Computer & Literatur Verlag GmbH

Transkript

1 Computer & Literatur Verlag GmbH

2

3 CHECK POINT NGX Dr. Matthias Leu und Bernd Ochsmann

4 Deutsche Nationalbibliothek CIP-Einheitsaufnahme Bibliografische Information der Deutschen Nationalbibliothek Ein Titeldatensatz für diese Publikation ist bei der Deutschen Nationalbibliothek erhältlich und im Internet über abrufbar. Alle Rechte vorbehalten. Ohne ausdrückliche, schriftliche Genehmigung des Herausgebers ist es nicht gestattet, das Buch oder Teile daraus in irgendeiner Form durch Fotokopie, Mikrofilm oder ein anderes Verfahren zu vervielfältigen oder zu verbreiten. Dasselbe gilt für das Recht der öffentlichen Wiedergabe. Der Verlag macht darauf aufmerksam, daß die genannten Firmen- und Markenzeichen sowie Produktbezeichnungen in der Regel marken-, patent-, oder warenzeichenrechtlichem Schutz unterliegen. Die Herausgeber übernehmen keine Gewähr für die Funktionsfähigkeit beschriebener Verfahren, Programme oder Schaltungen. 1. Auflage by C&L Computer und Literaturverlag Zavelsteiner Straße 20, Böblingen WWW: Coverdesign: Hawa & Nöh, Neu-Eichenberg Satz: C&L-Verlag Druck: PUT i RB DROGOWIEC Printed in Poland Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt ISBN

5 INHALT 1 Vorwort Grundlagen von TCP/IP Die Schichtenmodelle Netzwerkschicht Internetschicht Transportschicht Weitere Protokolle des IP Applikationsschicht Warum eine Firewall? Die Offenheit der Protokolle im Internet Schutz durch Firewalls und DMZ Heutige Anforderungen an Firewalls Absicherung von Applikationen Ganzheitlicher Ansatz und zentrales Management Technische Sicherheitsmechanismen Paketfilter Circuit Level und Application Level Gateways Stateful Inspection Der heutige Trend Grundlagen von NGX Funktionsprinzip von NGX Secure Virtual Networking und Secure Internal Communication Die Basiskomponenten von NGX Enforcement Point die Firewall SmartCenter das zentrale Management SmartConsole das GUI SmartPortal das Webinterface

6 6 Inhalt 5.4 Optionen von NGX Remote-Management Benutzer-Authentisierung Virtual Private Networks Check Point Integrity, InterSpect, Connectra und Edge verwalten Ausfallsicherheit und Load Sharing Ausfallsicherheit für die Verwaltung Load Balancing für Server Routerverwaltung mit dem Open Security Manager Integration weiterer Software Grundausstattung und Zubehör NGX installieren und lizenzieren Installationsplattformen und -anforderungen Absicherung des Betriebssystems Microsoft Windows Server SUN Solaris Red Hat Enterprise Linux Weitere Betriebssysteme SecurePlatform und SecurePlatform Pro Nokia IPSO Inhalte der Installations-CD bei NGX R NGX unter Windows Server installieren NGX unter Unix installieren NGX de-installieren Migration von Version NG AI zu NGX Lizenzierung und Lizenzverwaltung SmartDashboard und Grundeinstellungen Objektbaum, Regelsätze und SmartMap Das Menü und die Werkzeugleiste Die Grundeinstellungen von NGX Allgemeines FireWall NAT Network Address Translation Authentication VPN VPN-1 UTM Edge/Embedded Gateway Remote Access SmartDirectory (LDAP) QoS SmartMap UserAuthority...328

7 Inhalt Management High Availability ConnectControl OSE Open Security Extension Stateful Inspection Log and Alert Reporting Tools OPSEC SmartCenter Access Non Unique IP Address Ranges SmartDashboard Customization Überprüfung und Installation einer Regelbasis Objekte in NGX verwalten Allgemeines Netzwerkobjekte Check Point Nodes Interoperable Device Eigenschaften von Check Point, Nodes und Interoperable Device General Cluster Members ClusterXL rd Party Configuration Topology ISP Redundancy NAT SmartDefense VPN Remote Access Authentication SmartDirectory (LDAP) SmartView Monitor UserAuthority Server UserAuthority WebAccess Logs and Masters Reporting Tools Capacity Optimization Web Server Mail Server DNS Server Advanced Eigenschaften von Embedded Devices, InterSpect und Connectra Check Point VSX Network Domain OSE Device Group

8 8 Inhalt Logical Server Address Ranges Dynamic Object VoIP Domains Services TCP Compound TCP Citrix TCP UDP RPC ICMP DCE-RPC Other Group Resources URI URI for QoS SMTP FTP TCP CIFS Servers and OPSEC-Applications RADIUS und Gruppe von RADIUS-Servern TACACS LDAP Account Unit Certificate Authority SecuRemote DNS OPSEC Applications Users and Administrators Allgemeines Administrator Groups Gruppen von Administratoren Administrators External User Profiles LDAP Groups Benutzergruppen auf LDAP-Servern Templates Vorlagen für Benutzer User Groups Benutzergruppen Users Permission Profiles Berechtigungsprofile für Administratoren General Permissions Time Zeiten und Zeitpunkte Time Group Scheduled Event...640

9 Inhalt VPN Communities Grundlage für VPN Site-to-Site Remote Access Remote Access Connection Profile QoS Quality of Service Classes DiffServ Class of Service Low Latency Class of Service DiffServ Class of Service Group SmartView Monitor Virtual Links UserAuthority UA Authentication Domains Operations Trusts Regeln eingeben Allgemeines Name der Regel Bestimmung von Absender und Ziel Die Spalte VPN Auswahl an Services oder Ressourcen Time Zeitliche Beschränkung Action Geforderte Aktionen Accept Drop Reject User Auth Client Auth Session Auth Track Die Reaktion der Firewall Install On Installationsmöglichkeiten Comment das Kommentarfeld Wichtige Regeln Default-Regel Stealth-Regel Clean-up-Regel Reihenfolge, in der die Regeln greifen Reihenfolge der Aktivitäten am Gateway Regeln verstecken (Temporäres) Ausschalten von Regeln Anfragen an die Regelbasis mit Queries GUIdbedit und dbedit

10 10 Inhalt 10 Smart Defense, Web Intelligence und Content Inspection General Download Updates Network Security Anti Spoofing Configuration Status Denial of Service IP and ICMP TCP Fingerprint Scrambling Successive Events DShield Storm Center Port Scan Dynamic Ports Application Intelligence Mail FTP Microsoft Networks Peer to Peer Instant Messengers DNS VoIP SNMP VPN Protocols CA BrightStor Backup Content Protection DHCP Socks Remote Control Applications Routing Protocols MS-RPC SUN-RPC Telnet Veritas Backup Exec Protections MS-SQL Web Intelligence General Web Servers View Malicious Code Application Layer Information Disclosure HTTP Protocol Inspection HTTP Client Protection Neu seit NGX R62: Profile und Installationsorte Content Inspection SmartDefense Services

11 Inhalt SmartView Tracker und SmartView Monitor Der SmartView Tracker Der Blick in das Log Allgemeine Einstellungen und Hinweise Die Werkzeugleiste und Menüs Logeinträge Log: Das klassische Log Audit: Log der administrativen Tätigkeiten Active: Log der momentan aktiven Verbindungen Sperren aktiver Verbindungen: Block-Intruder SmartView Monitor Komponenten überwachen Allgemeine Einstellungen und Hinweise Werkzeugleiste und Menüs Gateway Status Traffic System Counters Tunnels Remote Users Authentisierung mit NGX Prinzipielles zu den Authentisierungsmethoden Möglichkeiten der Benutzerauthentisierung User-Authentisierung Client-Authentisierung Session-Authentisierung Vergleich der Authentisierungsverfahren Reihenfolge der Regeln zur Authentisierung Hinweise zum Einrichten der Authentisierung LDAP-Server LDAP Lightweight Directory Access Protocol Vorbereitungen bei NGX Benutzer einrichten und verwalten auf LDAP-Servern Nutzung der Authentisierung in einer Regelbasis Network Address Translation Notwendigkeit und Möglichkeiten Static NAT (Static Mode) Dynamic NAT (Hide Mode) Konfiguration der NAT Problemzonen der NAT NAT auf das externe Interface der Firewall ARP Routing Host-Routing

12 12 Inhalt Anti-Spoofing Globale Einstellungen von NGX Mögliche Probleme mit einzelnen Protokollen NAT und die Kontrollverbindungen von NGX IP-Pool NAT Bandbreitenmanagement mit FloodGate Grundsätzliches zu Bandbreitenmanagement Inbetriebnahme von FloodGate Regeln für FloodGate Differentiated Services DiffServ Low Latency Queuing LLQ Weitere Optionen von FloodGate Virtual Private Networks mit NGX Möglichkeiten in NGX Server-Server VPN mit IKE IPsec ISAKMP/OAKLEY und IKE Domain-Based VPN Überlappende VPN-Domains Route-Based VPN VPN Tunnel Interfaces (VTI) Weiteres zu dynamischen Routing Client-Server-VPN mit SecuRemote und SecureClient Das Prinzip von SecuRemote Installation von SecuRemote auf einem PC VPN-1 für SecuRemote einrichten Einrichten von SecuRemote und der laufende Betrieb SecureClient SecureClient in der Praxis Das SecureClient Diagnostics Tool Konfiguration von SecuRemote und SecureClient Das SecureClient Packaging Tool Übersicht zu Integrity Clients und Integrity SecureClient Clientless VPN Nutzung von SSL für VPN Der SSL Network Extender Weitere Funktionalität mit Check Point Connectra

