Recenze: Bezpečnostní brána Check Point 600

Robin Bay | 24.10.2013 | Bezpečnost | Žádné komentáře

Bezpečnostní brána od společnosti Check Point s označením 600 je malé zařízení vzhledem (22x15x4 cm), nikoli však funkcemi. Společnost Check Point patří podle analytických agentur jako jsou Gartner či IDC mezi osvědčené hráče na trhu bezpečnostních řešení. Jaké možnosti a funkcionalitu můžeme čekat od tohoto UTM zařízení (appliance) za cenu cca 400 dolarů, které se snaží přinést možnosti enterprise modelů do segmentu SOHO? Odpověď nám přinese následující recenze.

Check Point 600 appliance v praxi

Notebook připojíme k zařízení do portu LAN1 dle přibaleného návodu a do prohlížeče napíšeme jen http://my.firewall. V osmi krocích pomocí průvodce první konfigurací nastavíme jméno/heslo administrátora (case sensitive), čas/datum nebo NTP, DNS jméno a doménu, nastavení portů, z jakých sítí lze přistupovat na administrativní webové rozhraní (webUI), aktivace licencí a konkrétních zakoupených Software Blades (pluginů). Uživatel je tedy za pár minut plně chráněn a nepotřebuje žádné speciální znalosti.

Firewall (FW) pravidla jsou rozdělena na příchozí a odchozí. Zdrojem paketu nemusí být jen IP adresa/síť, ale i uživatel/skupina z Active Directory (AD) nebo skupina objektů. Modul Identity Awareness (IA) umí napojením na AD zapisovat do logu kromě IP i jméno uživatele, počítače a domény a to bez přídavné autentizace uživatele. Bez napojení na AD lze uživatele autentizovat na webovém portálu brány (či přesměrováním na portál).

Aplikaci lze v pravidlech FW definovat buď klasicky pomocí portu TCP/UDP (cca 50 předdefinovaných) nebo pomocí aplikace definované v modulu Application Control (APCL) – např. aplikace torrent, či kategorie typu „sdílení souborů“. K dnešku existuje cca 5 tisíc aplikací, což je největší číslo na trhu – appwiki.checkpoint.com. Akcí nad paketem nemusí být jen jeho povolení, či aktivní/pasivní blokace, ale i určitá interakce s uživatelem.

Uživatel může být informován ve webovém prohlížeči nebo přes instalovaného Check Point klienta o tom, že aplikace Torrent byla blokována, aplikace Skype byla sice povolena ale jen pro pracovní účely a pro používání aplikace Facebook musí uživatel napsat důvody, proč chce tuto aplikaci využívat. Interakce s uživatele může být v českém jazyce, s firemním logem a lze zvolit frekvenci zobrazování (denně, týdně, měsíčně). V kombinaci s 3D reportem získá administrátor rychle přehled o tom, jaké aplikace jeho uživatelé používají.

U logovaných pravidel lze zvýšit prioritu příznakem Alert, či uchovávat informace o počtu přenesených Byte (Account). Buňky pravidla (zdroj, cíl a služba) lze negovat, pravidlo lze omezit časem (od – do), zakázat ho a lze limitovat download a upload aplikace na Kb/s.

Pravidla NATu lze vytvářet rychle a automaticky na vlastnostech objektu, nebo manuálně definovat překlad zdrojové/cílové IP a portů.

URL filtering (URLF) lze využívat i v pravidlech firewallu. Opět lze globálně blokovat například všechny URL adresy sloužící k přenosu souborů, URL představující bezpečnostní hrozbu warez, hacking apod. Kategorizaci lze vyzkoušet na checkpoint.com/urlcat/main.htm.

Mobile Access (SSL) a IPSec (VPN) – tyto moduly umožňují jak VPN tunely mezi IPSec bránami, tak uživatelskou VPN pomocí tlustého klienta (IPSec/SSL), webového prohlížeče a/nebo tenkým klientem (SSL), případně pomocí klienta L2TP. Dostupná je lokální interní certifikační autorita, která umí podepsat žádost o certifikát externího zařízení/serveru. Samozřejmostí je nastavení parametrů IKE/IPSec, nastavení VPN na bázi domén nebo virtuálních VPN rozhraní (VTI), či proprietární permanentní tunely (ICMP skrz VPN).

