Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать::Журнал СА 4.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6225
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6931
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4213
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3006
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3806
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3819
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6315
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3167
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3459
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7276
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10645
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12364
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13998
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9123
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7077
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5387
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4614
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3426
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3154
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3399
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3024
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать

Архив номеров / 2017 / Выпуск №4 (173) / Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать

Рубрика: Администрирование /  Управление системами

Юрий Слободянюк ЮРИЙ СЛОБОДЯНЮК, 013 Netvision, инженер ИТ, yuri@yurisk.info

Самые частые ошибки в администрировании 
межсетевых экранов Check Point. Как их избежать

За 10 лет ежедневной работы с МСЭ Check Point мне довелось увидеть немало неисправностей. Разные версии, топологии, но что оставалось неизменным, так это неисправности вследствие ошибок самих администраторов. В статье расскажу о самых часто совершаемых ошибках и как их избежать

Удаление объекта, который используется

Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежатьОсобенно характерно для сисадминов, пришедших из мира MS Windows и привыкших подтверждать все сообщения системы на уровне предупреждения (Warning). Из всех ошибок эта, пожалуй, может оказаться самой губительной длявашей карьеры. Check Point позволяет удалить объект, который используется в политиках безопасности, часто даже предупредив о последствиях удаления. К сожалению, не все и не всегда читают/понимают эти предупреждения.

Моя рекомендация: получив сообщение о том, что объект используется, ни в коем случае не удалять его, а пройти по всем указанным в сообщении местам и удалить оттуда этот объект, пользуясь здравым смыслом, конечно. Дело в том, чтопри удалении объекта система автоматически заменяет его объектом Any, что в 99% случаев не то, что администратор хотел, чтобы произошло.

Для иллюстрации приведу пример из моего опыта. Клиент жаловался на безумно медленный интернет во всей организации: веб-страницы открываются с трудом, почта посылается/принимается с задержкой в полчаса. После нескольких проверок стало ясно, что Check Point грузит канал на все 100%, причем происходит это и при полностью отключенной внутренней сети.

Логи в SmartView Tracker показывали необычно большое количество исходящих соединений SSH на различные адреса во внешней сети. Посмотрев через CLI на содержание директорий этого МСЭ, обнаружил файлы с именами bruter.sh, uploader.sh и т.д., а также файлы больших размеров с именами фильмов, на то время идущих в кинотеатрах. Стало ясно, что МСЭ клиента взломали и используют как хранилище вареза и SSH-сканнер хостов. После просмотра журналов SmartView Tracker Audit (в новых версиях называется Management) стало понятно, что произошло. Было такое правило в политике безопасности, необходимое для работы админа с МСЭ: объекту Vova_PC разрешен доступ к МСЭ попротоколам ssh/https/CPMI (протокол соединения между МСЭ и SmartDashboard) (см. рис. 1).

  • Vova_PC – хост во внутренней сети.
  • Corporate-gw, Management – соответственно сам МСЭ и его SmartCenter.

Рисунок 1. Правило политики безопасности

Рисунок 1. Правило политики безопасности

Затем пришел на работу новый админ и по своей инициативе решил сделать «чистку» политики безопасности.

Одним из его действий было удаление объекта Vova_PC, содержащего адрес внутреннего хоста, принадлежавшего его предшественнику на этом посту. Хотя система предупредила его о возможных последствиях, а именно что этот объект используется в политике безопасности и после его удаления он будет заменен объектом Any (см. рис. 2).

Рисунок 2. Предупреждение об изменении правила

Рисунок 2. Предупреждение об изменении правила

Админ проигнорировал его и, подтвердив удаление, установил политику безопасности, что превратило это правило в правило, разрешающее доступ к МСЭ по протоколам ssh/https/CPMI отовсюду (см. рис. 3).

Рисунок 3. Правило после изменения

Рисунок 3. Правило после изменения

По плохому стечению обстоятельств аккаунт admin (с правами root) операционной системы МСЭ имел пароль qwe123. Судя по логам, взломали их Check Point меньше чем за час после изменения и установки политики безопасности с IP в Румынии. Им, можно сказать, «повезло», так как взломщики не поняли, куда попали, и не пошли дальше внутрь сети, просто использовали МСЭ как сервер Linux для раздачи вареза и брутфорса хостов в интернете.

А почему я назвал эту ошибку самой губительной для вашей карьеры? Потому что этот новый администратор там больше не работает.

Статью целиком читайте в журнале «Системный администратор», №4 за 2017 г. на страницах 43-47.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Официальный сайт Check Point – https://www.checkpoint.com/ru.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru