Vor relativ kurzer Zeit haben wir einen Open-Access-Minikurs "
Check Point to the Maximum " veröffentlicht. Dort haben wir versucht, kurz und anhand von Beispielen die häufigsten Fehler in der Check Point-Konfiguration aus Sicht der Informationssicherheit zu betrachten. Tatsächlich haben wir Ihnen gesagt, welche Standardeinstellungen schlecht sind und wie Sie die Mutter festziehen können. Der Kurs (unerwartet für uns) erhielt recht gute Bewertungen. Danach erhielten wir mehrere Anfragen nach einem kurzen „Zusammendrücken“ dieses Materials - einer
Checkliste für Sicherheitseinstellungen . Wir haben entschieden, dass dies eine gute Idee ist, und veröffentlichen daher diesen Artikel.
Bevor ich anfange, möchte ich mich auf zwei Dinge konzentrieren:
- Diese Checkliste ist kein autarkes Dokument oder Handbuch. Dies ist nur das erforderliche Minimum an Überprüfungen, die durchgeführt werden sollen. Zusätzliche (erweiterte) Empfehlungen können nur nach einer eingehenden Prüfung der Infrastruktur eingeholt werden.
- Die Checkliste ist nicht nur für Check Point- Besitzer relevant. Andere Anbieter haben ähnliche Probleme mit den Standardeinstellungen: Fortigate , PaloAlto , Cisco FirePower , Kerio , Sophos usw.
Und jetzt die Checkliste selbst mit ein paar Kommentaren zu jedem Punkt:
1) HTTPS-Inspektion aktiviert
Ich habe in der
zweiten Lektion "Check Point to the Maximum" über die Bedeutung der HTTPS-Inspektion gesprochen. Ohne diese Option verwandelt sich Ihr lieber NGFW in ein großes Loch im Umfang des Netzwerks.
2) Unerwünschte Ressourcen und Anwendungen werden blockiert (App- und URL-Filterung)
Am Check Point sind zwei Blades dafür verantwortlich - Anwendungssteuerung und URL-Filterung. Fast das Gleiche gilt für andere Anbieter mit geringfügigen Unterschieden. Das Hauptziel dieser Funktionen besteht darin, den Angriffsbereich zu verkleinern, indem der Zugriff auf potenziell gefährliche Ressourcen oder Anwendungen blockiert wird. Trotz vorkonfigurierter Kategorien (Anonymisierer, Botnets, Kritisches Risiko, Hacking, Hochrisiko, Phishing, Remoteverwaltung, Sospicious Content, Spyware / Malicious Sites, Stealth Tactics usw.) werden diese Einschränkungen aus irgendeinem Grund nicht verwendet . Es ist besser, solche Dinge auf Netzwerkebene zu blockieren und keine Verkehrsüberprüfungen mit komplexeren Schutzmaßnahmen (IPS, Antivirus, Anti-Bot, Bedrohungsemulation) durchzuführen. Dies vermeidet Fehlalarme und spart Ihnen Gateway-Leistung. Überprüfen Sie, welche Kategorien von Websites und Anwendungen Ihr Gateway blockieren kann, und überprüfen Sie Ihre Zugriffsrichtlinie erneut. Eine gute Hilfe ist hier SmartEvent, mit dem ein Bericht über den Benutzerverkehr erstellt werden kann.
3) Blockieren des Downloads unerwünschter Dateien (Content Awareness)
Ich habe in der
dritten Lektion darüber gesprochen . Am Check Point ist das Content Awareness Blade für diese Funktion verantwortlich. Bei anderen Anbietern können Sie möglicherweise entweder ein Anti-Virus- oder ein DLP-Modul ausführen. Die Bedeutung dieser Aktion besteht darin, unerwünschte Dateitypen absichtlich zu blockieren. Müssen Ihre Benutzer wirklich exe-Dateien herunterladen? Was ist mit Skripten? Warum sollten Sie diese Dateien überprüfen und auf die Zuverlässigkeit Ihres Gateways hoffen, wenn Sie sie als unangemessenen Inhalt blockieren können? Geringere Belastung des NGFW und höhere Sicherheitsstufe. Manchmal weiß der Benutzer möglicherweise nicht einmal, dass er mit dem Herunterladen begonnen hat (Hintergrund-Download). Überprüfen Sie Ihre Richtlinie und blockieren Sie mindestens ausführbare Dateien.