Intrusion Prevention (IPS) patří podle NSS Labs mezi ty nejlepší na trhu. Ochran je více než 1300. Jsou členěny v tabulce dle 6ti sloupců: názvu, typu server/client, kategorie (např. DoS), akce (detekuj, blokuj, neaktivní + možnost logování), bezpečnostní dopad (5 úrovní), pravděpodobnost falešného poplachu (5 úrovní) a dopad na výkon zařízení (5 úrovní). Snadno lze vyjít ze striktního nebo typického profilu a jednotlivé ochrany pak přepsat vlastním nastavením, nechybí výjimky na IP adresy a služby. Volba Bypass odstaví modul IPS pokud je vytížení CPU a RAM nad stanovené limity. V dnešní době, kdy stačí zaslat oběti PDF, či XLS soubor na nezáplatovaný počítač a na dálku tak jeho stroj ovládnout, se jistě hodí, že společnost Check Point má nejvíce ochran tykající se zneužití produktů společností Microsoft a Adobe na trhu IPS.

Anti-virus (AV) – podle obsahu souboru (cca 100 typů) nebo přípony souboru je tento zahozen rovnou nebo skenován a případně puštěn do sítě (přes protokoly http, smtp a ftp). K dalším parametrům patří: zda-li poslat HTTP OK v případě blokace souboru, blokování streaming médií, maximální vnoření archivu, jestli blokovat zprávu v případě přetížení modulu AV, chyby skenování, či překročení stanovené velikosti souboru. Pro moduly IPS/AV/APCL lze nové signatury nahrávat z internetu („ihned“ nebo v intervalech) nebo ze souboru. Anti-bot (AB) modul bude do zařízení přidán do konce roku (v ostatních zařízeních již nyní je). Tento modul sleduje, s kým a jak komunikují počítače v síti a snadno odhalí počítače, které jsou součástí nějakého bot-netu.

Anti-spam (ASPM) – filtrování spamu lze provádět na základě IP adresy odesílatele, či obsahu emailu – lze vypnout a nastavit jestli bude email blokován, nebo zda bude označen za spam v předmětu zprávy či hlavičce emailu. Dle emailu, domény, či IP adresy lze vytvořit seznam block list a white list.

Advanced Networking and Clustering Blade (ADNC) – ClusterXL protokol běžící přes jeden portů LAN zajistí, že spojení uživatelů běží bez přerušení dál i při upgraduje nebo výpadku jednoho ze dvou zařízení. Podpora VRRP je v plánu a měla by být dostupná v nejbližší době.

QOS – lze limitovat jednotlivé aplikace na šířku pásma pro down/up-load v kb/s. Manuální pravidla obsahují zdrojovou/cílovou adresu, službu, kolik procent z celkové šířky linky do internetu je možné dané službě přidělit (minimum a maximum) a váhy jednotlivých pravidel – opět v procentech. Pro dané služby (předdefinováno 7 VoIP služeb) lze zajistit Low Latency Queing. Taktéž je možné nastavit příznak DiffServ. Lze vytvářet pravidla pouze pro VPN provoz.

Administrovat lze model Check Point 600 přes webUI (HTTPS 4434), SSH nebo sériovou linku a to jen z vybraných IP adres a zón (LAN, WAN, WLAN, VPN). Lze vytvářet objekty počítačů, sítí, služeb, uživatelů, stejně jako skupiny těchto objektů. Při vytvoření objektu typu server, lze specifikovat služby (web, mail, …) a na jakých portech běží, rezervovat pro server lokální IP adresu z DHCP (vyjmout ji z DHCP poolu a přiřadit MAC adresu), nastavit veřejnou IP adresu pro přístup z internetu a z jakých sítí (včetně VPN) lze na server přistupovat. Takovouto definicí objektu typu server se vytvoří automatické firewall a NAT pravidlo a efektivněji se zacílí ochrany typu IPS a další.

Upgrade lze provádět jak ručně (webUI, USB, TFTP), tak automaticky (stahování z internetu). Upgrade obsahuje firmware *.img a boot loader *.ubt. Boot loader nabízí při startu režim DEBUG startujících procesů, MAINTANCE – procesy/rozhraní jsou vypnuty a UPGRADE. Zkomprimovaná záloha konfigurace je šifrovaná. Je možné se vrátit k předchozí verzi nebo zachovat verzi a nahrát jinou konfiguraci. 2 USB porty lze využít i pro instalaci velkého počtu zařízení připraveným skriptem.

I embedded varianta OS GAIA (akt. R75.20) obsahuje příkazy jako cpinfo, fw monitor, či ospf známé z velkých podnikových firewallů. Přes příkazovou řádku lze stiskem klávesy TAB vypsat všechny podporované příkazy nebo parametry specifického příkazu. Po specifikovaném čase (standardně 10 minut) administrativní session se zařízením vyprší. Zařízení má webovou lokální nápovědu pro webUI a wizzarda.

Monitoring (SNMP, ICMP) umožňuje sledovat dostupnost daných serverů, či routerů providera, odpojení kabelu, nízký stav místa pro logy či RAM, zátěž CPU, velké množství spojení nebo nedostupnost log serveru.

