следить за расписанием состоявшихся и будущих релизов SandBlast Agent можно в sk115192 Check Point Endpoint Security Client Support Schedule for New Operating Systems.

5. Можно ли управлять агентами с помощью Management Platform и SmartEndpoint?

При разворачивании агентов через сервис Management Platform поддерживается также и управление с помощью классической консоли SmartEndpoint её можно скачать из раздела Service Management. Однако на текущий момент отсутствует полная обратная совместимость между настройками Management Platform и SmartEndpoint, и при одновременном администрировании агентов с помощью обоих консолей могут возникать конфликты. В первую очередь это связано с использованием единой политики Threat Prevention (так называемая Unified Policy) в Management Platform, где все компоненты безопасности объединены в единую политику. В Management Platform можно установить отображение настроек, совместимое с SmartEndpoint для этого необходимо в разделе Endpoint Settings Policy Operation Mode выбрать User based Policy. В версии Gaia R81 будет веб-интерфейс, который идентичен Management Platform, но на текущий момент рекомендуется использовать одно средство управления агентами во избежание конфликтов настроек.

Как протестировать SandBlast Agent Management Platform?

Протестировать решение SandBlast Agent Management Platform можно самостоятельно либо обратившись к партнёру для проведения полноценного пилотного проекта. При самостоятельном тестировании достаточно зарегистрироваться на Infinity Portal по инструкции из нашей первой статьи цикла, при этом автоматически создастся временная лицензия на месяц для администрирования 100 пользовательских машин.

Вторым вариантом является разворачивание и тестирование SandBlast Agent Management Platform в рамках пилотного проекта, проводимого совместно с инженером компании-партнёра Check Point. Пилотный проект является абсолютно бесплатным и нацелен на демонстрацию работы продукта с возможностью консультаций у квалифицированных специалистов. По вопросу проведения пилотного проекта SandBlast Agent Management Platform можно обратиться к нам по ссылке.

Вместо заключения

В рамках цикла статей по SandBlast Agent Management Platform мы постарались осветить основные возможности решения и на конкретных примерах продемонстрировать настройку важных компонентов безопасности. Будем рады ответить на любые вопросы о продукте в комментариях.

Большая подборка материалов по Check Point от TS Solution. Чтобы не пропустить новые публикации следите за обновлениями в наших социальных сетях (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен).

Приветствую всех, кто продолжает читать цикл о новом поколении NGFW Check Point семейства SMB (1500 cерия). В 5 части мы рассмотрели решение SMP (портал управления для SMB шлюзов). Сегодня же хотелось бы рассказать о портале Smart-1 Cloud, он позиционирует себя как решение на базе SaaS Check Point, выполняет роль Management Server в облаке, поэтому будет актуален для любых NGFW Сheck Point. Для тех, кто только присоединился к нам, напомню ранее рассмотренные темы: инициализация и настройка , организация беспроводной передачи трафика ( WiFi и LTE) , VPN.

Выделим основные возможности Smart-1 Cloud:

1. Единое централизованное решение управления всей вашей инфраструктурой Check Point (виртуальные и физические шлюзы различного уровня).
2. Общий набор политик для всех Блейдов позволяет упростить процессы администрирования ( создание/редактирование правил для различных задач).
3. Поддержка профильного подхода при работе с настройками шлюзов. Отвечает за разделение прав доступа при работе в портале, где одновременно могут выполнять различные задачи администраторы сети, специалисты аудита и т.д.
4. Мониторинг угроз, который обеспечивает получение логов, просмотр событий в одном месте.
5. Поддержка взаимодействия через API. Пользователь может внедрять процессы автоматизации, упрощая рутинные ежедневные задачи.
6. Доступ по Web. Снимает ограничения, касающиеся поддержки отдельных ОС, интуитивно понятен.

