Check Point FireWall-1 /VPN-1

Größe: px

Ab Seite anzeigen:

Download "Check Point FireWall-1 /VPN-1"

Achim Gerhardt
vor 8 Jahren
Abrufe

1 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. Uwe Ullmann Check Point FireWall-1 /VPN-1

2 I Für wen ist das Buch geschrieben? Was ist eine Firewall? Kurzer Überblick über die verschiedenen Firewall- Technologien OSl-Modell (OSI, Open System Integrated) Hardware-Adresse Router Paketfilter Warum reichen Paketfilter alleine für Firewall-Systeme nicht aus? Warum werden Paktefilter trotzdem eingesetzt? Proxy Hybride Firewalls Transparenter Proxy (Second-Generation Application-Level Firewall) DMZ (Demilitarisierte Zone) IDS (Intrusion Detection System) Check Points Firewall bzw. die StatefuI Inspection Technology Vergleich von Paketfilter, Proxy und StatefuI Inspection Architektur der StatefuI Inspection Check Points Produkte und Module FireWall-1/VPN-l Leistungsmerkmale der FireWall-1 /VPN-1 Plattformen und Systemvoraussetzungen

nicht aus? Warum werden Paktefilter trotzdem eingesetzt?

3 Beschreibung der FireWall-1-Module Inspection Modul Firewall Modul Open Security Extension-Modul Connect Control-Modul Account Management-Modul Secure Server-Modul Management Server-Modul und GUI (Graphical User Interface) Enterprise Management Console Customer Log-Modul Reporting-Modu Beschreibung der VPN-1 -Module Encryption-Modul VPN-1-Module Add-On-VPN-Modul Certificate Manager-Modul SecuRemore-Software SecureClient Weitere Produkte von Check Point FloodGare-1 Provider-1 MetalP Was ist in der Version 4.1 der FireWall-1 /VPN-1 -Produktfamilie neu? Kostenaspekte Allgemeines Anforderungen eines anspruchsvollen Sicherheitsheitskonzeptes Weitere Kostenaspekte Software-Kosten Firewall-1/VPN-1 Anmerkungen zur Lizenzpolitik von Check Point Kosten für Firewall-1-Module (Empfohlener Verkaufspreis (EVK) in Tausend Euro) Kosten für VPN-1-Module Kosten für FloodGate-1 Kosten für Kombinierte SVN-Lösungen (SVN, Secure Virtual Network) Beispielkonfiguration ; j

(Graphical User Interface) Enterprise Management Console Customer Log-Modul Reporting-Modu Beschreibung der VPN-1 -Module Encryption-Modul VPN-1-Module Add-On-VPN-Modul Certificate Manager-Modul

4 6 FireWall-1 (Stand Alone): Installation und Konfiguration Software-Auswahl und -Installation Installationsprozedur der FireWall-1 (Windows NT) 73 Allgemeines 73 Kopieren der FireWall-1-Dateien auf den Rechner 74 Backward Compatibility 75 Lizenznummern 76 Definition des Administrators 77 Definition der IP-Adresse 78 IP-Adressen der GUI 78 Remote Enforcement-Module 78 Control IP Forwarding 80 SMTP Security Server 80 Generierung einer Zufallszahl 82 Fertigstellung der Installation 83 Nachträgliche Konfigurationsänderungen mit dem Configuration Tool 84 Einspielen der Service Packs 84 nstallation der GUI Beschreibung und Benutzung der FireWall-1-GUIs Überblick Security Policy Editor GUI 89 Erklärung der Shortcuts Log Viewer-GUI 93 Log Viewer-Modi 96 Speichern und Verwalten der Logeinträge 97 Selektion und Suche der Logeinträge System Status-GUI Definition von Filterregeln, Netzwerkobjekten und Diensten Allgemeines Erstellung einer neuen Security Policy über den Vorlagen-Manager Elemente der Filterregeln 103 Optionen der Filterregelelemente 104

Definition der IP-Adresse 78 IP-Adressen der GUI 78 Remote Enforcement-Module 78 Control IP Forwarding 80 SMTP Security Server 80 Generierung einer Zufallszahl 82 Fertigstellung der Installation 83