Okamžitě jde zobrazit vytížení CPU, RAM, seznam aktivních počítačů na síti a protokolů, na kterých aktuálně komunikují s možností zapnutí sběru informací o přenesených datech dané IP adresy (upload/download), zobrazení tabulky spojení, zobrazení propustnosti zařízení v kb/s či počtu paketů za sekundu, taktéž aktuální VPN tunely.

Logy (členěny na systémové a bezpečnostní) lze odesílat do zařízení komunikující přes SYSLOG nebo SIC protokol – typicky Log servery, Check Point SIEM SmartEvent a auditní systémy firewallu třetích stran. System logy lze stáhnout v souboru nebo za posledních 30 minut až 2 dny uložit také na externí SD-HC paměťovou kartu. Nad logy lze spustit tzv. 3D Security Report, tedy seznam nejdůležitějších bezpečnostních událostí, hrozeb, uživateli používaných aplikací apod. Statistiky ukáží kolik paketů bylo povoleno a jakým pravidlem, jaké aplikace a URL mají největší podíl na přenosu přes zařízení, TOP uživatele, kteří přenášejí velké množství dat (dle počtu spojení nebo velikosti dat), počet útoků rozeznaných pomocí IPS, anti-viru apod.

Společnost Check Point zavedla virtuální jednotku Security PowerUnit, kterou měří výkonnost svých boxů. Zákazník řekne parametry své sítě typu propustnost, počet uživatelů a podobně a výsledkem je počet SPU, které musí zařízení splňovat pro optimální výkon. Modely 620 – 680 mají SPU 28 – 37, jsou tak doporučené až pro 100 uživatelů, propustnost FW 0,75-1,5Gb/s, VPN 140-220Mb/s, IPS(IMIX) a AV 50-100Mb/s. Za sekundu zvládnou zařízení zpracovat až 5 tisíc nových spojení a celkem v jeden moment až 200 tisíc spojení.

Nad 8 lokálními LAN a porty WAN a DMZ lze vytvořit několik prvků typu: switch, bridge, port-based VLAN. Lze nastavit DHCP server/relay pro každý takový prvek. Informace tekoucí jen v rámci switche nelze monitorovat a/nebo filtrovat. LED diody indikují zapnutý či chybný stav zařízení, link do internetu, probíhající komunikaci na všech portech a rychlost přenosu LAN portů (10/100/1000 Mb/s). Podle Linuxu je v boxu 512 MB RAM, procesor ARM926EJ-S rev 1 (v 51) a SSD disk 250 MB.

Připojení k internetu lze realizovat na portech WAN/DMZ (1Gb/s Ethernet) přes statickou IP, DHCP, PPTP, L2TP nebo 3G/4G/sériovým modemem (USB, sériový port, PCI Express) – cca 7 otestovaných výrobců. ADSL varianta má kromě WAN a DMZ ještě DLS port (PPPoE, PPPoA, EoA, IPoA). Podporováno je i DDNS nebo load-balancing více než 2 připojení k  poskytovatelům internetu.

Wi-Fi varianta zařízení (2 odnímatelné antény) nabízí nastavení virtuálních AP, HOTSPOT (autentizace lokální/RADIUS/AD), WEP/WPA/WPA2, skrytí SSID, filtrace MAC, zakázání komunikace mezi wi-fi klienty, výběr kanálu 1-13/automatika, síla signálu vysílání AP apod. FW, VPN, MOB, IA, ADNC jsou permanentní licence obsažené v každém zařízení.

Doporučená koncová cena nejlevnějšího modelu 620 (bez Wi-Fi a ADSL) je 399 dolarů. Blades IPS, AV, ASPM, APCL, URLF se kupují ročně a všechny získáte za dalších 75-100 dolarů na 1-3 roky. Zadáním jména a hesla z usercenter.checkpoint.com si zařízení stáhne licence (generované na MAC adresu). Aktivaci lze provést i přes soubor do 30 dnů od první konfigurace.

Závěrem

Díky komplexnímu balíku funkcionalit, které jsou používané i ve velkých podnikových bezpečnostních branách, a jednoduchosti nastavení a nízké ceně je zařízení Chech Point 600 pro trh SOHO dobrou volbou. Nezískáte s ním jen firewall a VPN funkcionality, ale již za 33 dolarů ročně jste chráněni proti spamu, phishingu, virům, trojanům, rootkitům, skenům a útokům postaveným na různých vrstvách TCP/IP, nemluvě o úsporách získaných stanovením bariér zaměstnancům pomocí kategorizace URL a aplikací.

Autor pracuje jako Security System Engineer ve společnosti Arrow ECS

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


+ jedna = deset

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz