R77 標的型攻撃対策トレーニングアプライアンスの実機を使ってGAiA

標的型攻撃対策
ハンズオン・トレーニング
次世代ファイアウォール/Software Blade基本設定コース
Last updated Mar 20, 2015
©2015
Check
Point
Software
Technologies
©2015
Check
Point
Software
Technologies
Ltd.Ltd1
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 2
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 3
アプライアンス・シリーズ
アプライアンス
FWスループット
標準メモリ
2200
3Gbps
2GB（最大2GB)
32bit
4200
3Gbps
4GB (最大4GB）
32bit
4400
5Gbps
4GB (最大4GB）
32bit
4600
9Gbps
4GB（最大4GB)
32bit
4800
11Gbps
4GB
8GB
8GB
32bit / 64bit
12200
15Gbps
4Gb
8GB
8GB
32bit / 64bit
12400
25Gbps
4GB
8GB
12GB
32bit / 64bit
12600
30Gbps
6GB
6GB
12GB
32bit / 64bit
13500
77Gbps
16GB
16GB
64GB
32bit / 64bit
13800
77Gbps
16GB
16GB
64GB
32bit / 64bit
21400
50Gbps
12GB
12GB
24GB
32bit / 64bit
21600
75Gbps
16GB
16GB
32GB
32bit / 64bit
21700
78.6Gbps
16GB
16GB
32GB
32bit / 64bit
64bit最少メモリ
64bit最大
メモリ
備考
OS対応
6GB RAM以上が
64bitに必要です
2200 アプライアンス
12000 アプライアンス
4000 アプライアンス
21000 アプライアンス
13000 アプライアンス
©2015 Check Point Software Technologies Ltd. 4
64ビットOSの同時接続数
SecurePlatform/
IPSO
32ビット
64ビット
6GB
120万
240万
8GB
120万
330万
12GB
120万
500万
24GB
120万
1,000万
©2015 Check Point Software Technologies Ltd. 5
パッケージ化されたソリューション
NGFW
Next Generation Firewall
NGDP
Next Generation Data Protection
NGTP
Next Generation Threat Prevention
SWG
Secure Web Gateway
Firewall
Identity Awareness
IPsec VPN
ADN&C
Mobile Access
IPS
App Control
DLP
URL Filtering
Antivirus
Anti-Bot
Anti-Spam
©2015 Check Point Software Technologies Ltd. 6
Threat Preventionの多層防御
IPS
(入口) 脆弱性を狙うエクス
プロイトや攻撃からの保護
Antivirus
(入口) 既知のマルウェアと悪意
サイトへのアクセスをブロック
Anti-Bot
(出口) ボットの通信を
検知してブロック
Threat
Emulation
(入口) 未知のマルウェアを
ブロック
©2015 Check Point Software Technologies Ltd. 7
SSLインスペクション
SSLで暗号化された通信の検査を実現
IPS
Application
Control
URL Filtering
Antivirus
Anti-Bot
Threat Emulation
©2015 Check Point Software Technologies Ltd. 8
GAiAのサポート・ブラウザ
• Microsoft Internet Explorer 8 or higher
• Google Chrome 14 or higher
• Firefox 6 or higher
• Apple Safari 5 or higher
©2015 Check Point Software Technologies Ltd. 9
構成パターン
本ドキュメントは、
こちらについて解説します！
スタンドアロン構成
Gateway
分散構成
Management
Gateway
Management
冗⻑構成
冗⻑構成 (Full HA)
(Cluster-XL or VRRP)
Management
Gateway
Management
Gateway
Management
Gateway
Gateway
©2015 Check Point Software Technologies Ltd. 10
三層構造アーキテクチャ
スタンドアロン構成
赤枠: 一台のアプライアンス
セキュリティ・ポリシーなど
ログやステータスなど
ゲートウェイ
Security Management サーバ
管理コンソール
SmartConsole & Webブラウザ
• 管理サーバでは、セキュリティ・ポリシーの保存やコンパイルなどが行われます
• ゲートウェイで生成されるログは、管理サーバに保存されます
©2015 Check Point Software Technologies Ltd. 11
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 12
ネットワーク構成図
Internet
192.168.100.1
External:192.168.100.0/24
192.168.100.xx
172.16.1.1
192.168.10.101
DMZ:192.168.10.0/24
管理PC:172.16.1.5
Internal:172.16.1.0/24
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 13
アプライアンス初期設定
• アプライアンスは、初期設定においてMGMTインター
フェースに192.168.1.1/24のIPアドレスが割り当てられて
います
• PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されてい
ることを確認します
• PCをMGMTインターフェースに接続します
• ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
2200 アプライアンスの例
©2015 Check Point Software Technologies Ltd. 14
初期アカウント
• 初期設定では、以下のアカウントが設定されています
– ユーザ名：admin, パスワード：admin
• ログイン後、First Time Configuration Wizardが表示されます
©2015 Check Point Software Technologies Ltd. 15
First Time Configuration Wizard 1
• クリーンインストールによるR77.20の設定を⾏います
• Nextボタンをクリックして初期パスワードを変更します
– 今回は、例としてP@ssw0rdと⼊⼒します
©2015 Check Point Software Technologies Ltd. 16
First Time Configuration Wizard 2
• Mgmtインターフェースのアドレスを構成図のアドレスに変更
します。アドレスを変更すると、初期のアドレスは、セカン
ダリIPアドレスに変更されます
• 構成図の通り、デフォルト・ゲートウェイのアドレスを設定
します
©2015 Check Point Software Technologies Ltd. 17
First Time Configuration Wizard 3
• ライセンス、コントラクト、防御機能などのアップデートを
⾏うためにCheck Point User Centerと通信するインター
フェースを設定します
• 今回は、eth1がインターネット接続可能なインターフェース
になりますので、eth1のアドレスを設定します
©2015 Check Point Software Technologies Ltd. 18
First Time Configuration Wizard 4
• ホスト名、ドメイン名、DNSサーバを設定します
• ホスト名は、ゲートウェイ管理の“オブジェクト名”に利⽤さ
れますので、複数ある場合は重複しない名前を⼊⼒します
©2015 Check Point Software Technologies Ltd. 19
First Time Configuration Wizard 5
• アプライアンスの構成を決定します
• 今回は、スタンドアロン構成になるのでSecurity Gatewayと
Security Managementにチェックをします
• Check Point User Centerのアカウントがないので、今回は自
動ダウンロードのチェックを外します（推奨は有効）
©2015 Check Point Software Technologies Ltd. 20
First Time Configuration Wizard 6
• 管理サーバのユーザ名、パスワードを設定します
• 今回は例として以下を⼊⼒します
– Administrator Name: fwadmin, Password: P@ssw0rd
©2015 Check Point Software Technologies Ltd. 21
First Time Configuration Wizard 7
• 管理サーバに専⽤GUIからのアクセスを許容するアドレスを
設定します
• アドレス、ネットワーク、アドレスレンジの設定が可能です
©2015 Check Point Software Technologies Ltd. 22
First Time Configuration Wizard 8
• ライセンスの投⼊を⾏います
• 購入ライセンスがない場合、Activation laterを選択すること
で、15日間のトライアル・ライセンスで動作します
©2015 Check Point Software Technologies Ltd. 23
First Time Configuration Wizard 9
• ライセンスの投⼊を⾏います
• 購入ライセンスがない場合、Activation laterを選択すること
で、15日間のトライアル・ライセンスで動作します
• システムのフィードバックをCheck Pointに送信するか否かの
チェックを今回は外します
設定のプロセスを開始します
©2015 Check Point Software Technologies Ltd. 24
First Time Configuration Wizard 10
• ゲートウェイと管理サーバの設定プロセスが進みます
• 設定内容の一覧を確認してOKボタンをクリックします
• 自動的に GAiA ポータルにログインしますが、
一旦サインアウトします。
©2015 Check Point Software Technologies Ltd. 25
Gaia Portal 1
• クライアントのアドレスを構成図に合わせて変更します
• 新たに設定したMgmtインターフェースのアドレスにアクセス
します
– ユーザ名：admin, パスワード：P@ssw0rd
©2015 Check Point Software Technologies Ltd. 26
Gaia Portal 2
• First Time Configuration Wizardで設定したインターフェース
やゲートウェイのバージョンを確認できます
©2015 Check Point Software Technologies Ltd. 27
Gaia Portal 3
• 初期設定時のアドレス(192.168.1.1)がMgmt:1に割り当てられ
ているのが分かります
• Mgmt:1は必要ないので削除します
– Network Interfaces> Mgmt:1を選択してDeleteボタンをクリック
します
©2015 Check Point Software Technologies Ltd. 28
Gaia Portal 4
• eth2を選択してEditボタンをクリックします。Enableに
チェックを⼊れて所定のアドレスを⼊⼒します
• Commentには、インターフェースの利⽤⽬的を記すと管理し
やすくなります
• Ethernetタブでは、Link Speedなどの設定ができます
©2015 Check Point Software Technologies Ltd. 29
Gaia Portal 5
• eth2と同様の手順で、Mgmtとeth1の修正を⾏います(Comment部分)
– ハンズオンでは、eth2は物理的には接続されていないのでDownの状態です
©2015 Check Point Software Technologies Ltd. 30
Gaia Portal 6
• Gaia PortalからTerminalアクセスが可能です
• login: admin, Password: P@ssw0rdでログインできます
©2015 Check Point Software Technologies Ltd. 31
Gaia Portal 7
• expertモードでは、Unixコマンドを実⾏できます
• expertモードのアカウントを設定します
– set expert-password P@ssw0rd（今回はP@ssw0rdで設定）
– CLIで設定変更した場合、save configコマンドによる保存が必
要です
©2015 Check Point Software Technologies Ltd. 32
Gaia Portal 8
• show version allコマンドでプロダクトのバージョンを確認で
きます
• show configurationコマンドでGaiaの設定を確認できます
©2015 Check Point Software Technologies Ltd. 33
Gaia Portal 8
• 設定変更の権限がない場合、コンフィグレーション・ロック
の状態になります
– Gaiaポータルでは、鍵マークをクリックすると権限を得られます
– CLIでは、lock database overrideコマンドで権限を得られます
©2015 Check Point Software Technologies Ltd. 34
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 35
SmartConsoleのインストール 1
• SmartConsoleのインストールは[Download Now!]をクリックし
ます
©2015 Check Point Software Technologies Ltd. 36
SmartConsoleのインストール 2
• SmartConsoleのインストールを開始します
• ライセンスに同意してプロセスを進めます
©2015 Check Point Software Technologies Ltd. 37
SmartDashboardの接続 1
• プログラムからSmartDashboard R77.20を選択して、管理
サーバにアクセスを⾏います
• First Time Configuration Wizardで設定した管理サーバの
ユーザ名、パスワードを⼊⼒します
– ユーザ名：fwadmin, パスワード：P@ssw0rd
• SmartDashboardは、実機が無くてもSoftware Bladeの機能を
確認できるDemo modeを利⽤できます
©2015 Check Point Software Technologies Ltd. 38
SmartDashboardの接続 2
• 管理サーバが成りすまされていないかFingerprintを確認し
ます
• 評価期間であることと、その残存日数が表示されますの
で、”OK”ボタンをクリックします
©2015 Check Point Software Technologies Ltd. 39
SmartDashboardの接続 3
• 各Software Bladeの設定がタブで分かれています
Software Bladeタブ
オブジェクト
管理サーバで管理している
ゲートウェイ
©2015 Check Point Software Technologies Ltd. 40
ゲートウェイ・オブジェクトの編集 1
• オブジェクトでGW-1を選択してダブルクリックします
• 購入したSoftware Bladeに応じたものを選択します
• トライアル・ライセンスでは、各種Software Bladeを確認
できます
©2015 Check Point Software Technologies Ltd. 41
ゲートウェイ・オブジェクトの編集 2
• スタンドアロン構成では、管理サーバのBladeも選択でき
ます
©2015 Check Point Software Technologies Ltd. 42
ゲートウェイ・オブジェクトの編集 3
• Topology> Get> Interfaces with Topologyを選択します
• Anti-Spoofingが設定されているメッセージが表示されます
ので、”OK”ボタンをクリックします
©2015 Check Point Software Technologies Ltd. 43
ゲートウェイ・オブジェクトの編集 4
• インターフェースのTopology情報を収集した結果が出⼒さ
れますので”Accept”ボタンをクリックします
• Mgmtインターフェースを選択して”Edit”ボタンをクリック
します
©2015 Check Point Software Technologies Ltd. 44
ゲートウェイ・オブジェクトの編集 5
• MgmtインターフェースのTopologyがInternalになっている
かを確認します
• Internal> TopologyのNetwork defined by the interface IP
and Net Maskが選択されていることで、172.16.1.0/24が
internalインターフェースで認識されるIPアドレスと判断さ
れます
©2015 Check Point Software Technologies Ltd. 45
ゲートウェイ・オブジェクトの編集 7
• eth1インターフェースのTopologyがExternalになっている
かを確認します
©2015 Check Point Software Technologies Ltd. 46
ゲートウェイ・オブジェクトの編集 8
• eth2インターフェースのTopologyがInternalになっている
かを確認します
• Interface leads to DMZにチェックを入れます。この設定は
コンテンツ検査を⾏うBladeでInternal, DMZを認識して検
査するのに用いられます
©2015 Check Point Software Technologies Ltd. 47
ゲートウェイ・オブジェクトの編集 9
• ゲートウェイ・オブジェクトの設定を終了するために
“OK“ボタンをクリックします
©2015 Check Point Software Technologies Ltd. 48
ネットワーク・オブジェクトの追加 1
• オブジェクトでNetworksを右クリックしてNetworkを選択
します
• 内部ネットワークの172.16.1.0を設定します
