Embed Size (px)
Citation preview
ISP Redundancy e IPS Utilizando Check Point Security Gateway
Radamés Bett
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, outubro de 2010
Resumo
Como o acesso à Internet se torna cada vez mais crítico para o sucesso empresarial,
os custos associados com a perda de conectividade se tornam maiores. Para se proteger
contra falhas na rede, faz sentido implantar sistemas redundantes para aplicações de missão
crítica à Internet bem como a segurança do tráfego desses links. O trabalho tem por objetivo
demonstrar a configuração de redundância de links ISP (Internet Service Provider) e IPS
(Intrusion Prevention System) do produto Check Point Security Gateway.
1 Introdução
A redundância de ISP garante conectividade à Internet permitindo um ou um cluster
de Check Point Security Gateway se conectar a Internet através da função de ISP
Redundancy. Essa função é parte da instalação padrão do Security Gateway e não requer
custos com novo hardware de rede ou do conhecimento especializado para operar.
O Intrusion Prevention System (IPS) integrado com o Check Ponit Security Gateway
acrescenta outra linha de defesa que consiste em comparar o conteúdo do pacote com mais de
2000 definições de ataque para determinar se o tráfego pode ameaçar recursos de rede. O IPS
vem sendo incorporado em firewalls para criar produtos híbridos [1].
2 ISP Redundancy
O ISP Redundancy monitora os links e direciona as conexões para o link apropriado
dependendo do modo de operação. Há dois modos de operação disponíveis na ferramenta que
são: Primary/Backup e Load Sharing.
Figura 1: Aplicação típica com um link ISP e aplicação redundante com link ISP duplicado
[2].
2.2 Modos de operação
Os seguintes modos de ISP Redundancy controlam o comportamento de conexões de
saída dos clientes da rede interna à Internet:
• Primary/Backup: Conecta-se a um ISP através do link primário e muda para o ISP de
backup quando o link do ISP primário falha. Quando o link primário é restabelecido as
novas conexões de saída são atribuídas a ele, enquanto as conexões já existentes são
mantidas no link de backup até que sejam concluídas[2].
• Load Sharing: Conecta-se a ambos ISPs enquanto distribui a carga das conexões de
saídas entre os ISPs. Novas conexões são atribuídas aleatoriamente a um link. Se um
link falhar, todas as novas conexões de saída são direcionadas para o link ativo[2].
As conexões de entrada (a partir da Internet para os servidores de aplicação na DMZ ou
redes internas) também se beneficiam da alta disponibilidade dos dois links de ISP porque o
Check Point Security Gateway retorna os pacotes usando o mesmo link ISP através do qual a
conexão foi iniciada.
Além disso, no modo de Load Sharing, conexões de entrada podem chegar a servidores de
aplicação através de qualquer link ISP porque o Check Point Security Gateway pode
responder a pedidos de DNS para o endereço IP dos servidores internos com endereços de
ambos os ISPs alterando sua ordem[2].
2.3 Configurando ISP Link Redundancy
Abaixo seguem as configurações realizadas no projeto para usufruir dos benefícios da
função de redundância de ISP do Check Point Security Gateway.
2.3.1 Configuração no SmartDashboard
Para configurar o SmartDashboard seguimos os passos:
1. Definir uma regra de segurança base que aceita o tráfego de DNS através do Security
Gateway usando o serviço domain_udp [2].
2. Na janela Check Point Gateway > Topology, devemos definir as interfaces externas
que estão conectadas aos ISPs.
Figura 2: Topologia configurada.
3. Selecione Topology > ISP Redundancy e em seguida marque a opção Support ISP
Redundancy.
Figura 3: ISP Redundancy.
4. Realize a configuração automática ou manual do link ISP. A configuração automática
só funciona se houver duas interfaces definidas como externas na guia da topologia e
não funciona para cluster de gateway.
2.3.2 Configuração Manual de ISP
No projeto realizamos a configuração manual do link ISP no modo Primary/Backup.
Abaixo os passos para configuração.
1. Na seção Redundancy Mode, selecione Primary/Backup.
Figura 4: Modo de operação de redundância.
2. Clique no botão Add para definir cada um dos links ISPs.
3. Na guia General da janela ISP Link Properties configure o seguinte
a. Atribua um nome ao link ISP e selecione a interface utilizada pelo ISP.
b. Devemos configurar o Next Hop IP Address clicando no botão Get from routing
table.
c. No modo Primary/Backup devemos definir qual link ISP é o primeiro.
Figura 5: Adicionando o ISP Link – Oi.
Figura 6: Adicionando o ISP Link – Copel.
Figura 7: Prioridade dos links.
4. Agora novamente na janela ISP Redundancy devemos definir uma ação nas opções
ISP failure e ISP recovery para receber o alerta quando o link ISP falhar e retornar
ao funcionamento.
Figura 8: Definindo ação do Tracking.
2.3.3 Permitindo Conexões de Entrada e Saída
1. Para permitir conexões de saída através dos links ISP devemos definir o Hide NAT
automático em objetos de rede que dá início as conexões de saída. Realizamos a
seguinte configuração:
a. Editamos o objeto internal_net [2].
b. Na guia General da janela Network Properties, selecione Add Automatic
Address Translation Rules.
c. Selecione o Hide Tranaslation Method e então a opção Hide behind Gateway.
Figura 9: Objeto de rede – Net_Guararapes_Palmas.
2. Para permitir conexões de entrada através dos links ISP para servidores de aplicação e
de DNS, devemos definir regras de NAT estático.
