標的型攻撃対策 ハンズオン・トレーニング 次世代ファイアウォール/Software Blade基本設定コース Last updated Mar 20, 2015 ©2015 Check Point Software Technologies ©2015 Check Point Software Technologies Ltd.Ltd1 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 2 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 3 アプライアンス・シリーズ アプライアンス FWスループット 標準メモリ 2200 3Gbps 2GB(最大2GB) 32bit 4200 3Gbps 4GB (最大4GB) 32bit 4400 5Gbps 4GB (最大4GB) 32bit 4600 9Gbps 4GB(最大4GB) 32bit 4800 11Gbps 4GB 8GB 8GB 32bit / 64bit 12200 15Gbps 4Gb 8GB 8GB 32bit / 64bit 12400 25Gbps 4GB 8GB 12GB 32bit / 64bit 12600 30Gbps 6GB 6GB 12GB 32bit / 64bit 13500 77Gbps 16GB 16GB 64GB 32bit / 64bit 13800 77Gbps 16GB 16GB 64GB 32bit / 64bit 21400 50Gbps 12GB 12GB 24GB 32bit / 64bit 21600 75Gbps 16GB 16GB 32GB 32bit / 64bit 21700 78.6Gbps 16GB 16GB 32GB 32bit / 64bit 64bit最少メモリ 64bit最大 メモリ 備考 OS対応 6GB RAM以上が 64bitに必要です 2200 アプライアンス 12000 アプライアンス 4000 アプライアンス 21000 アプライアンス 13000 アプライアンス ©2015 Check Point Software Technologies Ltd. 4 64ビットOSの同時接続数 SecurePlatform/ IPSO 32ビット 64ビット 6GB 120万 240万 8GB 120万 330万 12GB 120万 500万 24GB 120万 1,000万 ©2015 Check Point Software Technologies Ltd. 5 パッケージ化されたソリューション NGFW Next Generation Firewall NGDP Next Generation Data Protection NGTP Next Generation Threat Prevention SWG Secure Web Gateway Firewall Identity Awareness IPsec VPN ADN&C Mobile Access IPS App Control DLP URL Filtering Antivirus Anti-Bot Anti-Spam ©2015 Check Point Software Technologies Ltd. 6 Threat Preventionの多層防御 IPS (入口) 脆弱性を狙うエクス プロイトや攻撃からの保護 Antivirus (入口) 既知のマルウェアと悪意 サイトへのアクセスをブロック Anti-Bot (出口) ボットの通信を 検知してブロック Threat Emulation (入口) 未知のマルウェアを ブロック ©2015 Check Point Software Technologies Ltd. 7 SSLインスペクション SSLで暗号化された通信の検査を実現 IPS Application Control URL Filtering Antivirus Anti-Bot Threat Emulation ©2015 Check Point Software Technologies Ltd. 8 GAiAのサポート・ブラウザ • Microsoft Internet Explorer 8 or higher • Google Chrome 14 or higher • Firefox 6 or higher • Apple Safari 5 or higher ©2015 Check Point Software Technologies Ltd. 9 構成パターン 本ドキュメントは、 こちらについて解説します! スタンドアロン構成 Gateway 分散構成 Management Gateway Management 冗⻑構成 冗⻑構成 (Full HA) (Cluster-XL or VRRP) Management Gateway Management Gateway Management Gateway Gateway ©2015 Check Point Software Technologies Ltd. 10 三層構造アーキテクチャ スタンドアロン構成 赤枠: 一台のアプライアンス セキュリティ・ポリシーなど ログやステータスなど ゲートウェイ Security Management サーバ 管理コンソール SmartConsole & Webブラウザ • 管理サーバでは、セキュリティ・ポリシーの保存やコンパイルなどが行われます • ゲートウェイで生成されるログは、管理サーバに保存されます ©2015 Check Point Software Technologies Ltd. 11 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 12 ネットワーク構成図 Internet 192.168.100.1 External:192.168.100.0/24 192.168.100.xx 172.16.1.1 192.168.10.101 DMZ:192.168.10.0/24 管理PC:172.16.1.5 Internal:172.16.1.0/24 [Restricted] ONLY for designated groups and individuals ©2015 Check Point Software Technologies Ltd. 13 アプライアンス初期設定 • アプライアンスは、初期設定においてMGMTインター フェースに192.168.1.1/24のIPアドレスが割り当てられて います • PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されてい ることを確認します • PCをMGMTインターフェースに接続します • ブラウザを起動して以下のURLにアクセスします – https://192.168.1.1 2200 アプライアンスの例 ©2015 Check Point Software Technologies Ltd. 14 初期アカウント • 初期設定では、以下のアカウントが設定されています – ユーザ名:admin, パスワード:admin • ログイン後、First Time Configuration Wizardが表示されます ©2015 Check Point Software Technologies Ltd. 15 First Time Configuration Wizard 1 • クリーンインストールによるR77.20の設定を⾏います • Nextボタンをクリックして初期パスワードを変更します – 今回は、例としてP@ssw0rdと⼊⼒します ©2015 Check Point Software Technologies Ltd. 16 First Time Configuration Wizard 2 • Mgmtインターフェースのアドレスを構成図のアドレスに変更 します。アドレスを変更すると、初期のアドレスは、セカン ダリIPアドレスに変更されます • 構成図の通り、デフォルト・ゲートウェイのアドレスを設定 します ©2015 Check Point Software Technologies Ltd. 17 First Time Configuration Wizard 3 • ライセンス、コントラクト、防御機能などのアップデートを ⾏うためにCheck Point User Centerと通信するインター フェースを設定します • 今回は、eth1がインターネット接続可能なインターフェース になりますので、eth1のアドレスを設定します ©2015 Check Point Software Technologies Ltd. 18 First Time Configuration Wizard 4 • ホスト名、ドメイン名、DNSサーバを設定します • ホスト名は、ゲートウェイ管理の“オブジェクト名”に利⽤さ れますので、複数ある場合は重複しない名前を⼊⼒します ©2015 Check Point Software Technologies Ltd. 19 First Time Configuration Wizard 5 • アプライアンスの構成を決定します • 今回は、スタンドアロン構成になるのでSecurity Gatewayと Security Managementにチェックをします • Check Point User Centerのアカウントがないので、今回は自 動ダウンロードのチェックを外します(推奨は有効) ©2015 Check Point Software Technologies Ltd. 20 First Time Configuration Wizard 6 • 管理サーバのユーザ名、パスワードを設定します • 今回は例として以下を⼊⼒します – Administrator Name: fwadmin, Password: P@ssw0rd ©2015 Check Point Software Technologies Ltd. 21 First Time Configuration Wizard 7 • 管理サーバに専⽤GUIからのアクセスを許容するアドレスを 設定します • アドレス、ネットワーク、アドレスレンジの設定が可能です ©2015 Check Point Software Technologies Ltd. 22 First Time Configuration Wizard 8 • ライセンスの投⼊を⾏います • 購入ライセンスがない場合、Activation laterを選択すること で、15日間のトライアル・ライセンスで動作します ©2015 Check Point Software Technologies Ltd. 23 First Time Configuration Wizard 9 • ライセンスの投⼊を⾏います • 購入ライセンスがない場合、Activation laterを選択すること で、15日間のトライアル・ライセンスで動作します • システムのフィードバックをCheck Pointに送信するか否かの チェックを今回は外します 設定のプロセスを開始します ©2015 Check Point Software Technologies Ltd. 24 First Time Configuration Wizard 10 • ゲートウェイと管理サーバの設定プロセスが進みます • 設定内容の一覧を確認してOKボタンをクリックします • 自動的に GAiA ポータルにログインしますが、 一旦サインアウトします。 ©2015 Check Point Software Technologies Ltd. 25 Gaia Portal 1 • クライアントのアドレスを構成図に合わせて変更します • 新たに設定したMgmtインターフェースのアドレスにアクセス します – ユーザ名:admin, パスワード:P@ssw0rd ©2015 Check Point Software Technologies Ltd. 26 Gaia Portal 2 • First Time Configuration Wizardで設定したインターフェース やゲートウェイのバージョンを確認できます ©2015 Check Point Software Technologies Ltd. 27 Gaia Portal 3 • 初期設定時のアドレス(192.168.1.1)がMgmt:1に割り当てられ ているのが分かります • Mgmt:1は必要ないので削除します – Network Interfaces> Mgmt:1を選択してDeleteボタンをクリック します ©2015 Check Point Software Technologies Ltd. 28 Gaia Portal 4 • eth2を選択してEditボタンをクリックします。Enableに チェックを⼊れて所定のアドレスを⼊⼒します • Commentには、インターフェースの利⽤⽬的を記すと管理し やすくなります • Ethernetタブでは、Link Speedなどの設定ができます ©2015 Check Point Software Technologies Ltd. 29 Gaia Portal 5 • eth2と同様の手順で、Mgmtとeth1の修正を⾏います(Comment部分) – ハンズオンでは、eth2は物理的には接続されていないのでDownの状態です ©2015 Check Point Software Technologies Ltd. 30 Gaia Portal 6 • Gaia PortalからTerminalアクセスが可能です • login: admin, Password: P@ssw0rdでログインできます ©2015 Check Point Software Technologies Ltd. 31 Gaia Portal 7 • expertモードでは、Unixコマンドを実⾏できます • expertモードのアカウントを設定します – set expert-password P@ssw0rd(今回はP@ssw0rdで設定) – CLIで設定変更した場合、save configコマンドによる保存が必 要です ©2015 Check Point Software Technologies Ltd. 32 Gaia Portal 8 • show version allコマンドでプロダクトのバージョンを確認で きます • show configurationコマンドでGaiaの設定を確認できます ©2015 Check Point Software Technologies Ltd. 33 Gaia Portal 8 • 設定変更の権限がない場合、コンフィグレーション・ロック の状態になります – Gaiaポータルでは、鍵マークをクリックすると権限を得られます – CLIでは、lock database overrideコマンドで権限を得られます ©2015 Check Point Software Technologies Ltd. 34 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 35 SmartConsoleのインストール 1 • SmartConsoleのインストールは[Download Now!]をクリックし ます ©2015 Check Point Software Technologies Ltd. 36 SmartConsoleのインストール 2 • SmartConsoleのインストールを開始します • ライセンスに同意してプロセスを進めます ©2015 Check Point Software Technologies Ltd. 37 SmartDashboardの接続 1 • プログラムからSmartDashboard R77.20を選択して、管理 サーバにアクセスを⾏います • First Time Configuration Wizardで設定した管理サーバの ユーザ名、パスワードを⼊⼒します – ユーザ名:fwadmin, パスワード:P@ssw0rd • SmartDashboardは、実機が無くてもSoftware Bladeの機能を 確認できるDemo modeを利⽤できます ©2015 Check Point Software Technologies Ltd. 38 SmartDashboardの接続 2 • 管理サーバが成りすまされていないかFingerprintを確認し ます • 評価期間であることと、その残存日数が表示されますの で、”OK”ボタンをクリックします ©2015 Check Point Software Technologies Ltd. 39 SmartDashboardの接続 3 • 各Software Bladeの設定がタブで分かれています Software Bladeタブ オブジェクト 管理サーバで管理している ゲートウェイ ©2015 Check Point Software Technologies Ltd. 40 ゲートウェイ・オブジェクトの編集 1 • オブジェクトでGW-1を選択してダブルクリックします • 購入したSoftware Bladeに応じたものを選択します • トライアル・ライセンスでは、各種Software Bladeを確認 できます ©2015 Check Point Software Technologies Ltd. 41 ゲートウェイ・オブジェクトの編集 2 • スタンドアロン構成では、管理サーバのBladeも選択でき ます ©2015 Check Point Software Technologies Ltd. 42 ゲートウェイ・オブジェクトの編集 3 • Topology> Get> Interfaces with Topologyを選択します • Anti-Spoofingが設定されているメッセージが表示されます ので、”OK”ボタンをクリックします ©2015 Check Point Software Technologies Ltd. 43 ゲートウェイ・オブジェクトの編集 4 • インターフェースのTopology情報を収集した結果が出⼒さ れますので”Accept”ボタンをクリックします • Mgmtインターフェースを選択して”Edit”ボタンをクリック します ©2015 Check Point Software Technologies Ltd. 44 ゲートウェイ・オブジェクトの編集 5 • MgmtインターフェースのTopologyがInternalになっている かを確認します • Internal> TopologyのNetwork defined by the interface IP and Net Maskが選択されていることで、172.16.1.0/24が internalインターフェースで認識されるIPアドレスと判断さ れます ©2015 Check Point Software Technologies Ltd. 45 ゲートウェイ・オブジェクトの編集 7 • eth1インターフェースのTopologyがExternalになっている かを確認します ©2015 Check Point Software Technologies Ltd. 46 ゲートウェイ・オブジェクトの編集 8 • eth2インターフェースのTopologyがInternalになっている かを確認します • Interface leads to DMZにチェックを入れます。この設定は コンテンツ検査を⾏うBladeでInternal, DMZを認識して検 査するのに用いられます ©2015 Check Point Software Technologies Ltd. 47 ゲートウェイ・オブジェクトの編集 9 • ゲートウェイ・オブジェクトの設定を終了するために “OK“ボタンをクリックします ©2015 Check Point Software Technologies Ltd. 48 ネットワーク・オブジェクトの追加 1 • オブジェクトでNetworksを右クリックしてNetworkを選択 します • 内部ネットワークの172.16.1.0を設定します ©2015 Check Point Software Technologies Ltd. 49 ネットワーク・オブジェクトの追加 2 • NATタブを選択して、Add Automatic Address Translation ruleにチェックを入れます • Translation method:は、Hideを選択します – Hide behind Gatewayを選択して、ゲートウェイのアドレスに 変換されるように設定します ©2015 Check Point Software Technologies Ltd. 50 ホスト・オブジェクトの追加 1 • オブジェクトでNodesを右クリックしてNode> Hostを選択 します • DNSサーバをホスト・オブジェクトに設定して”OK“ボタン をクリックします ©2015 Check Point Software Technologies Ltd. 51 ホスト・オブジェクトの追加 2 • 同様に管理クライアント[Admin_PC] (172.16.1.5)をホス ト・オブジェクトに追加します • NATを選択してAdd Automatic Address Translation ruleに チェックを入れます – 公開Webサーバなどは、Translation methodをStaticにして公 開アドレスを設定します ©2015 Check Point Software Technologies Ltd. 52 FWポリシーの作成 1 • Policy> Add Rule at the Topボタンをクリックすると、 ルールが1⾏追加されます ©2015 Check Point Software Technologies Ltd. 53 FWポリシーの作成 2 • Sourceでは管理PCを選択、DestinationではGW-1を選 択します ©2015 Check Point Software Technologies Ltd. 54 FWポリシーの作成 3 • Actionで右クリックしてacceptを選択します • Trackで右クリックしてlogを選択します ©2015 Check Point Software Technologies Ltd. 55 FWポリシーの作成 4 • Add Ruleでルールを追加して以下のポリシーを完成させ ます(次のページで拡大画面を用意しています) • Serviceでは制御したいサービスを選択します ©2015 Check Point Software Technologies Ltd. 56 FWポリシーの作成 5 • ルール1:Admin_PCからGW-1の通信を許可 • ルール2:IntranetからDNS_ServerにDNS, icmpの通信 を許可 • ルール3:IntranetからAnyに対してhttp, https, icmp, smtpのみ通信を許可 • ルール4:クリーンアップ・ルールで全ての通信を破棄 ©2015 Check Point Software Technologies Ltd. 57 ポリシーのインストール 1 • Install PolicyをクリックしてGW-1にポリシーをインス トールします • ゲートウェイが複数ある場合、チェックの有無でポリ シーインストールするゲートウェイを指定できます ©2015 Check Point Software Technologies Ltd. 58 SmartView Tracker 1 • SmartView Trackerは、各種Software Bladeで検出した ログ、監査ログなどをリアルタイムで確認できます • 特定のログをダブルクリックすると詳細を確認できます ©2015 Check Point Software Technologies Ltd. 59 SmartView Tracker 2 • Managementタブでは、管理系のログを確認できます ©2015 Check Point Software Technologies Ltd. 60 暗黙のルール 1 • Launch Menu> View> Implied Rulesを選択すると、暗黙 のルールが確認できます。これは、SmartDashboardク ライアント、管理サーバ、ゲートウェイを管理する上で 必要なルールが予め設定されています • もう⼀度選択すると、元の表⽰に戻ります ©2015 Check Point Software Technologies Ltd. 61 暗黙のルール 2 • Launch Menu> Policy> Global Properties> FireWallで暗 黙のルールを制御することができます • 誤った設定を⾏うと、管理に影響が出ますので、注意し てください ©2015 Check Point Software Technologies Ltd. 62 Evaluationライセンスの投入 1 • SmartUpdateを開き、License & Contractsタブを表示し ます ©2015 Check Point Software Technologies Ltd. 63 Evaluationライセンスの投入 2 • Launch Menu> Licenses & Contracts> Add License> From FileでEvaluationライセンスを投入します – デスクトップ> Evaluation-license>にある CPLicenseFile.licを選択します ©2015 Check Point Software Technologies Ltd. 64 Evaluationライセンスの投入 3 • GW1を右クリックしてAttach Licensesを選択して表示 されたライセンスをアタッチします ©2015 Check Point Software Technologies Ltd. 65 コントラクトのアップデート • Launch Menu> Licenses & Contracts> Update Contracts> From FilesでEvaluationライセンス(コントラ クト)を投入します – デスクトップ> Evaluation-licenseにある ServiceContract.xmlを選択します ©2015 Check Point Software Technologies Ltd. 66 ライセンスとコントラクトの確認 • cpsg-xxの表示がゲートウェイ用のライセンス • cpsm-xxの表⽰が管理サーバ⽤のライセンス • コントラクトのアップデートで”Operation successfully completed”になっているかを確認 ©2015 Check Point Software Technologies Ltd. 67 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 68 IPSブレードで脅威の侵入を防御 既知の脆弱性を悪用する攻撃を防御 アノーマリ検出をベースとした ゼロデイ攻撃の防御 IPS 攻撃パターンの検出 ハッカー 怪しいサイト アノーマリ検出 ©2015 Check Point Software Technologies Ltd. 69 IPSブレードの有効化 • GW-1のオブジェクトを選択してNetwork Securityタブ のIPSにチェックを入れます ©2015 Check Point Software Technologies Ltd. 70 IPSブレードによる防御 • IPSブレードはCheck Point ThreatCloudから最新の防御 機能をダウンロードして防御機能を提供します ©2015 Check Point Software Technologies Ltd. 71 IPSプロファイルの指定 • プロファイルにより、どの防御機能が有効化されている かが決まります。Recommendedを選択して推奨の防御 機能にします 今回はラボ環境なので特別にall trafficの検査を選択しますが 選択するとパフォーマンス影響のメッセージがでます 通常は侵入検出・防御の目的なので、internal host onlyを選択します ©2015 Check Point Software Technologies Ltd. 72 フェイル・セーフなメカニズム • 高負荷時にIPS機能をバイパス処理する事ができます • Highの値に達するとバイパス処理され、Lowの値に達す ると再びIPS検査が⾏われます 今回は機能確認できたらチェックをしないで OKをクリックします ©2015 Check Point Software Technologies Ltd. 73 IPS Overview画面 • IPSタブを選択するとIPSの詳細画面を確認できます アクション・アイテム • コントラクト • シグネチャ更新など プロファイル適用状況 インシデントの発生状況 最新のアドバイザリ ©2015 Check Point Software Technologies Ltd. 74 プロファイルの管理 1 • プロファイルは各防御機能を制御するグループです • ゲートウェイごとに異なるプロファイルを割り当てる事で、 異なる防御の設定で複数ゲートウェイを展開できます • デフォルトで2つのプロファイルが用意されています Default – 必要最小限の防御機能が有効化 Recommended – 推奨の防御機能が有効化 ©2015 Check Point Software Technologies Ltd. 75 プロファイルの管理 2 • Recommended_Protectionのプロファイルをダブルクリッ クするとIPSモードをPreventで動作させるかDetectで動作 させるか選択できます 検出と防御を⾏いたい場合、 デフォルト値のPreventで動作させます ©2015 Check Point Software Technologies Ltd. 76 IPSポリシー • IPSポリシーは、有効化する防御機能を制御します • 各防御機能には、Client/Server, Severity, Confidence Level, performance impactの情報があり、それぞれのレベルに応 じて検査の有効化と無効化の制御ができます IPSポリシーを変更すると、 ポリシーに従って防御機能が変更されます ©2015 Check Point Software Technologies Ltd. 77 アップデート・ポリシー • 防御機能のアップデートを⾏った際に、新しく追加された 防御機能をDetect/Preventのどちらにするかを決定します • 通常は、デフォルト値の”Detect”にしておきます ©2015 Check Point Software Technologies Ltd. 78 IPS防御機能 • プロファイルに含まれている各種防御機能の項目とそれぞ れの設定値を確認できます ©2015 Check Point Software Technologies Ltd. 79 IPS防護機能の例 Severity(緊急度) • 攻撃によりどの程度の影響が出るのか Confidence Level(信頼度) • 攻撃トラフィックであると確信できる信頼度 パフォーマンス影響度 • ゲートウェイのパフォーマンスに与える影響 保護タイプ • クライアント保護・サーバ保護 関連セキュリティ勧告 • この例ではMS14-018: CVE-2014-1755 ©2015 Check Point Software Technologies Ltd. 80 更新された防御機能 • Check Point ThreatCloudから最新の防御機能がダウンロー ドされると、その防御機能は一時的に強調表示になり、 Follow Upフラグが付きます ©2015 Check Point Software Technologies Ltd. 81 Max Ping Size防御機能の変更 • ラボ環境でIPS防御機能の動作を確認するために、Max Ping Sizeの設定を変更してみます pingで検索 Max Ping Sizeをダブルクリック Preventに変更 Recommended_Protectionを ダブルクリック パケット・キャプチャ ©2015 Check Point Software Technologies Ltd. 82 ポリシーのインストール • IPSブレードの設定をゲートウェイに反映するためにポリ シーのインストールを⾏います ©2015 Check Point Software Technologies Ltd. 83 IPS防御機能の確認 • デフォルト・ゲートウェイにサイズの大きいpingを実施し て、IPS防御されていることを確認します – 例:ping 192.168.100.1 -l 3000 ©2015 Check Point Software Technologies Ltd. 84 SmartView Trackerの詳細ログ • SmartView Trackerの詳細ログには、IPSブレードで検出し た攻撃のパケット情報を含むことができます ©2015 Check Point Software Technologies Ltd. 85 防御機能のアップデート • 実環境では、Download Updatesを設定して最新の防御機 能をダウンロードできるようにします – マニュアル、自動、オフライン、何れかのアップデート方法 を選択できます アップデートには、UserCenterの アカウントが必要です ©2015 Check Point Software Technologies Ltd. 86 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 87 Anti-Botブレードによるボット通信の防御 多層的な検出エンジンによる感染マシンの検出 アウトバウンドの通信を停止することにより、 ボットによるダメージを低減 Anti-Bot Command & Control コマンド&コント ロール用のアドレス 通信パターン 振る舞い解析 ©2015 Check Point Software Technologies Ltd. 88 Anti-Virusブレードのマルウェア侵入防御 侵⼊してくる不正なファイルをスキャンして防御 サンドボックスによるゼロデイの検出 不正な Web サイトへのアクセスを防御 マルウェア感染の検出にThreatCloudを活用 ファイル全体をバッファ ユーザが利⽤しやすいように簡単に設定可能 ThreatCloud™ サイトのアドレスを確認 レジストリ Antivirus OS ファイル 不正ファイル 不正なWebサイト ©2015 Check Point Software Technologies Ltd. 89 Anti-BotとAnti-Virusブレードの有効化 1 • GW-1のオブジェクトを選択してNetwork Securityタブ のAnti-BotとAnti-Virusにチェックを入れます ©2015 Check Point Software Technologies Ltd. 90 Anti-BotとAnti-Virusブレードの有効化 2 • Anti-Bot, Anti-Virusにチェックを入れると、First Time Activationが出⼒されます • 検出と防御を⾏うに場合は、”According to the Anti-Bot and Anti-Virus policy”のチェックでOKボタンをクリック します 匿名で攻撃の情報をCheck Point ThreatCloudに共有できる場合は、 チェックを入れたままにします 今回はラボ環境なのでチェックを 外してみます First Time Activationの内容 が反映されています ©2015 Check Point Software Technologies Ltd. 91 プロファイルの管理 1 • Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します • Recommended_Profileを選択してEditボタンをクリック します ©2015 Check Point Software Technologies Ltd. 92 プロファイルの管理 2 • Anti-BotとAnti-Virusの設定を確認します • UserCheckはAnti-Bot, Anti-Virusの防御時に、リダイレ クションのメッセージを決定しています ボットの活動を検査する emailのサイズ(KB) 防御対象の インターフェース指定 検査対象プロトコル ©2015 Check Point Software Technologies Ltd. 93 ポリシーの管理 Recommended_Profileを使用しています Anti-BotとAnti-Virusは、ルールベースの 防御範囲に基づいて検査を⾏います ©2015 Check Point Software Technologies Ltd. 94 ポリシーのインストール • Anti-BotとAnti-Virusブレードの設定をゲートウェイに反映 するためにポリシーのインストールを⾏います ©2015 Check Point Software Technologies Ltd. 95 プロテクションの確認 • プロテクションをクリックすると、レピュテーション、 シグネチャ、振る舞いなどの検出・防御機能が確認でき ます ©2015 Check Point Software Technologies Ltd. 96 Threat Wiki 1 • Threat Wikiでは、マルウェア・データベース上にあるマ ルウェア確認できます ©2015 Check Point Software Technologies Ltd. 97 Threat Wiki 2 • マルウェア・データベースは、インターネットからも閲 覧できます – http://threatwiki.checkpoint.com/threatwiki/public.htm ©2015 Check Point Software Technologies Ltd. 98 Anti-Bot防御機能の確認 1 Anti-Botのテストを実施してみます UserCheckのブロックメッセージ *メッセージを日本語に変更できます ©2015 Check Point Software Technologies Ltd. 99 Anti-Bot防御機能の確認 2 • SmartView Trackerで防御ログを確認します 防御のログが確認できます ©2015 Check Point Software Technologies Ltd. 100 Anti-Virus防御機能の確認 1 Anti-Virusのテストを実施してみます UserCheckのブロックメッセージ ©2015 Check Point Software Technologies Ltd. 101 Anti-Virus防御機能の確認 2 • SmartView Trackerで防御ログを確認します 防御のログが確認できます ©2015 Check Point Software Technologies Ltd. 102 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 103 Threat Emulationブレードによる 未知マルウェア防御 不正なファイルが 添付されたメール Threat Emulation Software Bladeがインターセプト 添付ファイルを抽出 マルウェア検出 エミュレート 問題なし 脅威の挙動観察により 新しい攻撃を検出およびストップ ©2015 Check Point Software Technologies Ltd. 104 Threat Emulationの検査プロセス File Aggregation (kernel, dlpu) Cache キャッシュの負荷は、非常に軽量で パフォーマンスにプラスの効果がある Static Analysis 悪意あるコードを含むことができない と判断すると エミュレーションをスキップする