R80.10Checkup威胁分析——测试指南

R80.10Checkup威胁分析——测试指南

<<解决方案中心>>

1.简介 3
2.优点 3
4.准备工作 5
软件要求 5
硬件要求 5
客户环境和需求 6
网络连接 6
5.重新成像设备 7
6.首次配置向导 - 网络GUI安装 8
7.配置模式 11
8.激活软件刀片 17
刀片激活 17
访问控制 17
应用控制和URL过滤 18
威胁防御 18
威胁仿真 21
身份识别刀片 21
数据丢失防护刀片 22
代理检测 23
其他DLP改进 23
测试安装 25
10.生成安全检查报告 26
11.安全检查报告回顾 28
安全检查 - 高级，并进行匿名报告 28
12.离线模式 29
13.在云中使用安全检查 30
14.附录 31
附录A - 体检清单 31

1.简介
Check Point的安全检查报告是根据组织内的数据全面的安全分析报告。它会自动整合了不同的软件刀片的安全事件：应用控制，URL过滤，IPS，防病毒，反僵尸，DLP和威胁仿真。

安全检查报告突出了Check Point的附加值，暴露的安全隐患，并提出补救措施。当Check Point安全网关在PoC环境中运行， 通过串联或镜像端口，我们深入了解网络上的活动，并会生成激活软件刀片日志和安全事件。该报告给出了总结性的安全事件的风险，提供了全面的安全分析。因此，通过安全检查与内部安全流程和新的执法要求一起提供的信息，为改进任何组织的安全体系结构的第一步。

2.优点
 显示Check Point的安全战略的价值和软件定义的防护的好处。
 可视化客户网络中存在的事件，并给出了实用建议。
 授权你的新的安全风险知识，提高网络安全性。
 给出了与管理层讨论的摘要内容。
 给出了进行深入接触的技术要点讨论的依据
 离线报告，加快信息交互，加快销售流程。
 支持重点客户面临的挑战专业报告定制。

3.注意事项
 您无法检查HTTPS流量。 它将根据SSL证书对流量进行分类，并显示网络中的SSL流量。缺乏SSL可见性可以成为您的客户与网络设计和解决方案的重要讨论点。。
 如果您使用NAT设备，代理服务器，终端服务器，DNS服务器，AD控制器等，你只能看到在日志中， 而不是用户/服务器之后该设备。
 如果你想使用威胁仿真，强烈建议使用云仿真，因为它提供了最更新的检测能力和最好的处理资源;我们的Sandblast设备还可以提供本地仿真。
 如果您的客户需要许多日志，建议设备上至少有8 Gb的RAM（注意：大多数情况下，SmartEvent必须在数百万个日志上启动查询，如果您没有足够的RAM。会导致SmartEvent查询期间的最终用户体验不佳）。
 在高性能环境中，建议单独的网关和管理服务器，分布式部署。
 如果您拥有大于12200和8GB或更多RAM的Check Point 2012设备，您可以启用HyperThreading以将性能提升高达30％（Sk93000）。此外，您可以安装最新的补丁，以防止一些性能问题。
 在磁盘上创建快照，构建和测试设备后，并生成日志之前。您可以使用此快照以备将来检查。
 如果没有互联网连接的话URL过滤，反僵尸，云威胁仿真将无法正常工作。
 如果你遇到性能不足，请查看 sk72640 。你也可以编辑$FWDIR/boot/modules/fwkern.conf (create the $FWDIR/boot/modules/fwkern.conf file if it does not exist)并添加下面的内容:

添加以下内容：
 fw_local_interface_anti_spoofing=0
 fw_antispoofing_enabled=0
 sim_anti_spoofing_enabled=0
 fw_icmp_redirects=1
 fw_allow_out_of_state_icmp_error=1

4.准备工作
软件要求

1. 下载最新的盖亚ISO版本 - 当前版本是R80.10盖亚。

2. 下载工具并创建R80.10启动盘 - 安装镜像有两种方式。这些包括：

• USB CDROM（ISO刻录到DVD）。
• 使用ISOmorphic来做启动盘。
Ø 如何使用ISOmorphic Tool（sk65205）在cp或者open server上安装镜像
Ø ISOmorphic（ 下载 ）。

硬件要求

1.console线。
2.usb转串口线。
3.网线。
4空白U盘或者光驱
5.个人电脑上至少Windows 7，32位安装了SmartConsole。

客户环境和需求

建议从客户处收集以下信息，并在到达客户现场之前准备好设备。
1.镜像端口/ TAP配置。
2.IP地址：
A.IP地址/网络掩码，以便CheckUp设备能够访问Internet。
B.网关IP地址。
C.DNS服务器。
D.让客户意识到，如果他们想要在报告中看到公司身份，他们将不得不提供AD域名，域控制器的IP地址和管理员级别凭证，以便在他们的站点部署设备。

网络连接

更新下载补丁等需要连接网络。如果你没有上网的话：
 URL过滤，反BOT和云威胁仿真将无法正常工作。
 IPS和防病毒签名需要离线更新。

5.重装设备
当重装过程开始有几种方法来重装镜像： 1.如果设备已安装相应版本的软件映像，就可以恢复到出厂默认设置，通过访问启动菜单。
2.如果一个有效的快照存在，可以恢复到快照，通过访问启动菜单。
3.通过 光驱或者u盘重新安装系统。

请按照以下步骤操作：
1.准备USB设备（仅在Check Point设备上支持）。
2.确保已关闭Appliance / Open Server。
3.通过控制台连接到Appliance / Open Server（配置标准连接 - 速率9600，数据位8，奇偶校验无，停止位1，无流量控制）。
4.将USB设备连接到设备。
5.打开设备。
6.从USB驱动器成功启动后，应出现SYSLINUX窗口：
注意：如果机器未从USB设备启动，请检查BIOS设置是否允许从USB启动。
7.根据您使用的连接类型输入引导选项：
•Serial - 用于串行连接（即Appliance / Open Server上的控制台连接）。
•VGA - 用于VGA或其他图形模式连接（仅适用于带有视频卡的Open Server）。
•Localdrive - 用于从本地硬盘启动。
•smart1 - 仅适用于在Smart-1 150设备上安装。注意： 如果没有选项在进入 SYSLINUX 窗口，那么后90秒，安装将继续基于准备USB设备时选择安装类型的默认选项：
注意：如果在SYSLINUX窗口中未输入任何选项，则在90秒后，安装将继续使用默认选项，具体取决于准备USB设备时选择的安装类型：
•如果选择“常规安装”类型，则默认选项为localdrive，即USB设备的安装将中止，机器将从本地驱动器启动。
•如果选择“无人参与安装”类型，则默认选项为serial。

8.安装成功完成后，有三个提示：
•命令行提示， you may safely reboot the appliance.。
•LCD面板显示successful。
•设备接口灯以循环方式闪烁。

9.拔下USB并重启设备（从控制台Ctrl C）。
警告：请勿忘记从设备上拔下USB设备。否则，如果您使用“无人参与安装”类型来准备USB设备，则一旦重新启动计算机，本地驱动器将在没有任何用户确认的情况下进行格式化。

6.首次配置向导 - WEB GUI安装
1.重新启动设备，GAIA已成功安装。
2.当设备启动以后，网线连接到管理接口。
3.设置您的PC接口与网络掩码为255.255.255.0 192.168.1.2
4.打开浏览器并连接到 https://192.168.1.1 。

