Настройка Checkpoint
Chekpoint – это известная компания, которая специализируется на разработке решений для поддержки безопасности в сети.
Техническая
Chekpoint – это известная компания, которая специализируется на разработке решений для поддержки безопасности в сети.
Chekpoint – это известная компания, которая специализируется на разработке решений для поддержки безопасности в сети. Свою историю компания начала с 1993 года, и с тех пор занимается созданием инструментов сетевой безопасности на основе SecurityManagment Architecture (SMART). SMART представляет собой архитектуру управления и взаимодействия, которая была разработана компаний Chekpoint.
Использование концепции архитектуры SMART позволило создать OS Gaia, что в реальности было воплощено посредством объединения ОС IPSO и ОС SPLAT. Это программное обеспечение отличается наличием широкого спектра технологий, которые способствуют высокому уровню безопасности при работе с информацией. Можно отметить такие, как: IPS (для пакетной фильтрации), Stateful Inspection (для контроля соединений в режиме реального времени).
В статье будут рассмотрены основные принципы функционирования и настройки межсетевых экранов безопасности от компании Chekpoint.
Подготовительный этап
Изначально нужно определиться с выбором оборудования. Тут возможны два варианта: купить устройство с готовой аппаратной платформой, помещенной в специальный корпус Checkpoint или собрать ее самостоятельно. С перечнем поддерживаемых серверов можно ознакомиться на сайте компании в разделе Support ServicesHCL, а просчитать на какую величину нагрузки будет рассчитана конкретная платформа можно с помощью документа.
Израильский производитель Checkpoint предоставляет не полную информацию обо всех комплектующих, устанавливаемых в устройствах – указан только объем используемой оперативной памяти и число имеющихся в наличии интерфейсов. Данные об используемых CPU можно найти в интернете.
Установка ОС Gaia
После выбора аппаратной платформы можно приступать к непосредственной инсталляции операционной системы Gaia. Она основа на дистрибутиве RedHat 5.2, который включает множество знакомых команд и утилит, характерных для Linux-based ОС.
В качестве примера выбрана версия Gaia R77.10 для виртуального окружения. Ее установка идентична инсталляции предыдущих и последующих версий.
Чтобы получить дистрибутив операционной системы нужно пройти процедуру регистрации на сайте Checkpoint с использованием SMS-привязки к телефону. После успешной процедуры авторизации закачать дистрибутив.
Установка операционной системы отличается своей простотой, достаточно будет подтверждать намерение выполнения установочных процедур и ОС будет автоматически установлена. Единственное на что нужно обратить внимание – это диск, на который будет устанавливаться ОС. Он должен иметь размер не менее 8 ГБ. В противном же случае система выдаст ошибку и установка прекратится.
Если аппаратная платформа владеет диском с объемом от 8 до 15 ГБ, то ОС самостоятельно произведет разбивку диска на нужные разделы. Если же диск будет иметь больше 15 ГБ, можно будет самостоятельно сформировать разделы для system-root (/) и под логи (/var/logs/). При разбивке диска нужно помнить, что раздел «Backup and upgrade» должен быть не меньше, нежели сумма «system-root»+«logs».
Рекомендации по разметке диска под менеджмент сервера и под фаервольные ноды.
Менеджмент сервер
- Рут должен иметь размер не меньше 6 ГБ, а в том случае, если запланировано применение дополнительных блейдов (например: Application Control, IPS, URL Filtering), размер следует увеличить до 10 ГБ.
- Под логии выделяется все оставшееся доступное пространство, поскольку менеджмент сервера обеспечивает не только настройку правил, а и хранение различных логов и обновлений.
Фаервол
- Рут – это важный раздел для фаервола, для него будет достаточно объема в 10 ГБ.
- Поскольку основные логии хранятся на менеджменте сервера, а на фаерволе эта директория используется в основном для хранения обновлений, то для раздела логов будет достаточно 5 ГБ.
Подготовительный этап к настройке
После завершения установки операционной системы следует определиться, какую функцию должен выполнять сервер – фаервола или менеджмент сервера. Вследствие этого, начальная конфигурация должна включать следующие действия:
- определение роли серверной системы;
- выбор параметров менеджмент интерфейса;
- определение правил доступа;
- выбор параметров DNS, NTP, Proxy серверов (Proxy через WebUI).
Далее выполняется первичная настройка Checkpoint с использованием командной строки. Чтобы выполнить процедуру конфигурации фаервола посредством CLI нужна специальная утилита config_system. Она представляет собой обычный bash-скрипт, содержимое которого можно редактировать. Находится он в /bin/config_system. С помощью этого скрипта можно редактировать файл базы данных Gaia OS /config/db/initial. Ниже будет рассмотрена его работа с использованием в качестве примера функции для изменения ip-адреса:
DBSET=/bin/dbset
DBGET=/bin/dbget
...........
