• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Check Point Firewall - скачать бесплатно и установить для практики в виртуальной среде

Polyglot

Green Team
25.02.2020
44
59
BIT
154
cp-26.png


Всем доброго дня! Продолжаем знакомство с тройкой ведущих МСЭ (мой рассказ о Fortigate здесь), и сегодня я расскажу где найти (на офф сайте), скачать и установить в виртуальной среде (VMWare ESXi/Workstation)
новейшую (R81.10) на сегодня версию Check Point фаервола.

Скачиваем образ ISO с официального сайта

Первым шагом будет регистрация на сайте . Регистрируемся с любой почтой к которой имеем доступ.

cp-01.png



cp-02.png


Ищем в гугле новую на данный момент версию Check Point “Check Point r81.10 fresh install”. Результат должен привести на сайт usercenter.checkpoint.com.
Переходим по первой ссылке на страницу загрузки образа ISO. Входим с только что созданным аккаунтом. Обратите внимание - файл не маленький, 4 Gb,
поэтому наберитесь терпения. Жмем на Download и ждем.



cp-03.png



cp-04.png




Создаем виртуальную машину и запускаем установку

Check Point не имеет готовых образов для импорта в среды виртуализации (ova, ovf итд), поэтому делаем обычную установку как для Linux сервера. Каждый образ включает
бесплатную лицензию для ознакомления на 15 дней. Что приятно - Check Point практически не ограничивает возможности в этой лицензии, в отличие от Fortigate и Palo Alto.
Скачивать или что-либо делать для этой лицензии не нужно - после установки она включается автоматически.

Важный момент перед началом установки - минимальные ресурсы виртуальной машины. Check Point поддерживает 2 вида установки - Standalone и Distributed.

Distributed - когда компонент фильтрации/экранирования (собственно шлюз) устанавливается на одном сервере, а программное обеспечение (ПО) управления им (Security Management Server),
на другом. Эти 2 компонента ПО имеют различные требования. Поскольку данная статья направлена больше на сборку стенда/лаборатории, то я беру за основной не этот, а следующий - Standalone, вариант.

Standalone - оба компонента ПО устанавливаются на одном (в нашем случае - виртуальном) сервере. Для этой сборки минимальные ресурсы виртуальной машины:

  • Память: не менее 8Gb
  • Harddisk: не менее 60 Gb
  • vCPU: 2

Еще один важный момент - при создании виртуальной машины тип жесткого диска поменяйте со SCSI на IDE.
Check Point ISO не имеет драйверов для SCSi которые предлагает по умолчанию VMWare. Это исправимо правкой типа драйверов,
но не вижу смысла заморачиваться.

Для типа сервера выбираем Red Hat Enterprise Linux 7 64 бит. Далее привожу скриншоты с комментариями только по Check Point - в остальном установка аналогична любому серверу Linux.
Скрины с установки на VMWare ESXi 6.5.

Кратко параметры для моей установки:
внешний интерфейс eth0 10.10.10.113/24, шлюз по умолчанию 10.10.10.2, память - 12 Гб, диск 60 гб.

cp-1.png



cp-2.png



cp-3.png


cp-4.png


cp-5.png


cp-7.png


cp-8.png


Здесь мы должны установить пароль встроенной учетной записи admin - Check Point НЕ проверяет пароль на сложность, но сразу после установки
этот пароль будет единственной защитой от брута если фаервол доступен из других сетей, например из Интернета. Поэтому, хотя бы как выработка
хороших навыков, задайте пароль нормальной сложности.

cp-9.png



Указываем интерфейс к которому будем подключаться по окончании установки. В моем случае это eth0.

cp-10.png


Выставляем адрес и шлюз по умолчанию.

cp-11.png


После предыдущего шага происходит форматирование диска и установка операционной системы Gaia. Gaia это по сути RHEL 7.6 с изменениями
и ядром 3.10.

Успешная установки должна дать такое сообщение, подтверждаем рестарт и переходим к конфигурации компонентов самого Check Point.

cp-13.png




Устанавливаем и конфигурируем компоненты шлюза и сервера менеджмента

Зайдем, как и говорит сообщение перед рестартом в браузере на адрес интерфейса мы задали для управления, порт 443.
Аккаунт admin и пароль тот который мы установили.

cp-14.png


По https мы получаем доступ к веб интерфейсу (WebUI) операционной системы - Gaia. Но первым шагом будет
выбор, установка, и начальная конфигурация ПО самого Check Point с помощью First Time Configuration
Wizard. Он запустится автоматом после первого входа в WebUI.

cp-15.png


Адрес интерфейса оставляем как и задали при установке.

cp-16.png


DNS не так чтоб прям необходим, но все равно выставим.

cp-17.png


Выставляем сервер NTP в Интернете для точности логов.

cp-18.png


Здесь важный момент - выбираем первую опцию.
MDS, в свое время назывался Provider-1, это сервер управления содержащий другие сервера управления.
Не зря раньше назывался Провайдер-1, так как чаще всего применяется в среде провайдеров где есть необходимость
размещать сервера управления различных клиентов (и соответсвенно различных МСЭ) на одном физическом/виртуальном хосте
но так чтоб они друг друга не видели и не представляли опасность.