5. 用户名密码：admin admin
   6.设备将开始在第一时间配置向导。

6. 选择设置选项 - 选择R80.10的快速独立设置并继续进行常规安装。

9.快速设置（sk102231）：
•设置管理的IP地址，建议使用192.0.2.254 / 24，因为许多SMB客户使用192.168.1.0/24子网。
•设置（和记录）GUI管理，命令行和Web UI的密码。
•将设备连接到实时LAN连接，并设置适当的地址，稍后在将设备安装到客户网络时更改此IP。
•设置适当的DNS地址; 请注意，使用位于海外的DNS服务器可能会导致更新服务所需的地理位置出现问题并导致速度变慢。
•如果需要，设置Gaia代理。 您还需要在智能仪表板中设置代理以进行更新。
•设置监控模式或桥接模式。 监控模式是常规模式。
日期和时间将从PC设置，无需使用NTP。 请注意时间设置，注意选择正确时区。 建议在安装后查看时间设置。
•

警告： 在这之后，不要改变管理的主要IP地址，如果你这样做很可能会SmartEvent无法正常工作。

• 对于安全检查过程中，我们建议使用相同的密码作为系统管理员。建议使用统一密码方便所有工程师都能完成报告导出。

10.上线后管理口可以使用，也可以拔掉，作为本地直连的接口
11.此设备现在将通过构建和配置过程。
12.构建过程将继续进行。

注意 一旦Quick Setup完成后，设备执行更新。建议让这些更新尝试进行任何额外的配置之前完成。要验证所有的更新已完成运行此命令

tail –f /var/log/ftw_×××tall.log
之后你会看到如下信息:
end policy load
重要 - 检查第8步中的配置，因为脚本和首次配置向导尚未包含所有设置。

7.配置模式
 如果未安装Smartconsole，在 电脑上安装。

 License （ sk81200 通过您的用户中心帐户生成30天测试license，并使用Gateway和Management许可证对设备进行许可：为此，请从PartnerMAP中的Winning the security market菜单中选择Product Evaluation并生产All -in-onelicense到您自己的测试帐户：

 一旦许可证在您的UC帐户中，就需要根据分配给设备的IP激活许可证。 以下示例使用192.0.2.254，但这取决于您对管理接口的分配。

选择 “license” 您将通过电子邮件发送许可文件，保存到磁盘，打开Smartupdate，并从文件添加。

。
下面是安装补丁
 登录到web界面。
 激活adbanced视图模式，在左侧菜单，之后滚动到 升级（CPUSE） 部分。
 如果无法导入或者安装补丁，请更新CPUSE agent，参考SK92449。
 点击show all packages来显示所有可用安装包，import导入或者在线下载，之后右键点击×××tall。

 •为用户创建w×××cp访问权限，因为这需要在以后从设备中提取日志，确保此用户的shell设置为/ bin / bash，并且该角色为admin 而不是 monitor。
 可选操作 - 如果您已自定义管理IP，请将工作站地址更改为192.0.2.x / 24，然后通过https://192.0.2.254重新连接到设备。 这是我们完成操作系统和网络配置的地方
 可选操作 - 在左侧菜单中单击Network Interfaces，然后选择Mgmt：1接口。
 可选操作 - 删除Mgmt：1 Alias 192.168.1.1接口，以避免与客户寻址的潜在重叠。
 检查的是SPAN端口的接口。
重要： 可以启用多个接口来进行检查，只要不是同样流量过了两边就行，这样会影响统计
启用并确保SPAN的接口没有IP地址。

 选择以太网选项卡，选择监控模式。在该步骤中，以检查是否自动协商或固定链接速度将被使用是非常重要的。记住这两个安全网关和交换机必须具有相同的配置。

 选择将具有互联网连接的接口。输入由客户提供的IP地址和子网掩码。

 通过选择左侧菜单中的“IPv4 static routes”来更改默认路由。这将有利于为网关和实时威胁防御的数据更新。

测试连接

要测试互联网连通性，登陆到专家模式输入下面两个命令：

 Ping google.com
PING google.com（150.101.213.174）数据的56（84）个字节。
来自google.com 64个字节（150.101.213.174）：icmp_seq = 1个TTL = 60时间= 26.0毫秒
 curl_cli cws.checkpoint.com
应该显示下面内容：
<HTML> <BODY> <h1>它的工作原理！</ h1> </ body> </ HTML>

