INHALT. 1 Vorwort... 14

Größe: px

Ab Seite anzeigen:

Download "INHALT. 1 Vorwort... 14"

Alfred Fürst
vor 10 Jahren
Abrufe

1 INHALT 1 Vorwort Grundlagen Entwicklung und Verbreitung des Internets und TCP/IP Grundlagen von TCP/IP Die Offenheit der Protokolle und das Gefahrenpotential Firewalls zum Schutz vertrauenswürdiger Netzwerke De-militarisierte Zone Technische Sicherheitsmechanismen Paketfilter Circuit Level und Application Level Gateways Stateful Inspection Das Sicherheitskonzept Allgemeines zum Sicherheitskonzept Planung und Entwicklung des Sicherheitskonzepts Aufrechterhaltung und Überprüfung der Sicherheit Grundlagen von Check Point NG Secure Virtual Networking / Secure Internal Communication Die Basiskomponenten Inspektions-Modul SmartCenter das Management-Modul SmartConsole das GUI Begriffliches Optionale Möglichkeiten der Check Point Next Generation Leistungsfähigkeit von Check Point Next Generation Übersicht zu Grundausstattung und Zubehör Installation und Lizensierung Installationsplattformen und -anforderungen Absicherung des Betriebssystems Microsoft Windows NT Server Microsoft Windows 2000 Server Sun Solaris Red Hat Linux Installation von Check Point NG unter Windows Installation eines Firewall-Moduls

2 Circuit Level und Application Level Gateways... 85 3.3 Stateful Inspection... 90 4 Das Sicherheitskonzept... 95 4.1 Allgemeines zum Sicherheitskonzept... 96 4.

2 6 INHALT Installation des Management-Moduls Installation der SmartConsole Installation von Check Point NG unter Unix Check Point Appliances SecurePlatform De-Installation von Next Generation Migration von Version 4.x zu Next Generation Grundsätzliches zum Upgrade Upgrade zu Next Generation Feature Pack 1 von Hand Upgrade mit Skripten Automatisches Upgrade auf NG ab Feature Pack Installation von Feature Packs Lizenzierung und Lizenzverwaltung Lizenztypen Bezeichnung der unterschiedlichen Lizenztypen Eingabe von Lizenzen SmartDashBoard (Policy Editor) Objektbaum, Regelsätze und SmartMap Das Menü und die Werkzeugleiste Die Werkzeugleiste des SmartDashboard Kurze Vorstellung der einzelnen Menüs Die Grundeinstellungen von NG Allgemeines FireWall NAT Network Address Translation Authentication VPN-1 Pro VPN-1 Net Remote Access Extranet Management Interface LDAP Account Management FloodGate SmartMap Management High Availability ConnectControl OSE Open Security Extension Stateful Inspection Profile Based Management Log and Alert Logging Modifiers OPSEC SmartCenter Access Non Unique IP Addresses SmartDashboard Customization Überprüfung und Installation einer Regelbasis

.. 234 6.8.3 Upgrade mit Skripten... 237 6.8.4 Automatisches Upgrade auf NG ab Feature Pack 3... 247 6.9 Installation von Feature Packs... 247 6.10 Lizenzierung und Lizenzverwaltung... 250 6.10.1 Lizenztypen.

3 INHALT 7 8 Objektmanagement in NG Allgemeines Netzwerkobjekte Check Point Node Interoperable Device Übergreifende Eigenschaften von Check Points, Nodes und Interoperable Device Network Domain OSE Device Group Logical Server Address Range Dynamic Object VoIP Domains Services TCP Compound TCP Citrix TCP UDP RPC ICMP Other Group DCE-RPC Ressourcen Resources URI URI for QoS SMTP FTP TCP CIFS OPSEC-Applikationen OPSEC Applications OPSEC-Application CVP Group UFP Group CPMI Group Server RADIUS und Gruppe von RADIUS-Servern TACACS LDAP Account Unit Certificate Authority SecuRemote DNS Benutzer und Administratoren Users and Administrators Anlegen von Benutzern und Benutzergruppen Anlegen von Benutzergruppen

.. 470 8.3 Services... 474 8.3.1 TCP... 475 8.3.2 Compound TCP... 478 8.3.3 Citrix TCP... 479 8.3.4 UDP... 479 8.3.5 RPC... 482 8.3.6 ICMP... 483 8.3.7 Other... 484 8.3.8 Group... 487 8.3.9 DCE-RPC.

4 8 INHALT Anlegen von Administratoren und Gruppen Externe Benutzerprofile Templates Berechtigungsprofile Permission Profiles Zeiten Time Time Group Scheduled Event VPNs VPN Communities Site-to-Site Intranet Partner Extranet Remote Access Remote Access Connection Profile QoS Quality of Service Classes DiffServ Class of Service Low Latency Class of Service DiffServ Class of Service Group SmartView Monitor Virtual Links UserAuthority Credential Manager UA Authentication Domains Operations Trusts Eingabe von Regeln Allgemeines Eingabe von Absender und Ziel Die Spalte VPN Auswahl an Services oder Ressourcen Geforderte Aktionen: Action Accept Drop Reject User Auth Client Auth Session Auth Encrypt Client Encrypt Die Reaktion der Firewall: Track None Log Account Alarmierung Installationsmöglichkeiten: Install On Policy Targets Gateways Destination Source

5 INHALT OSE-Devices Embedded Device Targets Zeitliche Beschränkung von Regeln: Time Stealth-Regel Clean-up-Regel Reihenfolge, in der die Regeln greifen Regeln verstecken (Temporäres) Ausschalten von Regeln Anfragen an die Regelbasis mit Queries Smart Defense Application Intelligence General Anti Spoofing Configuration Status Network Security Application Intelligence StormCenter GUIdbedit Smart Status und SmartView Tracker Authentisierung mit Next Generation Prinzipielles zu den Authentisierungsmethoden Interne Authentisierungsmethoden Externe Authentisierungsmethoden Möglichkeiten zur Benutzerauthentisierung User-Authentisierung Client-Authentisierung Session-Authentisierung Kombination der Authentisierungsverfahren Reihenfolge der Regeln zur Authentisierung Hinweise zur Einrichtung Einsatz von LDAP-Servern LDAP Lightweight Directory Access Protocol Vorbereitungen bei Next Generation Einrichtung und Verwaltung von Benutzern auf LDAP-Servern Nutzung der Authentisierungsmöglichkeit in einer Regelbasis Network Address Translation Notwendigkeit und Möglichkeiten RFC Prinzip der NAT Static NAT (Static Mode) Static Destination Mode Static Source Mode Dynamic NAT (Hide Mode) Möglichkeiten zur Einrichtung der NAT bei Next Generation Das NAT-GUI

15 Smart Defense Application Intelligence... 654 9.15.1 General... 655 9.15.2 Anti Spoofing Configuration Status... 656 9.15.3 Network Security... 656 9.15.4 Application Intelligence... 666 9.15.5 StormCenter.

6 10 INHALT Automatische NAT Manuelle NAT Mögliche Probleme bei NAT ARP Routing Host-Routing Anti-Spoofing Umgehung vieler Probleme durch globale Einstellungen von NG Mögliche Probleme mit einzelnen Protokollen Virtual Private Networks mit NG Verschlüsselung in Next Generation Intranet VPN Remote-Access VPN Extranet VPN Vollständiges VPN Server-Server VPN (Intranet und Extranet) mit IKE IPSec ISAKMP/OAKLEY und IKE Client-Server VPN mit SecuRemote und SecureClient Das Prinzip von SecuRemote Installation von SecuRemote auf einem PC Einrichtung der VPN-1 für die Nutzung von SecuRemote Einrichtung von SecuRemote und der laufende Betrieb Der Einsatz des SecureClient SecureClient in der Praxis Das SecureClient Diagnostics Tool Weitere Hinweise zur Konfiguration Ausfallsicherheit mit Next Generation Überlappende Verschlüsselungsdomains Ausfallsicherheit durch Multiple Entry Points (MEP) Hochverfügbarkeit für Firewalls Ausfallsicherheit für das Management Die Kommandozeile Basiskommandos Allgemeines zu den Kommandos fw, fwm und vpn Kommandos für die Verwaltung von NG Verwaltung der Installation mit cpconfig und cp_conf Lizenzverwaltung Produktverwaltung in SmartUpdate Sicherheit beim Bootvorgang Alarmierung Verwaltung und Installation von Regelsätzen Benutzerverwaltung Verwaltung der Logs

1 Verschlüsselung in Next Generation... 810 13.1.1 Intranet VPN... 811 13.1.2 Remote-Access VPN... 812 13.1.3 Extranet VPN... 812 13.1.4 Vollständiges VPN... 813 13.

7 INHALT Kommandos für die Daemons Verwaltung von VPN Befehle für die Hochverfügbarkeit Wichtige Kommandos beim Upgrade und Wechsel Kommandos für das Debugging und Monitoring Kontrolle registrierter IP-Adressen bei limitierten Versionen Kontrolle der installierten Versionsnummer Das Kommando cpstat Überwachung des Datenflusses Debugging für fw und fwm Debugging für vpn Kontrolle des Kernel-Moduls Kontrolle der State Tables Sonstiges Beispiel: Installation einer Regelbasis von Hand Die Sprache INSPECT Praktische Konfigurationsbeispiele Hinweise zur Vergabe von Namen Administratoren- und CPMI-Gruppen einrichten Deklaration von Administratoren und -Gruppen Deklaration von CPMI-Gruppen Rechte zur Installation von Regeln auf Objekten Aufbau einer einfachen Regelbasis Reihenfolge der Regeln Anpassung der Grundeinstellungen von NG Spezielle Regeln Nutzung von Ressourcen Ressourcen für SMTP Ressourcen für FTP Ressourcen für HTTP Definition eigener Ressourcen Einbindung und Konfiguration von Alarmen Authentisierung von Benutzern für verschiedene Dienste Eingabe von Regeln zur Authentisierung User-Authentisierung für Telnet und HTTP User-Authentisierung für FTP Client-Authentisierung Session-Authentisierung Remote Management bei Next Generation Abheben der SmartConsole Trennung von Inspektions- und Management-Modul Weitere notwendige Zugriffe Einrichtung von Static NAT und Dynamic NAT Static NAT Dynamic NAT Weitere Möglichkeiten der NAT

.. 963 15.7.4 Überwachung des Datenflusses... 964 15.7.5 Debugging für fw und fwm... 967 15.7.6 Debugging für vpn... 969 15.7.7 Kontrolle des Kernel-Moduls... 971 15.7.8 Kontrolle der State Tables.

8 12 INHALT 16.9 Routerverwaltung mit NG Grundvoraussetzungen, Regeln und deren Installation Import der ACLs von einem Router Aufbau fester VPN Klassisches VPN mit IKE Vereinfachte Einrichtung eines VPN mit Communities Aufbau eines Extranets VPN von Client zu Server Konfiguration eines Clientless VPN Sichere Datenübertragung mit SecuRemote Einsatz von SecureClient und Policy Server Load Balancing Load-Balancing für HTTP Load-Balancing für FTP und andere Dienste Weiteres zum Load Agent Anhang: Quellen und Ports Stichwortverzeichnis

11.1 Konfiguration eines Clientless VPN...1042 16.11.2 Sichere Datenübertragung mit SecuRemote...1045 16.11.3 Einsatz von SecureClient und Policy Server...1046 16.12 Load Balancing... 1049 16.

Ähnliche Dokumente

1 Einleitung..................................... 13 2 Grundlagen.................................... 17 2.1 Entwicklung und Verbreitung des Internets und TCP/IP....... 18 2.1.1 Entstehung des Internets.......................................