cp-19.png


Мы устанавливаем, как я говорил, Standalone тип топологии, и соответсвенно хотим установить оба компонента -
сам шлюз и его менеджмент, поэтому ставим 2 галочки (позже поменять тип установки нельзя). Кластер собирается,
кстати, и на ознакомительной лицензии, в отличие от Fortigate, но оставим это на другой раз.

cp-20.png


В этом окне мы можем создать нового администратора или воспользоваться admin которому
поменяли пароль при установке. Речь идет не о доступе к WebUI/SSH/Gaia, а к сервису управления фаерволом
с помощью устанавливаемой на локальную машину Windows аппликацию управления SmartConsole.
Для стенда будем входить с помощью встроенного admin.

cp-21.png


На этом шаге нам предлагается ограничить доступ к сервису управления фаерволом (SmartConsole, не Gaia). Для лаборатории
можно оставить и доступ отовсюду. Кроме того, первым правилом безопасности мы ограничим доступ более
наглядно.

cp-22.png


Ничего интересного кроме как убрать отправку данных обратно Check Point.

cp-23.png


Сам процесс установки всего выбранного может занять от 5 до 30-40 минут, и зависит от ресурсов виртуальной машины,
поэтому можно пока заняться чем-то другим. Браузер лучше не закрывать на случай ошибки в
установке чтобы увидеть что произошло.

cp-24.png



Успешно завершив свою работу, First Time Configuration Wizard сообщит об успехе и предложит нам
залогиниться снова. Делаем это в том же браузере и мы заходим в WebUI Gaia. В верхней части страницы
будет ссылка на скачивание SmartConsole - Windows аппликации с которой админы подсоединяются к
серверу управления и собственно управляют шлюзом. Жмем, загружаем, двойной клик мыши, принимаем
параметры по умолчанию, и снова пьем чай (пару гиг установки на диске).

cp-25.png


Запускаем установленную SmartConsole, вводим admin и его пароль, адрес интерфейса фаервола для управления (в моем примере 10.10.10.113) и соединяемся.

cp-26.png


cp-27.png


Ура, мы внутри фаервола. Но пока в наличие одно правило - все блокировать. А как же мы подключились с таким правилом ?
После установки Check Point автоматически применяет политику Initial Policy которая открывает доступ к самому фаерволу с любого IP
на портах управления (ssh, CPMi - порт подключения SmartConsole, HTTPS, итд). Поэтому мы и смогли подключиться в SmartConsole.

Создадим и установим первую политику безопасности с одним правилом - разрешить административный доступ к самому фаерволу с нашего хоста,
в моем случае 172.14.14.1. Для этого праый клик на существующем правиле, затем New Rule Above


cp-28.png


Check Point использует в правилах заранее созданные обьекты, которые можно создать прямо здесь, не отходя от кассы, как говорится.
Кликаем на плюс в колонке Source, выбираем New -> Host.

cp-29.png


Называю его, скажем MyManagementPc, с адресом 172.14.14.1 моей локальной Windows с установленной SmartConsole.

cp-30.png


В Destination правила найдем и вставим обьект самого фаервола.

cp-32.png



Ограничиваем разрешенные сервисы - CPMI, SSH, HTTPS и включаем лог. Последний штрих - меняем Action на Accept.

cp-33.png


Начиная с R80 в Check Point установка политики безопасности разделена на 2 ступени. Первая Publishing - внесенные админом измененеия сохраняются, делаются
видимыми другим админам но не активируются. Второй шаг - установка политики на шлюз, что активирует эту политику/правила.
Обе кнопки этих действий находятся в SmartConsole на самом верху.

cp-34.png


cp-35.png


cp-36.png


cp-37.png


В левом ничжнем углу появится индикатор прогреса установки политики.

cp-38.png


cp-39.png


Ну вот и все - наша первая политика безопасности на новеньком фаерволе установлена.

(Опция) Созданный при установке admin, когда подключается по SSH к фаерволу, падает в оболочку Gaia - clish. Получить
доступ к оболочке bash с привилегиями root можно выполнив следующие команды.

cp-40.png


Спасибо за чтение, надеюсь оно того стоило. Замыкает тройку ведущих МСЭ Palo Alto, но есть сомнения - так ли он популярен в рунете
из-за своей цены. А писать о том что никому не интересно как-то не по кайфу. Поэтому оставляйте в коментах свое мнение - стоит или нет писать
об установке и первичной отладке Palo Alto?
 