如果要代理，要在web以及Smartconsole选择代理：

8.激活软件刀片
刀片激活

如图勾选下面相应刀片。请注意，快速配置中除了DLP 、 Identity Awareness其他默认都是开启的。

访问控制

 为了保持日志文件小，配置以下层和规则，注意是否记录日志：
1、FW层（FW启用）。
来源=任意，目标=任意，行动=接受，跟踪=无。

2、APP与URL过滤层 - 在一个新的层应用和URL过滤和内容意识被激活。

1. 来源=任意，目标=互联网，内容=上传流量（任何文件），行动=接受，跟踪=详细的日志（会计）。
   2.源=任意，目的地因特网=，含量=任意，动作=接受，跟踪=详细的日志（会计）。

 下一步之前安装的防火墙策略。

应用控制和URL过滤

 转至Manage and Settings > Blades > Application Control & URL Filtering and enable ：

A、在内部系统错误的情况下允许所有请求（失效打开）。
B、分类HTTPS站点。
C、分类缓存页面。

威胁防御

在威胁防御配置文件，编辑优化配置文件，并确保您使用的是“detect only”如下：

在配置文件也选择 Anti-Virus 设置以下值：
 从“all interfaces”检查传入的文件或检查传入和传出文件。
 处理所有的文件类型。
 可选——启用压缩文件扫描（影响性能）。

相同的设置， Threat Emulation 配置文件

 从“all interfaces”检查传入的文件或检查传入和传出文件。
 处理所有的文件类型。

为了获得安全检查报告的优异捕获率，您可以启用Check Point Anti-Virus的积极检测模式（Sk98099）。
如果您的客户担心云仿真，则可以选择限制进行仿真的地理区域。 请参考sk97877

禁用日志记录在大型环境中的每个扫描的文件。

注意 请注意，优化配置文件中的所有设置都是在第一次向导之前运行的脚本生成的，但如果您手动执行这些设置，则必须克隆优化配置文件并创建新配置文件。

 勾选Manage and Settings > Blades > Threat Prevention and select “Background – requests are allowed until categorization is complete

威胁仿真

勾选威胁仿真刀片（如果已经做了，你可以取消勾选，并重新蜱检查）。在云激活威胁仿真验证将在互联网上申购和验证的 刀片：

身份识别刀片

IA是推荐但可选的。 具体看客户需求，因为需要与AD服务器连接，并且客户需要输入域密码。
对于此步骤，请记住执行SmartConsole的PC必须具有到域控制器的IP连接。 还要确保使用域控制器作为PC的主DNS服务器设置正确的DNS设置。

DLP刀片

激活DLP刀片时，请按照向导（包括您要运行安全检查的客户域）进行操作。

您也将被要求设置名称和关键字来指代公司。如果组织有多个名称，然后在此输入。

在向导中选择仅电子邮件和Web（不是FTP）。

代理检测

如果客户站点的用户通过代理浏览Internet，并且镜像端口位于该代理的上游：

1. In SmartConsole, go to the Objects Tree and select the Services tab
2. Edit the TCP service: HTTP_and_HTTPS_proxy
3. Click Advanced
4. Select Protocol Type, and choose HTTP
5. Enable Match for ‘Any’
6. Click OK

其他DLP改进

如果客户的网络存储包含机密数据，强烈建议在此处启用指纹，DLP捕获率将提高。

为了节省CPU：
• Disable “Log all sent messages”.
• Tick disable when under load.

