PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji systemu zabezpieczeń Check Point VPN-1/FireWall-1 SmallOffice NG SmallOffice jest uproszczoną w zakresie zarządzania wersją systemu zabezpieczeń Check Point VPN-1/FireWall-1, dedykowaną dla małych sieci firmowych i oddziałów korporacji. Lokalne zarządzanie systemu odbywa się poprzez specjalny interfejs Web GUI. W instalacjach korporacyjnych SmallOffice może być także zarządzany z konsoli Enterprise Management Console. SmallOffice VPN-1/FireWall-1 dostępne jest jako rozwiązanie sprzętowo-programowe (m.in. Intrusion PDS 1100 i 1105) oraz oprogramowanie do instalacji na standardowej platformie sprzętowej PC (Intel) i systemie operacyjnym Linux: - Linux Red Hat 7.0 - Intel Pentium II, 64 MB RAM - FireWall-1 SmallOffice NG - IE 5.x, Netscape 5.x (Web GUI) SmallOffice - rozwiązanie sprzętowo-programowe Popularne rozwiązania sprzętowo-programowe SmallOffice to Intrusion PDS 1110 i 1105. Urządzenia są takie same, jeżeli chodzi o sprzęt. PDS 1110 i 1105 dostarczane są z systemem zabezpieczeń Check Point VPN-1/FireWall-1 w wersji 4.1 i 5.0 (NG). Zarządzanie systemu zabezpieczeń w wersji NG odbywa się poprzez Web GUI. Do urządzenia PDS 1110 i PDS 1105 można podłączyć się konsolą RS-232 poprzez kabel null modem z emulacją terminala z prędkością 38400 kb/s. Przy ustawieniach fabrycznych dostęp do urządzenia odbywa się po podaniu identyfikatora i hasła: Konsola (id: root, hasło: admin), Web GUI (id: admin, hasło: admin). SmallOffice oprogramowanie na standardowym sprzęcie PC 1/ Pakiety instalacyjne SmallOffice NG: SmallOffice_Linux70_IS.tgz oraz SmallOffice_0036_NG_linux.tgz. 2/ W systemie Linux Red Hat 7.0 konfigurujmy parametry sieciowe np.: eth0: 212.76.48.91 /Internet/, eth1: 192.168.1.1 /Office LAN/, eth2: 10.10.0.1 /DMZ/ 3/ Instalujemy oprogramowanie SmallOffice NG zgodnie z instrukcją "Check Point VPN-1 SmallOffice NG - Installation Guidelines for Red Hat Linux". 4/ Weryfikujemy ustawienie w pliku /etc/inittab id:3:initdefault: Jeżeli ustawienie jest inne, moduły SVN Foundation i VPN-1/FireWall-1 należy uruchomić za pomocą polecenia cpstart. W konfiguracji NG SmallOffice nie należy używać narzędzi cpconfig. CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl
Procedura wstępnej konfiguracji systemu 1/ Za pomocą Web GUI logujemy się do Firewall na konto admin podając hasło konta systemowego root (domyślnie admin). 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 2 / 2
2/ Weryfikujemy konfigurację sieciową Firewall. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 3 / 3
3/ Ustalamy administratorów Firewall. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 4 / 4
4/ Wprowadzamy licencję produktu: Standard: automatyczna rejestracja w Check Point SmallOffice Registration Site. Manual: ręczne wpisanie licencji. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 5 / 5
5/ Wprowadzamy poprawne ustawienia daty i czasu systemowego. 6/ W razie potrzeby wykonujemy upgrade oprogramowania NG SmallOffice. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 6 / 6
W systemie dostępne są polecenia administracyjne: - zatrzymanie systemu, - przeładowanie systemu, - odtworzenie ustawień fabrycznych (domyślnych), - odczyt danych diagnostycznych. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 7 / 7
-- ZARZĄDZANIE LOKALNE -- 1/ Tryb zarządzania Firewall: Control Mode:» Join VPN zarządzanie z korporacyjnej konsoli Enterprise Management Console,» Stan Alone lokalne zarządzanie Web GUI. 2/ Podstawowe ustawienia polityki bezpieczeństwa Firewall: Security Mode:» Locked komunikacja sieciowa jest zablokowana,» Standard wszystkie połączenia z Internetu są zablokowane, wszystkie połączenia z sieci chronionej są dozwolone,» Custom polityka bezpieczeństwa jest ustalana w panelu Custom Security,» Open brak polityki bezpieczeństwa. Uwaga: Zmiany polityki bezpieczeństwa Firewall mogą być dokonywane tylko przy ustawieniu Custom. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 8 / 8
3. Podstawowe ustawienia polityki bezpieczeństwa Firewall. Uwaga: Na podstawie powyższych reguł wykonywana jest translacja NAT. Użytkownicy z Internetu łączą się na adres IP maszyny Firewall. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 9 / 9
4. Zaawansowane ustawienia polityki bezpieczeństwa i kontroli zawartości (CVP, UFP). 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 10 / 10
5. Konfiguracja i przegląd logów. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 11 / 11
Logi Firewall mogą być przesyłane do zewnętrznej stacji zarządzającej. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 12 / 12
6. Monitorowanie stanu systemu. Uwaga: Na maszynie Firewall domyślnie uruchomiony jest DHCP serwer. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 13 / 13
-- ZARZĄDZANIE ZDALNE -- 1. Ustawienie konfiguracji z zewnętrznej konsoli Enterprise Console. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 14 / 14
2. Na konsoli Enterprise Console definiujemy obiekt Firewall Gateway. Uwaga: Należy wprowadzić takie samo hasło jak zostało ustalone w Web GUI. Jeżeli Firewall był wcześniej konfigurowany w trybie zarządzania lokalnego (Web GUI) mogą wystąpić problemy zarządzania z Enterprise Management Console. Zalecane jest wtedy przywrócić ustawienia fabryczne (Device Setup Factory). 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 15 / 15
3. Konfigurujemy interfejsy sieciowe Firewall. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 16 / 16
4. Ustalamy i instalujemy politykę bezpieczeństwa Firewall. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 17 / 17
5. Monitorowanie stanu systemu. 2002 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone Page 18 / 18