CHECK POINT NGX. Dr. Matthias Leu und Bernd Ochsmann

Transkript

1 CHECK POINT NGX Dr. Matthias Leu und Bernd Ochsmann

2 INHALT 1 Vorwort 15 2 Grundlagen von TCP/IP Die Schichtenmodelle Netzwerkschicht Internetschicht Transportschicht Weitere Protokolle des IP Applikationsschicht 55 3 Warum eine Firewall? Die Offenheit der Protokolle im Internet Schutz durch Firewalls und DMZ Heutige Anforderungen an Firewalls Absicherung von Applikationen Ganzheitlicher Ansatz und zentrales Management 67 4 Technische Sicherheitsmechanismen Paketfilter Circuit Level und Application Level Gateways Stateful Inspection Der heutige Trend 92 5 Grundlagen von NGX Funktionsprinzip von NGX Secure Virtual Networking und Secure Internal Communication Die Basiskomponenten von NGX Enforcement Point- die Firewall SmartCenter - das zentrale Management SmartConsole - das GUI SmartPortal - das Webinterface 114

3 6 Inhalt 5.4 Optionen von NGX Remote-Management Benutzer-Authentisierung Virtual Private Networks Check Point Integrity, InterSpect, Connectra und Edge verwalten Ausfallsicherheit und Load Sharing Ausfallsicherheit für die Verwaltung Load Balancing für Server Routerverwaltung mit dem Open Security Manager Integration weiterer Software Grundausstattung und Zubehör NGX installieren und lizenzieren Installationsplattformen und -anforderungen Absicherung des Betriebssystems Microsoft Windows Server SUN Solaris Red Hat Enterprise Linux Weitere Betriebssysteme SecurePlatform und SecurePlatform Pro Nokia IPSO Inhalte der Installations-CD bei NGX R NGX unter Windows Server installieren NGX unter Unix installieren NGX de-installieren Migration von Version NG AI zu NGX Lizenzierung und Lizenzverwaltung SmartDashboard und Grundeinstellungen Objektbaum, Regelsätze und SmartMap Das Menü und die Werkzeugleiste Die Grundeinstellungen von NGX Allgemeines FireWall NAT-Network Address Translation Authentication VPN VPN-1 UTM Edge/Embedded Gateway Remote Access SmartDirectory (LDAP) QoS SmartMap UserAuthority 328

4 Inhalt Management High Availability ConnectControl OSE - Open Security Extension StatefuI Inspection Log and Alert Reporting Tools OPSEC SmartCenter Access Non Unique IP Address Ranges SmartDashboard Customization Überprüfung und Installation einer Regelbasis Objekte in NGX verwalten Allgemeines Netzwerkobjekte Checkpoint Nodes Interoperable Device Eigenschaften von Check Point, Nodes und Interoperable Device 372 General 372 Cluster Members 376 ClusterXL 380 3rd Party Configuration 383 Topology 385 ISP Redundancy 401 NAT 403 SmartDefense 407 VPN 409 Remote Access 419 Authentication 426 SmartDirectory (LDAP) 429 SmartView Monitor 430 UserAuthority Server 431 UserAuthority WebAccess 433 Logs and Masters 435 Reporting Tools 442 Capacity Optimization 442 Web Server 444 Mail Server 447 DNS Server 448 Advanced Eigenschaften von Embedded Devices, InterSpect und Connectra Check Point VSX Network Domain OSE Device Group 494

5 Inhalt Logical Server Address Ranges Dynamic Object VolP Domains Services TCP Compound TCP Citrix TCP UDP RPC ICMP DCE-RPC Other Group Resources URI URIforQoS SMTP FTP TCP CIFS Servers and OPSEC-Applications RADIUS und Gruppe von RADIUS-Servern TACACS LDAP Account Unit Certificate Authority SecuRemote DNS OPSEC Applications Users and Administrators Allgemeines Administrator Groups - Gruppen von Administratoren Administrators External User Profiles LDAP Groups - Benutzergruppen auf LDAP-Servern Templates -Vorlagen für Benutzer User Groups - Benutzergruppen Users Permission Profiles - Berechtigungsprofile für Administratoren General Permissions Time - Zeiten und Zeitpunkte Time Group Scheduled Event 640

6 Inhalt VPN Communities - Grundlage für VPN Site-to-Site Remote Access Remote Access - Connection Profile QoS - Quality of Service Classes DiffServ Class of Service Low Latency Class of Service DiffServ Class of Service Group SmartView Monitor - Virtual Links UserAuthority UA Authentication Domains Operations Trusts Regeln eingeben Allgemeines Name der Regel Bestimmung von Absender und Ziel Die Spalte VPN Auswahl an Services oder Ressourcen Time - Zeitliche Beschränkung Action - Geforderte Aktionen Accept Drop Reject UserAuth Client Auth Session Auth Track - Die Reaktion der Firewall Install On - Installationsmöglichkeiten Comment - das Kommentarfeld Wichtige Regeln Default-Regel Stealth-Regel Clean-up-Regel Reihenfolge, in der die Regeln greifen Reihenfolge der Aktivitäten am Gateway Regeln verstecken (Temporäres) Ausschalten von Regeln Anfragen an die Regelbasis mit Queries GUIdbedit und dbedit 722

7 lo Inhalt 10 Smart Defense, Web Intelligence und Content lnspection General - Download Updates Network Security Anti Spoofing Configuration Status Denial of Service IPand ICMP TCP Fingerprint Scrambling Successive Events DShield Storm Center Port Scan Dynamic Ports Application Intelligence Mail FTP Microsoft Networks Peerto Peer Instant Messengers DNS VolP SNMP VPN Protocols CA BrightStor Backup Content Protection DHCP Socks Remote Control Applications Routing Protocols MS-RPC SUN-RPC Telnet Veritas Backup Exec Protections MS-SQL Web Intelligence General Web Servers View Malicious Code Application Layer Information Disclosure HTTP Protocol Inspection HTTP Client Protection Neu seit NGX R62: Profile und Installationsorte Content Inspection SmartDefense Services 797

8 Inhalt SmartView Tracker und SmartView Monitor Der SmartView Tracker - Der Blick in das Log Allgemeine Einstellungen und Hinweise Die Werkzeugleiste und Menüs Logeinträge Log: Das klassische Log Audit: Log der administrativen Tätigkeiten Active: Log der momentan aktiven Verbindungen Sperren aktiver Verbindungen: Block-Intruder SmartView Monitor - Komponenten überwachen Allgemeine Einstellungen und Hinweise Werkzeug leiste und Menüs Gateway Status Traffic System Counters Tunnels Remote Users Authentisierung mit MGX Prinzipielles zu den Authentisierungsmethoden Möglichkeiten der Benutzerauthentisierung User-Authentisierung Client-Authentisierung Session-Authentisierung Vergleich der Authentisierungsverfahren Reihenfolge der Regeln zur Authentisierung Hinweise zum Einrichten der Authentisierung LDAP-Server LDAP-Lightweight Directory Access Protocol Vorbereitungen bei NGX Benutzer einrichten und verwalten auf LDAP-Servern Nutzung der Authentisierung in einer Regelbasis Network Address Translation Notwendigkeit und Möglichkeiten Static NAT (Static Mode) Dynamic NAT (Hide Mode) Konfiguration der NAT Problemzonen der NAT NAT auf das externe Interface der Firewall ARP Routing Host-Routing 935