最后，需要生效配置，安装策略（忽略有关Unti-spoofing拓扑警告）。

IPS

 确保更新IPS策略。 此时需要有效的用户中心帐户。 如果您使用的是独立部署，请确保在更新IPS数据库之前执行数据库版本控制。

 根据网关的IPS属性和所有流量执行IPS，分配建议的保护。 为避免性能不够，您可以选择bypass IPS。

 确保所有IPS签名设置为检测：
 消除一些IPS误报：
启用PSL接模式（这已经在快速启动完成）。
vi $FWDIR/boot/modules/fwkern.conf and add the following lines:
psl_tap_enable=1
fw_tap_enable=1
Reboot the Security Gateway

测试

可以使用以下方法在现场安装和测试设备。
1.直接通过笔记本电脑连接管理界面。
2.首先仅连接客户LAN端口。
（在没有连接SPAN的情况下测试Internet连接的盒子负载较小）。
3.通过CLI登录专家模式。
4.检查DNS是否正常运行 - “nslookup google.com”。
5.检查互联网访问功能 - “curl http://google.com”。
6.将网线插入SPAN端口。
7.在专家模式类型命令中测试SPAN端口上的流量。
tcpdump -i eth1 port 80

-i =接口
eth1 = span端口
port =端口号
这将确保HTTP流量的可见性，而不仅仅是广播，并确认SPAN已正确配置。
8.登录日志和监控并确认其正常运行，我们正在接收活动。

10.生成安全检查报告
一旦足够的日志在监测期间收集，就可以来产生安全检查报告：

1。 Security Checkup - Anonymized： 本报告不包括IP地址或用户名。
2。 Security Checkup - Advanced： 这份报告更详细，包括IP地址。
3。Security Checkup - Statistics： 这是用于高级和匿名报告的原始数据。 建议以excel格式生成它。
4。Mobile Security Checkup：此报告揭示了组织所面临的移动威胁。
为了产生安全检查报告，请执行以下步骤：
1.登录R80.10的SmartConsole并移动 Logs & Monitor > Reports.

2.双击选择一个报告模板，并根据收集的日志选择的时间有关期间。

3.一旦报告生成保存为PDF格式。

4.移动到Archive，并从那里下载报告。

11.安全检查报告回顾
安全检查报告提出在客户的网络进行了安全性评估的结果。在安全检查的执行摘要报告总结了流量检查中发现的威胁。

安全检查 - 高级，并进行匿名报告

移动安全检查

12.离线模式
如果您已经拥有来自客户的日志并且想要生成安全检查报告，请按照以下步骤操作：

1、运行evstop
2、导入日志文件到$ FWDIR /log/
3、如果您的机器包括FW日志和你想跳过FW日志，取消选中"Log Indexing" at the object editor > Logs

4. $ INDEXERDIR / log_indexer -days_to_index [NUM_OF_DAY_TO_INDEX]
   例如：$ INDEXERDIR / log_indexer -days_to_index 30（过去30天的索引日志）。
   5.Run evstart
   6.查看所有日志是否都进入机器：
   tail -f /opt/CPrt-R80/log_indexer/log/log_indexer.elg | grep 'Files read rate [log]'
   7.当您看到当前值长时间为0（~10-20秒）时，表示索引器已完成作业：

13.在云中使用安全检查
安全检查的目的 - 云服务是要通过生成在云中，而不是现场监测装置的报告运行的安全检查报告， 为合作伙伴和SE的过程更容易。这项服务是免费的。

它是如何工作的？

1. 设置相关安全和管理软件刀片激活Check Point的独立网关。不需要SmartEvent服务器。

2. 将设备插入客户网络检查镜像或内联的流量（推荐监测持续时间：至少1周） - 见 sk83500 和章节本文档中的4-8。

3. 建立标准完成后，运行一个脚本，自动上传后X天的日志（推荐 - 至少一周）。要获取包，下载 CloudService脚本 。

4. 报告是在云服务中生成并发送回合伙人/ SE通过电子邮件进行加密。
   5.您还可以在云管理查看事件，自定义报告，并把它作为常规SmartEvent机。

• 需要注意的是安全检查在云中version_19限制到日志40GB。

在云中，鉴于对安全检查的详细信息 sk112732 并下载 云服务包。

14.附录
附录A - 体检清单

Web界面配置检查：

 使用/ bin / bash作为shell定义w×××cp用户。
 配置DNS服务器。
 在webui中设置任何所需的代理（难以通过检查正常工作）。
 配置正确的默认路由，以便设备可以访问互联网以获取TE云，并检查威胁云中的AV，AB，URLF和应用程序控制保护。

License：

 申请一个30天的all in one license，并通过首选方法（CLISH，CPUSE（webui），SmartUpdate等）添加。
 确保所有contract（IPS，TE等）都已附加并显示为有效。

网关对象：

 快速配置后，检查客户选择的所有刀片是否已打开。
 确保SmartEvent也已打开，并且关联单元未显示任何错误。
 在拓扑>代理下，从客户定义任何所需的代理服务器。
 在全局属性中设置任何所需的代理。
 确保正确设置拓扑。
 在接口上关闭反欺骗（默认情况下，但仔细检查）。

  常规配置：

 初始配置和SmartEvent设置后，管理IP地址不可更改。它可能导license以及日志记录和关联单元的问题。
 将预期在流量流中看到的每个内部网络定义为网络对象中“Network”文件夹下的对象。
 关闭FW注销 - 这会生成我们在安全检查报告中不需要的剩余FW日志。
 确保子网掩码对于客户网络是正确的。
 创建所有“网络”对象的组对象。
 确保为客户网络设置和定义DNS设置。
 如果在站点安装之前配置设备，请确保在安装期间有这些DNS IP，因为需要Internet连接才能进行许可检查和保护更新（IPS，AV＆AB，URLF和应用程序控制）。

应用程序控制和URLF
 确保在“Gataway”下的Checkup网关上成功执行了数据库更新。如果不是推送策略（或者在完成检查核对表后记得
推送策略）。
 确保应用程序数据库是最新的。如果没有，请从Overview页面更新。

DLP

 完全使用定义的网络定义“我的组织”，还包括任何电子邮件/网络域名。
 选择“特定网络和主机”并在单击组织中选项旁边的“编辑”按钮后使用对象，因为当使用具有TX和RX数据包流的
镜像端口时，默认选项查找“内部接口后面的网络”不起作用接口。
 添加可能与您正在执行检查的客户相关的任何相关DLP类别。
 DLP策略中每行一个，并确保将保护定义复制并粘贴到注释字段中，以便检查报告知道保护的作用（如果不这样做，
报告将显示泄漏的内容，但几乎没有有关保护措施的信息）。
 确保 - 已在DLP>其他设置>协议下启用Web / HTTP。
IPS

 将IPS策略切换为Optimized，使用detect only或者把所有动作改为detect。
 通过双击IPS刀片概述页面上启用的配置文件并单击左侧列表中的故障排除，可以找到Detect only。

威胁预防（AV，AB，TE）

 确保已启用所有其他威胁仿真文件类型。
 确保“网关”页面上的更新状态和订阅状态都显示出良好的效果。修复任何失败的更新/检查。
更新

 确保IPS已更新
 确保更新App控件和URL F应用程序数据库
 确保更新AV和AB数据库
 下发网络和威胁预防政策。

SmartEvent

 确保在SmartEvent策略>常规设置>内部网络下定义内部网络。
 确保关联单元正常并从正确的日志服务器处理日志（如果执行独立的检查，则应该与MGMT和GW都是相同的IP地址）
连接检查

如果你能得到下面全部回复，那更新和云端检查就不会有任何问题了，可以安心撤了！！

 检查设备可以在客户现场安装后到达互联网（ping 8.8.8.8）。
 检查它是否可以访问AV AB URL和APP CTL更新服务器 - （Sk83520）
curl -v http://cws.checkpoint.com/Malware/SystemStatus/type/short
 检查威胁模拟是否可以访问威胁云以模拟文件 -
curl -v http://te.checkpoint.com
 检查它是否可以更新IPS -
curl -v -k https://updates.checkpoint.com/
 下载服务更新 -
curl -v -k https://dl3.checkpoint.com
 合同授权检查
curl -v -k https://usercenter.checkpoint.com/usercenter/services/ProductCoverageService

转载于:https://blog.51cto.com/shenzhenvc/2409592