Checkpoint Firewall Alias FW1, UTM et d'autre noms
v 1.1 28/09/08
Introduction
Bienvenue dans cette nouvelle diarée verbale.. Bon
on va commencer simple, si vous êtes sur cette page, je pense
que
vous avez au moins quelques notions de ce qu'on nomme "un réseau" et
"un pare feu" en
informatique... sinon je vous encourage à repartir beaucoup plus
en arrière, du style de ces magnifiques articles :
Mais bien sur, comme toujours..... l'obligatoire petite review
accompagnatrice Bière
& Musique...Aujourd'hui La maison vous propose pour suivre
cet article sur les Firewalls Checkpoint, une Gambrinus Battin,
aussi appellée par un cercle restreint là "Frappe la grand mêre" (Ne me forcer pas à expliquer),
la meilleure bière du luxembourg (Sur
5 c'est pas extreme). Historiquement la brasserie fut
fondée en 1937 par Charles Battin, la bière produite à
Esch/Azlette, mais elle a été rachetée et elle est produite actuellent
à Bascharage à la brasserie Bofferding depuis 2005 (pourvus qu'ils ne mélangent pas
les cuves) Bon, certes c'est pas du meme
registre qu'une chimay, ca n'a pas connus dieu. Mais Ca reste une bonne
Pils à fermentation basse pour une biere athée. Elle est assez claire,
mais tape a 5.2 degrés quand même (honnete pour une pils).
La mousse se barre rapidement, mais, malgré cela c'est encore ce qu'on
peut boire de meilleur localement. Le gout est bien malté et reste en
bouche... Et le gout qui reste est correct, c'est pas une Kronenbourg
...bref si vous voulez en savoir plus .. Un
peut de lecture .. Coté Zic Bien EVIDEMENT le dernier
album deMetallicADeath
Magnetic.
Que dire... enfin un album de Metallica ou il semble que, de
mon point de vue, ils soient revenus dans le droit chemin, direction
leur origines, on entent ici ou la ... Du grand Metallica comme à
l'époque du Black Album... je tempererais..Certes Ulrich
le batteur à enfin réussis àa revendre la lessiveuse qui lui servait de
tambour lors du précedent album St Anger,
certes on a enlever les menottes a Hammet
(le guitariste Solo,
pour les Incultes) pour qu'il puisse enfin refaire des
solos.... mais je pense qu'on est replacé au niveau de Load/Reload.. et
je m'en explique...
Certes le "son" MetallicA est de retour, certe il y a des solos, mais
je trouve que sur de nombreux titres, le solo est là parce qu'il en
fallais un.. et il n'est pas précédé d'une bonne introduction. Je veut
dire par là... à un moment donné on se dit.. ha tient c'est le solo..
sur la "One"
du Justice ... jamais de la vie on se dit ha tient
c'est le solo.. il est dans la continuitée de la chanson il est intégré
et transparent, tous le monde comprend ce que je dis ou je suis dingue
??
Bref ma sélection préférée, parce qu'il en faut toujours une.. comme au
Tiercé, dans l'ordre des préférences... La 7, The Unforgiven III, la 9
Suicide et Redemption, la 5 All Nightmare Long. et je ne parlerais pas
ici du soit disant single "The day that never comes" auquel je n'adhère
pas
The Unforgiven III :
Et oui 3eme du nom fallait oser, Excellente introduction à la
S&M (Pas la
tendance, l'album !!)
et du bon metallica bien cool, mais avec des montées en puissance tout
du long du morceau.. Encore que je trouve qu'on "sens" le solo, mais ne
revenons pas la dessus c'en est un qui se sens le moins de
l'album... Juste avant cela là, à 4:35 une bonne montée comme je les
adore... Suicide et Redemption:
Une vache d'Instrumental, et qui sait nous occuper et qui ne fait pas
regreter Newsted...
Même si franchement j'aurais commencer 20 secondes après le début ca
aurais rien gacher, et je l'aurais pas zapper a l'achat de l'album ;) All NightMare Long
: Hooo mes aiyeux du riff que dis-je
DES
rifs.. Haa celui de 2:35 une tuerie...
Enfin pour l'exterieur de pochette.... J'aime pas le Blanc... Mais bon
peut t'on leur en vouloir ils ont choisis un authentique gars du
marqueting qui fait comme tous les autres, ces temps ci il fout tous en
Blanc, a nous les Années 2000 IPODesques dont on se moquera
comme des fleurs phsychédélique des années 70... N'empèche ils ont pas
taper au hasard ... Turner
Duckworth le Designer de Coca Cola et des cartons
Amazon.com... y a plus risqué comme designer... Buy MetallicA
and a Coca... décidément c'est de l'industrie....c'est triste.
Bon passons à un autre genre d'industrie
CheckPoint FireWall Whaat Daaaat lhaaa ? (Bref C'est Quoi )
Oui je n'ai pas pus m'en empecher, une petite private joke qui ne fait
rire qu'au luxembourg, et pas des luxembourgeois...C'est dire si le
public est faible....Bref
on va vous parler cette fois ci d'un firewall et pas n'importe lequel,
le "Checkpoint", dont le dernier nom en date (prenez ici votre
respiration) est "Checkpoint VPN-1 UTM" ou "Checkpoint
POWER NGX 65". Et oui a l'heure ou je tape, la version du jour est la
R65. Mais ne vous habituez
pas, c'est leur truc de changer totalement de nom grotesque à chaque
release....
Que peut t'on dire de cette petite chose, et bien déjà que c'est un
soft israélien, et que si il y a bien un pays qui sait faire des murs
c'est bien eux.. (oui le
firewall allemand c'est plus ce que c'était)
Bref, cette considération politique étant passée que peut t'ont en
dire d'autre; et bien en fait, de toutes les gammes de firewalls
disponibles sur
le marché, c'est un des plus convivial et des plus complet,
les
détracteurs diront aussi "des plus lents".... à cela je répondrais que
il faut penser à choisir une bonne plate forme, et savoir ce dont on a
besoin... et du fait que ce n'est
pas un bête packet filter, bin du coup, oui, pepere il bosse...
Quoi
qu'il en soit, même si vous avez 10mb de bande passante internet, et un
réseau de moyenne taille, n'importe quel modèle ne vous posera pas de
problèmes de performances... reprenons ;
Donc il est facile a
utiliser, super sympa pour labourer les logs... et pourris de
fonctionnalités. Il faut bien comprendre que c'est un firewall
applicatif , c'est un soft quoi (même si maintenant il peut dans
certain cas bénéficier d'accelleration matérielles)... Du
coup on le
trouve sur plein de plateformes, Window, Solaris (sparc),
Linux
Red Hat, IPSO (un os pour appliances Nokia), Et pis donc il y
en a un petit dernier bien sympas nommé Check
Point Secure
Plateforme bref SPLAT pour les
intimes qui est en fait un RedHat
trafiqué et bundlé .... j'avoue c'est mon petit préféré..
On distingue deux lignes déja dans cet inventaire, le VPN1 Power UTM
etc caetera. et
le SmartCenter Server... et c'est la que je veut en venir, le firewall
Checkpoint (Et on va
commencer a l'appeler comme cela qu'en dites
vous...) est composé de nombreux modules en fait, ce n'est
pas une
appliance monolitique clef en main...
Le Firewall Checkpoint est
donc constitué de nombreuses briques (quand je vous dit qu'il sont
calés en
murs) qui interagissent entre elles...
Les modules principaux:
Firewall Module
: c'est le firewall proprement dit, celui qui va faire
passer..ou pas... votre traffic. Smart Center Server
: c'est le module qui va contenir les règles,se les
compiler et les mettre en place sur vos modules firewall, c'est
vers lui que vous connecterez votre "interface de management" alias la
Gui, alias le Clickodrome.
Bref
c'est le cerveau de la bande, la piêce la plus important de cette
infratructure. Dans l'intimité on le nomme SCS Smart console
: le fameux clickodrome de configuration proprement dit,
celui qui va devenir votre prochain terrain de jeux. Log Server :
Dans 99% des cas il est posé avec le SCS mais bon , libre à
chacun, son rôle coule de sources pour chacun j'espère...
Bon il y en a plein d'autres oublions les pour l'instant..
Nomenclature:
Comme
vous l'aurez remarquer monsieur Checkpoint fier comme Artaban, précède
tous ses softs de "Smart"
on est nombreux a trouver cela très con...ca
fait juste chiez quand on se parle entre collègues, heuuu tu saurait te
connecter avec ton Smartconsole sur le SmartCenterServer etc etc..
c'est long, du coups certain dérivent vers leur nom a eux, ils
se
reconnaiteront (La "manag",
non mais j't'en foutrais moi)... Bref ca tourne vite au
n'importe quoi, Mr Checkpoint dit que SMART veut dire
quelque chose...(et
questionnent même dessus à ses certifications en plus !!!)
Secure Management ARchTecture, et quoi on
prend la bible et on se cherche des acronymes en prenant des lettres au
hasard dans un paragraphe !!! Moi je dit que ca pue affreusement le
retro-acronyme .... Bref
pour montrer à quel point c'est con, on vas certes utiliser
les
acronymes officiels (ex
: SCS pour SmartCenterServer) mais on va se
faire plaisir et remplacer tous les Smart
par Stupid.
Avec une infrastructure CheckPoint, on se
retrouve avec plein de modules, libre à nous de les mettre selon nos
besoins (performance,
prix, robustesse, choose only Two..) sur un
nombre au choix de machines ou alors tout sur la même par exemple, on
peut
avoir une infrastrucure dispendieuse oú minimaliste....ne pas oublier
que cette infrastrucure est ouverte et on peut donc avec une dizaine de
firewalls et les configurer via un seul et unique scs.. classe non ?
Et c'est
déclinable à l'infini. Les puristes diront qu'une infrastructure "full
split" réduit les problèmes de downtime (et oui seul l'arrêt du FW
module est gênant pour votre production) et sécurise, et
oui quand bien
même vous arriveriez à prendre la main sur un firewall module sous
splat, vous vous rendriez compte avec consternation que vous avez même
pas un pauvre telnet d'installé pour sauter plus loin..on rapelle, Fast
good
Cheap, choose Two.. bref .. Une petit contrainte
cependant,
sur l'interface de management elle est UNIQUEMENT WINDOWS ,
enfin
presque uniquement... en fait elle existe aussi sur Solaris
pour Motif mais
c'est une option payante (Bon
autant vous prévenir tout de suite, les
options payantes sur CheckPoint va falloir commencer a s'y habituer)
et
je connait personne de vivant qui l'aurai vu...
A une dernier chose le distingue..la société à le logo le plus pourris
dont puisse se doter.... non mais
franchement vous trouvez ca sérieux vous, un aigle fondant hacker
asiatique (pro US),
un ogre avec un routeur entre les dents, je veut
bien... enfin c'est un firewall que diable,ici au
lieu de
cela on a un pauvre PC débonnaire..... grotesque !
Allez
ok ok, c'est Josué le fils du chef de la boite qui l'a dessiné
quand il était
petit..
c'est pour ça qu'on en change pas hein... on à peur de se faire
sectionner la base du cou au département marketing ??.
Bref
pour l'instant avec ce que l'on sait, installons nous ces modules...et
faisons nous plaisir.... on va choisir de tout spliter comme si on
avait
plein de sous sous pour bien comprendre comment tout cela s'enmanche.
Appréhendons la Bête, installons nous un CheckPoint
Bon on l'a donc compris l'infrastructure de base dont on a besoin sera constituée d'un module Firewall, d'un SCS et d'une GUI Stupid console.. En tous 3 Machines , on va choisir de faire le maximum sur SPLAT.
Installation de la Splat... pour le Firewall Module
Materiel
Nécessaire, un CD de Checkpoint (Je
crois qu'on peut les commander pas
cher, juste le support depuis le site checkpoint..
Hooo
j'ai
entendu la dans le fond.. Emule.. c'est gonflé monsieur permettez moi
de vous le dire, on ne parle pas piratage dans notre belle france.. je
rapelle aue c'est punis par le peine de mort.. ha non ?? pas encore...
ca tardera pas rassurez vous ) et un Windows pour la Gui.
Bref pour nos petits jeux je vais utiliser
Vmware
Server
faut avouer que pour jouer avec ce genre de truc c'est
pratique avec une Bete vm de 10Go de disque et 512 Mo de ram on a
suffisament pour jouer.....Passons par l'installation du Module
Firewall. Donc on à le CD et une machine avec 3 pattes réseaux, (et
sous Vmware on lui dit juste que c'est une red hat, au diable les
tools, c'est pour jouer) Et que va t'on faire
dans les
5mn qui vont venir ? Et bien oui on va installer une SPLAT. On
boot
sur le CD et on suit les slides...
Si vous avez pas de CD et que vous êtes en pleine galère
on peut
booter via une Disquette à se génerer depuis le CD puis faire l'install
via le réseau. Si on à
pas de disquettes on peut même faire l'install
via PXE de
bout en bout, et si on
n'a pas de réseaux.... bin ca
sert a rien d' installer un firewall les mecs. T out ce qu'on
a besoin c'est au moins 10Go de disques
Etape 1 on boote sur le CD et on tape une touche endéans les 90
secondes (c'est pas
extreme pour un début)
Et la préparez vous à une expérience multimédia intense....
Un
bon vieux installeur en mode texte et monochrome, hein vous en
réviez.... mais
il marche bien et c'est bien le pricipal. donc au 1er menu
vous avez 3 options
(Et tampis pour les
détracteur qui considèrent pas CANCEL comme une option)
CANCEL, sans
commentaires, DEVICE
LIST,
permet de vérifier si notre hardware a bien été détécté (les cartes
réseaux surtout le nerf de cette guerre),et ADD DRIVER (Fournis par
Mr Checkpoint et j'en ai
jamais vu un seul) et OK
qui continue l'installation.
Avec DEVICE LIST, on peut d'un coup d'un seul vérifier qu'on a bien
tout son petit matériel
Donc
une fois qu'on a bien vu tous ses petits on peut continuer
l'installation,
au passage il existe une HardWare
Compatibily List pour s' éviter les
frayeurs. Ensuite
on nous demande quelle version de SPLAT
on veut, celle des pauvres ou
la Pro, la différence entre elles , c'est que la version pro supporte
les protocoles de routages, et l'authentification de l'administrateur
via un serveur radius , et c'est absolument tout... et
puis
bien sur ceci est aussi soumis a une licence vous vous en doutez
bien...
Les protcoles supportés sont :
Unicast : BGP, OSPF, RIP v1 et v2
Multicast : IGMP, PIM-DM et PIM-SM
Rassurez vous on va pas débatre de routage dans ces pages.. Et
pas de paniques si vous avez raté la case l'ors de l'installation on
peut passer de la pas pro à
la pro avec une simple commande par apres : "pro enable" je sais
c'est des command lines
torrides... Bon ensuite on choisir le clavier (vous avez vus la misère de
clavier que je me
trimballe)
Et
enfin les choses drôles commencent.. configurer le lan.. de base.. donc
on choppe et on configure la carte qui va être la
carte interne, celle par
laquelle on va manager, et on se gourre pas s'il vous plait, le lan est
obligatoire pour
la configuration initiale si on veut se servir de la festive interface
Web.
Et
à l'écran suivant, c'est ici d'ailleurs qu'on active le clickodrome à
configuration de
SPLAT que l'on va utiliser plus tard.. notez que ce n'est absolument
pas obligatoire. on a deux options, soit on configurer la base de son
firewall avec un browser, soit on peut effectuer la même configuration,
en console sur le module firewall avec la
commande "cpconfig"
Et voila on a finis la partie "Questionnaire" l'installation va
démarrer
Et c'est partis..... ça fait tout tous seul, vous pouvez aller pisser,
mais ne tardez pas...
Déjà revenus ??? vous êtes vous correctement lavé les mains, oui ?
alors validez, il
va rebooter et est prêt pour la
configuration initiale
Un
fois qu'on est arrivé là .... on toujours le choix de nos deux options,
soit on termine la
configuration via le CLI (Command
line interface) soit, si on a
activé précédement le clickodrome https on termine la config avec un
joyeux navigateur. Via le Cli il faut juste lancer cpconfig ..
via le https c'est exactement le même Wizard mais... jolie...
allez on se fait via la Gui HTTPS...
On prend
son navigateur et on fait
https://monipdemonfirewall et la
hoo joie devant nos yeux hébais un site nous attend (bon, cessez votre paranoïa et
validez le certif qu'on en
finisse)... bon je prévient tout de suite, je sais que de
nombreux
d'entre vous vont se jeter sur leur firefox 3 flambant neuf (moi le premier).....
ca
fait de fortes choses bizarres donc prière de vous rabattre sur un
modeste IE meme IE7 si vous voulez bien....
Bon
bien sur on lis plusieurs fois consciencieusement ceci et on valide,
ensuite on se logge pour la 1ère fois... en admin et mot de
passe admin.
Et
on change son mot de passe, et en plus , parce que C'est plus qu'une
bonne pratique de changer le nom de l'utilisateur administrateur. On le
fait !! On download aussi le Recovery Login Token, ca permettra de
savoir se logger, si défois votre administrateur de firewall décède
d'un
anévrisme pile poil après avoir changé le mot de passe sans avoir
encore eu le temps de l'inscrire quelque part...Bref ca permet de
récupérer un mot de passer perdu.
Bien sur ce token est lui aussi soumis à mot de passe ne le perdez pas
celui la, et enfin on arrive a l'installation... houf....quand même
La
1ère phase de configuration conciste à configurer les interfaces,
puis s'en suis alors une série de page pour configurer le
reste
des
paramètres réseaux , le dns, l'heure via ntp ou pas et enfin on tombe
sur la page de configuration des accès de management, une bonne
pratique est de, déjà la, avant même de faire marcher le firewall
restreindre les accès à vos machines ou range de management... Ceci ne
configure pas le firewall, ceci configurer le serveur Web et le serveur
SSh qui sert au management.
Voila
on arrive enfin à un premier point intéressant.. après avoir choisi
l'os sous
le firewall SPLAT pro ou
SPLAT pas pro,
il y a le même genre de question
concernant le logiciel Firewall.
Alors on prend lequel ? Deux
produits s'offrent à vous, le Power
et le UTM,
qui veut dire Unified
Thread Management, c'est
celui qui permet de rajouter des modules de
scan de flux , Web Filtering ou Antivirus par exemple. On reviendra
ptet
la dessus plus tard hein.. donc le classieux c'est le UTM.
Et
nous voila enfin à la page la plus important de l'installation d'une
SPLAT.... Que va t'on installer sur notre SPLAT ? (vous savez tous ces
modules). Ici j'ai juste choisir le firewall et on fait
next. Ensuite,
si on se lance dans un cluster (voir
plus loin dans quelques articles) ou dans un firewall qui
serait en dhcp on s'inquiètera de la fenêtre suivante sinon on fait
Next.
Et on arrive enfin à un truc vachement Important, reveillez vous..
C'est le SIC , Secure Internal
Communication...
Mais qu'est
ce que le SIC
maryse ?... je vous avait dit plus haut que le SCS c'est
le cerveau de la bande, et bien le SCS communique au travers d'un lien
crypté avec tous les autres modules, et ce lien c'est le SIC, le sic en
fait
c'est deux choses :
C'est le nom du lien sécurisé entre les SCS et les Modules
Checkpoint
Un gage de sécurité sur l'identité du module en face.
Et
pour initier cette relation, on va mettre des clef symétriques (un mot de passe de chaque cotés,
quoi) et donc
voila pourquoi on doit rentrer une clef ici.. et vous verrez plus tard
, dans le SCS en configurant le lien vers le firewall on remettra cette
même clef. et quand on initialisera ce lien, une vraie clef
bien
grosse et bien sécure sera généré à sa place à partir d'elle.
Et
voila après ce dernier click, ce qu'on a choisi s'installe et au bout
d'un petit temps, le firewall reboot, il est prêt pour la phase
suivante... Et je le rappelle, on a fait cela avec la Gui Web on aurais
tout aussi pus faire toutes cette configuration via la console ou en
ssh avec la commande cpconfig.
Installation du Stupid Center Server (SCS) et de StupidPortal
Et
bien figurez vous que si vous choisissez la aussi de mettre votre SCS (Je rapelle, le cerveau de la
bande)
sur une SPLAT, c'est
exactement la même procédure que pour installer un Module Firewall...
juste à un certain moment ....celui ou on choisis les modules...on
coche des autres cases. Mais on va varier les plaisirs, on va
s'installer un SCS sur une SPLAT
mais via la console....Bon la première Phase est exactement pareil que
celle pour installer une SPLAT à firewall, on se doute que la version
Secure Plateforme Pro n'amènera rien de plus a un SCS si ce n'est le
login console Radius.. Bref, on prend les meme et on recommence sur une
autre machine et après de
nombreux next et une install disque on arrive à la phase après
le
1ere
reboot.. et là on peut y acceder soit en SSH soit via la console, comme
on peut le constater c'est la même procédure, et on s'évite la page de
lecture de licence, c'est pas négligeable.
Au login, a l'instar
de la version WEB on se logge et on change le login.. bon ici je me
suis pas fatiguer a changer le username, c'est un mauvais exemple, mais
il se fait tard.
login as: admin admin@192.168.80.100's password:
You must change the default password.
Enter new password: Enter new password (again):
You may choose a different user name.
Enter new user name: admin User name was not changed.
? for list of commands sysconfig for system and products
configuration
[cpmodule]#
Bon arrivé là on lance l'install en tapant cpconfig, et on a un
gentil petit menu en mode texte. et on retrouve tout ce qu'on avait
avec notre clickodrome web d'avant Welcome to Check Point Configuration
Program ================================================= This program will guide you through
several steps where you will define your VPN-1 configuration. At any later time, you can reconfigure
these parameters by running cpconfig Configuring Licenses... ======================= Host
Expiration
Signature
Features
Note: The recommended way of managing
licenses is using SmartUpdate. cpconfig can be used to manage local
licenses only on this machine.
Do you want to add licenses (y/n) [y] ? Configuring Administrator... ============================ No VPN-1 Administrator is currently defined for this SmartCenter Server.
Do you want to add an administrator
(y/n) [y] ? n
No administrator is currently defined. Are you sure you want to continue?
(y/n) [n] ?
Do you want to add an administrator
(y/n) [y] ? y Administrator name: admin Password: Configuring GUI Clients... ========================== GUI Clients are trusted hosts from which Administrators are allowed to log on to
this SmartCenter Server using Windows/X-Motif GUI.
No GUI Clients defined Do you want to add a GUI Client (y/n)
[y] ? y
You can add GUI Clients using any of
the following formats: 1. IP address. 2. Machine name. 3. "Any" - Any IP without restriction. 4. IP/Netmask - A range of addresses,
for example 192.168.10.0/255.255.255.0 5. A range of addresses - for example
192.168.10.8-192.168.10.16 6. Wild cards (IP only) - for example
192.168.10.*
Please enter the list of hosts that
will be GUI Clients. Enter GUI Client one per line,
terminating with CTRL-D or your EOF character. 192.168.80.* Configuring Certificate Authority... ====================================
The Internal CA will now be initialized with the following name: cpmodule
Initializing the Internal CA...(may
take several minutes) Internal Certificate
Authority created successfully
Certificate was created
successfully Certificate Authority initialization
ended successfully Trying to contact Certificate
Authority. It might take a while... cpmodule was successfully set to the
Internal CA
Done
Configuring Certificate's Fingerprint... ======================================== The following text is the fingerprint
of this SmartCenter Server: JURY JOG WAS ASIA SOY JOY THIS RENT BOW
LACK BLAT GRIT
Do you want to save it to a file? (y/n)
[n] ?
La
dessus l'installeur demande si il doit starter les produits, on lui
répond non et on reboot, car même s'il les démarre il va nous demander
de rebooter, that's it faut faire avec
Bon, voila on a 2 SPLAT pretes,
une avec le module Firewall, une avec le SCS... que nous manque t'il
.... parce que pour l'instant on a deux bout de bois... il nous manque
le Stupidconsole, la gui de management dont nous avons préparer la
venue précédemment en donnant acces a notre range.
Installation du StupidConsole
Bon la pas a chiez, ne
disposant pas de Solaris sous Sparc.... on va faire cela sous Windows.
Vous pouvez trouver les soft d'intall du StupidConsole sur le CD
d'installation, mais il y a plus simple... on prend un navigateur on le
pointe sur https://monscs
on se logue on va dans product configuration
et DownloadStupidconsole
et la hoo joie on peut downloader
la
derniere version sans se fatiguer directement du site de management de
la SPLAT qui fait SCS
Et après quelque clicks vigoureux sur les nombreux next next next de
cet installeur on en
est là...
La vache c'est pourris de nouveaux modules de management ...C'est
partis, détaillons qui fait quoi
StupidDashboard
: Le module le plus important je dirait, c'est celui qui
permet de
configurer les firewall, que ce soit les règles de filtrage, de nat, de
qos, de firewalling applicatif etc..
StupidView Tracker :
Module
tout aussi important, il permet de labourer les logs (et il le fait
bien) et aussi de voir les paquets qui passent en live au
travers de
nos firewall.
Eventia Analyser: la
c'est payant, eventia, permet de voir des évements de
sécurité, il va analysé les log et trouver les trucs louches.
Stupid
Update : Aussi payant (Checkpoint
Rulezz)... ca permet de mettre à jours, les os, soft et
patch des
tous les modules checkpoint (splat
compris) en créant ses
petits paquet d'update via un point centralisé.
Secure client Packaging
user : Ou comment déployer des clients VPN.
StupidView Monitor : Un
module des plus important et je dirais celui
que les gens exploitent le moins et c'est dommage.. il permet de voir
l'état de vos firewall et ce qu'il font.
Eventia Reporter: pareil,
licence que son pote plus haut, et permet de pondre des rapport sur ces
fameux problèmes.
Stupid
LSM:
Cela permet de manager des ROBO... alors le ROBO c'est quoi, rien a
voir avec Asymov, ROPO veut dire Remote
Office / Branche Office,
Admettons vous êtes une maison mère et vous avez de nombreux petit
office disséminé partout et vous manager cela de facons centralisée..
grace a stupidlsm en fait au lieu de manager 300 firewall dans le monde
vous en manager juste un qui les representes tous et cela va
configurer de facons identique vos 300 bignous... heu licence
supplémetaire bien sur vous vous doutez bien..
Ce qu'on a besoin la plupart du temps ca sera le
StupidDashboard, Tracker et Monitor. Une fois
qu'on a installer tout ceci, il nous tarde de connecter tout ces
bignous
et de pousser notre première règle sur le firewall.. Et pour faire cela
il va falloir tout mettre en ordre.. On va connecter notre
StupidDashBoard sur notre StupidCenter Server et on va configurer la
liaison (SIC)
avec notre module firewall et enfin faire une régle qu'on poussera sur
le firewall.. C'est tout un programme...
Vos premières Rêgles
N'ayez crainte cela va bien se passer, reposez ce paquet de Vania,
connecter plutôt le Stupid DashBoard au SCS, on clique donc sur l'icone
StupidDasboard et on tombe la dessus :
C'est
l'interface de configuration de votre connection au SCS... on va
rentrer ici l'administrateur CheckPoint que l'on à definit au moment de
l'installation de la SCS, l'adresse ou le host de celui ci... et au
niveau de l'accounting pour se faire plaisir on va entrer une
description de cette session dashboard. Ca c'est ideal pour rapidement
retrouver qui a fait quoi comme connerie sur le firewall (mais rassurer
vous, tout absolument tout est audité de toutes facons) et on clicaue
alors ok...
La on tombe sur cette étrange fenêtre, on ne l'a que
la première fois normalement... c'est exactement la même que la
signature que vous avez recu précedement du SCS, c'est le même concept
que pour une
session SSH le serveur en face vous donne sa clef, et vous etre ainsi
sur que c'est bien lui, et pas un autre quidam ne ses serait
interposé
entre vous (Le fameux
coup du Man in the Middle)... Vous voila donc rassuré sur
l'authenticitée du serveur SCS
en face .... On approuve donc la connection à ce SCS.. et si un jours
vous retombez dessus sans avoir joué avec le SIC.. méfiez vous..
Et voila devant vos yeux hébahis le StupidDashBoard de CheckPoint,
alors émus ?
Sur
votre gauche les objets, au milieu les règles du firewall, en
l'occurrence, pas une, forcement le firewall est neuf... on voit une
série d'onglets security, nat etc c'est pour configurer toutes les
fonctions du firewall... et en dessous un jolis petit dessin bien
ridicule, le StupidMap, cette chose (prévoyez encore quelque deniers
pour Checkpoint c'est encore une licence en plus) va
tenter de grapher
le réseau que vous lui indiquez via les rules... ca fait des jolis
dessins exportables en bmp et jpg et même en visio si celui ci est
installé sur la machine contenant la StupidConsole.
Et bien voila
dans les objets on voit déja son SCS... On va commencer par ajouter son
module Firewall, bouton droits sur les objets check point et hop un
VPN1 Power/UTM
Bon on va pas faire les tarlouzes, on va prendre le mode Classic pour
voir tous les trucs sympas
C'est
pas non plus exceptionnel comme configuration, on définit l'ip de notre
module firewall, on
clique sur le bouton communication et on initialise le handshake SIC
avec le même mot de passe que l'on a mis à l'install sur le module
firewall.
Hooo
joie la connection SIC s'établis bien, on peut dès à present manager ce
firewall via notre SCS, on rajoute la case VPN pour dire que notre
firewall supporte en SUS (Salope)
la gestion des VPN (Pour
plus tard). Sur la
gauche vous voyez que l'arborescence à forcis (comment ca grosse !!)
c'est tout le parametrage relatif a notre firewall, on va s'interesser
au réseau, on clique sur topologie.
Et
on appuie sur GET with topologie et automatiquement il va demander au
module firewall ses interfaces et si elle sont connectée dedans ou
dehors.. et ca il le fait au travers du SIC point de SNMP.
Mais
pourquoi demander si c'est dedans ou dehors vous me direz, qu'est ce
que cela peut lui foutre, et bien les ptis gars cela permet au firewall
de gérer et de comprendre les règles. Pour savoir si par exemple il
doit natter avant d'envoyer a internet etc... et il y a un autre truc
important l'ANTI SPOOFING
ca c'est super important ca peut vous faire chiez une bonne douzaine de
fois...
Qu'est
ce que l'anti spoofing Maryse....Imaginon un firewall à
deux pattes (c'est
déja plus facile a imaginer qu'un canard a 3 pattes).. Si
je laisse la
configuration se faire, eth1 sera configuré dans l'antispoofing
en tant que external et eth0 sera configuré par défaut sur
"Netword Defined by the interface IP and Netmask".... ca c'est par
défaut.... une configuration anti-spoofing qu'on nommera "De Base"
Et dans notre réseau derriere le range interne, un routeur
connecteura celui ci a un autre range. Et
bien si un paquet se présente depuis le range (que le firewall ignore)
du bout du réseau interne... le firewall verra arriver un paquet
avec comme source 192.168.5.x sur son interface eth0. Le
firewall il sait juste que le lan interne c'est 192.168.0/24 ,
le paquet qui va arriver avec comme source 192.168.5/24 va se fracasser
dans le firewall, tué par l'anti spoofing, avant meme qu'une regle ne
le fasse. Cela évite donc
les tentative d'ip spoofing (faire
passer discretos un paquet de dedans depuis dehors). Pour
que la configuration d'un tel
truc marche, il faudra créer un groupe, y mettre les 2 ranges interne
(le 5.X et 0.X)
et dire dans la case "spécific" que cette carte est
connectée au group que l'on vient de définir.. Tout le monde à
compris a quoi ca sert ? A se proteger et a se faire emmerder en même
temps ;)
ET si ca vient sur une interface flaggée external, il s'attend à
n'importe quelle adresse.
Voila
à partir de là.... notre config " StupidDashBoard - StupidCenterServer
- Firewall Module " est terminée on va pouvoir pousser une première
Règle...
Ma première Règle sans ma mère
Bon information
de première importance Checkpoint par défaut bloque les connections...
cela veut dire que si j'applique les règles maintenant, il en sera
terminé de mon accès SSH entre ma station de management et le module
Firewall, Il droppe par défaut certes mais il ne logge pas ces
drop... voila donc de quoi nous faire faire 2 règles de base, ce qui
fera une bonne introduction à tout ce merdier...
on y va... on ajoute une règle....
Et voila devant vos yeux ébahis et incrédules votre première règles
CheckPoint
On va passer en revue les champs... ca va devenir votre seconde maison.
Nr
c'est le numéro de la règle , les règles sont testée dans l'ordre ou
vous les définissez ,ca va de 1 a votre bon plaisir.. mais sachez que
forcement si vous en avez une qui matche 80% de votre traffic, c'est
plus que judicieux de la placer (dans
la mesure du possible) au début,
cela fera moins travailler votre module firewall.
Name :
c'est pour vous, un petit nom rien que pour vous, c'est le pendant du
fond nommé "comment" c'est juste pour vous y retrouver, règle de bonne
pratique dans comment mettez les acronymes du gars qui a fait cette
règle et la date, certes on peut tout retrouver dans le module d'audit
par après, mais c'est vachement plus simple ainsi.
Source /
Destination: le To et le From que vous allez
définir.. ca
peut
etre un groupe d'objet (au
passage info: les groupes de
groupes
sont permis), ou un host (définit par une addresse IP)
mais
aussi
un "user authentifié"
VPN : on y
reviendra , c'est pour dire si ca passe normalement, de façons
encryptée
etc
Service :
la c'est intéressante, c'est ce qui doit passer pour matcher, alors
certes normalement on donne un port, genre je veut matcher du SSH ok
c'est le port 22 en TCP, mais checkpoint va plus loin... vous voulez que du
vrais flux
SSH de version 2
et il peut le faire votre checkpoint. Il remonte dans la
couche osi pour
valider le type de flux, donc si par exemple on choisis un type SSH
avec validation du flux en tant que SSHv2.. Rien d'autre comme protocol
ne pourra passer à la
place sur ce port, on a pas seulement dit, je veut faire passer le port
22.. on a dit je veut faire passer du SSH sur le port 22.. la nuance
est énorme. C'est déja vachement plus poussé que tous ces
firewall statefull qui ne sont finalement que des packet filter
évolués.... Ceci à un coût...pour une fois c'est pas la licence, c'est
du temps cpu, checkpoint vient déja avec tout un jeux de protocoles
déjà configurés, et vous avez toutes latitude pour définir vos ports
supplémentaires.. Et quand on fait ajout d'un service on se rend compte
qu'on a deux options :
Add
with ressource: une ressource pour checkpoint
c'est un proxy applicatif. On peut donc encore plus filtrer le traffic
au niveau applicatif qu'on ne le ferais avec un service, une
ressource (qui est le
nom des proxy chez checkpoint) peuvent êtres:
URI : cela
vous permet de faire un reverse proxy sur votre serveur Web et de
filtrer par exemple les commandes https etc.. SMTP :
vous permet de faire un mail relais entrant pour vos mail, et filter
les domaines de réceptions par exemple (je veut que pour
@monentreprise.com) ou la taille maxi d'un
mail etc... FTP : permet
a ce niveau d'accepter Uniquement des GET ou des PUT
et de passer le flux via CVP a un antivirus TCP : un
module proxy génerique pour passer n'importe quel flux TCP via CVP ou
UFP a un antivirus externe par exemple CIFS :
probablement le plus sympas et le moins connus, pour filter les accès a
certains shares windows que ceux ci passent via le nbsession (port 139)
ou via microsoft-ds (port 445)
Avec cela ont
peut filtrer directement au niveau du firewall les accès a C$ ou a la
Regitry tout en laissant d'autre passer. c'est un jeu d'enfants
Voila on se rend compte déja que notre amis checkpoint est pas un
bete "Packet Filter" qui aurais eu la mention "Statefull
Inspection", il comprend les protocoles et sait les filtrer. Reprenons notre
listing d'options dans les règles.
Action :
c'est ce qu'on va faire du paquet qui a matché les cases précédentes
(source / destination et
service), et là il y a choix.
Bon
les 3 premiers sont simple, accept
la regle laisse passer, drop
le paquet est avalé
par le firewall et disparais dans ses méandres sans un bruit, reject
fait répondre au firewall gentiment au monsieur qui a émis le paquet par un "rst" que non il ne passera pas...
Reste 3 options en bleu, en
fait ces 3 options définissent des Accept conditionné à
l'authentification, je vais essayer de m'expliquer plus clairement, on
peut défiinr une règle qui dit :
Ok on passe si on a montré patte blanches avant..
Et pour montre patte blanche sur Checkpoint, il y a 3 méthodes :
User Authentification,
c'est le firewall qui va vous intercepter lorsque vous tenterez de
passer et vous promptera pour vous identifier, cela ne marche qu'en FTP
HTTP TELNET et RLOGIN,
par exemple si on a protégé sont
telnet, on
tombe sur un genre de double authentification, la première faite par le
firewall et ensuite celle normale je dirait du serveur final...
Pour
le Http vous aurez un joli formulaire popup pour une authentification
HTTP basique (code HTTP
401 et le user:password en
clair sur le fil je
rapelle) Attention cependant, n'esperez pas
filtrer votre
accès
internet avec cela, l'authentification en http est maintenue via un
cookie de session et donc forcement valable que par domaine
dns ou
vous etes identifiés .. (le
concept du cookie quoi reliser bien la rfc
2616...) donc si vous faite cela, à chaque
domaine nouveau,
vous
aurez droit de vous logger (et
les image sur un autre domaine je vous
dis même pas). Bref c'est inutilisable pour surfer, mais
idéal pour securiser l'accès à un site.
En FTP, le module d'authentification est plus "Tricky" .. il
faudra utiliser la
syntaxe (Saint Taxerror
priez pour nous) pour le nom de user
"usersurlefirewall@usersurleftp@hostduftpfinal" et comme
password
faudra mettre passowrdfirewall@passwordsurleftp... Bonne chances pour
l'expliquer a vos users.
C'est un peu cochon hein.... on passe à la deuxièmme option
d'authentification en quoi ca conciste....
Client Authentification ça
authentifie un Poste, juste une ip ca identifie quoi, il faut bien
comprendre que le User Authentification c'était par session TCP et par
user, Client authentification, ca va authentifier la machine, si c'est
un serveur Citrix, le premier qui va se logger se loguera pour les
autres. et commence ca marche, c'est facile on se logue avant
d'utiliser le service.
Genre si je dit http de mon serveur ->
Client Authentification et je tente d'accéder à la ressource,
celle ci me sera refusée par le module firewall, il faut au prealable
montrer patte blanche, et pour cela 2 méthodes soit via telnet sur le port 259 soir
via http sur le port 900.
et via ces interface pour montrer pattes blanches, le user peut faire
login et loggoff... c'est pas transparent pour le user, mais c'est
super pratique pour configurer une règle dite de la règle
"saumon". Et en quoi ca conciste....
Source ANY destination ANY
client authentification limit 1h ..... voyez ce que je veut
dire.... l'amis du openbar sympas pour rapidement valider que c'est pas
un pbm firewall, on se logge et on a internet pendant 1h depuis cette IP
et enfin donc la 3eme authentification....
Session Authentification
: la ca marche avec un soft a installer sur le client.... mais ca
authentifie de facons transparente et par session (comme étonnament son
nom l'indique) on peut meme faire crypter la dite session
entre le
client et le firewall, un genre de mini VPN a TCP
Bon et vous
allez me dire ouaiiiiouuuu on peut authentifier les flux, mais depuis
quoi... bin depuis plein de truc en fait, radius , tacacs, ldap, et
même des user enregistré a la main dans le SCS. on y reviendra si qqun
le demande.
Retenez donc on peut authentifier un User, un Poste, en Live avant la
ressource, ou en necessitant une intervention de l'utilisateur. Bon
reprenons.. on en était la.... ca vient bon ...
Après
la colonne Action il y a la colonne Track... c'est permet de définir ce
qu'on va et comment
qu'on va auditer cette rêgle et la aussi moultes choix :
None
on s'en fous de cette regle que ca passe ou pas on l'audite pas.
Log ca
la logue par la voie traditionnelle dans nos logs firewalls.. ca c'est
ceux qu'on utilise le plus , après on arrive dans les étranges
Account:
Ca c'est super pour vos providers ou des surfer fous, ca fait le 3 ème
A du fameux triple AAA , (qui
lui sert contrairement au H de Hawaii) ca
log et en plus ça comptabilise les bits qui transitent pendant cette
session. idéal pour faire payer vos clients au bit pret.
Alert: Ca
va popuper dans Smartview Monitor, un bout de soft qu'on a pas vus
encore mais qui est le panneau de contrôle des firewall. Idéal pour
débusquer des etrangetés qui arriverais toujours sans prévenir.
SnmpTRap :
ca va logger et en plus trapper dans une trap snmp via le
port udp
162 traditionnel dans le serveur a trap SNMP de votre choix.
Mail : ca
logge et ca va lancer un mail via SMTP.
User defined 1 2 et 3 ...vaste
sujet.. ca fait tout ce qu'on veut que ca fasse, cela se configure dans
les paramètres globaux du SCS, et on peut y embrancher les scripts de
nos choix, ces scripts seront lancés sur la machine qui contient le
log serveur donc dans 95% des cas sur le SCS, mais
pensez y si un jours depuis que vous avez extermalise le log server,
les alertes ne parte plus. C'est donc l'idéal pour scripter un mail à
vos potes pour les inviter au café quand votre laptop fait son login a
votre domain controlleur ;)
Ensuite on a encore une case... Installed
ON..
et bien rappelons nous que notre SCS peut prendre en charge une vaste
population de modules firewall checkpoint, pas juste un seul ....il va
donc bien falloir décider à un moment sur quel firewall vont
s'installer vos règles... voir même sur des truc autre que des modules
firewall checkpoint , ca
vous troue le cul hein... vous pouvez (via
encore une licence vous vous en doutiez) pousser vos rules
sur tous vos
OSE (Open Security Extention), c'est a
dire pousser des ACL
(Acces List) sur vos
routeurs CISCO ou des Nortel, directement d'ici...
lá ça devient secure de tous les cotés non et surtout hyper
convivial (les gens qui
on déja fait des access list savent ce que je
dit)
Donc cette case va nous permettre de définir sur quel
population de firewall dirons nous la règle va s'appliquer, on peut
laisser Policy Target, ce qui signifie que l'on va choisir la
population au moment d'appliquer les règles..Om peut tout aussi
bien sélectionner nommément un ou plusieurs modules
firewall....voir des type de population (Gateway ou OSE ?) ou SRC et
DST qui définissent de l'installer sur l'objet qui est spécifié en
source ou destination. cette case est donc primordiale dès le second
firewall module.
Et enfin la dernière (parce
que comment on l'a
déja expliqué), TIME,
et oui on peut dire cette règle est
active
que le 1er du moi entre 9h et 12h et 18 et 21h....c'est super
flexible...
Donc
comme vous venez de le voir l'onglet Security qui permet de faire des
rêgles de firewalling est déja bien fournis. Il vous permettra de faire
ce que vous voulez, à cela j'ajouterai deux petit choses fort
utiles:
Premièrement on peut inverser le contenu d'une case..... par exemple je
veut du http partout sauf sur le host toto, normalement vous feriez 2 rules :
Et
bien la en une (comme
dans Pyramide, Haaa Pyramide... en une....question taxi reponse
tobrouck et ca marche, je l'ai vu de mes yeux vu)
Donc, en une je disait :
Sympas hein, la négation ca marche pour tous les objets (host ,
reseaux, ports etc...) et voila en une seul regle, tout le monde fait du http sauf vers toto.
Deuxième Truc: On peut désactiver une règle (bouton droit de la sourie sur le
Nr et disable), elle est alors inactive...
Bin ca c'est fait vous êtes des
Masters de l'onglet SecuritY... mais pour l'instant votre firewall il ne filtre toujours rien.
Poussez madame Poussez
Comme
vous avez du le constater, on a beau chipotter le StupidDashboard, ca
change rien aux rêgles en vigueur sur le firewall, il faut les
appliquer dans celui ci pour qu'il commence a bosser... et pour cela il faut clicker sur
cette
petite icone (voir la superbe fleche rouge) puis choisir le ou les firewall à mettre à jours, dans notre cas c'est
vite fait, et enfin ....
Pousser,
cela vérifie la validité des rêgles (Checkpoint engeule si une regle,
est placée de tel facons qu'elle ne puisse etre jamais hittée, essayez
vour une any,any,any,allow suvie d'une any,any,any,deny vous allez voir
il va pas vous rater). une fois que la validite est bonne votre SCS va
pousser la rêgle via son SIC sur le module firewall
Et la Mesdames et Messieurs quand la petit coche verte est visible,
votre firewall est enfin actif avec sa 1ere regle...Instant
émotion
Voila vous saver Ce qu'est un firewall Checkpoint, ce qu'il peut
filtrer, comment installer un Checkpoint, et poser des rêgles de
bases.... et on est loin de tout savoir.... on a meme pas vus encore
les logs et les licences.. les subtilitées, les fameuse regles implicites (ou comment pas comprendre pourquoi ca passe alors qu'on a pas de rêgles qui parle du flux)
D'ailleur en parlant de licences, c'est pas tout ca... dans 15 jours il
marche plus... faut lui fourer
une licence.....Mais arrétons nous là pour l'instant, on sait installer
Checkpoint et pousser des rêgles..... Contemplons notre oeuvre.... et
allons faire dodo.... voila une belle serie d'article qui va devoir voir le jour...
Document enmanché avec Kompozer
Bin oui ces cons la on laissé tomber NVU..