5 8.4 Die Definition von Netzwerkobjekten 109 Objektdefinition Workstation 1 10 Objektdefinition Netzwerke 1 15 Objekrdefinition Domain 1 16 Objektdefinition Router, Switch, Integrated Firewall 1 17 Objektdefinition Group 1 17 Objektdefinition Logical Server Objektdefinition Address Range Die Definition von Netzwerkdiensten mittels des Service-Managers 119 TCP-Service-Optionen 120 UDP-Service-Optionen 1 21 RPC-(Remote Procedure Call) Service-Optionen 1 21 ICMP-(lnternet Control Message Protocol) Service-Optionen 1 21 Definition eigener Dienste (Other) 1 22 Definition von Dienstegruppen (Group) 1 24 Definition von Port-Bereichen (Port Range) Objektdefinition und Filterregeln für unser Beispiel (Stand Alone FireWall-1) Sicherheitsgrundeinstellungen (Security Policy Properties) Erklärung der Security Policy-Felder Erklärung der Services Policy Services-Felder Erklärung der Log- und Alert-Felder Security-Server SYNDefender 141 SYNDefender Gateway 142 SYNDefender Passive Gateway 143 Wann sollte welches Verfahren gewählt werden? Weitere Parametrisierungsmöglichkeiten der Sicherheitsgrundeinstellungen (Properties Setup) 145 High Availability-Option 146 Fortsetzung weiterer Sicherheitsgrundeinstellungsparameter:

5 Die Definition von Netzwerkdiensten mittels des Service-Managers 119 TCP-Service-Optionen 120 UDP-Service-Optionen 1 21 RPC-(Remote Procedure Call) Service-Optionen 1 21 ICMP-(lnternet Control

6 Inhaltsverzeich ms 10 Authentisierung Durch die FireWall-1 unterstützte Authentisierungstypen 151 Wie funktioniert die User-Authentisierung? 1 Wie funktioniert die Client-Authentisierung? 155 Wie funktioniert die implizite Client-Authentisierung? 1 57 Wie funktioniert die Session-Authentisierung? Vergleich der verschiedenen Authentisierungsverfahren 163 Authentisierung in den Sicherheitsgrundeinstellungen (Security Properties Setup) Definition von Benutzem Definition der Authentisierungverfahren 166 S/Key Anmerkungen zu unserem Praxisbeispiel NAT: Network Address Translation Einführung Funktion von NAT 178 Funktion dynamisches NAT (Hiding) 178 Funktion statisches NAT 1 80 Funktion PAT (Port Address Translation) Wie hat Check Point NAT und PAT realisiert? 183 NAT-Architektur beim dynamischen NAT 1 84 NAT-Architektur beim statischen NAT im Source Mode 1 85 NAT-Architektur beim statischen NAT im Destination Mode 1 86 NAT und das Regelwerk der FireWall NAT-Beispiele für die FireWall Konfigurationsbeispiel dynamisches NAT 1 87 Konfigurationsbeispiel statisches NAT Security Server, URL-Filter, Virenscanner Einleitende Anmerkungen Konfigurationsbeispiel FTP-Security Server 202 Nicht Check Point spezifische Konfigurationsarbeiten 202 Firewall-1 -spezifische Konfigurationsschritte mittels des Policy Editors von Checkpoint: 203

2 Vergleich der verschiedenen Authentisierungsverfahren 163 Authentisierung in den Sicherheitsgrundeinstellungen (Security Properties Setup) 163 10.3 Definition von Benutzem 165 10.

7 Nicht Check Point-spezifische Konfigurationsarbeiten (FTP-Security Server) 203 FireWall-1- spezifische Konfigurationsschritte (FTP-Security Server) Konfigurationsbeispiel HTTP-Security Server 208 Nicht Check Point spezifische Konfigurationsarbeiten 210 Firewall-1-spezifische Konfigurationsschritte mit dem Policy Editor von Check Point 210 Nicht Check Point-spezifische Konfigurationsarbeiten (HTTP-Security Server) 210 Check Point spezifische Konfigurationsarbeiten (HTTP-Security Server) Konfigurationsbeispiel SMTP-Security Server 218 Nicht Check Point-spezifische Konfigurationsarbeiten 21 9 FireWall-1 spezifische Konfigurationsschritte mittels des Policy Editors von Check Point 21 9 Check Point-spezifische Konfigurationsschritte zur Einrichtung eines Virenscanners für SMTP ( ) Verschlüsselung Einführung in die Verschlüsselungstechniken 227 Wo wird verschlüsselt? Symmetrische Verschlüsselung 230 Beispiele für symmetrische Verschlüsselung Asymmetrische Verschlüsselung 231 Beispiele für asymmetrische Verschlüsselung 233 Anwendungsbereich für asymmetrische Verschlüsselungsverfahren zur Transportsicherung 233 Anwendungsbereich für asymmetrische Verschlüsselungsverfahren zur Authentisierung Trust Center und die digitale Signatur 235 Hash-Algorithmen Schlüsselmanagement-Protokolle IPSec 238 IPSec-Authentisierungsdaten 239 SPI (Security Parameter Index) 240 IPSec Encapsulating Security Payload (ESP) 240 Vorteile beim Aufbau eines IPSec-Tunnels 242 Nachteile beim Aufbau eines IPSec-Tunnels

Nicht Check Point-spezifische Konfigurationsarbeiten (HTTP-Security Server) 210 Check Point spezifische Konfigurationsarbeiten (HTTP-Security Server) 21 1 12.

8 VPN-1: Installation und Konfiguration Was ist ein VPN? Vergleich zwischen VPN-Lösungen und traditionellen Unternehmensnetzen Vorteile von VPN-Lösungen Nachteil von VPN-Lösungen Schlussfolgerung aus dem Vergleich der Vor- und Nachteile von VPN-Lösungen Einsatzmöglichkeiten und Voraussetzungen für VPN-Lösungen Check Points VPN-1 Installation und Konfiguration von VPN-1 Software-Setup Anpassung der Objekteigenschaften der Firewall Definition des VPN-Netzes Definition der VPN-Filterregel Editieren der Verschlüsselungsparameter innerhalb der VPN-Filterregeln SecuRemote Aufgabe und Lizenzierung von SecuRemote Allgemeine Anforderungen an Internet Remote Dial In-Software Leistungsmerkmale von SecuRemote Installation und Konfiguration von SecuRemote Konfiguration des VPN-Gateways (mit Desktop Security) Konfiguration des Remote-Clients (mit Desktop Security) Traffic Management und FloodGate-1 Was ist Traffic Management? Was ist Quality of Service? Traffic Management und IP-Anwendungen Class Based Queuing TCP Window Sizing Multi Path Queuing Vergleich von Class Based Queuing, TCP Window Sizing und Multi Path Queuing

Einsatzmöglichkeiten und Voraussetzungen für VPN-Lösungen Check Points VPN-1 Installation und Konfiguration von VPN-1 Software-Setup Anpassung der Objekteigenschaften der Firewall Definition des

9 nhaltsverzeichnis Produkteigenschaften von FloodGate-1 FloodGate-1 -Installation FloodGate-1 -Konfiguration Objektdefinition Traffic Control-Eigenschaften Definition der Grundeinstellungen für Traffic Control Bandbreiten-Policy-Management FloodGate-1 -Monitoring Ausblick Zentrale Administration und grafische Visualisierung Verbesserte Performance Allgemeiner Ausblick Glossar und Abkürzungsverzeichnis Index

Control-Eigenschaften Definition der Grundeinstellungen für Traffic Control Bandbreiten-Policy-Management FloodGate-1 -Monitoring

Ähnliche Dokumente

How-to: Webserver NAT. Securepoint Security System Version 2007nx

How-to: Webserver NAT. Securepoint Security System Version 2007nx Securepoint Security System Inhaltsverzeichnis Webserver NAT... 3 1 Konfiguration einer Webserver NAT... 4 1.1 Einrichten von Netzwerkobjekten... 4 1.2 Erstellen von Firewall-Regeln... 6 Seite 2 Webserver