Решения Check Point прошли сертификацию ФСТЭК на соответствие требованиям к 4 уровню доверия к средствам технической защиты информации | RUБЕЖ

Два основных типа поддержки

Техническая поддержка Check Point делится на два больших типа: Direct Support и Collaborative Support. Думаю названия говорят сами за себя. Распишем оба типа.

Check point. что это, с чем его едят или коротко о главном

Здравствуйте, уважаемые читатели хабра! Это корпоративный блог компании

TS Solution

. Мы являемся системным интегратором и по большей части специализируемся на решениях безопасности ИТ-инфраструктуры (

Check Point

,

Fortinet

) и системах анализа машинных данных (

Splunk

). Начнем мы наш блог с небольшого введения в технологии Check Point.

Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…

UTM/NGFW

Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)

UTM — Unified Threat Management

Если коротко, то суть UTM — консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:

1. Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).
2. Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.

Но прогресс не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а обработка пакетов изменилась (надо признать, что далеко не у всех вендоров) и стала позволять практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут “переваривать” десятки и даже сотни гигабит в режиме глубокого анализа, что дает возможность использовать их в сегменте крупного бизнеса или даже датацентов.

Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2021 года:

Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.

NGFW — Next Generation Firewall

Название говорит само за себя — межсетевой экран следующего поколения. Данный концепт появился значительно позже, чем UTM. Главная идея NGFW — глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control). В данном случае IPS как раз и нужен, чтобы в потоке пакетов выявлять то или иное приложение, что позволяет разрешить, либо запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. По сути, качество NGFW зависит от количества приложений, которые он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом на фоне которого начала свой бурный рост компания Palo Alto.

Магический квадрант Гартнера для NGFW за май 2021:

UTM vs NGFW

Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.

Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).

Три сущности Check Point

При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:

1. Security Gateway (SG) — собственно сам шлюз безопасности, который как правило ставится на периметр сети и выполняет функции межсетевого экрана, потокового антивируса, антибота, IPS и т.д.
2. Security Management Server (SMS) — сервер управления шлюзами. Практически все настройки на шлюзе (SG) выполняются с помощью данного сервера. SMS также может выступать в качестве Лог-сервера и обрабатывать их встроенной системой анализа и корреляции событий — Smart Event (подобие SIEM для Check Point), но об этом чуть позже. SMS используется для централизованного управления несколькими шлюзами (кол-во шлюзов зависит от модели SMS, либо от лицензии), однако вы обязаны его использовать, даже если у вас всего один шлюз. Тут следует отметить, что Check Point одни из первых стали применять подобную централизованную систему управления, которая уже много лет подряд признается “золотым стандартом” по отчетам компании Gartner. Есть даже шутка: “Если у бы Cisco была нормальная система управления, то Check Point бы никогда не появился”.
3. Smart Console — клиентская консоль для подключения к серверу управления (SMS). Как правило устанавливается на компьютер администратора. Через эту консоль осуществляются все изменения на сервере управления, а уже после этого можно применить настройки к шлюзам безопасности (Install Policy).

   

Операционная система Check Point

Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.

1. IPSO — операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
2. SPLAT — собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.
3. Gaia — актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2021 году и продолжает активно развиваться.

Говоря о Gaia следует сказать, что на текущий момент самая распространенная версия это R77.30. Относительно недавно появилась версия R80, которая существенно отличается от предыдущей (как в плане функциональности, так и управления). Теме их отличий мы посвятим отдельный пост. Еще один важный момент — на текущий момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)

Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:

1. Appliance — программно-аппаратное устройство, т.е. своя “железка”. Моделей очень много, которые отличаются по производительности, функционалу и исполнению (есть варианты для промышленных сетей).

   

2. Virtual Machine — виртуальная машина Check Point с ОС Gaia. Поддерживаются гипервизоры ESXi, Hyper-V, KVM. Лицензируются по кол-ву ядер процессора.
3. OpenServer — установка Gaia непосредственно на сервер в качестве основной операционной системы (так называемый “Bare metal”). Поддерживается только определенное “железо”. Есть рекомендации по этому железу, которые нужно соблюдать, иначе могут возникнуть проблемы с драйверами и тех. поддержка вам может отказать в обслуживании.

Варианты внедрения (Distributed или Standalone)

Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:

1. Standalone (SG SMS) — вариант, когда и шлюз и сервер управления устанавливаются в рамках одного устройства (или виртуальной машины).

   

   Такой вариант подходит когда у вас всего один шлюз, который слабо нагружен пользовательским трафиком. Этот вариант наиболее экономичен, т.к. нет необходимости покупать сервер управления (SMS). Однако при серьезной нагрузке шлюза вы можете получить “тормозящую” систему управления. Поэтому перед выбором Standalone решения лучше всего проконсультироваться или даже протестировать данный вариант.

2. Distributed — сервер управления устанавливается отдельно от шлюза.

   

   Оптимальный вариант в плане удобства и производительности. Используется когда необходимо управлять сразу несколькими шлюзами, например центральным и филиальными. В этом случае требуется покупка сервера управления (SMS), который также может быть в виде appliance (железки) или виртуальной машины.

Как я уже говорил чуть выше, у Check Point есть собственная SIEM система — Smart Event. Использовать ее вы сможете только в случае Distributed установки.

Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:

Хотелось бы отметить, что в Bridge режиме есть некоторые ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать именно Routed режим, конечно если это возможно.

Программные блейды (Check Point Software Blades)

Про сертификаты:  Скопировать ключ

Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.

Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:

1) Для Network Security (функционал шлюза)

Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.

Буквально через несколько статей мы подробно рассмотрим блейды Threat Emulation и Threat Extraction, уверен что будет интересно.

2) Для Management (функционал сервера управления)

Мы не будем сейчас подробно рассматривать вопросы лицензирования, дабы не раздувать статью и не запутать читателя. Скорее всего мы вынесем это в отдельный пост.

Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):

Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном — смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).

В каждом типе теста можно заметить несколько вариантов:

1. тест только для Firewall;
2. тест Firewall IPS;
3. тест Firewall IPS NGFW (Application control);
4. тест Firewall Application Control URL Filtering IPS Antivirus Anti-Bot SandBlast (песочница)

Внимательно смотрите на эти параметры при выборе своего решения, либо обратитесь за

консультацией

.

Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

Если вы хотите подробнее ознакомиться с Check Point, научиться настраивать основные системные параметры, управлять политиками безопасности и еще многому другому, нажмите сюда.

P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by Denyemall).

Предварительные действия

• Произвести установку и инициализацию шлюзов и сервера управления Check Point;

• Произвести настройку центра сертификации Microsoft Certification Authority c КриптоПро CSP.

Центры технической поддержки

Думаю, что логично начать с перечня локаций центров технической поддержки. На сегодняшний день актуальна следующая карта:

Т.е. центры в Далласе, Оттаве, Тель-Авиве, Бангалоре, Пекине, Токио и Мельбурне. Один из самых крупных центров естественно находится в Тель-Авиве (Check Point — Израильская компания). Если вы находитесь в европейской части России, то с вероятностью 99% ваши запросы будут попадать именно в Израильский центр. В этом есть свои плюсы:

1. Время в Тель-Авиве (GMT 2) отличается всего на час от Московского (GMT 3), а значит и рабочий день совпадает с вашим;
2. В Израильском центре очень много специалистов говорят на русском языке!

Последний пункт особенно полезен, т.к. официальный язык технической поддержки — английский. На моей практике было довольно много случаев, когда заказчику не владеющему английским языком предоставляли русскоговорящего инженера.

В Оттаве находится круглосуточный (24/7/365) саппорт-центр. Если вы создадите срочную заявку (которая требует немедленного вмешательства) в нерабочее время, то скорее всего она попадет именно в Канадский центр.

Центра технической поддержки (TAC) в России НЕТ!

Но есть другие варианты, которые мы обсудим чуть ниже.

Три способа связи с тех. поддержкой

Как можно связаться с технической поддержкой? Есть три способа:

ЧатWeb-запрос

через Support Center и по

Телефону

Естественно, что все три варианта требуют наличия активной технической поддержки. Рассмотрим каждый способ чуть подробнее.

1 Chat

Чат (Live Chat) доступен из Support Center — портал технической поддержки. Мы немного рассказывали об этом портале в предыдущей статье. Нажав на него будет необходимо указать какого рода у вас вопрос (technical или sales) и указать свой account-id (к нему привязывается техническая поддержка).

После этого откроется небольшое браузерное окно в виде чата, где и будет идти переписка со специалистом. Если в рамках чата не удастся решить вашу проблему, то будет автоматически создан тикет (кейс), куда переносится вся переписка из чата. Список открытых тикетов можно просмотреть нажав на My Service Requests (смотри картинку выше).

2 Web

Из того же Support Center можно создать заявку в тех. поддержку классическим образом — Open a Service Request. Опять же будет необходимо выбрать тип пробемы (технический, не технический), а затем заполнить стандартную форму:

Одним из важнейших полей при создании заявки является Severity. Есть четыре типа:

Critical — высший уровень и относится к ситуациями из разряда “вся сеть легла”. При выборе этого уровня Severity, с вами свяжутся в кратчайшие сроки.

На следующем этапе будет возможность добавить вложения (логи, скриншоты), указать предпочитаемый способ связи с вами (email, sms, call) и возможность удаленного доступа.

3 Phone

Вариант обращения по телефону является самым быстрым, однако требует от вас хороших навыков общения на английском. Телефоны:

4 Дополнительно

Стоит упомянуть еще два варианта. После того как кейс уже создан (тем или иным способом) вам на почту будут приходить обновления этого тикета (ответы или вопросы инженеров). После этого необязательно заходить на портал тех. поддержки, чтобы написать ответ.

Вы можете отвечать прямо из почты. В теме письма всегда присутствует номер тикета — SR (service request). Этот номер позволяет автоматически обновлять кейс на портале прямо из вашего email-сообщения. Кроме того, инженеры Check Point довольно часто практикуют удаленное подключение в режиме совместного доступа (как в webex, go-to-meeting и т.д.).

Установка хотфикса и криптобиблиотек

Криптобиблиотеки необходимо устанавливать только на шлюзах. На машине, выполняющей роль исключительно сервера управления Check Point, установка криптобибилиотек необязательна. Хотфикс необходимо устанавливать и на шлюзы, и на сервер управления.

Для установки хотфикса на машину, выполняющую роль исключительно сервера управления Check Point, выполните следующую последовательность действий:

1 Direct Support

Как следует из названия, это прямая техническая поддержка от вендора. Все ваши запросы идут непосредственно в Check Point. При этом у Direct Support имеется четыре уровня: Standart, Premium, Elite, Diamond.

Формально есть еще уровень

Diamond Plus

. В этом случае есть возможность советоваться со специалистом в части дизайна, настроек безопасности и т.д. Т.е. вы получаете персонального инженера. Он же будет заботиться о правильности и об оптимальности настроек Check Point.

2 Collaborative Support

В данном случае техническую поддержку клиента осуществляет Партнер Check Point. Как правило это системный интегратор, либо дистрибьютор. Для этого партнер должен обязательно обладать статусом

CCSP (Certified Collaborative Support Provider)

. Обладатель этого статуса должен иметь собственную службу технической поддержки, сертифицированных специалистов и лабораторный стенд, для воспроизведения проблем заказчика.

Т.е. при выборе данного типа поддержки (collaborative) первой линией для заказчика является партнер, а не Check Point. Это дает ряд преимуществ:

1. Вы получаете русскоговорящий саппорт;
2. Вы можете оговорить с партнером любой SLA, отличный от того, что предоставляет Check Point. Например возможность обращаться в выходные дни в критических ситуациях (даже при Co-Standart поддержке);
3. С партнером гораздо проще договориться о выезде специалиста на место.

Кроме того, если вы используете услуги системного интегратора для внедрения решений Check Point, то желательно, чтобы у него был статус CCSP. Т.е. чтобы этот же интегратор мог осуществлять для вас техническую поддержку. Фактически, в этом случае за саппортом вы сможете обращаться к тому же инженеру, который изначально все настраивал и уже знает вашу инфраструктуру.

Стоит заметить, что если партнер не может решить задачу своими силами, то уже он обращается к вендору и он же ведет с ним диалог.

Для Collaborative Support также существует несколько уровней поддержки:

Не вижу смысла расписывать уровни, вроде бы и так все ясно. Повторюсь, что такие параметры, как время работы (9х5 или 24х7) и время реакции зависит от оговоренных условий с вашим уже Российским партнером. Уровень Co-Elite в России недоступен.

Check Point PRO

Данный тип поддержки был анонсирован сравнительно недавно. Назвали его конечно же пафосно — Next Generation Support. По сути, это дополнительный сервис, который навешивается к приобретаемому уровню поддержки, будь то Standart или Premium. Стоит заметить, что сервис весьма полезный. Приставка PRO означает не “профессиональная”, а “

проактивная

”. С PRO поддержкой, специалисты Check Point в реальном времени отслеживают техническое состояние ваших шлюзов безопасности и менеджмент серверов. Мониторятся такие параметры, как RAM, HDD, CPU, интерфейсы, блоки питания, скорость вращения кулеров, различные алерты и т.д.

При возникновении какой-либо проблемы автоматически создается тикет в TAC-е, еще до того, как это обнаружили вы сами. К примеру, на устройстве сломался кулер. В обычной ситуации вы можете этого и не заметить, т.к. эта поломка мгновенно не проявится.

Важный момент, PRO саппорт это НЕ мониторинг событий информационной безопасности, т.е. это не SOC. Это мониторинг именно “здоровья” вашего устройства.

Создание и настройка датчика псевдослучайных чисел

Данные действия выполняются на шлюзах, в том числе шлюзах, совмещённых с сервером управления.

1) Зайдите на шлюз через SSH;

2) Перейдите в экспертный режим;

3) Скопируйте файл kis_1 из каталога /var/gost_install/kis в каталоги /var/opt/cprocsp/dsrf/db1/ и /var/opt/cprocsp/dsrf/db2/;

4) Создайте датчик псевдослучайных чисел, выполнив следующею команду:

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -add cpsd -name 'CPSDRNG' -level 0

5) Настройте созданный датчик псевдослучайных чисел на использование файла внешней гаммы, выполнив следующие команды:

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -configure cpsd -add string /db1/kis_1 /var/opt/cprocsp/dsrf/db1/kis_1

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -configure cpsd -add string /db2/kis_1 /var/opt/cprocsp/dsrf/db2/kis_1

Убедиться в том, что новый датчик псевдослучайных чисел был создан, можно следующей командой:

/opt/cprocsp/sbin/ia32/cpconfig -hardware rndm -view

Вывод команды будет иметь вот такой вид и должен содержать информацию о датчике с именем CPSDRNG и максимальным уровнем приоритета, равным нулю:

Файл kis_1 будет расходоваться при инициализации датчика, например, на создание контейнера закрытого ключа, при добавлении сертификата уходит 2 отрезка последовательности. Отрезки последовательности берутся из конца файла, использованные отрезки удаляются.

Например:

Размер файлов до добавления сертификата:

Размер файлов после добавления сертификата:

Check Point Incident Response Team

Еще один сервис который можно добавить к подписке — Incident Response Team. Как следует из названия, это команда, которая должна реагировать на инциденты информационной безопасности. Т.е. когда заказчик оказался под атакой. Специалисты Check Point могут оперативно подключиться к решению проблемы, собрать нужные логи, дампы трафика, провести полноценную форензику, восстановить работоспособность систем.

1. Настройка VPN с использованием сертификатов

Для настройки ГОСТового шифрования с аутентификацией партнеров по сертификатам необходимо выполнить следующую последовательность действий:

1) Установить специальную версию Check Point SmartConsole (файл с именем: SmartConsole_GOST_R75.40VS_EA);

2) Зайти на сервер управления с помощью данной утилиты;

3) Создать новое VPN Community:

4) Поместить в создаваемое VPN Community шлюзы, между которыми будет строиться VPN соединение:

5) Настроить VPN Community на использование ГОСТового шифрования:

Предлагается 3 варианта:

Set 1 и Set 2- отличающихся используемыми режимами шифрования, можно использовать любой (поддерживаются всеми версиями, для которых есть ГОСТ, кроме R65.50);

Legacy – режим совместимости с ГОСТ на Check Point R65.50, если есть необходимость построения VPN туннелей со шлюзами, функционирующими на данной версии Check Point.

6) Нажать кнопку «ОК», тем самым создав новое VPN Community;

Список VPN Community будет выглядеть примерно вот так:

7) После создания VPN Community и добавления в него шлюзов, необходимо внести в конфигурацию сервера управления сведения о ГОСТовом центре сертификации, который будет выпускать сертификаты для наших шлюзов. Добавьте в конфигурацию новый доверенный центр сертификации:

8) В случае если CRL Distribution Point (в примере это сервер центра сертификации) находится за одним из шлюзов и другие шлюзы будут соединяться с ним через VPN-соединение, эти шлюзы не смогут загрузить CRL, потому что не смогут построить VPN из-за невозможности проверки сертификата первого шлюза.

Или можно вынести CRL Distribution Point за пределы VPN домена защищающего его шлюза, что бы другие шлюзы обращались к нему не через VPN соединение.

9) Выгрузите корневой сертификат центра сертификации в формате DER и добавьте его в конфигурацию Check Point:

10) После добавления нового центра сертификации необходимо выпустить сертификаты для шлюзов. Порядок выпуска и добавления сертификатов для кластера и некластеризованных шлюзов немного отличается.

В случае кластера шлюзов сертификаты выпускаются на КАЖДЫЙ член кластера. Для выпуска сертификата выполните следующую последовательность действий:

• Откройте окно свойств объекта кластера шлюзов;

• Перейдите во вкладку «Cluster Members»;

• Щелкните два раза по объекту члена кластера;

• В открывшемся окне «Cluster Member Properties» перейдите во вкладку «VPN» и в поле «Certificates List with keys stored on Security Gateway» нажмите кнопку «Add»:

• Введите имя сертификата;

• В поле «CA to enroll from» выберете добавленный ГОСТовый центр сертификации и нажмите кнопку Generate;

• Заполните Distinguished Name для запроса, например:

• Будет сгенерирован запрос на сертификат, нажмите «Copy to Clipboard»:

• Вставьте запрос на сертификат в поле «Сохраненный запрос» на портале центра сертификации и нажмите выдать:

• Сохраните файл сертификата в формате DER:

• В поле «Certificates List with keys stored on Security Gateway» нажмите кнопку «Complete», в открывшемся окне выберете сохраненный файл сертификата:

• Примите сертификат:

• Повторите данную последовательность действий для каждого члена кластера.

В случае выпуска сертификата для некластерированного шлюза запрос на сертификат создается в окне свойств шлюза, раздел «IPSec VPN», графа «Repository of Certificates Available to the Gateway». Также нажмите клавишу «Add», только в случае некластерированного шлюза будет выбор, где будут храниться ключи шифрования.

После добавления сертификатов некластерированный шлюз уже готов к построению ГОСТового VPN после установки политики, но в случае кластера это еще не все. КриптоПро шифрует трафик, передаваемый между членами кластера и между библиотеками на шлюзе, используя для этого Site Key или Site Certificate.

В случае некластеризованного шлюза, в качестве Site Certificate используется тот сертификат, который был выпущен и добавлен на шлюз. В случае кластера для этих целей может быть использован только Site Key и его необходимо сгенерировать и внести в конфигурацию;

11) Для генерации Site Key необходимо выполнить следующую последовательность действий:

• Открыть окно свойств объекта шлюза, в разделе «IPSec VPN» в графе «Repository of Certificates Available to the Gateway» выбрать сертификат, выданный шлюзу внутренним центром сертификации (Check Point internal_ca), и нажать кнопку «View»;

• В открывшемся окне свойств сертификата необходимо найти первую строчку с SHA-1 хешем сертификата, она понадобится для генерации Site Key;

• На любом шлюзе с установленным КриптоПро из экспертного режима необходимо выполнить команду:

bash /opt/cprocsp/bin/ia32/cp-genpsk.sh <machine_name> <net_id> <expiry> <Site_ID>

, где:

o	<machine_name> - имя шлюза;

o	<net_id> - неописанный, но обязательный параметр, должно стоять Net, причем, если вставить параметр Net с прописной буквы, вывод команды будет корректным, но сгенерированный Site Key работать НЕ БУДЕТ;

o	<expiry> - срок действия ключа в месяцах, максимальное значение 6;

o	<Site_ID> - первая срока с SHA-1 хешем сертификата.

Пример выполнения и вывода команды:

[Expert@FW1-Node-1:0]# bash /opt/cprocsp/bin/ia32/cp-genpsk.sh FW1-Cluster Net 6 32:56:3E:12:A8:D6:6C:EF:47:23:30:7C:17:53:ED:47:1E:BD:7F:7DgenpskUTC Wed Jun 26 12:15:53 2021

FW1-Cluster. Net. Number of stations 1.Stations: 32563E12A8D66CEF4723307C1753ED471EBD7F7DPart 0. Valid for (months) 6.

FW1-Cluster UTC Wed Jun 26 12:15:53 202132563E12A8D66CEF4723307C1753ED471EBD7F7D part 0 valid for (months) 6W6426WLHP3C8TMW6426WLHP3C8TMW6426WLHP3C8TM

genpskUTC Wed Jun 26 12:15:53 2021

FW1-Cluster. Net. Number of stations 1.Stations: 32563E12A8D66CEF4723307C1753ED471EBD7F7DPart 1. Valid for (months) 6.

FW1-Cluster UTC Wed Jun 26 12:15:53 202132563E12A8D66CEF4723307C1753ED471EBD7F7D part 1 valid for (months) 641NKET2QC6B3NW41NKET2QC6B3NW41NKET2QC6B3NW

• Вывод команды содержит две части сгенерированного Site Key, которые нужно совместить и внести в конфигурацию кластера. Первая часть помечена зеленым, вторая часть помечена красным. Совмещать их нужно так:

W6426WLHP3C8TM41NKET2QC6B3NW

Site Key должен быть повторно сгенирирован в следующих случаях:

• Истек срок действия Site Key;• VPN был включен и выключен;• Сертификат выданный внутренним центром сертификации (internal_ca) был обновлен.

• После того как у вас появился Site Key, его необходимо внести в конфигурацию кластера. Откройте окно свойств объекта кластера, раздел «IPSec VPN», графа «VPN Advanced» и нажмите кнопку «Pre-Shared Secret» в разделе «GOST Standard»:

• В открывшемся окне введите Site Key и нажмите ОК:

12) Теперь можно установить политики на шлюзы и проверить логи на предмет того, что VPN успешно собрался. В логах должны присутствовать сообщения об успешной установке Site Key или Site Certificate и инициализации криптобиблиотек и сообщения типов Encrypt/Decrypt для трафика, передаваемого через VPN соединение. Примеры сообщений:

13) Если политика установилась без ошибок и данные сообщения в логах присутствуют, то поздравляю вас, вам успешно удалось настроить VPN с использованием ГОСТового шифрования.

2. Настройка VPN с использованием пароля

Если в силу стечения обстоятельств у вас нет желания или возможности заморачиваться с сертификатами, можно настроить аутентификацию партнеров с использованием парольной фразы. Крайне не рекомендуется использование данного варианта при большом количестве шлюзов в силу сложности работы с большим количеством паролей, а так как пароль необходимо указывать для каждой пары шлюзов, их количество может быть поистине колоссальным. Итак, чтобы настроить ГОСТовый VPN с использованием пароля, необходимо выполнить следующую последовательность действий:

1) Установить специальную версию Check Point SmartConsole (файл с именем: SmartConsole_GOST_R75.40VS_EA);

2) Зайти на сервер управления с помощью данной утилиты;

3) Создать новое VPN Community:

4) Поместить в создаваемое VPN Community шлюзы, между которыми будет строиться VPN соединение:

5) Настроить VPN Community на использование ГОСТового шифрования:

Предлагается 3 варианта:

Set 1 и Set 2- отличающихся используемыми режимами шифрования, можно использовать любой (поддерживаются всеми версиями, для которых есть ГОСТ, кроме R65.50);

Legacy – режим совместимости с ГОСТ на Check Point R65.50, если есть необходимость построения VPN туннелей со шлюзами, функционирующими на данной версии Check Point.

6) Установить в настройках VPN Community использование пароля для аутентификации. Делается это в свойствах VPN Community в разделе «Advanced Settings», пункт «Shared Secret»:

7) Нажать кнопку «ОК», тем самым создав новое VPN Community;

Список VPN Community будет выглядеть примерно вот так:

8) Сгенерировать Site Key для КАЖДОГО шлюза, как это прописано в разделе 5.1 пункт 11. В случае кластера шлюзов генерируется один Site Key на кластер. Если у вас на некластеризованном шлюзе есть установленный ГОСТовый сертификат, то Site Key для этого шлюза можно не генерировать.

9) После генерации и установки Site Key, необходимо сгенерировать пароль для пары шлюзов. В отличие от «традиционной» настройки VPN на Check Point при настройке ГОСТового VPN нельзя использовать произвольный пароль, его нужно сгенерировать по аналогии с Site Key. Чтобы сгенерировать пароль для пары шлюзов, выполните следующую последовательность действий:

• На любом шлюзе с установленным КриптоПро из экспертного режима необходимо выполнить команду:

bash /opt/cprocsp/bin/ia32/cp-genpsk.sh <pair_name> <net_id> <expiry> <GW_1_Site_ID> <GW_2_Site_ID>

, где:

o	<pair_name> - имя пары шлюзов;

o	<net_id> - неописанный но обязательный параметр, должно стоять Net, причем если вставить параметр Net с прописной буквы вывод команды будет корректным, но сгенерированный пароль работать НЕ БУДЕТ;

o	<expiry> - срок действия ключа в месяцах, максимальное значение 6;

o	<GW_1_Site_ID> - первая срока с SHA-1 хешем сертификата первого шлюза пары;

o	<GW_2_Site_ID> - первая срока с SHA-1 хешем сертификата второго шлюза пары.

Какой-либо принципиальной разницы в том, какой шлюз первый, а какой второй –нет, поле <pair_name> можно заполнить произвольно.

Пример выполнения и вывода команды:

Expert@FW1-Node-1:0]# bash /opt/cprocsp/bin/ia32/cp-genpsk.sh FW1-FW2 Net 6 32:56:3E:12:A8:D6:6C:EF:47:23:30:7C:17:53:ED:47:1E:BD:7F:7D A6:F0:24:9A:16:AA:7F:42:9A:3A:A2:83:66:FA:67:E9:75:08:46:1BgenpskUTC Sat Jun 29 11:17:26 2021

FW1-FW2. Net. Number of stations 2.Stations: 32563E12A8D66CEF4723307C1753ED471EBD7F7D A6F0249A16AA7F429A3AA28366FA67E97508461BPart 0. Valid for (months) 6.

FW1-FW2 UTC Sat Jun 29 11:17:26 202132563E12A8D66CEF4723307C1753ED471EBD7F7D part 0 valid for (months) 6BC1HGFATY4N6QMBC1HGFATY4N6QMBC1HGFATY4N6QM

FW1-FW2 UTC Sat Jun 29 11:17:26 2021A6F0249A16AA7F429A3AA28366FA67E97508461B part 0 valid for (months) 6ZPYLCHU36QNZNMZPYLCHU36QNZNMZPYLCHU36QNZNM

genpskUTC Sat Jun 29 11:17:26 2021

FW1-FW2. Net. Number of stations 2.Stations: 32563E12A8D66CEF4723307C1753ED471EBD7F7D A6F0249A16AA7F429A3AA28366FA67E97508461BPart 1. Valid for (months) 6.

FW1-FW2 UTC Sat Jun 29 11:17:26 202132563E12A8D66CEF4723307C1753ED471EBD7F7D part 1 valid for (months) 6WKDHN8MRYD599UWKDHN8MRYD599UWKDHN8MRYD599U

FW1-FW2 UTC Sat Jun 29 11:17:26 2021A6F0249A16AA7F429A3AA28366FA67E97508461B part 1 valid for (months) 6FN4T4X8Z5YRT0UFN4T4X8Z5YRT0UFN4T4X8Z5YRT0U

• Вывод команды содержит четыре части сгенерированного пароля, которые нужно совместить и внести в конфигурацию. Первая часть помечена зеленым, вторая часть помечена красным, третья честь помечена синим, четвертая – оранжевым, но совмещаются они, в отличие от Site Key, не по порядку, а так: часть 1 часть 3 часть 2 часть 4, пример совмещения частей:

BC1HGFATY4N6QMWKDHN8MRYD599UZPYLCHU36QNZNMFN4T4X8Z5YRT0U

Пароль должен быть повторно сгенирирован в следующих случаях:

• Истек срок действия пароля;• VPN был включен и выключен;• Сертификат выданный внутренним центром сертификации (internal_ca) был обновлен.

10) После того как у вас появился пароль, его необходимо внести в конфигурацию. Откройте окно свойств шлюза, раздел «IPSec VPN», нажмите кнопку «Traditional mode configuration», установите флажок «Pre- Shared Secret»:

11) Нажмите кнопку «Edit Secrets», введите сгенерированный ключ для другого члена пары шлюзов и нажмите «ОК»:

12) Если у вас есть шлюзы, находящиеся под управлением других серверов управления, как в примере, повторите операцию добавления ключа на них;

13) Теперь можно установить политики на шлюзы и проверить логи на предмет того, что VPN успешно собрался. В логах должны присутствовать сообщения об успешной установке Site Key или Site Certificate и инициализации криптобиблиотек и сообщения типов Encrypt/Decrypt для трафика, передаваемого через VPN соединение.

14) Если политика установилась без ошибок и данные сообщения в логах присутствуют, то поздравляю вас, вам успешно удалось настроить VPN с использованием ГОСТового шифрования.

Замена оборудования (RMA)

Что же происходит если “железка” ломается? При активной технической поддержке можно оперативно создать запрос в TAC (chat, web, call) и после подтверждения инженером Check Point, будет инициирована процедура замены оборудования —

RMA

. Новое оборудование поставляется с ближайшего склада и как правило занимает 1 — 3 дня. К примеру из личного опыта, в Махачкалу новое устройство было доставлено за 3 дня. Если у вас не отказоустойчивая конфигурация (не кластер) и сеть “лежит”, то приоритет конечно будет выше, но быстрее чем 1 сутки вы все равно вряд ли получите устройство.

Стоит отметить, что перед началом RMA, никто не будет вас долго пытать сбором логов или тянуть время. Т.е. можете рассчитывать на очень быстрое принятие решения.

Качество технической поддержки

Теперь хотелось бы обсудить качество и адекватность технической поддержки Check Point. Конечно же это будет субъективное мнение и возможно у кого-то был другой опыт, которым вы можете смело поделиться в комментариях.

Нам, как интегратору с CCSP статусом, довольно часто приходится работать с технической поддержкой Check Point. За это время мы успели выделить основные плюсы и минусы этого сотрудничества.