Emulation サンドボックス環境(クラウド/オンプ レミス)によるエミュレーション [Restricted] ONLY for designated groups and individuals ©2015 Check Point Software Technologies Ltd. 105 Threat Emulationの導入オプション オプション① オプション② Threat Emulation クラウドサービス Threat Emulation アプライアンス セキュリティ・ゲートウェイ に統合 Security Gateway, R77 導入要件にそった最適な導入オプションを提供 [Restricted] ONLY for designated groups and individuals ©2015 Check Point Software Technologies Ltd. 106 Threat Emulationブレードの有効化 1 • GW-1のオブジェクトを選択してNetwork Securityタブ のThreat Emulationにチェックを入れます • Threat Emulation にチェックを入れると、First Time Activationが出⼒されます ©2015 Check Point Software Technologies Ltd. 107 Threat Emulationブレードの有効化 2 • ThreadCloudで未知のマルウェアか否かを検査するため に、ThreadCloud Emulation Serviceにチェックを入れ てNextをクリックします • ライセンスが登録されているユーザセンターのアカウン トに、Threat Emulationのライセンスが登録されていな い場合、エラーになります ©2015 Check Point Software Technologies Ltd. 108 Threat Emulationブレードの有効化 3 • First Time Activationで設定した内容がGW-1のオブジェ クトのThreat Emulationで確認できます デフォルトのエミュレーションは以下の2つです WinXP, Office 2003/7, Adobe9 Win7, Office 2003/7, Adobe9 *追加の場合は他のイメージにチェックを入れます - ©2015 Check Point Software Technologies Ltd. 109 ファイル・タイプの追加 • Threat Preventionタブを選択Messages and Actionsに検 査対象にできるファイルタイプが追加されていないか確 認します 検査対象に加えたいファイルタイプを選択します ©2015 Check Point Software Technologies Ltd. 110 プロファイルの管理 1 • Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します • Recommended_Profileを選択してEditボタンをクリック します ©2015 Check Point Software Technologies Ltd. 111 プロファイルの管理 2 • Threat Emulationの設定を確認します • 検査対象に加えたファイルタイプが、File Typesに追加 されています 防御対象の インターフェース指定 検査対象プロトコル 検査対象のファイル・タイプ ©2015 Check Point Software Technologies Ltd. 112 プロファイルの管理 3 • Advanced設定では、Threat Emulationによる検査を⾏う 際のコネクションの扱いを決定できます • ラボ環境でThreat Emulation防御機能の動作を確認する ために、今回はHoldに変更します Background ファイルの検査が終了しなくてもコネクションを許可します。 マルウェアと判断されたファイルは、次回からは防御します Hold ファイルの検査が終了するまでコネクションを許可しません Custom プロトコル毎にコネクションの扱いを変えることができます Hold設定にするとコネクションのタイムアウトが 発生する可能性がある旨がポップアップされます。 SMTPのHold設定は、MT Aの併用がお勧めです ©2015 Check Point Software Technologies Ltd. 113 ポリシーのインストール • Threat Emulation ブレードの設定をゲートウェイに反映す るためにポリシーのインストールを⾏います ©2015 Check Point Software Technologies Ltd. 114 Threat Emulation防御機能の確認 1 Threat Emulationのテスト を実施してみます マルウェアのファイルと検出・防御されたので、 ダウンロードが完了しない ©2015 Check Point Software Technologies Ltd. 115 Threat Emulation防御機能の確認 2 マルウェアではないファイルの ダウンロードが正常に⾏えるこ とを確認してみます ©2015 Check Point Software Technologies Ltd. 116 Threat Emulation防御機能の確認 3 • SmartView Trackerで防御ログを確認します ©2015 Check Point Software Technologies Ltd. 117 Threat Emulation防御機能の確認 4 Threat Emulationの検査結果 レポートが添付されています 不正な活動 システムプロセス レジストリの値 ファイル・システムの アクティビティ ©2015 Check Point Software Technologies Ltd. 118 Threat Emulation防御機能の確認 5 • 検出されたマルウェアのファイルを入手できます • マルウェアのファイルは、扱いに注意が必要なので、パス ワード付きのtar.gzファイルになっています ©2015 Check Point Software Technologies Ltd. 119 Threat Emulation防御機能の確認 6 • Threat Emulationでマルウェアと判断されたファイルは、 以降はlocal cacheの情報と照合して防御対象になります Cloud Local cache ©2015 Check Point Software Technologies Ltd. 120 MTAの設定(捕捉情報) • GWをMTAとして動作させると、Hold設定時にSMTPのコ ネクションを保持しながら検査できます SMTPトラフィックのインターフェース MTAがメールを保持する時間やHDの空き容量 ©2015 Check Point Software Technologies Ltd. 121 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 Gaiaセットアップ FWセットアップ IPSセットアップ Anti-BotとAnti-Virusのセットアップ Threat-Emulationのセットアップ 運用管理オペレーション ©2015 Check Point Software Technologies Ltd. 122 SmartView Monitor ©2015 Check Point Software Technologies Ltd. 123 ログ管理1 • ログはゲートウェイで生成されて、Security Managementサーバに ネットワーク経由で転送され、 Security ManagementサーバのHDD上 の$FWDIR/log/fw.logに累積的に追加されます • ログはfw.logのみではなく、ポインタ・ファイルも構成されます • ログはlog switch(ログ切り換え)という作業を⾏うことにより、それま でのログを別ファイルに保存できます。 Log switchではポインタ・ ファイルも別ファイル名で保存されます • 後に再度ログを閲覧する場合、Security Managementサーバ上の $FWDIR/logディレクトリに戻して確認します • Log switchは⼿動で⾏う⽅法と⾃動で⾏う⽅法があります – 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、も しくはCLIからfw logswitchコマンドで実⾏できます – ⾃動では、定時に⾏う、ログファイルのサイズが指定した⼤きさを 超えたら⾏うなどの設定が可能です ©2015 Check Point Software Technologies Ltd. 124 ログ管理2 • $FWDIR/logディレクトリのログファイルの例です ©2015 Check Point Software Technologies Ltd. 125 ログ管理3 • オブジェクトのLogs> Local Log Storageで、自動でLog switchする設 定が可能です • 初期設定で、幾つかのtimeオブジェクトが用意されています ©2015 Check Point Software Technologies Ltd. 126 システム・バックアップ1 • バックアップは、⼿動で⾏う⽅法とスケジュール化による⾃動の⽅法 があります – バックアップは、Gaia OSとSoftware Bladeの設定です – $FWDIR/log/配下は含まれません • バックアップファイルは、/var/log/CPbackup/backups/R77/に 保存されます • リストアは、バックアップしたバージョン、Build、HF、HFAなど全て 合わせて実⾏する必要があります ©2015 Check Point Software Technologies Ltd. 127 システム・バックアップ2 • バックアップ・リストアは、CLIからも実⾏できます • バックアップコマンド: add backup • リストアコマンド:set backup restore • リストア後は、rebootコマンドで再起動を実⾏します Localにバックアップの例 show backup statusコマンドの例 ©2015 Check Point Software Technologies Ltd. 128 スナップショット・マネジメント • Snapshot Managementは、Snapshotによるシステムイメージのバック アップです。/bootにディレクトリが作成され、その中にファイルが生 成されます – システム全体をイメージとして保存します – イメージの容量は数GBに達しますので、処理が完了するまで数⼗分要する 場合があります – イメージは、export, importが可能です • Image Managementには、ログファイルは含まれません Revertで復元できます ©2015 Check Point Software Technologies Ltd. 129 システムの初期化1 • CLIでrebootを⾏います • “Press any key to see the boot menu”が表示されている間に、Enter キーを⼊⼒します ©2015 Check Point Software Technologies Ltd. 130 システムの初期化2 • プロセスが終了して、loginプロンプトが表示されたら、初期時の アカウントでログインします – ユーザ名: admin, パスワード: admin • 電源offする場合、Haltコマンドを⼊⼒します • Power downが表示されたら、電源offします ©2015 Check Point Software Technologies Ltd. 131 セキュリティのリスクを可視化をしてみませんか? (Security CheckUpレポート) ©2015 Check Point Software Technologies Ltd. 132 Security CheckUp構成例 • • 内部ホストのトラフィックを検査して可視化 FW(NATされた)を通過した外部からの脅威を可視化 境界ファイアウォール スイッチ インターネット ミラーポート(SPANポート) シグネチャ・アップデート用の インターネット接続 Security CheckUpレポート 2012 アプライアンス ©2015 Check Point Software Technologies Ltd. 133 セキュリティのリスクを可視化 無償サービスです! Web セキュリティのイベント 侵入 & 攻撃のイベント データ損失のイベント ボットのイベント ウイルスのイベント サンドボックスの検査のイベント(未知の脅威) アプリケーション利⽤ アプリケーションごとの帯域幅利⽤ マルウェアの脅威 ©2015 Check Point Software Technologies Ltd. 134 ありがとうございました! Point Software Technologies Ltd ©2015©2015 CheckCheck Point Software Technologies Ltd. 135
© Copyright 2025 ExpyDoc