Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать::Журнал СА 4.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
20.12.2019г.
Просмотров: 5466
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 6643
Комментарии: 1
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 7926
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 8216
Комментарии: 2
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 7210
Комментарии: 0
Django 2 в примерах

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать

Архив номеров / 2017 / Выпуск №4 (173) / Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать

Рубрика: Администрирование /  Управление системами

Юрий Слободянюк ЮРИЙ СЛОБОДЯНЮК, 013 Netvision, инженер ИТ, yuri@yurisk.info

Самые частые ошибки в администрировании 
межсетевых экранов Check Point. Как их избежать

За 10 лет ежедневной работы с МСЭ Check Point мне довелось увидеть немало неисправностей. Разные версии, топологии, но что оставалось неизменным, так это неисправности вследствие ошибок самих администраторов. В статье расскажу о самых часто совершаемых ошибках и как их избежать

Удаление объекта, который используется

Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежатьОсобенно характерно для сисадминов, пришедших из мира MS Windows и привыкших подтверждать все сообщения системы на уровне предупреждения (Warning). Из всех ошибок эта, пожалуй, может оказаться самой губительной длявашей карьеры. Check Point позволяет удалить объект, который используется в политиках безопасности, часто даже предупредив о последствиях удаления. К сожалению, не все и не всегда читают/понимают эти предупреждения.

Моя рекомендация: получив сообщение о том, что объект используется, ни в коем случае не удалять его, а пройти по всем указанным в сообщении местам и удалить оттуда этот объект, пользуясь здравым смыслом, конечно. Дело в том, чтопри удалении объекта система автоматически заменяет его объектом Any, что в 99% случаев не то, что администратор хотел, чтобы произошло.

Для иллюстрации приведу пример из моего опыта. Клиент жаловался на безумно медленный интернет во всей организации: веб-страницы открываются с трудом, почта посылается/принимается с задержкой в полчаса. После нескольких проверок стало ясно, что Check Point грузит канал на все 100%, причем происходит это и при полностью отключенной внутренней сети.

Логи в SmartView Tracker показывали необычно большое количество исходящих соединений SSH на различные адреса во внешней сети. Посмотрев через CLI на содержание директорий этого МСЭ, обнаружил файлы с именами bruter.sh, uploader.sh и т.д., а также файлы больших размеров с именами фильмов, на то время идущих в кинотеатрах. Стало ясно, что МСЭ клиента взломали и используют как хранилище вареза и SSH-сканнер хостов. После просмотра журналов SmartView Tracker Audit (в новых версиях называется Management) стало понятно, что произошло. Было такое правило в политике безопасности, необходимое для работы админа с МСЭ: объекту Vova_PC разрешен доступ к МСЭ попротоколам ssh/https/CPMI (протокол соединения между МСЭ и SmartDashboard) (см. рис. 1).

  • Vova_PC – хост во внутренней сети.
  • Corporate-gw, Management – соответственно сам МСЭ и его SmartCenter.

Рисунок 1. Правило политики безопасности

Рисунок 1. Правило политики безопасности

Затем пришел на работу новый админ и по своей инициативе решил сделать «чистку» политики безопасности.

Одним из его действий было удаление объекта Vova_PC, содержащего адрес внутреннего хоста, принадлежавшего его предшественнику на этом посту. Хотя система предупредила его о возможных последствиях, а именно что этот объект используется в политике безопасности и после его удаления он будет заменен объектом Any (см. рис. 2).

Рисунок 2. Предупреждение об изменении правила

Рисунок 2. Предупреждение об изменении правила

Админ проигнорировал его и, подтвердив удаление, установил политику безопасности, что превратило это правило в правило, разрешающее доступ к МСЭ по протоколам ssh/https/CPMI отовсюду (см. рис. 3).

Рисунок 3. Правило после изменения

Рисунок 3. Правило после изменения

По плохому стечению обстоятельств аккаунт admin (с правами root) операционной системы МСЭ имел пароль qwe123. Судя по логам, взломали их Check Point меньше чем за час после изменения и установки политики безопасности с IP в Румынии. Им, можно сказать, «повезло», так как взломщики не поняли, куда попали, и не пошли дальше внутрь сети, просто использовали МСЭ как сервер Linux для раздачи вареза и брутфорса хостов в интернете.

А почему я назвал эту ошибку самой губительной для вашей карьеры? Потому что этот новый администратор там больше не работает.

Статью целиком читайте в журнале «Системный администратор», №4 за 2017 г. на страницах 43-47.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Официальный сайт Check Point – https://www.checkpoint.com/ru.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru