Всем доброго дня! Продолжаем знакомство с тройкой ведущих МСЭ (мой рассказ о Fortigate здесь), и сегодня я расскажу где найти (на офф сайте), скачать и установить в виртуальной среде (VMWare ESXi/Workstation)
новейшую (R81.10) на сегодня версию Check Point фаервола.
Скачиваем образ ISO с официального сайта
Первым шагом будет регистрация на сайте
Ссылка скрыта от гостей
. Регистрируемся с любой почтой к которой имеем доступ.
Ищем в гугле новую на данный момент версию Check Point “Check Point r81.10 fresh install”. Результат должен привести на сайт usercenter.checkpoint.com.
Переходим по первой ссылке на страницу загрузки образа ISO. Входим с только что созданным аккаунтом. Обратите внимание - файл не маленький, 4 Gb,
поэтому наберитесь терпения. Жмем на Download и ждем.
Создаем виртуальную машину и запускаем установку
Check Point не имеет готовых образов для импорта в среды виртуализации (ova, ovf итд), поэтому делаем обычную установку как для Linux сервера. Каждый образ включает
бесплатную лицензию для ознакомления на 15 дней. Что приятно - Check Point практически не ограничивает возможности в этой лицензии, в отличие от Fortigate и Palo Alto.
Скачивать или что-либо делать для этой лицензии не нужно - после установки она включается автоматически.
Важный момент перед началом установки - минимальные ресурсы виртуальной машины. Check Point поддерживает 2 вида установки - Standalone и Distributed.
Distributed - когда компонент фильтрации/экранирования (собственно шлюз) устанавливается на одном сервере, а программное обеспечение (ПО) управления им (Security Management Server),
на другом. Эти 2 компонента ПО имеют различные требования. Поскольку данная статья направлена больше на сборку стенда/лаборатории, то я беру за основной не этот, а следующий - Standalone, вариант.
Standalone - оба компонента ПО устанавливаются на одном (в нашем случае - виртуальном) сервере. Для этой сборки минимальные ресурсы виртуальной машины:
- Память: не менее 8Gb
- Harddisk: не менее 60 Gb
- vCPU: 2
Еще один важный момент - при создании виртуальной машины тип жесткого диска поменяйте со SCSI на IDE.
Check Point ISO не имеет драйверов для SCSi которые предлагает по умолчанию VMWare. Это исправимо правкой типа драйверов,
но не вижу смысла заморачиваться.
Для типа сервера выбираем Red Hat Enterprise Linux 7 64 бит. Далее привожу скриншоты с комментариями только по Check Point - в остальном установка аналогична любому серверу Linux.
Скрины с установки на VMWare ESXi 6.5.
Кратко параметры для моей установки:
внешний интерфейс eth0 10.10.10.113/24, шлюз по умолчанию 10.10.10.2, память - 12 Гб, диск 60 гб.
Здесь мы должны установить пароль встроенной учетной записи admin - Check Point НЕ проверяет пароль на сложность, но сразу после установки
этот пароль будет единственной защитой от брута если фаервол доступен из других сетей, например из Интернета. Поэтому, хотя бы как выработка
хороших навыков, задайте пароль нормальной сложности.
Указываем интерфейс к которому будем подключаться по окончании установки. В моем случае это eth0.
Выставляем адрес и шлюз по умолчанию.
После предыдущего шага происходит форматирование диска и установка операционной системы Gaia. Gaia это по сути RHEL 7.6 с изменениями
и ядром 3.10.
Успешная установки должна дать такое сообщение, подтверждаем рестарт и переходим к конфигурации компонентов самого Check Point.
Устанавливаем и конфигурируем компоненты шлюза и сервера менеджмента
Зайдем, как и говорит сообщение перед рестартом в браузере на адрес интерфейса мы задали для управления, порт 443.
Аккаунт admin и пароль тот который мы установили.
По https мы получаем доступ к веб интерфейсу (WebUI) операционной системы - Gaia. Но первым шагом будет
выбор, установка, и начальная конфигурация ПО самого Check Point с помощью First Time Configuration
Wizard. Он запустится автоматом после первого входа в WebUI.
Адрес интерфейса оставляем как и задали при установке.
DNS не так чтоб прям необходим, но все равно выставим.
Выставляем сервер NTP в Интернете для точности логов.
Здесь важный момент - выбираем первую опцию.
MDS, в свое время назывался Provider-1, это сервер управления содержащий другие сервера управления.