Original Translated Comment Source Destination Service Source Destination Service
Any 192.168.1.2 http = 10.0.0.2
(Static)
= Incoming
Web ISP
A
Any 172.16.2.2 http = 10.0.0.2
(Static)
= Incoming
Web ISP
B
Any 192.168.1.2 domain_
udp
= 10.0.0.3
(Static)
= Incoming
DNS ISP
A
Any 172.16.2.2 domain_
udp
= 10.0.0.3
(Static)
= Incoming
DNS ISP
B
Tabela 1: Exemplo de NAT Estático [2].
3. Agora devemos salvar as configurações e instalar a política de segurança em: Policy >
Install.
Figura 10: Instalando política de segurança.
2.3.4 Configurando Rota Padrão para ISP Redundancy Gateway
Configure o ISP Redundancy Gateway com uma única rota padrão e não lhe atribua
nenhuma métrica.
Dica: Quando trabalhar com o modo Primary/Backup defina o endereço IP do
roteador do link ISP configurado como primário como sua rota padrão. Quando trabalhar com
o modo Load Sharing utilize o endereço IP do roteador do primeiro link ISP na janela ISP
Redundancy como sua rota padrão.
Quando um link ISP falhar a rota padrão do gateway será alterada automaticamente
através do script de redundância e quando o link for restaurado, a rota original padrão será
restabelecida.
3 Check Point IPS R70
A ferramenta IPS disponível na versão R70 do Check Point Security Gateway é uma
evolução da ferramenta chamada Smart Defense presente nas versões anteriores do produto.
O IPS oferece vários níveis de controle sobre o tráfego de rede e a documentação do
produto recomenda que seja utilizado no inicio do projeto a implementação básica do IPS e
conforme a familiarização com as proteções e opções disponíveis você pode aperfeiçoar as
configurações a sua necessidade.
3.1 Implementação Básica IPS
O IPS possuí, por padrão, dois perfis configurados que podem ser utilizados
imediatamente para proteção do ambiente:
• Default_Protection – proporciona um desempenho excelente e com um bom nível de
proteção [1].
• Recommended_Protection – fornece melhor segurança com um nível de desempenho
razoável [1].
Figura 11: Guia de configuração do IPS [1].
3.1.1 Proteção Padrão
O perfil Default_Protection está configurado com os seguintes parâmetros [1]:
• IPS Mode: Prevenir
• IPS Policy: Todas as proteções de assinaturas com impacto de desempenho muito
baixo são ativadas.
• Updates Policy: As proteções baixadas utilizando Online Updates são definidas para
previnir.
3.1.2 Proteção Recomendada
O perfil Recommended_Protection está configurado com os seguintes parâmetros [1]:
• IPS Mode: Prevenir
• IPS Policy: Todas as proteções de assinatura e anomalias de protocolos com
severidade média ou alta e nível confidencial são ativadas, menos a proteção com
nível de impacto de desempenho critica.
• Updates Policy: As proteções baixadas utilizando Online Updates são definidas para
detectar.
Abaixo é mostrada a tela de configuração do IPS realizado no projeto.
Figura 12: Configurando o perfil Guararapes ao IPS.
Após a configuração do perfil do IPS segundo a nossa necessidade precisamos apenas
aplicar as alterações no gateway instalando a política de segurança.
Para aplicar a política de segurança:
1. Selecione File > Save.
2. Selecione Policy > Install.
3. Clique no botão OK.
Com a política de segurança aplicada e o IPS em funcionamento devemos acompanhar
com periodicidade os eventos do IPS no SmartView Tracker, que é a ferramenta para
acompanhar os logs do gateway, e avaliar se a configuração do IPS está obtendo resultados.
4 Validação dos Resultados
Os resultados, aqui demonstrados, foram retirados das ferramentas SmartView
Monitor e SmartView Tracker que auxiliam no gerenciamento do Check Point Security
Gateway.
4.1 Resultados ISP Redundancy
O SmartView Monitor traz mais informações sobre o Security Gateway que apenas
estados dos links. Como a Figura 13 mostra, na tela principal estão informações como versão
da plataforma, up time, última instalação da política de segurança, quantidade de VPN
conectadas naquele momento.
Figura 13: Check Point SmartView Monitor.
A Figura 14 mostra o modo de operação do ISP Redundancy e o estado dos ISPs.
Figura 14: Estado do ISP Redundancy.
Figura 15: Alerta SmartView Monitor.
4.2 Resultados IPS
Com o SmartView Tracker podemos analisar todo o tráfego do Security Gateway de
forma prática. A Figura 16 mostra o log do IPS um dia após ativação do mesmo.
Figura 16: Check Point SmartView Tracker.
Quando clicamos duas vezes sobre o log temos o detalhamento do mesmo com as
informações de origem, destino, serviço, tipo de ataque com informações e referências sobre o
mesmo.
Figura 17: Detalhamento de atuação do IPS.
5 Considerações finais
As funções ISP Redundancy e IPS disponíveis na solução da Check Point são de fácil
configuração e acompanhamento. A redundância de links funciona de forma bem
transparente. Quando um link entra em falha não precisamos realizar nenhuma ação para que
o outro link entre em funcionamento e o usuário final não percebe nenhuma indisponibilidade
dos serviços de acesso web, e-mail e sistema.
O IPS da solução atendeu todas as espectativas com excelentes capacidades de
prevenção de ameaças conhecidas e surpreendeu com a evolução da solução utilizada
anteriormente. Nos mostrou também de forma clara todas as ameaças que estávamos
sucetíveis e quais estavamos sofrendo.
Bibliografia
[1] Check Point, Check Ponit R70 IPS Admin Guide, dísponível no Check Point User Center
no site http://support.checkpoint.com.
[2] Check Point, Check Point R70 Firewall Admin Guide, dísponível no Check Point User
Center no site http://support.checkpoint.com.
