Рубрика:
Администрирование /
Управление системами
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
ЮРИЙ СЛОБОДЯНЮК, 013 Netvision, инженер ИТ, yuri@yurisk.info
Самые частые ошибки в администрировании межсетевых экранов Check Point. Как их избежать
За 10 лет ежедневной работы с МСЭ Check Point мне довелось увидеть немало неисправностей. Разные версии, топологии, но что оставалось неизменным, так это неисправности вследствие ошибок самих администраторов. В статье расскажу о самых часто совершаемых ошибках и как их избежать
Удаление объекта, который используется
Особенно характерно для сисадминов, пришедших из мира MS Windows и привыкших подтверждать все сообщения системы на уровне предупреждения (Warning). Из всех ошибок эта, пожалуй, может оказаться самой губительной длявашей карьеры. Check Point позволяет удалить объект, который используется в политиках безопасности, часто даже предупредив о последствиях удаления. К сожалению, не все и не всегда читают/понимают эти предупреждения.
Моя рекомендация: получив сообщение о том, что объект используется, ни в коем случае не удалять его, а пройти по всем указанным в сообщении местам и удалить оттуда этот объект, пользуясь здравым смыслом, конечно. Дело в том, чтопри удалении объекта система автоматически заменяет его объектом Any, что в 99% случаев не то, что администратор хотел, чтобы произошло.
Для иллюстрации приведу пример из моего опыта. Клиент жаловался на безумно медленный интернет во всей организации: веб-страницы открываются с трудом, почта посылается/принимается с задержкой в полчаса. После нескольких проверок стало ясно, что Check Point грузит канал на все 100%, причем происходит это и при полностью отключенной внутренней сети.
Логи в SmartView Tracker показывали необычно большое количество исходящих соединений SSH на различные адреса во внешней сети. Посмотрев через CLI на содержание директорий этого МСЭ, обнаружил файлы с именами bruter.sh, uploader.sh и т.д., а также файлы больших размеров с именами фильмов, на то время идущих в кинотеатрах. Стало ясно, что МСЭ клиента взломали и используют как хранилище вареза и SSH-сканнер хостов. После просмотра журналов SmartView Tracker Audit (в новых версиях называется Management) стало понятно, что произошло. Было такое правило в политике безопасности, необходимое для работы админа с МСЭ: объекту Vova_PC разрешен доступ к МСЭ попротоколам ssh/https/CPMI (протокол соединения между МСЭ и SmartDashboard) (см. рис. 1).
- Vova_PC – хост во внутренней сети.
- Corporate-gw, Management – соответственно сам МСЭ и его SmartCenter.
Рисунок 1. Правило политики безопасности
Затем пришел на работу новый админ и по своей инициативе решил сделать «чистку» политики безопасности.
Одним из его действий было удаление объекта Vova_PC, содержащего адрес внутреннего хоста, принадлежавшего его предшественнику на этом посту. Хотя система предупредила его о возможных последствиях, а именно что этот объект используется в политике безопасности и после его удаления он будет заменен объектом Any (см. рис. 2).
Рисунок 2. Предупреждение об изменении правила
Админ проигнорировал его и, подтвердив удаление, установил политику безопасности, что превратило это правило в правило, разрешающее доступ к МСЭ по протоколам ssh/https/CPMI отовсюду (см. рис. 3).
Рисунок 3. Правило после изменения
По плохому стечению обстоятельств аккаунт admin (с правами root) операционной системы МСЭ имел пароль qwe123. Судя по логам, взломали их Check Point меньше чем за час после изменения и установки политики безопасности с IP в Румынии. Им, можно сказать, «повезло», так как взломщики не поняли, куда попали, и не пошли дальше внутрь сети, просто использовали МСЭ как сервер Linux для раздачи вареза и брутфорса хостов в интернете.
А почему я назвал эту ошибку самой губительной для вашей карьеры? Потому что этот новый администратор там больше не работает.
Статью целиком читайте в журнале «Системный администратор», №4 за 2017 г. на страницах 43-47.
PDF-версию данного номера можно приобрести в нашем магазине.
- Официальный сайт Check Point – https://www.checkpoint.com/ru.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|