Плюсы:

1. Все кейсы решаются. Если в мануале написано, что Check Point поддерживает ту или иную функцию, но она вдруг не работает должным образом, то тех.поддержка будет работать с вами до того момента, пока проблема не решится. Если вдруг обнаруживается, что это “баг” в системе, то специально под вас будет выпущен патч, устраняющий эту проблему. Опять же, по опыту могу сказать, что тех.поддержка отказывается от кейсов только когда от устройства требуют то, чего оно и не должно уметь изначально.
2. Поддержка с удаленным доступом. Как говорится: “Вместо тысячи слов”. Иногда весьма трудно на словах (или на скриншотах) объяснить, что происходит и легче показать. Специалисты Check Point никогда не против подключиться к вам и поработать над проблемой вместе. Это особенно важно, когда проблему нужно решить в короткие сроки.
3. Возможность эскалации проблемы. Если вы вдруг по той или иной причине не удовлетворены работой инженера TAC, вы можете довольно быстро его сменить с помощью механизма эскалации кейса (эта кнопка доступна в саппорт центре web-портала). После этого ваша заявка будет передана другому и скорее всего более квалифицированному инженеру. В технической поддержке Чекпоинт есть несколько уровней инженеров, за которыми следит самый “сильный” инженер.
4. Отличная база знаний. Если у вас возникла проблема с устройством, то с вероятностью 95% ее решение уже описано в базе знаний Check Point. Главное уметь ей пользоваться. Возможно мы опишем несколько трюков по работе с базой в следующих статьях. База знаний весьма часто выручает и позволяет оперативно решать проблемы без обращения в тех. поддержку.

Теперь минусы:

1. Занимаются кейсами только с четко сформулированными вопросами. Вопрос из разряда “как настроить …” не прокатит. Скорее всего вам скинут ссылку на один из мануалов и попросят обращаться с более конкретной проблемой. Т.е. обучать вас никто не будет. Если вам это не подходит, то стоит рассмотреть вариант с поддержкой от партнера, т.е. Collaborative support. Как правило, с партнером договориться гораздо проще.
2. Для работы с тех. поддержкой нужно обладать определенными знаниями, уметь работать в командной строке и ориентироваться в документации Check Point. Никто не будет вам объяснять, как подключиться по ssh к устройству или как скопировать log-файл. Вы как минимум должны быть уверенным пользователем linux-систем, уметь пользоваться такими утилитами Check Point, как cpinfo и migrate export. Возможно в следующих статьях мы распишем это.
3. Англоязычная поддержка. Возможно для некоторых это самый большой минус. Ранее я писал, что довольно часто удается найти русскоговорящего инженера, но это лишь уступки, на которые идет вендор (в силу наличия специалистов говорящих на нашем языке). Если вы совершенно не владеете английским языком, а русскоговорящие инженеры в этот момент будут заняты, то вы рискуете оказаться в ситуации, когда вы просто не сможете объяснить свою проблему. Как я уже писал ранее, если вам нужна именно российская тех. поддержка, то смотрите в сторону Collaborative support с партнером из России.

P.s. необходимо ли проводить контроль встраивания криптосредств?

Вопрос «Необходимо ли проводить контроль встраивания криптосредств?» возникает при организации защиты персональных данных. Документ «Положение ПКЗ-2005» обязывает нас производить контроль встраивания криптосредств в случае использования криптосредств для защиты информации, если обязательность защиты обусловлена законодательством Российской Федерации.

Однако, существует документ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», где в разделе 5 приведены требования по контролю встраивания криптосредств при их использовании для защиты персональных данных.

Исходя из требований, следует, что при правильно составленной модели угроз выполнять контроль встраивания криптосредств необязательно. Но такой документ, как Формуляр, поставляемый с любым сертифицированным средством защиты информации, коим является КриптоПро, и в котором прописаны условия эксплуатации средства, защиты, составлен в соответствии с Положением ПКЗ-2005 и обязывает нас проводить контроль встраивания.

Межсетевые экраны check point прошли сертификацию фстэк россии

Решения check point прошли сертификацию фстэк на соответствие требованиям к 4 уровню доверия к средствам технической защиты информации

Итог

Если резюмировать все вышесказанное (и собственный опыт), то можно сделать вывод, что техническая поддержка Check Point находится на достойном уровне. Различные варианты типов и уровней саппорта позволяют подобрать оптимальное решение для любой компании.

P.S. если у вас возникнут вопросы по настройке и оптимизации Check Point, смело обращайтесь к нам.

P.S.S. Статья основана на вебинаре Денисова Валерия (компания Check Point). Также хотелось бы поблагодарить Захаренко Дмитрия (компания RRC) за помощь в подготовке статьи.