Те, кто уже знаком с решениями от Check Point, могут заметить, что представленные основные возможности не отличаются от локального выделенного Management Server в вашей инфраструктуре. Отчасти они будут правы, но в случае с Smart-1 Cloud обслуживание сервера управления обеспечивается силами специалистов Check Point. Оно включает в себя: снятие бекапов, мониторинг свободного места на носителях, исправление ошибок, установка последних версий ПО. Также упрощается процесс миграции (переноса) настроек.

Лицензирование

Прежде чем знакомиться с функционалом облачного решения управления, изучим вопросы лицензирования из официального DataSheet.

Управление одним шлюзом:

Подписка зависит от выбранных блейдов управления, всего предусмотрено 3 направления:

1. Management. Хранилище в 50 ГБ, ежедневно под логи 1 ГБ.
2. Management + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов.
3. Management + Compliance + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов, рекомендации по настройкам из общих практик информационной безопасности.

*Выбор зависит от многих факторов: вид логов, количество пользователей, объемы трафика.

Также имеется подписка для управления 5 шлюзами. Подробно останавливаться на этом не будем вы всегда сможете получить информацию из DataSheet.

Запуск Smart-1 Cloud

Опробовать решение может каждый желающий, для этого нужно зарегистрироваться в Infinity Portal облачный сервис от Check Point, в котором можно получить триальный доступ к следующим направлениям:

• Cloud Protection (CloudGuard SaaS, CloudGuard Native);
• Network Protection (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Мы же авторизуемся c вами в системе (для новых пользователей требуется регистрация) и перейдем в решение Smart-1 Cloud:

Вам кратко расскажут о плюсах этого решения (Управление инфраструктурой, не требуется установки, обновляется автоматически).

После заполнения полей нужно будет дождаться подготовки формирования учетной записи для входа в портал:

В случае успешной операции вы получите на почту (указанную при входе в Infinity Portal) информацию о регистрации, также вы будете переадресованы на главную страницу Smart-1 Cloud.

В качестве доступных вкладок портала:

1. Запуск SmartConsole. С помощью установленного приложения на ваш ПК, либо использовать веб-интерфейс.
2. Синхронизация с объектом шлюза.
3. Работа с логами.
4. Настройки.

Cинхронизация со шлюзом

Начнем с синхронизации Security Gateway, для этого его нужно добавить как объект. Перейдите во вкладку Connect Gateway

Необходимо ввести уникальное имя шлюза, можно добавить комментарий к объекту. После чего нажать Register.

Появится объект шлюза, который необходимо будет синхронизировать с Management Server, выполняя CLI-команды для шлюза:

1. Убедиться, что на шлюзе установлен последний JHF (Jumbo Hotfix).
2. Установить токен подключения: set security-gateway maas on auth-token
3. Проверить состояние тоннеля синхронизации:
   MaaS Status: Enabled
   MaaS Tunnel State: Up
   MaaS domain-name:
   Service-Identifier.maas.checkpoint.com
   Gateway IP for MaaS Communication: 100.64.0.1

После того, как были подняты службы для Mass Tunnel, вы должны перейти к установке SIC-соединения между шлюзом и Smart-1 Cloud в Smartconsole. В случае успешной операции будет получена топология шлюза, приложим пример:

Таким образом, при использовании Smart-1 Cloud, шлюз подключается в серую сеть 10.64.0.1.

Дополню, что на нашем макете сам шлюз выходит в Интернет с помощью NAT, соответственно, публичного IP-адреса на его интерфейсе нет, тем не менее, мы можем им управлять извне. Это еще одна интересная особенность Smart-1 Cloud, благодаря которой создается отдельная подсеть управления со своим пулом IP-адресов.

Заключение

После того, как вы успешно добавили шлюз для управления через Smart-1 Cloud, вы получаете полноценный доступ, как и в Smart Console. На нашем макете мы запустили веб-версию, фактически, это поднятая виртуальная машина с запущенным клиентом управления.

О возможностях Smart Console и архитектуре Check Point вы всегда можете узнать более подробно в нашем авторском курсе.

На сегодня все, нас ждет завершающая статья цикла, в которой мы коснемся возможностей по тюнингу производительности семейства SMB 1500 серии с установленной Gaia 80.20 Embedded.

Большая подборка материалов по Check Point от TS Solution. Следите за обновлениями (Telegram, Facebook, VK, TS Solution Blog, Яндекс.Дзен)

Новая версии Gaia R81 была опубликована в ранний доступ (EA). Ранее можно было ознакомиться с планируемыми новшествами в release notes. Теперь же у нас появилась возможность посмотреть на это в реальной жизни. Для этого была собрана стандартная схема с выделенным сервером управления и шлюзом. Естественно мы не успели провести все полноценные тесты, но зато готовы поделиться тем, что сразу же бросается в глаза при знакомстве с новой системой. Под катом основные моменты которые мы выделили при первом знакомстве с системой (много картинок).

Управление

При инициализации шлюза у вас появляется возможность сразу подключиться к облачному серверу управлению Smart 1 Cloud (так называемый MaaS):



Это относительно новая возможность (есть и в последних тейках 80.40) и мы расскажем про этот сервис чуть подробнее в самое ближайшее время. Здесь главный плюс (на наш взгляд) долгожданная возможность управления через браузер :)

VxLAN и GRE

Первое, что мы полезли проверять поддержка VxLAN и GRE. Release Notes нас не обманули, все на месте:



Можно поспорить о необходимости этих функций на NGFW, но все же лучше, когда у пользователя есть такой выбор.

Infinity Threat Prevention

Наверно это первое, что бросается в глаза, когда начинаешь править политику безопасности. Добавился новый вариант активации блейдов Threat Prevention Infinity. Т.е. не надо выбирать какие блейды включать, Check Point решил все за нас (уж не знаю, на сколько это хорошо):



При этом у вас конечно же остается возможность привычной самостоятельной настройки блейдов.

Infinity Threat Prevention Policy

Раз уж мы заговорили про Threat Prevention, то давайте сразу посмотрим на Policy. Наверно это одно из самых значимых изменений:



Как видно, появилось гораздо больше преднастроенных политик. Можно детально посмотреть, в чем между ними различие нажав на Help me decide:





Это политика динамическая и обновляется без вашего участия.

Change Report

Наконец-то можно в удобной форме посмотреть, что именно изменили в ходе правки конфигурации:



Есть общий отчет:



А есть совершенно конкретные разделы:




Очень удобно следить за изменениями.

Web Management для Endpoint

Как вы наверняка знаете, на сервере управления можно включить Endpoint Management и управлять агентами SandBlast. В R81 добавили интересную возможность управление через браузер. Включается это довольно интересным способом. Нужно в CLI зайти в режим expert и ввести команду web_mgmt_start, а затем перейти по адресу https://:4434/sba/. И перед вами откроется веб-консоль:



Мы частично рассказали об этой платформе в рамках статей "Check Point SandBlast Agent Management Platform" от Алексея Малько. Правда там такая консоль была доступна только в облаке, теперь же это работает и на локальных серверах управления.

Smart Update

При попытке добавить лицензии через старый добрый Smart Update, консоль вас любезно предупредит, что теперь это можно делать не выходя из уже привычной Smart Console:

NAT

Очень ожидаемый нами функционал. Теперь в правилах NAT можно использовать Access Roles, Security Zones или Updatable Objects. Бывают кейсы, когда это очень полезно и нужно.

Заключение

На этом пока все. Есть еще множество нововведений, которые требуют теста (IoT, Azure AD, Updgrade, Logs API и т.д.). Как уже писал выше, в ближайшее время опубликуем обзор новой облачной системы управления Smart-1 Cloud. Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!
Также не забывайте про нашу большую подборку материалов по Check Point.