標的型攻撃対策 ハンズオン トレーニング 次世代ファイアウォール/Software Blade基本設定コース Last updated Mar 20, 2015 2015 Check Point Software Technologies 2015 Check Point Software Technologies Ltd.Ltd1
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 2
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 3
アプライアンス シリーズ アプライアンス FWスループット 標準メモリ 2200 3Gbps 2GB 最大2GB) 32bit 4200 3Gbps 4GB (最大4GB 32bit 4400 5Gbps 4GB (最大4GB 32bit 4600 9Gbps 4GB 最大4GB) 32bit 4800 11Gbps 4GB 8GB 8GB 32bit / 64bit 12200 15Gbps 4Gb 8GB 8GB 32bit / 64bit 12400 25Gbps 4GB 8GB 12GB 32bit / 64bit 12600 30Gbps 6GB 6GB 12GB 32bit / 64bit 13500 77Gbps 16GB 16GB 64GB 32bit / 64bit 13800 77Gbps 16GB 16GB 64GB 32bit / 64bit 21400 50Gbps 12GB 12GB 24GB 32bit / 64bit 21600 75Gbps 16GB 16GB 32GB 32bit / 64bit 21700 78.6Gbps 16GB 16GB 32GB 32bit / 64bit 64bit最少メモリ 64bit最大 メモリ 備考 OS対応 6GB RAM以上が 64bitに必要です 2200 アプライアンス 12000 アプライアンス 4000 アプライアンス 21000 アプライアンス 13000 アプライアンス 2015 Check Point Software Technologies Ltd. 4
64ビットOSの同時接続数 SecurePlatform/ IPSO 32ビット 64ビット 6GB 120万 240万 8GB 120万 330万 12GB 120万 500万 24GB 120万 1,000万 2015 Check Point Software Technologies Ltd. 5
パッケージ化されたソリューション NGFW Next Generation Firewall NGDP Next Generation Data Protection NGTP Next Generation Threat Prevention SWG Secure Web Gateway Firewall Identity Awareness IPsec VPN ADN&C Mobile Access IPS App Control DLP URL Filtering Antivirus Anti-Bot Anti-Spam 2015 Check Point Software Technologies Ltd. 6
Threat Preventionの多層防御 IPS (入口) 脆弱性を狙うエクス プロイトや攻撃からの保護 Antivirus (入口) 既知のマルウェアと悪意 サイトへのアクセスをブロック Anti-Bot (出口) ボットの通信を 検知してブロック Threat Emulation (入口) 未知のマルウェアを ブロック 2015 Check Point Software Technologies Ltd. 7
SSLインスペクション SSLで暗号化された通信の検査を実現 IPS Application Control URL Filtering Antivirus Anti-Bot Threat Emulation 2015 Check Point Software Technologies Ltd. 8
GAiAのサポート ブラウザ Microsoft Internet Explorer 8 or higher Google Chrome 14 or higher Firefox 6 or higher Apple Safari 5 or higher 2015 Check Point Software Technologies Ltd. 9
構成パターン 本ドキュメントは こちらについて解説します スタンドアロン構成 Gateway 分散構成 Management Gateway Management 冗 構成 冗 構成 (Full HA) (Cluster-XL or VRRP) Management Gateway Management Gateway Management Gateway Gateway 2015 Check Point Software Technologies Ltd. 10
三層構造アーキテクチャ スタンドアロン構成 赤枠: 一台のアプライアンス セキュリティ ポリシーなど ログやステータスなど ゲートウェイ Security Management サーバ 管理コンソール SmartConsole & Webブラウザ 管理サーバでは セキュリティ ポリシーの保存やコンパイルなどが行われます ゲートウェイで生成されるログは 管理サーバに保存されます 2015 Check Point Software Technologies Ltd. 11
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 12
ネットワーク構成図 Internet 192.168.100.1 External:192.168.100.0/24 192.168.100.xx 172.16.1.1 192.168.10.101 DMZ:192.168.10.0/24 管理PC:172.16.1.5 Internal:172.16.1.0/24 [Restricted] ONLY for designated groups and individuals 2015 Check Point Software Technologies Ltd. 13
アプライアンス初期設定 アプライアンスは 初期設定においてMGMTインター フェースに192.168.1.1/24のIPアドレスが割り当てられて います PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されてい ることを確認します PCをMGMTインターフェースに接続します ブラウザを起動して以下のURLにアクセスします https://192.168.1.1 2200 アプライアンスの例 2015 Check Point Software Technologies Ltd. 14
初期アカウント 初期設定では 以下のアカウントが設定されています ユーザ名 admin, パスワード admin ログイン後 First Time Configuration Wizardが表示されます 2015 Check Point Software Technologies Ltd. 15
First Time Configuration Wizard 1 クリーンインストールによるR77.20の設定を います Nextボタンをクリックして初期パスワードを変更します 今回は 例としてP@ssw0rdと します 2015 Check Point Software Technologies Ltd. 16
First Time Configuration Wizard 2 Mgmtインターフェースのアドレスを構成図のアドレスに変更 します アドレスを変更すると 初期のアドレスは セカン ダリIPアドレスに変更されます 構成図の通り デフォルト ゲートウェイのアドレスを設定 します 2015 Check Point Software Technologies Ltd. 17
First Time Configuration Wizard 3 ライセンス コントラクト 防御機能などのアップデートを うためにCheck Point User Centerと通信するインター フェースを設定します 今回は eth1がインターネット接続可能なインターフェース になりますので eth1のアドレスを設定します 2015 Check Point Software Technologies Ltd. 18
First Time Configuration Wizard 4 ホスト名 ドメイン名 DNSサーバを設定します ホスト名は ゲートウェイ管理の オブジェクト名 に利 さ れますので 複数ある場合は重複しない名前を します 2015 Check Point Software Technologies Ltd. 19
First Time Configuration Wizard 5 アプライアンスの構成を決定します 今回は スタンドアロン構成になるのでSecurity Gatewayと Security Managementにチェックをします Check Point User Centerのアカウントがないので 今回は自 動ダウンロードのチェックを外します 推奨は有効 2015 Check Point Software Technologies Ltd. 20
First Time Configuration Wizard 6 管理サーバのユーザ名 パスワードを設定します 今回は例として以下を します Administrator Name: fwadmin, Password: P@ssw0rd 2015 Check Point Software Technologies Ltd. 21
First Time Configuration Wizard 7 管理サーバに専 GUIからのアクセスを許容するアドレスを 設定します アドレス ネットワーク アドレスレンジの設定が可能です 2015 Check Point Software Technologies Ltd. 22
First Time Configuration Wizard 8 ライセンスの投 を います 購入ライセンスがない場合 Activation laterを選択すること で 15日間のトライアル ライセンスで動作します 2015 Check Point Software Technologies Ltd. 23
First Time Configuration Wizard 9 ライセンスの投 を います 購入ライセンスがない場合 Activation laterを選択すること で 15日間のトライアル ライセンスで動作します システムのフィードバックをCheck Pointに送信するか否かの チェックを今回は外します 設定のプロセスを開始します 2015 Check Point Software Technologies Ltd. 24
First Time Configuration Wizard 10 ゲートウェイと管理サーバの設定プロセスが進みます 設定内容の一覧を確認してOKボタンをクリックします 自動的に GAiA ポータルにログインしますが 一旦サインアウトします 2015 Check Point Software Technologies Ltd. 25
Gaia Portal 1 クライアントのアドレスを構成図に合わせて変更します 新たに設定したMgmtインターフェースのアドレスにアクセス します ユーザ名 admin, パスワード P@ssw0rd 2015 Check Point Software Technologies Ltd. 26
Gaia Portal 2 First Time Configuration Wizardで設定したインターフェース やゲートウェイのバージョンを確認できます 2015 Check Point Software Technologies Ltd. 27
Gaia Portal 3 初期設定時のアドレス(192.168.1.1)がMgmt:1に割り当てられ ているのが分かります Mgmt:1は必要ないので削除します Network Interfaces> Mgmt:1を選択してDeleteボタンをクリック します 2015 Check Point Software Technologies Ltd. 28
Gaia Portal 4 eth2を選択してeditボタンをクリックします Enableに チェックを れて所定のアドレスを します Commentには インターフェースの利 的を記すと管理し やすくなります Ethernetタブでは Link Speedなどの設定ができます 2015 Check Point Software Technologies Ltd. 29
Gaia Portal 5 eth2と同様の手順で Mgmtとeth1の修正を います(Comment部分) ハンズオンでは eth2は物理的には接続されていないのでdownの状態です 2015 Check Point Software Technologies Ltd. 30
Gaia Portal 6 Gaia PortalからTerminalアクセスが可能です login: admin, Password: P@ssw0rdでログインできます 2015 Check Point Software Technologies Ltd. 31
Gaia Portal 7 expertモードでは Unixコマンドを実 できます expertモードのアカウントを設定します set expert-password P@ssw0rd 今回はP@ssw0rdで設定 CLIで設定変更した場合 save configコマンドによる保存が必 要です 2015 Check Point Software Technologies Ltd. 32
Gaia Portal 8 show version allコマンドでプロダクトのバージョンを確認で きます show configurationコマンドでgaiaの設定を確認できます 2015 Check Point Software Technologies Ltd. 33
Gaia Portal 8 設定変更の権限がない場合 コンフィグレーション ロック の状態になります Gaiaポータルでは 鍵マークをクリックすると権限を得られます CLIでは lock database overrideコマンドで権限を得られます 2015 Check Point Software Technologies Ltd. 34
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 35
SmartConsoleのインストール 1 SmartConsoleのインストールは[Download Now!]をクリックし ます 2015 Check Point Software Technologies Ltd. 36
SmartConsoleのインストール 2 SmartConsoleのインストールを開始します ライセンスに同意してプロセスを進めます 2015 Check Point Software Technologies Ltd. 37
SmartDashboardの接続 1 プログラムからSmartDashboard R77.20を選択して 管理 サーバにアクセスを います First Time Configuration Wizardで設定した管理サーバの ユーザ名 パスワードを します ユーザ名 fwadmin, パスワード P@ssw0rd SmartDashboardは 実機が無くてもSoftware Bladeの機能を 確認できるDemo modeを利 できます 2015 Check Point Software Technologies Ltd. 38
SmartDashboardの接続 2 管理サーバが成りすまされていないかFingerprintを確認し ます 評価期間であることと その残存日数が表示されますの で OK ボタンをクリックします 2015 Check Point Software Technologies Ltd. 39
SmartDashboardの接続 3 各Software Bladeの設定がタブで分かれています Software Bladeタブ オブジェクト 管理サーバで管理している ゲートウェイ 2015 Check Point Software Technologies Ltd. 40
ゲートウェイ オブジェクトの編集 1 オブジェクトでGW-1を選択してダブルクリックします 購入したSoftware Bladeに応じたものを選択します トライアル ライセンスでは 各種Software Bladeを確認 できます 2015 Check Point Software Technologies Ltd. 41
ゲートウェイ オブジェクトの編集 2 スタンドアロン構成では 管理サーバのBladeも選択でき ます 2015 Check Point Software Technologies Ltd. 42
ゲートウェイ オブジェクトの編集 3 Topology> Get> Interfaces with Topologyを選択します Anti-Spoofingが設定されているメッセージが表示されます ので OK ボタンをクリックします 2015 Check Point Software Technologies Ltd. 43
ゲートウェイ オブジェクトの編集 4 インターフェースのTopology情報を収集した結果が出 さ れますので Accept ボタンをクリックします Mgmtインターフェースを選択して Edit ボタンをクリック します 2015 Check Point Software Technologies Ltd. 44
ゲートウェイ オブジェクトの編集 5 MgmtインターフェースのTopologyがInternalになっている かを確認します Internal> TopologyのNetwork defined by the interface IP and Net Maskが選択されていることで 172.16.1.0/24が internalインターフェースで認識されるipアドレスと判断さ れます 2015 Check Point Software Technologies Ltd. 45
ゲートウェイ オブジェクトの編集 7 eth1インターフェースのtopologyがexternalになっている かを確認します 2015 Check Point Software Technologies Ltd. 46
ゲートウェイ オブジェクトの編集 8 eth2インターフェースのtopologyがinternalになっている かを確認します Interface leads to DMZにチェックを入れます この設定は コンテンツ検査を うBladeでInternal, DMZを認識して検 査するのに用いられます 2015 Check Point Software Technologies Ltd. 47
ゲートウェイ オブジェクトの編集 9 ゲートウェイ オブジェクトの設定を終了するために OK ボタンをクリックします 2015 Check Point Software Technologies Ltd. 48
ネットワーク オブジェクトの追加 1 オブジェクトでNetworksを右クリックしてNetworkを選択 します 内部ネットワークの172.16.1.0を設定します 2015 Check Point Software Technologies Ltd. 49
ネットワーク オブジェクトの追加 2 NATタブを選択して Add Automatic Address Translation ruleにチェックを入れます Translation method:は Hideを選択します Hide behind Gatewayを選択して ゲートウェイのアドレスに 変換されるように設定します 2015 Check Point Software Technologies Ltd. 50
ホスト オブジェクトの追加 1 オブジェクトでNodesを右クリックしてNode> Hostを選択 します DNSサーバをホスト オブジェクトに設定して OK ボタン をクリックします 2015 Check Point Software Technologies Ltd. 51
ホスト オブジェクトの追加 2 同様に管理クライアント[Admin_PC] (172.16.1.5)をホス ト オブジェクトに追加します NATを選択してAdd Automatic Address Translation ruleに チェックを入れます 公開Webサーバなどは Translation methodをstaticにして公 開アドレスを設定します 2015 Check Point Software Technologies Ltd. 52
FWポリシーの作成 1 Policy> Add Rule at the Topボタンをクリックすると ルールが1 追加されます 2015 Check Point Software Technologies Ltd. 53
FWポリシーの作成 2 Sourceでは管理PCを選択 DestinationではGW-1を選 択します 2015 Check Point Software Technologies Ltd. 54
FWポリシーの作成 3 Actionで右クリックしてacceptを選択します Trackで右クリックしてlogを選択します 2015 Check Point Software Technologies Ltd. 55
FWポリシーの作成 4 Add Ruleでルールを追加して以下のポリシーを完成させ ます 次のページで拡大画面を用意しています Serviceでは制御したいサービスを選択します 2015 Check Point Software Technologies Ltd. 56
FWポリシーの作成 5 ルール1 Admin_PCからGW-1の通信を許可 ルール2 IntranetからDNS_ServerにDNS, icmpの通信 を許可 ルール3 IntranetからAnyに対してhttp, https, icmp, smtpのみ通信を許可 ルール4 クリーンアップ ルールで全ての通信を破棄 2015 Check Point Software Technologies Ltd. 57
ポリシーのインストール 1 Install PolicyをクリックしてGW-1にポリシーをインス トールします ゲートウェイが複数ある場合 チェックの有無でポリ シーインストールするゲートウェイを指定できます 2015 Check Point Software Technologies Ltd. 58
SmartView Tracker 1 SmartView Trackerは 各種Software Bladeで検出した ログ 監査ログなどをリアルタイムで確認できます 特定のログをダブルクリックすると詳細を確認できます 2015 Check Point Software Technologies Ltd. 59
SmartView Tracker 2 Managementタブでは 管理系のログを確認できます 2015 Check Point Software Technologies Ltd. 60
暗黙のルール 1 Launch Menu> View> Implied Rulesを選択すると 暗黙 のルールが確認できます これは SmartDashboardク ライアント 管理サーバ ゲートウェイを管理する上で 必要なルールが予め設定されています もう 度選択すると 元の表 に戻ります 2015 Check Point Software Technologies Ltd. 61
暗黙のルール 2 Launch Menu> Policy> Global Properties> FireWallで暗 黙のルールを制御することができます 誤った設定を うと 管理に影響が出ますので 注意し てください 2015 Check Point Software Technologies Ltd. 62
Evaluationライセンスの投入 1 SmartUpdateを開き License & Contractsタブを表示し ます 2015 Check Point Software Technologies Ltd. 63
Evaluationライセンスの投入 2 Launch Menu> Licenses & Contracts> Add License> From FileでEvaluationライセンスを投入します デスクトップ> Evaluation-license>にある CPLicenseFile.licを選択します 2015 Check Point Software Technologies Ltd. 64
Evaluationライセンスの投入 3 GW1を右クリックしてAttach Licensesを選択して表示 されたライセンスをアタッチします 2015 Check Point Software Technologies Ltd. 65
コントラクトのアップデート Launch Menu> Licenses & Contracts> Update Contracts> From FilesでEvaluationライセンス(コントラ クト)を投入します デスクトップ> Evaluation-licenseにある ServiceContract.xmlを選択します 2015 Check Point Software Technologies Ltd. 66
ライセンスとコントラクトの確認 cpsg-xxの表示がゲートウェイ用のライセンス cpsm-xxの表 が管理サーバ のライセンス コントラクトのアップデートで Operation successfully completed になっているかを確認 2015 Check Point Software Technologies Ltd. 67
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 68
IPSブレードで脅威の侵入を防御 既知の脆弱性を悪用する攻撃を防御 アノーマリ検出をベースとした ゼロデイ攻撃の防御 IPS 攻撃パターンの検出 ハッカー 怪しいサイト アノーマリ検出 2015 Check Point Software Technologies Ltd. 69
IPSブレードの有効化 GW-1のオブジェクトを選択してNetwork Securityタブ のIPSにチェックを入れます 2015 Check Point Software Technologies Ltd. 70
IPSブレードによる防御 IPSブレードはCheck Point ThreatCloudから最新の防御 機能をダウンロードして防御機能を提供します 2015 Check Point Software Technologies Ltd. 71
IPSプロファイルの指定 プロファイルにより どの防御機能が有効化されている かが決まります Recommendedを選択して推奨の防御 機能にします 今回はラボ環境なので特別にall trafficの検査を選択しますが 選択するとパフォーマンス影響のメッセージがでます 通常は侵入検出 防御の目的なので internal host onlyを選択します 2015 Check Point Software Technologies Ltd. 72
フェイル セーフなメカニズム 高負荷時にIPS機能をバイパス処理する事ができます Highの値に達するとバイパス処理され Lowの値に達す ると再びIPS検査が われます 今回は機能確認できたらチェックをしないで OKをクリックします 2015 Check Point Software Technologies Ltd. 73
IPS Overview画面 IPSタブを選択するとIPSの詳細画面を確認できます アクション アイテム コントラクト シグネチャ更新など プロファイル適用状況 インシデントの発生状況 最新のアドバイザリ 2015 Check Point Software Technologies Ltd. 74
プロファイルの管理 1 プロファイルは各防御機能を制御するグループです ゲートウェイごとに異なるプロファイルを割り当てる事で 異なる防御の設定で複数ゲートウェイを展開できます デフォルトで2つのプロファイルが用意されています Default 必要最小限の防御機能が有効化 Recommended 推奨の防御機能が有効化 2015 Check Point Software Technologies Ltd. 75
プロファイルの管理 2 Recommended_Protectionのプロファイルをダブルクリッ クするとIPSモードをPreventで動作させるかDetectで動作 させるか選択できます 検出と防御を いたい場合 デフォルト値のPreventで動作させます 2015 Check Point Software Technologies Ltd. 76
IPSポリシー IPSポリシーは 有効化する防御機能を制御します 各防御機能には Client/Server, Severity, Confidence Level, performance impactの情報があり それぞれのレベルに応 じて検査の有効化と無効化の制御ができます IPSポリシーを変更すると ポリシーに従って防御機能が変更されます 2015 Check Point Software Technologies Ltd. 77
アップデート ポリシー 防御機能のアップデートを った際に 新しく追加された 防御機能をDetect/Preventのどちらにするかを決定します 通常は デフォルト値の Detect にしておきます 2015 Check Point Software Technologies Ltd. 78
IPS防御機能 プロファイルに含まれている各種防御機能の項目とそれぞ れの設定値を確認できます 2015 Check Point Software Technologies Ltd. 79
IPS防護機能の例 Severity 緊急度 攻撃によりどの程度の影響が出るのか Confidence Level 信頼度 攻撃トラフィックであると確信できる信頼度 パフォーマンス影響度 ゲートウェイのパフォーマンスに与える影響 保護タイプ クライアント保護 サーバ保護 関連セキュリティ勧告 この例ではMS14-018: CVE-2014-1755 2015 Check Point Software Technologies Ltd. 80
更新された防御機能 Check Point ThreatCloudから最新の防御機能がダウンロー ドされると その防御機能は一時的に強調表示になり Follow Upフラグが付きます 2015 Check Point Software Technologies Ltd. 81
Max Ping Size防御機能の変更 ラボ環境でIPS防御機能の動作を確認するために Max Ping Sizeの設定を変更してみます pingで検索 Max Ping Sizeをダブルクリック Preventに変更 Recommended_Protectionを ダブルクリック パケット キャプチャ 2015 Check Point Software Technologies Ltd. 82
ポリシーのインストール IPSブレードの設定をゲートウェイに反映するためにポリ シーのインストールを います 2015 Check Point Software Technologies Ltd. 83
IPS防御機能の確認 デフォルト ゲートウェイにサイズの大きいpingを実施し て IPS防御されていることを確認します 例 ping 192.168.100.1 -l 3000 2015 Check Point Software Technologies Ltd. 84
SmartView Trackerの詳細ログ SmartView Trackerの詳細ログには IPSブレードで検出し た攻撃のパケット情報を含むことができます 2015 Check Point Software Technologies Ltd. 85
防御機能のアップデート 実環境では Download Updatesを設定して最新の防御機 能をダウンロードできるようにします マニュアル 自動 オフライン 何れかのアップデート方法 を選択できます アップデートには UserCenterの アカウントが必要です 2015 Check Point Software Technologies Ltd. 86
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 87
Anti-Botブレードによるボット通信の防御 多層的な検出エンジンによる感染マシンの検出 アウトバウンドの通信を停止することにより ボットによるダメージを低減 Anti-Bot Command & Control コマンド コント ロール用のアドレス 通信パターン 振る舞い解析 2015 Check Point Software Technologies Ltd. 88
Anti-Virusブレードのマルウェア侵入防御 侵 してくる不正なファイルをスキャンして防御 サンドボックスによるゼロデイの検出 不正な Web サイトへのアクセスを防御 マルウェア感染の検出にThreatCloudを活用 ファイル全体をバッファ ユーザが利 しやすいように簡単に設定可能 ThreatCloud サイトのアドレスを確認 レジストリ Antivirus OS ファイル 不正ファイル 不正なWebサイト 2015 Check Point Software Technologies Ltd. 89
Anti-BotとAnti-Virusブレードの有効化 1 GW-1のオブジェクトを選択してNetwork Securityタブ のAnti-BotとAnti-Virusにチェックを入れます 2015 Check Point Software Technologies Ltd. 90
Anti-BotとAnti-Virusブレードの有効化 2 Anti-Bot, Anti-Virusにチェックを入れると First Time Activationが出 されます 検出と防御を うに場合は According to the Anti-Bot and Anti-Virus policy のチェックでOKボタンをクリック します 匿名で攻撃の情報をCheck Point ThreatCloudに共有できる場合は チェックを入れたままにします 今回はラボ環境なのでチェックを 外してみます First Time Activationの内容 が反映されています 2015 Check Point Software Technologies Ltd. 91
プロファイルの管理 1 Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します Recommended_Profileを選択してEditボタンをクリック します 2015 Check Point Software Technologies Ltd. 92
プロファイルの管理 2 Anti-BotとAnti-Virusの設定を確認します UserCheckはAnti-Bot, Anti-Virusの防御時に リダイレ クションのメッセージを決定しています ボットの活動を検査する emailのサイズ(kb) 防御対象の インターフェース指定 検査対象プロトコル 2015 Check Point Software Technologies Ltd. 93
ポリシーの管理 Recommended_Profileを使用しています Anti-BotとAnti-Virusは ルールベースの 防御範囲に基づいて検査を います 2015 Check Point Software Technologies Ltd. 94
ポリシーのインストール Anti-BotとAnti-Virusブレードの設定をゲートウェイに反映 するためにポリシーのインストールを います 2015 Check Point Software Technologies Ltd. 95
プロテクションの確認 プロテクションをクリックすると レピュテーション シグネチャ 振る舞いなどの検出 防御機能が確認でき ます 2015 Check Point Software Technologies Ltd. 96
Threat Wiki 1 Threat Wikiでは マルウェア データベース上にあるマ ルウェア確認できます 2015 Check Point Software Technologies Ltd. 97
Threat Wiki 2 マルウェア データベースは インターネットからも閲 覧できます http://threatwiki.checkpoint.com/threatwiki/public.htm 2015 Check Point Software Technologies Ltd. 98
Anti-Bot防御機能の確認 1 Anti-Botのテストを実施してみます UserCheckのブロックメッセージ メッセージを日本語に変更できます 2015 Check Point Software Technologies Ltd. 99
Anti-Bot防御機能の確認 2 SmartView Trackerで防御ログを確認します 防御のログが確認できます 2015 Check Point Software Technologies Ltd. 100
Anti-Virus防御機能の確認 1 Anti-Virusのテストを実施してみます UserCheckのブロックメッセージ 2015 Check Point Software Technologies Ltd. 101
Anti-Virus防御機能の確認 2 SmartView Trackerで防御ログを確認します 防御のログが確認できます 2015 Check Point Software Technologies Ltd. 102
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 103
Threat Emulationブレードによる 未知マルウェア防御 不正なファイルが 添付されたメール Threat Emulation Software Bladeがインターセプト 添付ファイルを抽出 マルウェア検出 エミュレート 問題なし 脅威の挙動観察により 新しい攻撃を検出およびストップ 2015 Check Point Software Technologies Ltd. 104
Threat Emulationの検査プロセス File Aggregation (kernel, dlpu) Cache キャッシュの負荷は 非常に軽量で パフォーマンスにプラスの効果がある Static Analysis 悪意あるコードを含むことができない と判断すると エミュレーションをスキップする Emulation サンドボックス環境 クラウド/オンプ レミス によるエミュレーション [Restricted] ONLY for designated groups and individuals 2015 Check Point Software Technologies Ltd. 105
Threat Emulationの導入オプション オプション① オプション② Threat Emulation クラウドサービス Threat Emulation アプライアンス セキュリティ ゲートウェイ に統合 Security Gateway, R77 導入要件にそった最適な導入オプションを提供 [Restricted] ONLY for designated groups and individuals 2015 Check Point Software Technologies Ltd. 106
Threat Emulationブレードの有効化 1 GW-1のオブジェクトを選択してNetwork Securityタブ のThreat Emulationにチェックを入れます Threat Emulation にチェックを入れると First Time Activationが出 されます 2015 Check Point Software Technologies Ltd. 107
Threat Emulationブレードの有効化 2 ThreadCloudで未知のマルウェアか否かを検査するため に ThreadCloud Emulation Serviceにチェックを入れ てNextをクリックします ライセンスが登録されているユーザセンターのアカウン トに Threat Emulationのライセンスが登録されていな い場合 エラーになります 2015 Check Point Software Technologies Ltd. 108
Threat Emulationブレードの有効化 3 First Time Activationで設定した内容がGW-1のオブジェ クトのThreat Emulationで確認できます デフォルトのエミュレーションは以下の2つです WinXP, Office 2003/7, Adobe9 Win7, Office 2003/7, Adobe9 *追加の場合は他のイメージにチェックを入れます - 2015 Check Point Software Technologies Ltd. 109
ファイル タイプの追加 Threat Preventionタブを選択Messages and Actionsに検 査対象にできるファイルタイプが追加されていないか確 認します 検査対象に加えたいファイルタイプを選択します 2015 Check Point Software Technologies Ltd. 110
プロファイルの管理 1 Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します Recommended_Profileを選択してEditボタンをクリック します 2015 Check Point Software Technologies Ltd. 111
プロファイルの管理 2 Threat Emulationの設定を確認します 検査対象に加えたファイルタイプが File Typesに追加 されています 防御対象の インターフェース指定 検査対象プロトコル 検査対象のファイル タイプ 2015 Check Point Software Technologies Ltd. 112
プロファイルの管理 3 Advanced設定では Threat Emulationによる検査を う 際のコネクションの扱いを決定できます ラボ環境でThreat Emulation防御機能の動作を確認する ために 今回はHoldに変更します Background ファイルの検査が終了しなくてもコネクションを許可します マルウェアと判断されたファイルは 次回からは防御します Hold ファイルの検査が終了するまでコネクションを許可しません Custom プロトコル毎にコネクションの扱いを変えることができます Hold設定にするとコネクションのタイムアウトが 発生する可能性がある旨がポップアップされます SMTPのHold設定は MT Aの併用がお勧めです 2015 Check Point Software Technologies Ltd. 113
ポリシーのインストール Threat Emulation ブレードの設定をゲートウェイに反映す るためにポリシーのインストールを います 2015 Check Point Software Technologies Ltd. 114
Threat Emulation防御機能の確認 1 Threat Emulationのテスト を実施してみます マルウェアのファイルと検出 防御されたので ダウンロードが完了しない 2015 Check Point Software Technologies Ltd. 115
Threat Emulation防御機能の確認 2 マルウェアではないファイルの ダウンロードが正常に えるこ とを確認してみます 2015 Check Point Software Technologies Ltd. 116
Threat Emulation防御機能の確認 3 SmartView Trackerで防御ログを確認します 2015 Check Point Software Technologies Ltd. 117
Threat Emulation防御機能の確認 4 Threat Emulationの検査結果 レポートが添付されています 不正な活動 システムプロセス レジストリの値 ファイル システムの アクティビティ 2015 Check Point Software Technologies Ltd. 118
Threat Emulation防御機能の確認 5 検出されたマルウェアのファイルを入手できます マルウェアのファイルは 扱いに注意が必要なので パス ワード付きのtar.gzファイルになっています 2015 Check Point Software Technologies Ltd. 119
Threat Emulation防御機能の確認 6 Threat Emulationでマルウェアと判断されたファイルは 以降はlocal cacheの情報と照合して防御対象になります Cloud Local cache 2015 Check Point Software Technologies Ltd. 120
MTAの設定 捕捉情報 GWをMTAとして動作させると Hold設定時にSMTPのコ ネクションを保持しながら検査できます SMTPトラフィックのインターフェース MTAがメールを保持する時間やHDの空き容量 2015 Check Point Software Technologies Ltd. 121
アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション 2015 Check Point Software Technologies Ltd. 122
SmartView Monitor 2015 Check Point Software Technologies Ltd. 123
ログ管理1 ログはゲートウェイで生成されて Security Managementサーバに ネットワーク経由で転送され Security ManagementサーバのHDD上 の$FWDIR/log/fw.logに累積的に追加されます ログはfw.logのみではなく ポインタ ファイルも構成されます ログはlog switch(ログ切り換え)という作業を うことにより それま でのログを別ファイルに保存できます Log switchではポインタ ファイルも別ファイル名で保存されます 後に再度ログを閲覧する場合 Security Managementサーバ上の $FWDIR/logディレクトリに戻して確認します Log switchは 動で う 法と 動で う 法があります 手動では SmartView TrackerのLaunch Menu> File> Switch Active File も しくはCLIからfw logswitchコマンドで実 できます 動では 定時に う ログファイルのサイズが指定した きさを 超えたら うなどの設定が可能です 2015 Check Point Software Technologies Ltd. 124
ログ管理2 $FWDIR/logディレクトリのログファイルの例です 2015 Check Point Software Technologies Ltd. 125
ログ管理3 オブジェクトのLogs> Local Log Storageで 自動でLog switchする設 定が可能です 初期設定で 幾つかのtimeオブジェクトが用意されています 2015 Check Point Software Technologies Ltd. 126
システム バックアップ1 バックアップは 動で う 法とスケジュール化による 動の 法 があります バックアップは Gaia OSとSoftware Bladeの設定です $FWDIR/log/配下は含まれません バックアップファイルは /var/log/cpbackup/backups/r77/に 保存されます リストアは バックアップしたバージョン Build HF HFAなど全て 合わせて実 する必要があります 2015 Check Point Software Technologies Ltd. 127
システム バックアップ2 バックアップ リストアは CLIからも実 できます バックアップコマンド add backup リストアコマンド set backup restore リストア後は rebootコマンドで再起動を実 します Localにバックアップの例 show backup statusコマンドの例 2015 Check Point Software Technologies Ltd. 128
スナップショット マネジメント Snapshot Managementは Snapshotによるシステムイメージのバック アップです /bootにディレクトリが作成され その中にファイルが生 成されます システム全体をイメージとして保存します イメージの容量は数GBに達しますので 処理が完了するまで数 分要する 場合があります イメージは export, importが可能です Image Managementには ログファイルは含まれません Revertで復元できます 2015 Check Point Software Technologies Ltd. 129
システムの初期化1 CLIでrebootを います Press any key to see the boot menu が表示されている間に Enter キーを します 2015 Check Point Software Technologies Ltd. 130
システムの初期化2 プロセスが終了して loginプロンプトが表示されたら 初期時の アカウントでログインします ユーザ名: admin, パスワード: admin 電源offする場合 Haltコマンドを します Power downが表示されたら 電源offします 2015 Check Point Software Technologies Ltd. 131
セキュリティのリスクを可視化をしてみませんか (Security CheckUpレポート) 2015 Check Point Software Technologies Ltd. 132
Security CheckUp構成例 内部ホストのトラフィックを検査して可視化 FW NATされた を通過した外部からの脅威を可視化 境界ファイアウォール スイッチ インターネット ミラーポート(SPANポート) シグネチャ アップデート用の インターネット接続 Security CheckUpレポート 2012 アプライアンス 2015 Check Point Software Technologies Ltd. 133
セキュリティのリスクを可視化 無償サービスです Web セキュリティのイベント 侵入 攻撃のイベント データ損失のイベント ボットのイベント ウイルスのイベント サンドボックスの検査のイベント 未知の脅威 アプリケーション利 アプリケーションごとの帯域幅利 マルウェアの脅威 2015 Check Point Software Technologies Ltd. 134
ありがとうございました! Point Software Technologies Ltd 2015 2015 CheckCheck Point Software Technologies Ltd. 135