# configure new ip for interface
# $1 - interface name
# $2 - ip
# $3 - mask
set_ip() {
local cip
# get current ip
cip=$(dbget -c interface:$1:ipaddr)
# if interface configured, delete old ip first
if [[ ! -z $cip ]]; then
log "Configure IPv4 - remove old ip:$cip from $1"
$DBSET interface:$1:ipaddr:$cip
$DBSET interface:$1:ipaddr:$cip:mask
fi
# now configure new ip/mask
log "Configure IPv4 - interface:$1, new ip:$2, mask:$3"
$DBSET interface:$1:state on
$DBSET interface:$1:ipaddr:$2 t
$DBSET interface:$1:ipaddr:$2:mask $3
}
........
$DBSET :save
Чтобы получить настройки из базы нужно воспользоваться утилитой /bin/dbget, а для смены конфигурации применяется команда /bin/dbset. Часть файла, описывающего настройку интерфейса eth0, выглядит следующим образом:
[Expert@Gaia_R77.10_test:0]# cat /config/db/initial | grep eth0
management:interface eth0
interface:eth0 t
interface:eth0:link_speed 1000M/full
interface:eth0:state on
interface:eth0:ipaddr:192.168.1.2 t
interface:eth0:ipaddr:192.168.1.2:mask 24
interface:eth0:duplicity full
interface:eth0:speed 1000M
interface:eth0:auto_negotiation on
Параметр от значения следует отделять пробелом. После этого можно пробовать получить какие-либо значения с помощью DBGET.
[Expert@Gaia_R77.10_test:0]# dbget -c interface:eth0:ipaddr
192.168.1.2
Ключ –с нужен для того, чтобы выводить имя дочернего параметра, который имеет ненулевое значение. Чтобы показать величину этого параметра используется ключ –v.
[Expert@Gaia_R77.10_test:0]# dbget -cv interface:eth0:ipaddr
192.168.1.2 t
Получено значение, которое равно t, то есть true. Это означает, что на интерфейсе значение IP-адреса, равно 192.168.1.2.
Чтобы изменить значение адреса на интерфейсе нужно выполнить следующие процедуры:
- удалить действующее значение IP-адреса и маски;
- задать новую величину IP-адреса;
- выбрать новое значение для маски;
- сохранить созданную конфигурацию.
[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.2
[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.2:mask
[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.1 t
[Expert@Gaia_R77.10_test:0]# dbset interface:eth0:ipaddr:192.168.1.1:mask 24
[Expert@Gaia_R77.10_test:0]# dbset :save
Установка первоначальной конфигурации
Config_system может воспринимать или файл или строку, включающую требуемые параметры, которые разделяются амперсандом &. Синтаксис строки будет иметь следующий вид:
Gaia_R77.10_test> config_system "hostname=myhost&domainname=somedomain.com&timezone='UTC-3'&ftw_sic_key=aaaa&install_security_gw=true&gateway_daip=false&install_ppak=true&gateway_cluster_member=true&install_security_managment=false"
Рассмотрим конфигурационный файл. Он содержит в себе аналогичные значения, записанные в отдельных строчках.
Шаблон конфигурационного файла, который потом можно редактировать будет иметь следующий вид:
[Expert@Gaia_R77.10_test:0]# config_system -t /home/admin/initial.conf
initial.conf
Пример конфигурации менеджмент сервера будет иметь следующий вид:
install_security_managment="true"
mgmt_admin_name=admin
mgmt_admin_passwd=password
mgmt_gui_clients_radio="network"
mgmt_gui_clients_ip_field=192.168.1.0
mgmt_gui_clients_subnet_field=24
admin_hash='HASH_OF_ADMIN_PASSWORD'
install_mgmt_primary="true"
iface=eth0
ipstat_v4=manual
ipaddr_v4=192.168.1.1
masklen_v4=24
default_gw_v4=192.168.1.254
ipstat_v6=off
hostname=Gaia_R77.10_MGMT
timezone='Etc/GMT+3'
primary=8.8.8.8
Для фаервола вид следующий:
install_security_gw="true"
admin_hash='HASH_OF_ADMIN_PASSWORD'
iface=eth0
ipstat_v4=manual
ipaddr_v4=192.168.1.2
masklen_v4=24
default_gw_v4=192.168.1.254
ipstat_v6=off
hostname=Gaia_R77.10_FW1
timezone='Etc/GMT+3'
ftw_sic_key='onetimepassword'
primary=8.8.8.8
Следует остановиться на параметре ftw_sic_key="". Secure Internal Communication key (SIC) представляет собой одноразовй пароль, который нужен для того, чтобы управление фаерволом можно было реализовать с менеджмент сервера. Он потребуется один раз, когда добавляется фаервол в панель управления менеджмент сервера.
Заключительным шагом является передача полученного файла скрипту и ожидание завершения выполнения конфигурации.
Итоги
После выполнения описанных выше процедур в наличии будет один фаервол и один менеджмент сервер. Их можно дальше настраивать для последующего использования.
В дальнейшем фаерволы можно добавлять для управления их работой с одного менеджмент сервера и для организации их в кластер.