4) Antivirus führt einen vollständigen Scan der Dateien durch (Antivirus - Deep Scan)
Dies verstößt gegen absolut alle Anbieter. In den Standardeinstellungen durchsucht das Streaming von Antivirus entweder nur den Hash der Datei oder die ersten Bytes. Für einen angemessenen Schutz reicht dies nicht aus. Das Ändern des Virus ist nicht schwierig. Um sie zu fangen, benötigen Sie eine gründliche Überprüfung. Am Check Point ist hierfür die
Tiefeninspektionsoption verantwortlich. Aber sei vorsichtig. Aktivieren Sie diese Funktion nicht für absolut alle Dateien. Wenn Sie ein „schwaches“ Gateway haben, kann die Last zu stark ansteigen. Verwenden Sie eine gründliche Prüfung für die gefährlichsten (und häufig heruntergeladenen) Dateien: pdf, docx, xlsx, rtf, zip, rar, exe (wenn Sie das Herunterladen zulassen) usw. Weitere Informationen finden Sie in der
vierten Lektion .
5) Archive werden überprüft, passwortgeschützte werden blockiert (Antivirus - Archiv-Scan)
Überraschenderweise vergessen viele diese Option. Ich denke, jeder muss die Archive überprüfen. Und es sollte jedem klar sein, dass Archive mit einem Passwort blockiert werden müssen. Ich sehe keinen Grund, hier etwas Detaillierteres zu malen. Überprüfen Sie einfach, ob Sie es konfiguriert haben.
6) Zusätzliche Scan-Engines sind enthalten (Antivirus - Schutz)
Im Standardprofil zur Bedrohungsprävention (optimiert) sind zusätzliche Überprüfungsmechanismen deaktiviert, z.
B .:
Böswillige Aktivitäten - Signaturen ,
ungewöhnliche Aktivitäten - Verhaltensmuster . Vernachlässigen Sie diese Einstellungen nicht. Wie man sie einbezieht, habe ich in der
vierten Lektion gezeigt .
7) IPS wird mindestens einmal pro Woche aktualisiert
In der
fünften Lektion habe ich versucht zu zeigen, wie wichtig IPS für die Netzwerksicherheit ist. Eine der wichtigsten Voraussetzungen für Effizienz ist eine „frische“ Signaturbasis. Stellen Sie sicher, dass Ihr IPS häufig genug aktualisiert wird. Meine Empfehlung ist mindestens alle drei Tage. In der Regel sind die Standardwerte für fast alle Anbieter viel höher (von einer Woche bis zu einem Monat).
8) IPS wird auf eine separate Ebene verschoben
Ein weiterer wichtiger Punkt. Stellen Sie sicher, dass IPS in einer separaten Ebene abgelegt wird. Nur so können Sie das Beste daraus machen. In der
sechsten Lektion des Kurses habe ich ausführlich erklärt, warum und wie dies zu tun ist.
9) Unterschiedliche Richtlinien zur Verhinderung von Bedrohungen für verschiedene Netzwerksegmente
Zu den Richtlinien zur Bedrohungsprävention gehören Blades wie: Antivirus, Anti-Bot, IPS, Bedrohungsemulation, Bedrohungsextraktion. Wie bereits oben erwähnt, sollte IPS auf eine separate Ebene verschoben werden. Dort sollten mindestens zwei Richtlinien vorhanden sein - eine für das Clientgerät und eine für Servergeräte. Gleichzeitig sollte die Politik im Idealfall noch stärker fragmentieren, weil In jedem Segment kann es verschiedene Arten von Geräten und verschiedene Arten von Diensten geben. Die Hauptaufgabe besteht darin, nur die erforderlichen Schutzmechanismen zu aktivieren. Es macht keinen Sinn, den für den Linux-Host bestimmten Datenverkehr auf Windows-Signaturen zu überprüfen. Gleiches gilt für andere Klingen. Eine segmentierte Richtlinie zur Verhütung von Bedrohungen ist der Schlüssel zu einem angemessenen Schutz.
10) Verwenden Sie den Hold-Modus
Standardmäßig verwendet Threat Prevention den
Hintergrundmodus . Das heißt, wenn die Datei neu ist und keine erforderliche Signatur vorhanden ist, kann sie durchlaufen werden, während eine eingehende Prüfung durchgeführt wird. Dies ist nicht genau das, was normalerweise von Arzneimitteln verlangt wird. Stellen Sie daher sicher, dass der
Haltemodus in den Eigenschaften zur Bedrohungsverhütung (in den globalen Einstellungen und Profileinstellungen) aktiviert ist.