Не зря раньше назывался Провайдер-1, так как чаще всего применяется в среде провайдеров где есть необходимость
размещать сервера управления различных клиентов (и соответсвенно различных МСЭ) на одном физическом/виртуальном хосте
но так чтоб они друг друга не видели и не представляли опасность.
Мы устанавливаем, как я говорил, Standalone тип топологии, и соответсвенно хотим установить оба компонента -
сам шлюз и его менеджмент, поэтому ставим 2 галочки (позже поменять тип установки нельзя). Кластер собирается,
кстати, и на ознакомительной лицензии, в отличие от Fortigate, но оставим это на другой раз.
В этом окне мы можем создать нового администратора или воспользоваться admin которому
поменяли пароль при установке. Речь идет не о доступе к WebUI/SSH/Gaia, а к сервису управления фаерволом
с помощью устанавливаемой на локальную машину Windows аппликацию управления SmartConsole.
Для стенда будем входить с помощью встроенного admin.
На этом шаге нам предлагается ограничить доступ к сервису управления фаерволом (SmartConsole, не Gaia). Для лаборатории
можно оставить и доступ отовсюду. Кроме того, первым правилом безопасности мы ограничим доступ более
наглядно.
Ничего интересного кроме как убрать отправку данных обратно Check Point.
Сам процесс установки всего выбранного может занять от 5 до 30-40 минут, и зависит от ресурсов виртуальной машины,
поэтому можно пока заняться чем-то другим. Браузер лучше не закрывать на случай ошибки в
установке чтобы увидеть что произошло.
Успешно завершив свою работу, First Time Configuration Wizard сообщит об успехе и предложит нам
залогиниться снова. Делаем это в том же браузере и мы заходим в WebUI Gaia. В верхней части страницы
будет ссылка на скачивание SmartConsole - Windows аппликации с которой админы подсоединяются к
серверу управления и собственно управляют шлюзом. Жмем, загружаем, двойной клик мыши, принимаем
параметры по умолчанию, и снова пьем чай (пару гиг установки на диске).
Запускаем установленную SmartConsole, вводим admin и его пароль, адрес интерфейса фаервола для управления (в моем примере 10.10.10.113) и соединяемся.
Ура, мы внутри фаервола. Но пока в наличие одно правило - все блокировать. А как же мы подключились с таким правилом ?
После установки Check Point автоматически применяет политику Initial Policy которая открывает доступ к самому фаерволу с любого IP
на портах управления (ssh, CPMi - порт подключения SmartConsole, HTTPS, итд). Поэтому мы и смогли подключиться в SmartConsole.
Создадим и установим первую политику безопасности с одним правилом - разрешить административный доступ к самому фаерволу с нашего хоста,
в моем случае 172.14.14.1. Для этого праый клик на существующем правиле, затем New Rule Above
Check Point использует в правилах заранее созданные обьекты, которые можно создать прямо здесь, не отходя от кассы, как говорится.
Кликаем на плюс в колонке Source, выбираем New -> Host.
Называю его, скажем MyManagementPc, с адресом 172.14.14.1 моей локальной Windows с установленной SmartConsole.
В Destination правила найдем и вставим обьект самого фаервола.
Ограничиваем разрешенные сервисы - CPMI, SSH, HTTPS и включаем лог. Последний штрих - меняем Action на Accept.
Начиная с R80 в Check Point установка политики безопасности разделена на 2 ступени. Первая Publishing - внесенные админом измененеия сохраняются, делаются
видимыми другим админам но не активируются. Второй шаг - установка политики на шлюз, что активирует эту политику/правила.
Обе кнопки этих действий находятся в SmartConsole на самом верху.
В левом ничжнем углу появится индикатор прогреса установки политики.
Ну вот и все - наша первая политика безопасности на новеньком фаерволе установлена.
(Опция) Созданный при установке admin, когда подключается по SSH к фаерволу, падает в оболочку Gaia - clish. Получить
доступ к оболочке bash с привилегиями root можно выполнив следующие команды.
Спасибо за чтение, надеюсь оно того стоило. Замыкает тройку ведущих МСЭ Palo Alto, но есть сомнения - так ли он популярен в рунете
из-за своей цены. А писать о том что никому не интересно как-то не по кайфу. Поэтому оставляйте в коментах свое мнение - стоит или нет писать
об установке и первичной отладке Palo Alto?
Последнее редактирование модератором:
