Tag Archives: Checkpoint

Checkpoint jednak (jeszcze) nie migruje do SHA-256

work-in-progress-CC BY-SA 2.0-kevandotorg-on-flickr
CC BY-SA 2.0 https://www.flickr.com/photos/kevandotorg/

Mo偶na si臋 by艂o tego spodziewa膰. O planach Checkpointa dotycz膮cych migracji z SHA-1 do SHA-256 pisa艂em tutaj. M贸j klient otrzyma艂 poprawki na czas na 99% urz膮dze艅, pozosta艂y 1% przejawia艂 problemy natury filozoficznej (nie poddam si臋 aktualizacji i co mi zrobisz) b膮d藕 technicznej (w dniu aktualizacji dysk zdech艂). Najwidoczniej jednak znale藕li si臋 u偶ytkownicy, kt贸rzy pokpili spraw臋. w zwi膮zku z czym Checkpoint migracj臋 certyfikat贸w musia艂 od艂o偶y膰 w czasie. P贸ki co do lutego 2016. 呕r贸d艂o: aktualna tre艣膰 SK103839

鈥淭o proactively enhance the security of our online update services, Check Point is planning to gradually migrate its SHA-1 based certificates to SHA-256 based certificates during February 2016.鈥

Checkpoint IPS – protect internal hosts only – jak to dzia艂a?

Ostatnio otrzyma艂em takie oto pytanie:

Jak dzia艂a Checkpoint IPS, je偶eli w konfiguracji modu艂u,聽 w sekcji “Protection scope”聽 wybraje jest ustawienie “Protect internal hosts only”.

Checkpoint-protect-internal-hosts-only

Precyzyjniej rzecz ujmuj膮c, pytaj膮cy chcia艂 wiedzie膰, czy w takiej konfiguracji modu艂 IPS b臋dzie analizowa艂 tylko ruch przep艂ywaj膮cy pomi臋dzy interfejsem o topologii “External” a interfejsami o topologii “Internal”, czy te偶 mo偶e analizie b臋dzie r贸wnie偶 poddany ruch “Internal” do “Internal”.

Odpowied藕 wcale nie jest oczywista, co mo偶na zaobserwowa膰 m.in. w dyskusji na cpug.org. R贸wnie偶 logika modu艂u firewall, kt贸ry decyzje podejmuje zazwyczaj przed trasowaniem pakietu, tj. w sytuacji, kiedy tylko interfejs 藕r贸d艂owy jest znany, sugeruje 偶e omawiane ustawienie wymusza analiz臋 ruchu, kt贸rego 藕r贸d艂o to interfejs o topologii “External”

Checkpoint-topology

Stan faktyczny jest taki, 偶e analizie poddawany jest ka偶dy ruch kierowany do interfesju “Internal” – bez wzgl臋du na jego interfejs 藕rod艂owy – zar贸wno “External” jak i “Internal”. Dodatkowo, w przypadku kiedy sygnatura ma typ “Server/Client”, analizie poddany b臋dzie ruch “Internal” do “External”.

殴r贸d艂o: Checkpoint sk94072

Jakie jest znaczenie praktyczne tego ustawienia? Poka偶臋 to na przyk艂adzie.

Firewall brzegowy z uruchomionym modu艂em IPS. W profilu IPS aktywna sygnatura typu “Server protection”, chroni膮ca serwer www Apache przed atakami na pewn膮 podatno艣膰. Profil ruchu: 1 000 000 nowych po艂膮cze艅 na godzin臋, z tego 100 000 w kierunku “External”->”Internal”, 200 000 “Internal”->”Internal” i 700 000 “Internal”->”External”.聽 Dla uproszczenia zak艂adam, 偶e 50% ruchu we wszystkich kierunkach to ruch HTTP.

Wersja 1 – aktywne jest ustawienie “Protect internal hosts only”
Ruch HTTP kierowany do interfejs贸w “Internal” to 50%x(100 000+200 000)=150 000 po艂膮cze艅 na godzin臋. Tyle po艂膮cze艅 zostanie poddanych analizie przez aktywn膮 sygnatur臋, w celu ochrony chronionych serwer贸w www znajduj膮cych si臋 za interfejsami “Internal”. Jest to analogiczne do stosowanej w Snorcie konstrukcji any -> $HOME_NET.

Wersja 2 – aktywne jest ustawienie “Perform IPS inspection on all traffic”. Ruch HTTP kierowany do wszystkich interfejs贸w to 50%x1 000 000=500 000 po艂膮cze艅 na godzin臋 – i wszystkie one zostan膮 poddane analizie. De facto sensor w tej konfiguracji chroni “ca艂y聽 Internet” przed atakami – analogiczne do Snortowego any -> any

Mo偶na przywo艂a膰 wiele argument贸w na obron臋 tezy, 偶e inspekcji powininen by膰 poddawany ca艂y ruch – wykrywanie host贸w z sieci wewn臋trznej dokonuj膮cych atak贸w na obce systemy, wykorzystuj膮c zasoby organizacji, 偶e sensor powinien by膰 odpowiednio zlokalizowany itd. W praktyce jest tak, 偶e klienci kupuj膮c urz膮dzenia wymiaruj膮 je do celu ochrony w艂asnej sieci,a uruchomienie trybu ochrony “wszystkiego” mo偶e powodowa膰 problemy z wydajno艣ci膮, stabilno艣ci膮, a偶 do odmowy wykonania us艂ugi w艂膮cznie.

Producent zaleca, w zbiorze najlepszych praktyk dotycz膮cych wydajno艣ci, aby u偶ywa膰 ustawienia “Protect internal hosts only”. Odmienna konfiguracja – je偶eli jest po偶膮dana – powinna by膰 poprzedzona testowaniem i optymalizacj膮 profilu IPS, a jeszcze lepszym rozwi膮zaniem wydaje si臋 by膰 przerzucenie ci臋偶aru analizy ruchu wychodz膮cego na zewn膮trz bli偶ej 藕r贸d艂a – np. na serwer proxy albo oprogramowanie uruchomione na urz膮dzeniu klienckim.