©2015 Check Point Software Technologies Ltd. 49
ネットワーク・オブジェクトの追加 2
• NATタブを選択して、Add Automatic Address Translation
ruleにチェックを入れます
• Translation method:は、Hideを選択します
– Hide behind Gatewayを選択して、ゲートウェイのアドレスに
変換されるように設定します
©2015 Check Point Software Technologies Ltd. 50
ホスト・オブジェクトの追加 1
• オブジェクトでNodesを右クリックしてNode> Hostを選択
します
• DNSサーバをホスト・オブジェクトに設定して”OK“ボタン
をクリックします
©2015 Check Point Software Technologies Ltd. 51
ホスト・オブジェクトの追加 2
• 同様に管理クライアント[Admin_PC] (172.16.1.5)をホス
ト・オブジェクトに追加します
• NATを選択してAdd Automatic Address Translation ruleに
チェックを入れます
– 公開Webサーバなどは、Translation methodをStaticにして公
開アドレスを設定します
©2015 Check Point Software Technologies Ltd. 52
FWポリシーの作成 1
• Policy> Add Rule at the Topボタンをクリックすると、
ルールが1⾏追加されます
©2015 Check Point Software Technologies Ltd. 53
FWポリシーの作成 2
• Sourceでは管理PCを選択、DestinationではGW-1を選
択します
©2015 Check Point Software Technologies Ltd. 54
FWポリシーの作成 3
• Actionで右クリックしてacceptを選択します
• Trackで右クリックしてlogを選択します
©2015 Check Point Software Technologies Ltd. 55
FWポリシーの作成 4
• Add Ruleでルールを追加して以下のポリシーを完成させ
ます（次のページで拡大画面を用意しています）
• Serviceでは制御したいサービスを選択します
©2015 Check Point Software Technologies Ltd. 56
FWポリシーの作成 5
• ルール１：Admin_PCからGW-1の通信を許可
• ルール２：IntranetからDNS_ServerにDNS, icmpの通信
を許可
• ルール３：IntranetからAnyに対してhttp, https, icmp,
smtpのみ通信を許可
• ルール４：クリーンアップ・ルールで全ての通信を破棄
©2015 Check Point Software Technologies Ltd. 57
ポリシーのインストール 1
• Install PolicyをクリックしてGW-1にポリシーをインス
トールします
• ゲートウェイが複数ある場合、チェックの有無でポリ
シーインストールするゲートウェイを指定できます
©2015 Check Point Software Technologies Ltd. 58
SmartView Tracker 1
• SmartView Trackerは、各種Software Bladeで検出した
ログ、監査ログなどをリアルタイムで確認できます
• 特定のログをダブルクリックすると詳細を確認できます
©2015 Check Point Software Technologies Ltd. 59
SmartView Tracker 2
• Managementタブでは、管理系のログを確認できます
©2015 Check Point Software Technologies Ltd. 60
暗黙のルール 1
• Launch Menu> View> Implied Rulesを選択すると、暗黙
のルールが確認できます。これは、SmartDashboardク
ライアント、管理サーバ、ゲートウェイを管理する上で
必要なルールが予め設定されています
• もう⼀度選択すると、元の表⽰に戻ります
©2015 Check Point Software Technologies Ltd. 61
暗黙のルール 2
• Launch Menu> Policy> Global Properties> FireWallで暗
黙のルールを制御することができます
• 誤った設定を⾏うと、管理に影響が出ますので、注意し
てください
©2015 Check Point Software Technologies Ltd. 62
Evaluationライセンスの投入 1
• SmartUpdateを開き、License & Contractsタブを表示し
ます
©2015 Check Point Software Technologies Ltd. 63
Evaluationライセンスの投入 2
• Launch Menu> Licenses & Contracts> Add License>
From FileでEvaluationライセンスを投入します
– デスクトップ> Evaluation-license>にある
CPLicenseFile.licを選択します
©2015 Check Point Software Technologies Ltd. 64
Evaluationライセンスの投入 3
• GW1を右クリックしてAttach Licensesを選択して表示
されたライセンスをアタッチします
©2015 Check Point Software Technologies Ltd. 65
コントラクトのアップデート
• Launch Menu> Licenses & Contracts> Update
Contracts> From FilesでEvaluationライセンス(コントラ
クト)を投入します
– デスクトップ> Evaluation-licenseにある
ServiceContract.xmlを選択します
©2015 Check Point Software Technologies Ltd. 66
ライセンスとコントラクトの確認
• cpsg-xxの表示がゲートウェイ用のライセンス
• cpsm-xxの表⽰が管理サーバ⽤のライセンス
• コントラクトのアップデートで”Operation successfully
completed”になっているかを確認
©2015 Check Point Software Technologies Ltd. 67
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 68
IPSブレードで脅威の侵入を防御
既知の脆弱性を悪用する攻撃を防御
アノーマリ検出をベースとした
ゼロデイ攻撃の防御
IPS
攻撃パターンの検出
ハッカー
怪しいサイト
アノーマリ検出
©2015 Check Point Software Technologies Ltd. 69
IPSブレードの有効化
• GW-1のオブジェクトを選択してNetwork Securityタブ
のIPSにチェックを入れます
©2015 Check Point Software Technologies Ltd. 70
IPSブレードによる防御
• IPSブレードはCheck Point ThreatCloudから最新の防御
機能をダウンロードして防御機能を提供します
©2015 Check Point Software Technologies Ltd. 71
IPSプロファイルの指定
• プロファイルにより、どの防御機能が有効化されている
かが決まります。Recommendedを選択して推奨の防御
機能にします
今回はラボ環境なので特別にall trafficの検査を選択しますが
選択するとパフォーマンス影響のメッセージがでます
通常は侵入検出・防御の目的なので、internal host onlyを選択します
©2015 Check Point Software Technologies Ltd. 72
フェイル・セーフなメカニズム
• 高負荷時にIPS機能をバイパス処理する事ができます
• Highの値に達するとバイパス処理され、Lowの値に達す
ると再びIPS検査が⾏われます
今回は機能確認できたらチェックをしないで
OKをクリックします
©2015 Check Point Software Technologies Ltd. 73
IPS Overview画面
• IPSタブを選択するとIPSの詳細画面を確認できます
アクション・アイテム
•
コントラクト
•
シグネチャ更新など
プロファイル適用状況
インシデントの発生状況
最新のアドバイザリ
©2015 Check Point Software Technologies Ltd. 74
プロファイルの管理 1
• プロファイルは各防御機能を制御するグループです
• ゲートウェイごとに異なるプロファイルを割り当てる事で、
異なる防御の設定で複数ゲートウェイを展開できます
•
デフォルトで２つのプロファイルが用意されています
Default – 必要最小限の防御機能が有効化
Recommended – 推奨の防御機能が有効化
©2015 Check Point Software Technologies Ltd. 75
プロファイルの管理 2
• Recommended_Protectionのプロファイルをダブルクリッ
クするとIPSモードをPreventで動作させるかDetectで動作
させるか選択できます
検出と防御を⾏いたい場合、
デフォルト値のPreventで動作させます
©2015 Check Point Software Technologies Ltd. 76
IPSポリシー
• IPSポリシーは、有効化する防御機能を制御します
• 各防御機能には、Client/Server, Severity, Confidence Level,
performance impactの情報があり、それぞれのレベルに応
じて検査の有効化と無効化の制御ができます
IPSポリシーを変更すると、
ポリシーに従って防御機能が変更されます
©2015 Check Point Software Technologies Ltd. 77
アップデート・ポリシー
• 防御機能のアップデートを⾏った際に、新しく追加された
防御機能をDetect/Preventのどちらにするかを決定します
• 通常は、デフォルト値の”Detect”にしておきます
©2015 Check Point Software Technologies Ltd. 78
IPS防御機能
• プロファイルに含まれている各種防御機能の項目とそれぞ
れの設定値を確認できます
©2015 Check Point Software Technologies Ltd. 79
IPS防護機能の例
Severity（緊急度）
•
攻撃によりどの程度の影響が出るのか
Confidence Level（信頼度）
•
攻撃トラフィックであると確信できる信頼度
パフォーマンス影響度
•
ゲートウェイのパフォーマンスに与える影響
保護タイプ
•
クライアント保護・サーバ保護
関連セキュリティ勧告
•
この例ではMS14-018: CVE-2014-1755
©2015 Check Point Software Technologies Ltd. 80
更新された防御機能
• Check Point ThreatCloudから最新の防御機能がダウンロー
ドされると、その防御機能は一時的に強調表示になり、
Follow Upフラグが付きます
©2015 Check Point Software Technologies Ltd. 81
Max Ping Size防御機能の変更
• ラボ環境でIPS防御機能の動作を確認するために、Max
Ping Sizeの設定を変更してみます
pingで検索
Max Ping Sizeをダブルクリック
Preventに変更
Recommended_Protectionを
ダブルクリック
パケット・キャプチャ
©2015 Check Point Software Technologies Ltd. 82
ポリシーのインストール
• IPSブレードの設定をゲートウェイに反映するためにポリ
シーのインストールを⾏います
©2015 Check Point Software Technologies Ltd. 83
IPS防御機能の確認
• デフォルト・ゲートウェイにサイズの大きいpingを実施し
て、IPS防御されていることを確認します
– 例：ping 192.168.100.1 -l 3000
©2015 Check Point Software Technologies Ltd. 84
SmartView Trackerの詳細ログ
• SmartView Trackerの詳細ログには、IPSブレードで検出し
た攻撃のパケット情報を含むことができます
©2015 Check Point Software Technologies Ltd. 85
防御機能のアップデート
• 実環境では、Download Updatesを設定して最新の防御機
能をダウンロードできるようにします
– マニュアル、自動、オフライン、何れかのアップデート方法
を選択できます
アップデートには、UserCenterの
アカウントが必要です
©2015 Check Point Software Technologies Ltd. 86
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 87
Anti-Botブレードによるボット通信の防御
多層的な検出エンジンによる感染マシンの検出
アウトバウンドの通信を停止することにより、
ボットによるダメージを低減
Anti-Bot
Command &
Control
コマンド＆コント
ロール用のアドレス
通信パターン
振る舞い解析
©2015 Check Point Software Technologies Ltd. 88
Anti-Virusブレードのマルウェア侵入防御
侵⼊してくる不正なファイルをスキャンして防御
サンドボックスによるゼロデイの検出
不正な Web サイトへのアクセスを防御

マルウェア感染の検出にThreatCloudを活用

ファイル全体をバッファ

ユーザが利⽤しやすいように簡単に設定可能
ThreatCloud™
サイトのアドレスを確認
レジストリ
Antivirus
OS ファイル
不正ファイル
不正なWebサイト
©2015 Check Point Software Technologies Ltd. 89
Anti-BotとAnti-Virusブレードの有効化 1
• GW-1のオブジェクトを選択してNetwork Securityタブ
のAnti-BotとAnti-Virusにチェックを入れます
©2015 Check Point Software Technologies Ltd. 90
Anti-BotとAnti-Virusブレードの有効化 2
• Anti-Bot, Anti-Virusにチェックを入れると、First Time
Activationが出⼒されます
• 検出と防御を⾏うに場合は、”According to the Anti-Bot
and Anti-Virus policy”のチェックでOKボタンをクリック
します
匿名で攻撃の情報をCheck Point
ThreatCloudに共有できる場合は、
チェックを入れたままにします
今回はラボ環境なのでチェックを
外してみます
First Time Activationの内容
が反映されています
©2015 Check Point Software Technologies Ltd. 91
プロファイルの管理 1
• Threat Preventionタブを選択してデフォルトで用意され
ているプロファイルを確認します
• Recommended_Profileを選択してEditボタンをクリック
します
©2015 Check Point Software Technologies Ltd. 92
プロファイルの管理 2
• Anti-BotとAnti-Virusの設定を確認します
• UserCheckはAnti-Bot, Anti-Virusの防御時に、リダイレ
クションのメッセージを決定しています
ボットの活動を検査する
emailのサイズ(KB)
防御対象の
インターフェース指定
検査対象プロトコル
©2015 Check Point Software Technologies Ltd. 93
ポリシーの管理
Recommended_Profileを使用しています
Anti-BotとAnti-Virusは、ルールベースの
防御範囲に基づいて検査を⾏います
©2015 Check Point Software Technologies Ltd. 94
ポリシーのインストール
• Anti-BotとAnti-Virusブレードの設定をゲートウェイに反映
するためにポリシーのインストールを⾏います
©2015 Check Point Software Technologies Ltd. 95
プロテクションの確認
• プロテクションをクリックすると、レピュテーション、
シグネチャ、振る舞いなどの検出・防御機能が確認でき
ます
©2015 Check Point Software Technologies Ltd. 96
Threat Wiki 1
• Threat Wikiでは、マルウェア・データベース上にあるマ
ルウェア確認できます
©2015 Check Point Software Technologies Ltd. 97
Threat Wiki 2
• マルウェア・データベースは、インターネットからも閲
覧できます
– http://threatwiki.checkpoint.com/threatwiki/public.htm
©2015 Check Point Software Technologies Ltd. 98
Anti-Bot防御機能の確認 1
Anti-Botのテストを実施してみます
UserCheckのブロックメッセージ
＊メッセージを日本語に変更できます
©2015 Check Point Software Technologies Ltd. 99
Anti-Bot防御機能の確認 2
• SmartView Trackerで防御ログを確認します
防御のログが確認できます
©2015 Check Point Software Technologies Ltd. 100
Anti-Virus防御機能の確認 1
Anti-Virusのテストを実施してみます
UserCheckのブロックメッセージ
©2015 Check Point Software Technologies Ltd. 101
Anti-Virus防御機能の確認 2
• SmartView Trackerで防御ログを確認します
防御のログが確認できます
©2015 Check Point Software Technologies Ltd. 102
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 103
Threat Emulationブレードによる
未知マルウェア防御
不正なファイルが
添付されたメール
Threat Emulation Software
Bladeがインターセプト
添付ファイルを抽出
マルウェア検出
エミュレート
問題なし
脅威の挙動観察により
新しい攻撃を検出およびストップ
©2015 Check Point Software Technologies Ltd. 104
Threat Emulationの検査プロセス
File Aggregation
(kernel, dlpu)
Cache
キャッシュの負荷は、非常に軽量で
パフォーマンスにプラスの効果がある
Static Analysis
悪意あるコードを含むことができない
と判断すると
エミュレーションをスキップする
Emulation
サンドボックス環境（クラウド/オンプ
レミス）によるエミュレーション
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 105
Threat Emulationの導入オプション
オプション①
オプション②
Threat Emulation
クラウドサービス
Threat Emulation
アプライアンス
セキュリティ・ゲートウェイ
に統合
Security Gateway, R77
導入要件にそった最適な導入オプションを提供
[Restricted] ONLY for designated groups and individuals
©2015 Check Point Software Technologies Ltd. 106
Threat Emulationブレードの有効化 1
• GW-1のオブジェクトを選択してNetwork Securityタブ
のThreat Emulationにチェックを入れます
• Threat Emulation にチェックを入れると、First Time
Activationが出⼒されます
©2015 Check Point Software Technologies Ltd. 107
Threat Emulationブレードの有効化 2
• ThreadCloudで未知のマルウェアか否かを検査するため
に、ThreadCloud Emulation Serviceにチェックを入れ
てNextをクリックします
• ライセンスが登録されているユーザセンターのアカウン
トに、Threat Emulationのライセンスが登録されていな
い場合、エラーになります
©2015 Check Point Software Technologies Ltd. 108
Threat Emulationブレードの有効化 3
• First Time Activationで設定した内容がGW-1のオブジェ
クトのThreat Emulationで確認できます
デフォルトのエミュレーションは以下の２つです
WinXP, Office 2003/7, Adobe9
Win7, Office 2003/7, Adobe9
*追加の場合は他のイメージにチェックを入れます
-
©2015 Check Point Software Technologies Ltd. 109
ファイル・タイプの追加
• Threat Preventionタブを選択Messages and Actionsに検
査対象にできるファイルタイプが追加されていないか確
認します
検査対象に加えたいファイルタイプを選択します
©2015 Check Point Software Technologies Ltd. 110
プロファイルの管理 1
• Threat Preventionタブを選択してデフォルトで用意され
ているプロファイルを確認します
• Recommended_Profileを選択してEditボタンをクリック
します
©2015 Check Point Software Technologies Ltd. 111
プロファイルの管理 2
• Threat Emulationの設定を確認します
• 検査対象に加えたファイルタイプが、File Typesに追加
されています
防御対象の
インターフェース指定
検査対象プロトコル
検査対象のファイル・タイプ
©2015 Check Point Software Technologies Ltd. 112
プロファイルの管理 3
• Advanced設定では、Threat Emulationによる検査を⾏う
際のコネクションの扱いを決定できます
• ラボ環境でThreat Emulation防御機能の動作を確認する
ために、今回はHoldに変更します
Background
ファイルの検査が終了しなくてもコネクションを許可します。
マルウェアと判断されたファイルは、次回からは防御します
Hold
ファイルの検査が終了するまでコネクションを許可しません
Custom
プロトコル毎にコネクションの扱いを変えることができます
Hold設定にするとコネクションのタイムアウトが
発生する可能性がある旨がポップアップされます。
SMTPのHold設定は、MT Aの併用がお勧めです
©2015 Check Point Software Technologies Ltd. 113
ポリシーのインストール
• Threat Emulation ブレードの設定をゲートウェイに反映す
るためにポリシーのインストールを⾏います
©2015 Check Point Software Technologies Ltd. 114
Threat Emulation防御機能の確認 1
Threat Emulationのテスト
を実施してみます
マルウェアのファイルと検出・防御されたので、
ダウンロードが完了しない
©2015 Check Point Software Technologies Ltd. 115
Threat Emulation防御機能の確認 2
マルウェアではないファイルの
ダウンロードが正常に⾏えるこ
とを確認してみます
©2015 Check Point Software Technologies Ltd. 116
Threat Emulation防御機能の確認 3
• SmartView Trackerで防御ログを確認します
©2015 Check Point Software Technologies Ltd. 117
Threat Emulation防御機能の確認 4
Threat Emulationの検査結果
レポートが添付されています
不正な活動
システムプロセス
レジストリの値
ファイル・システムの
アクティビティ
©2015 Check Point Software Technologies Ltd. 118
Threat Emulation防御機能の確認 5
• 検出されたマルウェアのファイルを入手できます
• マルウェアのファイルは、扱いに注意が必要なので、パス
ワード付きのtar.gzファイルになっています
©2015 Check Point Software Technologies Ltd. 119
Threat Emulation防御機能の確認 6
• Threat Emulationでマルウェアと判断されたファイルは、
以降はlocal cacheの情報と照合して防御対象になります
Cloud
Local
cache
©2015 Check Point Software Technologies Ltd. 120
MTAの設定（捕捉情報）