9 12 Inhalt Anti-Spoofing Globale Einstellungen von NGX Mögliche Probleme mit einzelnen Protokollen NATund die Kontrollverbindungen von NGX IP-Pool NAT Bandbreitenmanagement mit FloodGate Grundsätzliches zu Bandbreitenmanagement Inbetriebnahme von FloodGate Regeln für FloodGate Differentiated Services - DiffServ Low Latency Queuing - LLQ Weitere Optionen von FloodGate Virtual Private Networks mit NGX Möglichkeiten in NGX Server-Server VPN mit IKE IPsec ISAKMP/OAKLEY und IKE Domain-Based VPN Überlappende VPN-Domains Route-Based VPN-VPN Tunnel Interfaces (VTI) Weiteres zu dynamischen Routing Client-Server-VPN mit SecuRemote und SecureCiient Das Prinzip von SecuRemote Installation von SecuRemote auf einem PC VPN-1 für SecuRemote einrichten Einrichten von SecuRemote und der laufende Betrieb SecureCiient SecureCiient in der Praxis Das SecureCiient Diagnostics Tool Konfiguration von SecuRemote und SecureCiient Das SecureCiient Packaging Tool Übersicht zu Integrity Clients und Integrity SecureCiient Clientless VPN Nutzung von SSL für VPN Der SSL Network Extender Weitere Funktionalität mit Check Point Connectra 1 052

10 Inhalt Ausfallsicherheit Ausfallsicherheit für den SmartCenter Hochverfügbarkeit des Managements Primary und Secondary SmartCenter konfigurieren Arbeiten mit der Management-HA Hochverfügbarkeit für Firewalls Prinzipielles zu Check Point ClusterXL Synchronisierung der State Tables HA-Ausfallsicherheit mit ClusterXL LS-Load Sharing mit ClusterXL Abschließendes zu ClusterXL Weitere Optionen für die Konfiguration von Clustern Ausfallsicherheit für VPN Multiple Entry Point-Redundanz und Lastverteilung für VPN Der Route Injection Mechanism (RIM) Der Wire Mode Ausfallsicherheit für Provider: ISP Redundancy Praktische Konfigurationsbeispiele Vergabe von Namen Administratoren- und CPAAI-Gruppen einrichten Deklaration von Administratoren und -Gruppen Deklaration von CPMI-Gruppen Rechte zur Installation von Regeln auf Objekten Aufbau einer einfachen Regelbasis Reihenfolge der Regeln Grundeinstellungen von NGX anpassen Implizite Regeln Spezielle Regeln Nutzung von Ressourcen Ressourcen für SMTP Ressourcen für FTP Ressourcen für HTTP Definition eigener Ressourcen Einbindung und Konfiguration von Alarmen Einrichtung von Static NAT und Dynamic NAT Static NAT Dynamic NAT Weitere Möglichkeiten der NAT ConnectControl Load-Balancing für HTTP Load-Balancing für FTP und andere Dienste Weiteres zum Load Agent 1135

11 14 Inhalt 17.8 Routerverwaltung mit NGX Grundvoraussetzungen, Regeln und deren Installation Import der ACLs von einem Router Authentisierung von Benutzern für verschiedene Dienste Eingabe von Regeln zur Authentisierung User-Authentisierung für Telnet und HTTP User-Authentisierung für FTP Client-Authentisierung Session-Authentisierung Clientless VPN Konfiguration von NGX für Clientless VPN Der SSL Network Extender VPN-Clients Sichere Datenübertragung mit SecuRemote SecureClient und Policy Server Der Integrity SecureClient Aufbau fester VPN im Simplified Mode Basiskonfiguration fester VPN Vermaschtes VPN Sternförmiges VPN Authentisierung über ein Pre-Shared Secret Authentisierung durch Zertifikate Hinweise auf einige mögliche Konfigurationsfehler VPN-Routing 1173 Anhang A: Die Kommandozeile 1179 A.1 Basisbefehle 1181 A.2 Die Befehle fw, fwm und vpn 1183 A.3 NGX verwalten 1185 A.4 VPN verwalten 1230 A.5 Hochverfügbarkeit 1237 A.6 Upgrade und Wechsel 1239 A.7 Debugging und Monitoring 1241 A.8 Wichtige Dateien im Supportfall: cpinfo 1257 A.9 Sonstiges 1260 A.10 Beispiel: Regelbasis von Hand installieren 1261 A.11 Die Sprache INSPECT 1263 Anhang B: Weiterführendes 1265 Stichwortverzeichnis 1273