11) Geformte Georichtlinie
Diese Funktion wird auch zu Unrecht vergessen. Mit dieser Option können Sie den Datenverkehr (sowohl eingehend als auch ausgehend) eines beliebigen Landes für Ihr Netzwerk blockieren. Müssen Ihre Benutzer Bangladesch oder Kongo besuchen? Aber die Angreifer nutzen gerne die Server von Ländern, in denen die Gesetzgebung in Bezug auf Cyberkriminalität eher schlecht entwickelt ist. Eine kompetente Georichtlinie erhöht nicht nur das Sicherheitsniveau, sondern verringert auch die Belastung des Gateways, weil Letzterer muss nicht alles überprüfen.
12) Bedrohungsemulation aktiviert
Ein Punkt reicht hier nicht aus. Für immer müssen Sie eine separate Checkliste für die Threat Emulation-Einstellungen erstellen. Mit Ihrer Erlaubnis werde ich dies nicht tun :) Ich werde auf eine Hauptempfehlung eingehen - die Klinge sollte eingeschaltet sein. Aus irgendeinem Grund halten viel mehr Administratoren diese Funktion für unnötig exotisch. Aktivieren Sie mindestens den Erkennungsmodus und sehen Sie den Bericht in einer Woche. Sie werden überrascht sein. Wenn die aktuelle Abonnementstufe die Verwendung dieses Blades nicht zulässt, können Sie
eine Demo-Lizenz für 30 Tage
anfordern .
13) Fehlendes falsches Positiv
Zu guter Letzt. Ich habe viele Male wiederholt (und werde nie müde, es zu wiederholen), dass Sicherheit ein fortlaufender Prozess ist, kein Ergebnis. Selbst wenn Sie gut eingestellt sind, sollten Sie daher zumindest die Wirksamkeit und die Ergebnisse überprüfen. Funktioniert der Schutz und gibt es Fehler? Das einfachste Beispiel hierfür ist die regelmäßige Überprüfung der Sicherheitsprotokolle. Überprüfen Sie die Threat Prevention Blades-Protokolle. Gibt es Ereignisse vom Schweregrad mit hoch oder kritisch und Vertrauensniveau mit hoch erkennen. Beispiel für einen Protokollfilter:
Produktfamilie: (Bedrohung ODER Endpunkt ODER Mobil) UND Aktion: Erkennen UND Schweregrad: (Kritisch ODER Hoch) UND Vertrauensniveau: (Mittel-Hoch ODER Hoch)
Wenn Sie die Protokolle gesehen haben, die unter diesen Filter fallen, haben Sie das Netzwerk verpasst, das Sie blockieren mussten. Entweder haben Sie etwas falsch konfiguriert, oder Ihr Mittel funktioniert nicht so, wie es sollte. Suchen Sie regelmäßig nach solchen Ereignissen oder konfigurieren Sie Benachrichtigungen (SmartEvent-Funktionalität).
Best Practice
Sie finden die meisten Artikel in der offiziellen Dokumentation von Check Point. Wir haben bereits eine ganze Sammlung im Artikel "
Check Point-Anweisungen und nützliche Dokumentation " veröffentlicht. In unserem Fall ist die Hauptinformationsquelle eine Auswahl von Artikeln -
Best Practice und
ATRG . Wenn Sie ein glücklicher Besitzer von Check Point-Produkten sind, müssen diese Themen gelesen werden.
Fazit
Damit beenden wir unsere "verdammten Dutzend" Schecks. Wenn Sie Ihre Gateway-Einstellungen gemäß dieser Liste aufräumen, liegt Ihr Sicherheitsniveau über 80% der Unternehmen (Statistiken aus persönlicher Erfahrung). Ich wiederhole, dass dies nur grundlegende Überprüfungen sind. Für erweiterte und spezifischere Empfehlungen benötigen Sie eine umfassende Analyse der aktuellen Einstellungen und der Netzwerkarchitektur.
Hier finden Sie einen Beispielbericht (
Check Point Security Audit ) zu den Ergebnissen einer solchen Prüfung der Einstellungen. Wenn Sie möchten, können Sie einen Bericht mit spezifischen Empfehlungen und Anweisungen für Korrekturen erhalten.
Weitere Schulungsunterlagen finden Sie in unserem
Gruppen- oder
Telegrammkanal .
Hier können Sie eine kostenlose Prüfung der Check Point-Sicherheitseinstellungen durchführen
.