• GWをMTAとして動作させると、Hold設定時にSMTPのコ
ネクションを保持しながら検査できます
SMTPトラフィックのインターフェース
MTAがメールを保持する時間やHDの空き容量
©2015 Check Point Software Technologies Ltd. 121
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
Gaiaセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAnti-Virusのセットアップ
Threat-Emulationのセットアップ
運用管理オペレーション
©2015 Check Point Software Technologies Ltd. 122
SmartView Monitor
©2015 Check Point Software Technologies Ltd. 123
ログ管理１
• ログはゲートウェイで生成されて、Security Managementサーバに
ネットワーク経由で転送され、 Security ManagementサーバのHDD上
の$FWDIR/log/fw.logに累積的に追加されます
• ログはfw.logのみではなく、ポインタ・ファイルも構成されます
• ログはlog switch(ログ切り換え)という作業を⾏うことにより、それま
でのログを別ファイルに保存できます。 Log switchではポインタ・
ファイルも別ファイル名で保存されます
• 後に再度ログを閲覧する場合、Security Managementサーバ上の
$FWDIR/logディレクトリに戻して確認します
• Log switchは⼿動で⾏う⽅法と⾃動で⾏う⽅法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、も
しくはCLIからfw logswitchコマンドで実⾏できます
– ⾃動では、定時に⾏う、ログファイルのサイズが指定した⼤きさを
超えたら⾏うなどの設定が可能です
©2015 Check Point Software Technologies Ltd. 124
ログ管理２
• $FWDIR/logディレクトリのログファイルの例です
©2015 Check Point Software Technologies Ltd. 125
ログ管理３
• オブジェクトのLogs> Local Log Storageで、自動でLog switchする設
定が可能です
• 初期設定で、幾つかのtimeオブジェクトが用意されています
©2015 Check Point Software Technologies Ltd. 126
システム・バックアップ１
• バックアップは、⼿動で⾏う⽅法とスケジュール化による⾃動の⽅法
があります
– バックアップは、Gaia OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
• バックアップファイルは、/var/log/CPbackup/backups/R77/に
保存されます
• リストアは、バックアップしたバージョン、Build、HF、HFAなど全て
合わせて実⾏する必要があります
©2015 Check Point Software Technologies Ltd. 127
システム・バックアップ２
• バックアップ・リストアは、CLIからも実⾏できます
• バックアップコマンド： add backup
• リストアコマンド：set backup restore
• リストア後は、rebootコマンドで再起動を実⾏します
Localにバックアップの例
show backup statusコマンドの例
©2015 Check Point Software Technologies Ltd. 128
スナップショット・マネジメント
• Snapshot Managementは、Snapshotによるシステムイメージのバック
アップです。/bootにディレクトリが作成され、その中にファイルが生
成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、処理が完了するまで数⼗分要する
場合があります
– イメージは、export, importが可能です
• Image Managementには、ログファイルは含まれません
Revertで復元できます
©2015 Check Point Software Technologies Ltd. 129
システムの初期化１
• CLIでrebootを⾏います
• “Press any key to see the boot menu”が表示されている間に、Enter
キーを⼊⼒します
©2015 Check Point Software Technologies Ltd. 130
システムの初期化２
• プロセスが終了して、loginプロンプトが表示されたら、初期時の
アカウントでログインします
– ユーザ名: admin, パスワード: admin
• 電源offする場合、Haltコマンドを⼊⼒します
• Power downが表示されたら、電源offします
©2015 Check Point Software Technologies Ltd. 131
セキュリティのリスクを可視化をしてみませんか？
(Security CheckUpレポート)
©2015 Check Point Software Technologies Ltd. 132
Security CheckUp構成例
•
•
内部ホストのトラフィックを検査して可視化
FW（NATされた）を通過した外部からの脅威を可視化
境界ファイアウォール
スイッチ
インターネット
ミラーポート(SPANポート)
シグネチャ・アップデート用の
インターネット接続
Security CheckUpレポート
2012 アプライアンス
©2015 Check Point Software Technologies Ltd. 133
セキュリティのリスクを可視化
無償サービスです！
Web セキュリティのイベント
侵入＆攻撃のイベント
データ損失のイベント
ボットのイベント
ウイルスのイベント
サンドボックスの検査のイベント（未知の脅威）
アプリケーション利⽤
アプリケーションごとの帯域幅利⽤
マルウェアの脅威
©2015 Check Point Software Technologies Ltd. 134
ありがとうございました!
Point Software
Technologies
Ltd
©2015©2015
CheckCheck
Point Software
Technologies
Ltd. 135

Download Report