CheckPointファイアウォール

checkpoint-titleFW

CheckPointセキュリティアプライアンス製品はFWやUTMなどがあります現在の日本でのシェアは大きくないように感じますが(少なくとも私は)、海外ではCiscoやPaloAltoに次ぐ人気があります
今でこそFW機能としては当たり前ですがステートフル・インスペクションを作り出した会社だそうです
今回はこのFW機器の運用について少し説明します

CheckPointファイアウォールを使ってみる

【対象機器】

CheckPoint 4000 シリーズ

機能面について

FW機能はもちろんですが、以下のような機能があります(機種によって有償/無償)

名称 機能概要
Identity Awarenessユーザやグループ、PCを詳細に把握する
IPsec VPNVPN接続
Advanced Networking & Clustering高度なルーティング、クラスタ
Mobile Accessリモートアクセス
IPS侵入検知・防御
Application Controlアプリケーションなどを識別し、利用を禁止・制限する
URL FilteringWebサイトへのアクセスをカテゴリ、ユーザ、グループ、PC単位で制御する
AntiVirusウイルス・シグネチャとアノマリ型の検出機能によりマルウェアを検出する
Anti-Botボットに感染したPCを検出し、ボットからの通信を遮断する
Anti-Spam & Email Securityウイルス・シグネチャと型の検出機能によりマルウェアを検出する
Network Policy Managementネットワークのセキュリティポリシーを集中管理する
Logging & Statusログをリアルタイムに検索する

 

他には管理サーバと連携することができます
この管理サーバでログやライセンスなどの管理をします
ただ、管理サーバは必ずしも必須ではないです
あくまでも、複数台あるとき中央管理しやすくなるような役割と考えます
(他のFW製品でも似たような機能があったりします)

CiscoやNetScreen、Fortigateなどを使っていると、このCheckPoint製品は少し癖のあるように感じますが、すぐ慣れます
FW機能としては他社製品と大体同じ認識です
細かいスペックは製品サイトを調べてください

 

運用

他のFWと違うなと思ったのは「SmartDashboard」「GAIA」と呼ばれる2つの管理メニューがあること

「SmartDashboard」は通常のFWと同じでポリシー制御などを実施するコンソール、またグラフィカルなログもこちらから確認できます

SmartDashboardはGAIAよりダウンロードすることができます

「GAIA」はFW管理サーバが必須じゃないような気がしますが、以下を管理できます

・インターフェース
・ルーティングテーブル
・HA
・アカウント管理
・バックアップリストア

つまり、FWポリシーやログの確認などの定常運用は「SmartDashboard」から行い
バックアップリストアや構成変更などの非定常運用系は「GAIA」から行っていました

下記はGAIAの画面になります

<インターフェース画面>
network-interface2

<ルーティングテーブル画面>
network-route2

<ルーティングモニター画面>network-route-tables2

<アカウント管理画面>users2

<バックアップリストア画面>
systembackup2

 

R71以降からの機能として「Web Visualization Tool」使用すると
ポリシー、NAT、オブジェクトなどの設定値をhtmlやxmlで出力することができますが
それ以外の方法でポシリー、NAT、オブジェクトを出力する方法はありません

このツールは管理サーバで実行します
もしFWの管理表を別途作るのであれば、このツールは必須といえます

以下からダウンロードできます

Support, Support Requests, Training, Documentation, and Knowledge base for Check Point products and services

 

①上記サイトで「Web Visualization Tool」で検索します

②検索結果でDownloadsをクリック

Web_Visualization_Tool

コマンド

ほとんどGUI(WebUI)から行えるので覚える必要もありませんが、コマンドでしかできないこともあるので、知っていると便利です

他のネットワーク機器と同じように管理者モード(Expert)があります
expertコマンドで切り替えられます
またプロンプトは「>」「#」と表示が違うので区別することができます

fw01> expert
Enter expert password:
 
[Expert@fw01:0]

 

■機種型番
fw01> show asset system
Platform: T-***-**
Model: Check Point 4*00
Serial Number: **********
CPU Frequency: 2392.464

■OSバージョン
fw01> version
Product version Check Point Gaia R**.**
OS build ***
OS kernel version 2.6.**-****
OS edition 32-bit

■設定値表示
fw01> show configuration
#
# Configuration of fw01
# Language version: 12.1v1
#
# Exported by hogehoge on Mon Feb 3 16:19:15 2020
#
set web table-refresh-rate 15
set web session-timeout 10
set web ssl-port 443
set web daemon-enable on
~省略~

■クラスタ情報
fw02> cphaprob stat
 
Cluster Mode: Sync only (OPSEC) with IGMP Membership
 
Number Unique Address Firewall State (*)
 
1 192.168.10.1 Active
2 (local) 192.168.10.2 Active

■証明書情報(管理サーバで実施)
[root@manage-sv hogehoge]# cpca_client lscert
Operation succeeded. rc=0.
33 certs found.
Subject = CN=fw01,O=manage-sv..******
Status = Expired Kind = SIC Serial = **** DP = 0
Not_Before: Sun Jul 17 10:20:05 2016 Not_After: Sat Jul 17 10:20:05 2021

■調査に必要な情報(障害時サポートに取得依頼される)
fw01> cpinfo
The output of cpinfo will be written to /var/log/cpinfo.info
For additional cpinfo options please run it from Expert mode
This might take a while…
Finished creating cpinfo.

■セッション数
fw01# fw tab -t connections -s
HOST NAME ID   #VALS #PEAK #SLINKS
localhost connections 3233 35 20 29
↑#VALSの値が現在のセッション数(つまり3233)

インターフェース情報
fw01# ifconfig
Mgmt Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:192.168.20.1 Bcast:192.168.20.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:199 Memory:feae0000-feb00000
 
eth1 Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.255.XXX
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:179033393 errors:9 dropped:1229 overruns:0 frame:3
TX packets:14377000 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:315060928 (323.0 MiB) TX bytes:102568918 (98.6 MiB)
Interrupt:172 Memory:fe4e0000-fe500000
 
eth2 Link encap:Ethernet HWaddr 00:1C:7F:XX:XX:XX
inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:255.255.255.XXX
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:135513686 errors:4 dropped:0 overruns:0 frame:4
TX packets:1244875 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:325060928 (333.0 MiB) TX bytes:103668918 (98.8 MiB)
Interrupt:211 Memory:fe6e0000-fe700000

■機器情報・モニター(方向キーで操作)
fw01# cpview -t [日付] [時刻]
|——————————————————————————|
| CPVIEW.Overview 31Dec2019 0:00:00 |
|——————————————————————————|
| [31Dec2019 0:00:00] HISTORY. Use [-],[+] to change timestamp |
|——————————————————————————|
| Overview SysInfo Network CPU I/O Software-blades Advanced |
|- More info available by scrolling up —————————————-|
| Swap 8,189 22 8,166 |
| —————————————————————————- |
| Network: |
| |
| Bits/sec 3,192 |
| Packets/sec 1 |
| Connections/sec 0 |
| Concurrent connections 18 |
| —————————————————————————- |
| Disk space (top 3 used partitions): |
| |
| Partition Total MB Used MB Free MB |
| /var/log 9,868 3,432 9,200 |
| /boot 310 45 211 |
| / 45,555 3,222 39,921 |
|- More info available by scrolling down ————————-|

■稼働プロセス表示
fw01# cpwd_admin list
APP PID STAT #START START_TIME MON COMMAND
HISTORYD 32584 E 1 [10:55:32] 16/7/2021 N cpview_historyd
CPD 32486 E 1 [10:55:32] 16/7/2021 Y cpd
CI_CLEANUP 23844 E 1 [10:55:37] 16/7/2021 N avi_del_tmp_files
FWD 32842 E 1 [10:55:38] 16/7/2021 N fwd
CPVIEWD 23342 E 1 [10:55:53] 16/7/2021 N cpviewd
DASERVICE 23554 E 1 [10:55:50] 16/7/2021 N DAService_script
CPHAMCSET 38224 E 1 [10:58:50] 16/7/2021 N cphamcset -d

■ClusterXLプロセス表示
fw01# cphaprob -l list
 
Registered Devices:
 
Device Name: Synchronization
Registration number: 0
Timeout: none
Current state: OK
Time since last report: 244170 sec
 
Device Name: Filter
Registration number: 1
Timeout: none
Current state: OK
Time since last report: 244089 sec
 
Device Name: cphad
Registration number: 2
Timeout: none
Current state: OK
Time since last report: 4.22281e+06 sec
 
Device Name: routed
Registration number: 3
Timeout: none
Current state: OK
Time since last report: 4.2228e+06 sec
 
Device Name: fwd
Registration number: 4
Timeout: none
Current state: OK
Time since last report: 4.22281e+06 sec

 
 

 

まとめ

ポリシーを作成するなど定型的な運用の手順は他のFW製品もほとんど同じなので載せませんでした

FWは2種類以上触り倒しておけば、新しいFWに触れる機会があっても困らないと思います
※私の感想です。またマニアックなものや癖が強いものは除く(笑)

最後に、初めての機種に触れる場合の注意点や学習ポイントを挙げます
 
・以下の設定するときの「別機種での手順の理解」「現行と別機種の差異を意識する」

ーポリシー(FWルール)の設定
ーゾーンの理解
ーNAT関連の設定
ーオブジェクト関係の作り方
ーバックアップ・リストアの手順及びサービス断時間

※他にも設定項目はありますが、頻繁に更新しないようなら後回しでも問題ない認識です
 
 
「スペックの違い」を理解する

ー何ができて何ができないのか
ーセッション数、スループット数、VPN接続数、検閲時のスループット(UTM)

 

設定や動作の影響度」を理解する

例えば、ポリシーを削除するときに先にアドレスオブジェクトを消したときの動作など
例えば、ファームウェアやOSをアップロードした時のダウンタイムなど

 




まぁ、自分は全く実行できてませんね(泣)

 

タイトルとURLをコピーしました