Artykuły

Po co? Dlaczego?

Check Mates to forum poświęcone rozwiązaniom Check Point dostępne pod adresem community.checkpoint.com. Na forum można znaleźć sporo ciekawych dyskusji związanych z konfigurowaniem i użytkowaniem najnowszych rozwiązań izraelskiej firmy. Od jakiegoś czasu na forum publikowane są również filmy instruktarzowe pokazujące różne zagadnienia związane z instalacją i konfiguracją najnowszego systemu operacyjnego, czyli R80.10.

https://community.checkpoint.com/docs/DOC-2158-r80-training-videos

Filmy zostały nagrane przez doświadczonego inżyniera Check Point i bardzo zachęcamy do uważnego oglądania każdego z nich, my natomiast postanowiliśmy wzbogacić treść filmów o krótkie artykuły nawiązujące do omawianej tematyki. Celem każdego z artykułów będzie streszczenie informacji zawartych w filmie oraz pozostawienie namiarów na linki do dokumentacji, numery sk czy tabele z wymaganiami w odniesieniu do zagadnień, które porusza każdy film. Chcieli byśmy aby osoba, która obejrzy film mogła w naszym artykule odnaleźć najważniejsze informacje bez konieczności odtwarzania ponownie i przewijania całego materiału video.

Co ciekawego w lekcji nr 1?

Pierwsza lekcja ma na celu przede wszystkim nakreślenie "szerokiego obrazka" w kontekście nowego systemu operacyjnego firmy Check Point. Znajdziemy w niej zatem trochę informacji dotyczących tego jakie firmy korzystają z rozwiązań Check Point, jakie wyzwania stoją przed światem bezpieczeństwa IT, czy też jakie wymagania należy stawiać współczesnym systemom zarządzania całymi platformami bezpieczeństwa. Przede wszystkim jednak autor filmu punktuje najważniejsze nowości, które zostaną rozwinięte w trakcie kolejnych nagrań.

Krótka notka historyczna

Zarządzanie produktami firmy Check Point rozpoczęło się w 1994 roku od prostego edytora graficznego "Check Point Policy Editor", który pozwalał na wygodne zarządzanie modułami Firewall i VPN.

Później sprawy trochę się skomplikowały ze względu na konieczność rozbudowania systemu bezpieczeństwa o dodatkowe moduły (tzw. Security Blades) takie jak np. Application Controll, URL Filtering, IPS, Anty Virus, Anti Bot, itd. Duża ilość modułów bezpieczeństwa pociągnęła za sobą konieczność rozbudowania możliwości aplikacji zarządzającej, w konsekwencji czego aplikacja ta trochę spuchła. Mieliśmy tak naprawdę do czynienia z kilkoma aplikacjami (Smart Dashboard, Smart View Monitor, Smart View Tracker, Smart Log, Smart Reporter, Smart Event, itd.). Każda z nich dawała dostęp do innej funkcjonalności systemu bezpieczeństwa takich jak np.: konfiguracja reguł, podgląd logów, statystyki pracy urządzenia, raportowanie.

Ponieważ Check Point zawsze słynął z bardzo kompleksowego podejścia do możliwości zarządzania swoimi rozwiązaniami, a funkcjonalności produktu nadal przybywa z tego względu kilka lat temu firma rozpoczęła pracę nad zupełnie nową platformą zarządzania, czego efekty możemy podziwiać dziś. System R80, poza szeregiem różnych usprawnień i nowych możliwości otrzymał przede wszystkim nową aplikację do zarządzania, która jak zapewnia producent ma przede wszystkim umożliwiać unifikację reguł i skonsolidować wiele aplikacji z którymi mieliśmy do czynienia do tej pory w jeden przejrzysty, intuicyjny interfejs zarządzający. Interfejs nowej aplikacji noszącej nazwę Smart Console został podzielony na cztery główne sekcje:

• GATEWAYS & SERVERS - to miejsce, w którym znajdziemy najważniejsze informacje związane z urządzeniami, które pracują pod kontrolą naszego management'u. To tam będziemy mogli zarządzać tunelem Secure Internal Communication (SIC), który służy do komunikacji pomiędzy SMS a Gateway, tam uzyskamy informację o obciążeniu procesora i pamięci naszych urządzeń, tam przeczytamy o ewentualnych problemach czy też podejrzymy status aktualizacji poszczególnych komponentów. Jeśli zatem szukamy informacji, które wcześniej były dostępne m.in. w aplikacji SmartView Monitor to właśnie ta sekcja jest właściwym miejscem.
• SECURITY POLICIES - nazwa mówi w zasadzie wszystko, jedna sekcja, w której konfigurujemy całą politykę bezpieczeństwa. Szczegóły dotyczące nowych możliwości konfiguracji polityk bezpieczeństwa będziemy omawiali w kolejnych lekcjach
• LOGS & MONITORING - to miejsce interfejsu zastąpiło szereg dotychczasowych aplikacji takich jak: SmartView Tracker, Smart Log, Smart Event I Smart Reporter. Jedno miejsce, w którym znajdziemy wszystkie logi i wygenerujemy raporty.
• MANAGE & SETTINGS - sekcja z dodatkowymi ustawieniami m.in dodawanie użytkowników, tworzenie dla nich bardzo złożonych ról, ustawienia API itp.

Podsumowując, nowa zunifikowana konsola daje możliwość zarządzania całym środowiskiem Check Point, obejmującym obecnie również urządzenia mobilne oraz platformy bezpieczeństwa w chmurze publicznej i prywatnej, z poziomu jednej aplikacji Smart Console. Szczegóły dotyczące poszczególnych sekcji oraz ciekawostki związane z nowymi funkcjonalnościami będą omawianej w kolejnych lekcjach.

Co nowego w polityce bezpieczeństwa?

Nowy system operacyjny to nowe podejście do budowania polityki bezpieczeństwa. Nowe polityki możemy dzielić na wiele warstw (o tym później), każda warstwa może zawierać zestaw reguł kontrolujących konkretne adresy, użytkowników, aplikacje, rodzaje danych czy zasoby chmurowe. Fragmenty polityki bezpieczeństwa można przypisać do konkretnych użytkowników co znacznie poprawia możliwości związane z delegowaniem uprawnień. Warstwy mogą być również współdzielone pomiędzy wieloma różnymi politykami bezpieczeństwa dzięki czemu nie musimy wielokrotnie powielać niektórych fragmentów konfiguracji w sytuacji, w której zarządzamy wieloma urządzeniami z podobną polityką bezpieczeństwa. Jak podaje producent możliwości jest tak naprawdę nieskończenie wiele.

Warstwy to zagadnienie, na które szczególnie warto zwrócić uwagę. Polecam obejrzenie fragmentu filmu, na którym inżynier Check Point porównuje proces tworzenia polityki bezpieczeństwa do budowli z klocków lego (fragment filmu od 16:40). Ten prosty przykład znakomicie pokazuje jak duże możliwości daje edytor polityk w R80. Koncepcja warstw została też ciekawie opisana na formu Check Mates w wątku pod adresem:

https://community.checkpoint.com/thread/1092

Co nowego w podglądzie logów?

Fakt połączenia wszystkich dotychczasowych aplikacji w jedną nową konsolę zarządzającą daje kilka ciekawych możliwości. Jedną z nich jest podgląd logów bezpośrednio po kliknięciu w regułę, która nas interesuje. Na filmie możemy zaobserwować przykład, w którym administrator klika w regułę nr 14 (Clean up) i widzi, że jeden z hostów jest przez tę regułę blokowany. Po kliknięciu prawym przyciskiem myszy w interesujący nas host możemy bardzo szybko dodać nowy obiekt do konfiguracji naszego urządzenia i następnie użyć go w regule firewall. System nawet sugeruje nam użycie nowo stworzonego obiektu jako nowy element konfiguracji reguły

Nowe API

Wraz z premierą systemu R80 Check Point udostępnił API za pomocą, którego mamy możliwość automatyzowania wielu zadań z zakresu konfiguracji urządzenia. Sesja nawiązana przez API będzie oczywiście posiadała bardzo ściśle określone uprawnienia wynikające z profilu użytkownika, z którego korzysta łącząc się do systemu zarządzania. Główny administrator systemu będzie w stanie bardzo granularnie kontrolować jaki zakres konfiguracji może odbyć się w sposób zautomatyzowany. Przykład podany na filmie pokazuje prostą aplikację web za pomocą, której helpdesk może dodawać nowe obiekty do konfiguracji urządzenia. Pełna dokumentacja do API jest dostępna pod adresem:

https://sc1.checkpoint.com/documents/latest/APIs/index.html#introduction~v1.1

Lekcja nr 6 zaprezentuje więcej szczegółów dotyczących pracy z nowym API.