13 Inhalt Ausfallsicherheit Ausfallsicherheit für den SmartCenter Hochverfügbarkeit des Managements Primary und Secondary SmartCenter konfigurieren Arbeiten mit der Management-HA Hochverfügbarkeit für Firewalls Prinzipielles zu Check Point ClusterXL Synchronisierung der State Tables HA Ausfallsicherheit mit ClusterXL LS Load Sharing mit ClusterXL Abschließendes zu ClusterXL Weitere Optionen für die Konfiguration von Clustern Ausfallsicherheit für VPN Multiple Entry Point Redundanz und Lastverteilung für VPN Der Route Injection Mechanism (RIM) Der Wire Mode Ausfallsicherheit für Provider: ISP Redundancy Praktische Konfigurationsbeispiele Vergabe von Namen Administratoren- und CPMI-Gruppen einrichten Deklaration von Administratoren und -Gruppen Deklaration von CPMI-Gruppen Rechte zur Installation von Regeln auf Objekten Aufbau einer einfachen Regelbasis Reihenfolge der Regeln Grundeinstellungen von NGX anpassen Implizite Regeln Spezielle Regeln Nutzung von Ressourcen Ressourcen für SMTP Ressourcen für FTP Ressourcen für HTTP Definition eigener Ressourcen Einbindung und Konfiguration von Alarmen Einrichtung von Static NAT und Dynamic NAT Static NAT Dynamic NAT Weitere Möglichkeiten der NAT ConnectControl Load-Balancing für HTTP Load-Balancing für FTP und andere Dienste Weiteres zum Load Agent

14 14 Inhalt 17.8 Routerverwaltung mit NGX Grundvoraussetzungen, Regeln und deren Installation Import der ACLs von einem Router Authentisierung von Benutzern für verschiedene Dienste Eingabe von Regeln zur Authentisierung User-Authentisierung für Telnet und HTTP User-Authentisierung für FTP Client-Authentisierung Session-Authentisierung Clientless VPN Konfiguration von NGX für Clientless VPN Der SSL Network Extender VPN-Clients Sichere Datenübertragung mit SecuRemote SecureClient und Policy Server Der Integrity SecureClient Aufbau fester VPN im Simplified Mode Basiskonfiguration fester VPN Vermaschtes VPN Sternförmiges VPN Authentisierung über ein Pre-Shared Secret Authentisierung durch Zertifikate Hinweise auf einige mögliche Konfigurationsfehler VPN-Routing Anhang A: Die Kommandozeile A.1 Basisbefehle A.2 Die Befehle fw, fwm und vpn A.3 NGX verwalten A.4 VPN verwalten A.5 Hochverfügbarkeit A.6 Upgrade und Wechsel A.7 Debugging und Monitoring A.8 Wichtige Dateien im Supportfall: cpinfo A.9 Sonstiges A.10 Beispiel: Regelbasis von Hand installieren A.11 Die Sprache INSPECT Anhang B: Weiterführendes Stichwortverzeichnis

15 KAPITEL 1: VORWORT 1 VORWORT Dieses Buch behandelt Check Point NGX, eine Firewall, die schon wieder einen neuen Namen bekommen hat. Sie ist die Weiterentwicklung der bereits legendären und seit über zehn Jahren erhältlichen FireWall-1 beziehungsweise VPN-1 von Check Point. In diesem Buch geht es um die Version NGX R62, falls notwendig, werden Hinweise auf die vorhergehenden Versionen von NGX gegeben. Speziell die Öffnung von Netzwerken nach außen sowie zum Internet erfordern Schutzmechanismen, damit Fremde nicht auf die vertraulichen Daten eines Unternehmens zugreifen können. Die Kopplung von Netzwerken zwischen Unternehmen, die in bestimmten Bereichen zusammenarbeiten, ist normal. Nicht immer herrscht aber zwischen den Unternehmen ein uneingeschränktes Vertrauen, weshalb Sicherheitsmaßnahmen ergriffen werden müssen. aber auch dann, wenn das Unternehmen seine IT-Struktur an das Internet angebunden hat. Viele der heute gewünschten Maßnahmen sind über Router und andere Geräte umsetzbar. Check Point NGX bietet als Sicherheitslösung diese und noch viel mehr Möglichkeiten. Es handelt sich dabei um eine reine Softwarelösung, die auf das Betriebssystem einer Maschine aufsetzt. Mindestens jede vierte Sicherheitslösung, die weltweit installiert wird, ist eine von Check Point. Wenn die Sicherheitspolitik des Unternehmens dies vorsieht, kann NGX das richtige Werkzeug zur Absicherung des Unternehmensnetzwerkes sein, sie ist es aber nicht zwangsläufig in jedem Fall. Auch andere Firewalls haben ihre Vorteile, so daß NGX auf keinen Fall grundsätzlich und immer als die einzige und optimale Lösung angesehen werden darf! Beispielsweise kann das Sicherheitskonzept des Unternehmens fordern, daß die Sicherheitslösung auf einem proprietären und damit auch Angreifern unbekannten Betriebssystem aufsetzen muß. Dann ist NGX, die auf verschiedenen Standard-Betriebssystemen läuft, nicht immer das Mittel der Wahl. Das Arbeitsprinzip der Check Point FireWall-1/VPN-1 bietet viele Vorteile, fordert aber eine sehr gute Ausbildung des Administrators und ein hohes Maß an Verantwortungsbewußtsein. Dieses Buch hilft diesen Fachleuten, NGX genauer kennenzulernen und zu verstehen.

16 16 Kapitel 1 Danksagung An diesem Buch haben uns viele Freunde, Kollegen und Mitarbeiter geholfen, denen wir an dieser Stelle herzlich danken möchten. Vor allem aber danken beide Autoren ihren Familien sehr herzlich für die Geduld und die Zeit, die das Schreiben dieses Buches erforderte, von den Nerven ganz zu schweigen. Besonderer Dank gilt Rubina Leu, die nun schon zum dritten Mal ein Buch über die FireWall-1»ertragen«hat. Gegenüber den vorigen Büchern zu diesem Thema war diesmal die Zeit, die sie Matthias entbehren mußte, besonders hoch. Trotzdem hatte sie immer Verständnis und Geduld herzlichen Dank! Unermüdlich gearbeitet haben auch viele andere, die einzelne Passagen oder auch das ganze Manuskript vor Ihnen gelesen und vor allem viele Korrekturen und Verbesserungsvorschläge eingebracht haben. Stellvertretend für viele möchten wir hier speziell Dr. Peter Bieringer, Robert Binder, Fritz Eberhart, Harald Geiger, Thomas Greschitz, Timo Jobst, Viktor Mraz und dem Team von Check Point Deutschland danken. Ihre vielen Tips und hilfreichen Hinweise haben dieses Buch erst zu dem werden lassen, was es unter dem Strich geworden ist. München, am Beginn des Jahres 2007 Dr. Matthias Leu und Bernd Ochsmann Über die Autoren Dr. Matthias Leu stammt aus Hamburg, das er 1980 verließ, um in München zu studieren. Heute arbeitet der diplomierte Physiker und promovierte Ingenieur der Elektrotechnik als geschäftsführender Gesellschafter der AERAsec Network Services and Security GmbH in Hohenbrunn bei München. Seit 1995 hat er unzählige FireWall-1 beziehungsweise VPN-1 installiert, auditiert und im Bereich Troubleshooting»repariert«. Das vorliegende, seiner Frau Rubina gewidmete Buch, ist bereits sein drittes zur Check Point FireWall-1/VPN-1. Bernd Ochsmann stammt aus Bockenem nahe Hildesheim und studierte Physik an der Universität Hannover. Bereits 1991 sammelte der diplomierte Physiker erste Linux- und Internet-Erfahrungen. Seit Juni 2000 ist er direkt beim Hersteller der VPN-1, Check Point Software, angestellt und arbeitet dort im Bereich Professional Services und Second Level Support direkt für das israelische Headquarter. Er leitet und erarbeitet Projekte für die größten Unternehmen weltweit und hat bereits mehrere bekannte Whitepaper für Check Point Software geschrieben. Seine Spezialgebiete sind neben der VPN-1 die High End Produkte Provider-1, VSX und GX für Mobilfunknetze. Für Kommentare, Anfragen und Kritik zu diesem Buch per an mleu@aerasec.de und bochsman@checkpoint.com sind die Autoren immer offen und freuen sich auf Ihre Rückmeldung. Vielen Dank.