Последнее редактирование модератором:

qwe123xcv

Заблокирован
16.11.2019
57
23
BIT
0
Познавательная статья для расширения кругозора - не более.
Эта статья, как и предыдущая совсем недалеко ушла от серии статей под общим названием "Как установить Кали линукс ?" или "Прапал звук в Кали Линукс. ПамАГитИ !"
Судя по описанию, описываемый дистрибутив позволяет из любого ноутбука с подходящей аппаратной конфигурацией сделать межсетевой экран на базе RedHat -подобной операционой системы. Судя по всему, все предустановленные правила, которые описывает автор, в конечном итоге меняют правила iptables и определённым образом вносят изменения в настройки ядра.
  • Почему автор предпочёл установить дистрибутив в виртуальную среду VMWare, а не использовать гипервизор Xemu или KVM ?
  • На фоне предыдущего вопроса актуальным будет следующий вопрос : "Не является ли автор ярым противником импортозамещения ? " < -- Это шутка, в которой имеется доля шутки.
  • Что ещё интересного с точки зрения фильтрации трафика имеется в этом и других межсетевых экранах ? Может быть какая-то антивирусная защита ? За что пользователь должен платить, оплачивая лицензию ?
  • Что произойдёт с системой или её функционалом после окончания действия лицензии ?
Не кажется ли автору, что
После установки Check Point автоматически применяет политику Initial Policyкоторая открывает доступ к самому фаерволу с любого IP на портах управления - это не профессионально. Открывать доступ к фаерволу с любого IP - вершина неблагоразумия. Мы ж вроде на форуме информационной безопасности - или я где-то ошибаюсь ?
 
Последнее редактирование:
  • Нравится
Реакции: Validator и Polyglot

Polyglot

Green Team
25.02.2020
44
59
BIT
154
Познавательная статья для расширения кругозора - не более.
Спасибо за конструктивный комментарий.
Познавательная ... - в точку, на форуме иноформационной безопасности это первая статья по Checkpoint что для меня было нелогично.
Для этого и писал - чтобы поситители форума которые в начале своего пути узнали что есть такой фаервол энтерпрайз уровня и могли установить
у себя "пощупать". Кто уже работает в ИБ не может не знать что такое Checkpoint, статья не для них и они (надеюсь) это поняли сразу по заголовку.
Кроме того и за пределами форума - поиск в яндексе дает видео/статьи 100-летней давности, а сегодня на "Check Point скачать бесплатно" эта статья на 6-м месте в результатах :)

iptables - нет, Checkpoint как фаервол имплеменитрован как самостоятельный kernel module загружаемый сразу над Ethernet device driver стаком.
специфически iptables как User land утилита там и не установлена.

VMWare, а не использовать... - опять же из-за целевой аудитории, в домашних условиях VMWare Workstation ( или Virtual Box) используются намного чаще чем KVM.

ярым противником импортозамещения ...- :) нет, не являюсь, даже не думал на эту тему. Особенно учитывая факт что Check Point не ушли с российского рынка (пока) даже в свете некоторых событий. Они и ФСТЭК сертификацию имеют и активно пользуются гос учреждениями РФ. Не говоря о том что форум читают и з апределами Росси, где эта тема не актуальна вообще.
Писать о Континете ? оставлю удовольствие другим ...

окончания действия лицензии- специфически по окончании трайл лицензии 15 дней - перестанет работать совсем, далее или переустановка или игры со снапшотами и подкруткой времени.

это не профессионально ... - соглашусь, но так вендор установил и поменять это не предусмотрено. В оправдание можно сказать что обычно первую установку не проводят в сети с доступом в Интернет и тогда такая политика не особенно то опасна.
 
  • Нравится
Реакции: qwe123xcv

qwe123xcv

Заблокирован
16.11.2019
57
23
BIT
0
Предлагаю подЫ(И - какую тут букву нужно писать ?)тожить.

Из твоего описания следует, что какие-то забугорные ПрогРаммЫсты сбились в стайку, написали программу - альтернативу Iptables (которая почему то позволяет открыть к себе доступ с любого IP и никак не иначе), провозгласили себя компанией. Разрекламировали свой продукт, который через 15 дней бесплатного использования перестаёт работать от слова "сАвсЕм".

Я думаю, что название этому явлению - шарлатанство, кидалово.


Потому что совершенно бесплатно можно скачать любой дистрибутив Линукс, бесплатно установить Iptables, выучить написания правил и в результате получить такой-же межсетевой экран, который можно сконфигурировать под любые самые изысканные запросы.


В конце концов, если установить линукс и выучить правила написания Iptables сложно, то на вторичном рынке имеется огромное количество аппаратных межсетевых экранов по цене от 3 000 рублей. Их программная часть уже не поддерживается производителями в связи с обновлением парка выпускаемых устройств, но зато они позволяют бенсплатно нажимать вот такие кнопки в вэб-интерфейсе, устанавливать все эти политики - всё бессрочно и бесплатно. Не обновляются только антивирусные базы и ещё что-то, чего нет в Iptables.




Либо ты недописал статью и я так и не понял всех прелестей описываемых тобою систем. Я вообще так и не полял, в чем заключается функционал в части фильтрации трафика. Ты просто описал, на какие кнопки нажимать.


Либо ты стал жертвой разводилова.
 
  • Не нравится
  • Нравится
Реакции: rpt5 и Validator
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!