Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS

Podobne dokumenty
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Wirtualizacja sieciowej infrastruktury bezpieczeństwa

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Przewodnik technologii ActivCard

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przewodnik technologii ActivCard

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

WOJEWÓDZTWO PODKARPACKIE

WAKACYJNA AKADEMIA TECHNICZNA

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

OPIS PRZEDMIOTU ZAMÓWIENIA

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

4. Podstawowa konfiguracja

Projektowanie i implementacja infrastruktury serwerów

Funkcjonalność ochrony firewall w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń

Przewodnik technologii ActivCard

7. zainstalowane oprogramowanie zarządzane stacje robocze

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Sieć aktywna. Podział infrastruktury sieciowej na różne sieci wewnętrzne w zależności od potrzeb danego klienta.

Przełączanie i Trasowanie w Sieciach Komputerowych

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

1. Zakres modernizacji Active Directory

Check Point SecurePlatform Platforma zabezpieczeń Firewall do zastosowań w systemach o podwyższonych wymaganiach bezpieczeństwa

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych.

Centralne zarządzanie odległych instalacji zabezpieczeń na przykładzie SofaWare Security Management Portal

PROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk

Zapewnienie dostępu do Chmury

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Wirtualizacja sieci - VMware NSX

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Referat pracy dyplomowej

ZAŁĄCZNIK NR 1.8 do PFU Serwery wraz z system do tworzenia kopii zapasowych i archiwizacji danych - wyposażenie serwerowni

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Dostawa urządzenia sieciowego UTM.

Xopero Backup Appliance

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

I. Postanowienia ogólne. a. Definicje

Projektowanie Bezpieczeństwa Sieci Łukasz Jopek Projektowanie Bezpieczeństwa Sieci - Laboratorium. Konfiguracja NAP Network Access Protection

BRINET Sp. z o. o.

Opis Przedmiotu Zamówienia

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Podziękowania... xv. Wstęp... xvii

Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX

WYMAGANIA TECHNICZNE. Oferowany model *.. Producent *..

ZA ZAŁĄCZNIK NR 5 ZAŁĄCZNIK NR 1 DO UMOWY.. Szczegółowy opis przedmiotu zamówienia

WZÓR UMOWY. Zawarta w Białymstoku, w dniu.. pomiędzy:

Opis przedmiotu zamówienia - Załącznik nr 1 do SIWZ

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

WHITE PAPER. Planowanie, przygotowanie i testowanie działań na wypadek wystąpienia awarii

NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

System Kancelaris. Zdalny dostęp do danych

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

OFFICE ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

Bezpieczeństwo danych w sieciach elektroenergetycznych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Szkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zdalne zarządzanie systemem RACS 5

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

HP Service Anywhere Uproszczenie zarządzania usługami IT

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Win Admin Replikator Instrukcja Obsługi

Konfiguracja urządzeń Connectra (SSL VPN) w zintegrowanym środowisku zarządzania Check Point SmartCenter

PBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN

Marek Pyka,PhD. Paulina Januszkiewicz

VPLS - Virtual Private LAN Service

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

OPIS PRZEDMIOTU ZAMÓWIENIA

Instalowanie i konfigurowanie Windows Server 2012 R2

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Wymagania edukacyjne z przedmiotu "Administracja sieciowymi systemami operacyjnymi "

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

ZiMSK. VLAN, trunk, intervlan-routing 1

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Integral over IP. Integral over IP. SCHRACK SECONET POLSKA K.Kunecki FIRE ALARM

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source

Parametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia

pasja-informatyki.pl

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

OPIS PRZEDMIOTU ZAMÓWIENIA ZADANIE NR 3 DOSTAWA PRZEŁĄCZNIKÓW SIECIOWYCH

Bezpieczeństwo internetowych witryn informacyjnych administracji rządowej

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Charakterystyka sieci klient-serwer i sieci równorzędnej

Transkrypt:

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Check Point VSX - system zabezpieczeń dla Centrów Danych i MSS DEDYKOWANE WARSZTATY ZABEZPIECZEŃ Wykładowca: Mariusz Stawowski CISSP, CCSE+ CLICO Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12 6325166; 12 2927525; Fax: 12 6323698; E-mail: support@clico.pl, orders@clico.pl.; Ftp.clico.pl.; http://www.clico.pl

PROGRAM WARSZTÓW WPROWADZENIE 3 1. ARCHITEKTURA I ZASADY DZIAŁANIA ZABEZPIECZEŃ CHECK POINT VSX 6 2. WIELO-DOMENOWY SYSTEM ZARZĄDZANIA CHECK POINT PROVIDER-1 9 3. KONFIGURACJA SYSTEMU ZABEZPIECZEŃ VSX 12 4. MONITOROWANIE I UTRZYMANIE ZABEZPIECZEŃ VSX 23 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

Wprowadzenie Szybki rozwój oraz skomplikowanie technologii informatycznych i wynikające z tego koszty utrzymania sprawiają, że wiele firm decyduje się na korzystanie z usług centrów danych (ang. data center). Zbudowanie systemu informatycznego dla centrum danych wymaga zaprojektowania i wdrożenia odpowiednich środków ochrony. W centrach danych występują te same atrybuty bezpieczeństwa jak w innych systemach (tzn. poufność, integralność i dostępność). Ich priorytety są jednak wyższe, szczególnie dla aplikacji krytycznych dla biznesu klientów. Konsolidacja i centralizacja zasobów w centrum danych zwiększa możliwości ich kontroli i obniża koszty utrzymania. Centralizacja zasobów podwyższa jednak zagrożenie ataków (DoS, włamania) i utrudnia zarządzanie bezpieczeństwem (np. wymaga obsługi dużej liczby użytkowników o różnych prawach i poziomie zaufania). Ze względów ekonomicznych systemy informatyczne centrów danych budowane są w oparciu komponenty umożliwiające wirtualizację zasobów m.in. wirtualne serwisy, wirtualne moduły zabezpieczeń, wirtualne rutery, wirtualne sieci VLAN. Wdrożenie zabezpieczeń sieciowych w centrum danych dla większej liczby klientów wymaga zastosowania dedykowanych do tego celu urządzeń zabezpieczeń i sieci. W praktyce nie można dla każdego klienta instalować oddzielnego fizycznego urządzania firewall, VPN, IPS, itd. Dla przykładu, w centrum danych dla 100 klientów musiałoby zostać wdrożonych 100 urządzeń zabezpieczeń, do tego potrzebnych jest kolejne 100 urządzeń dla zapewnienia redundancji, następnie do uruchomienia 200 urządzeń zabezpieczeń należy zapewnić odpowiednią liczbę przełączników sieciowych, zasilanie, kable, pomieszczenie, itd. Z punktu widzenia bezpieczeństwa nie jest jednak dopuszczalne stosowanie jednego urządzenia zabezpieczeń do ochrony wielu klientów. Nawet ze względu na wymaganie dostępu klienta do konfiguracji i logów swojego urządzenia. Rozwiązaniem zabezpieczeń dedykowanym do zastosowań w centrach danych jest Check Point VSX. System zabezpieczeń VSX umożliwia wirtualizację modułów zabezpieczeń tzn. uruchomienie wielu oddzielnych modułów zabezpieczeń na jednym fizycznym urządzeniu. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

Internet VSX Cluster Serwery klienta 1 NOC wirtualne systemy wirtualne systemy Serwery klienta 2 Provider-1 Serwery klienta N WAN (FR, MPLS,...) Sieć klienta 1 Sieć klienta 2 Sieć klienta N Rysunek 1. Koncepcja systemu zabezpieczeń centrum danych / MSS Infrastruktura zabezpieczeń Check Point VSX z uwagi na możliwości wirtualizacji może posłużyć także do świadczenie usług bezpieczeństwa dla sieci firmowych. Ten rodzaj działalności nosi nazwę zarządzanych usług bezpieczeństwa MSS (ang. managed security services). Usługi MSS świadczone są zwykle przez operatorów telekomunikacyjnych. Firmy decydują się na korzystanie z usług MSS z różnych powodów. Dla mniejszych firm problem stanowi zatrudnianie wykwalifikowanych specjalistów w dziedzinie bezpieczeństwa. Z kolei duże korporacje najczęściej decydują się na usługi MSS z uwagi na całościowo niższy koszt posiadania zabezpieczeń IT. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

Świadczenie usług MSS wymaga ich właściwego zaplanowania oraz wdrożenia odpowiedniej infrastruktury organizacyjnej i technicznej. W celu efektywnego świadczenia usług MSS wymagane jest stworzenie dobrze wyposażonego ośrodka zarządzania sieci NOC (ang. network operation center) i zapewnienia mu wydajnych i niezawodnych łączy do sieci klientów. Zwykle połączenia z klientami odbywają się poprzez sieć rozległą WAN. Z uwagi na posiadanie własnej rozległej infrastruktury sieciowej i łatwy dostęp do sieci klientów duże możliwości świadczenia usług MSS posiadają operatorzy telekomunikacyjni. Stanowiska administratorów zabezpieczeń powinny być zlokalizowane w miejscu zapewniającym stałą dostępność do zarządzanych urządzeń przy odpowiedniej przepustowości łączy oraz ich własne bezpieczeństwo (m.in. przed intruzami, utratą zasilania). Istotnym elementem funkcjonowania NOC jest zapewnienie ciągłości zarządzania zabezpieczeń (m.in. ochrony przed awariami). Sprawne działanie NOC wymaga także zastosowania specjalizowanych narządzi zarządzania. Check Point Provider-1 to system zarządzania dedykowany dla centrów danych i MSS. Provider-1 umożliwia efektywną obsługę polityk i konfiguracji wielu różnych urządzeń zabezpieczeń, należących do różnych firm. Zadania zarządzania zabezpieczeń mogą być wykonywane w tym samym czasie przez wielu administratorów. Planując wdrożenie NOC należy zwrócić uwagę na następujące zagadnienia: procedury obsługi zabezpieczeń i organizacja pracy (m.in. obsługa bieżąca oraz w sytuacjach wyjątkowych), nadawanie uprawnień, uwierzytelnianie i audytowanie administratorów, narzędzia wspomagające pracę administratorów (m.in. scentralizowana konfiguracja i aktualizacja oprogramowania urządzeń zabezpieczeń, monitorowanie stanu modułów zabezpieczeń, monitorowanie tuneli VPN, analiza logów i raportowanie), odpowiednia przepustowość łączy i wydajność serwerów zarządzania, umożliwiająca interakcyjne administrowanie urządzeń oraz sprawne instalowanie polityk zabezpieczeń, odbiór alarmów i logów, ochrona NOC przed intruzami (m.in. dedykowana strefa bezpieczeństwa wydzielona na firewall, ochrona kryptograficzna komunikacji, monitorowanie sieci za pomocą IPS, sumy kontrolne plików konfiguracyjnych), a także ochrona NOC przed awariami (m.in. konfiguracja HA urządzeń i stacji zarządzających, kopie backup, zapasowe zasilanie, łącza zapasowe, dostęp wdzwaniany do urządzeń, zapasowa lokalizacja NOC). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

1. Architektura i zasady działania zabezpieczeń Check Point VSX Check Point Virtual System extension (VSX) umożliwia wdrożenie i centralne zarządzanie różnych konfiguracji i polityk zabezpieczeń firewall dla wielu klientów przy zachowaniu niewielkich nakładów na sprzęt (m.in. wszystkie moduły inspekcyjne firewall mogą funkcjonować na jednej maszynie). Zastosowanie technologii Check Point SecureXL dodatkowo podnosi wydajność systemu VSX. Podstawowym elementem VSX są wirtualne systemy VS (ang. virtual system), realizujące funkcje bezpieczeństwa zgodnie z własną konfiguracją i politykami zabezpieczeń. Wirtualne systemy VS stanowią oddzielną instancję firewall w zakresie obsługi rutingu IP i zabezpieczeń. Działając na tym samym fizycznym urządzeniu różne VS zachowują swoją autonomiczność m.in. posiadają oddzielne tabele stanu, polityki, parametry konfiguracyjne, logi, certyfikaty SIC, interfejsy i tabele rutingu. W architekturze systemu VSX oprócz wirtualnych systemów można wyróżnić następujące elementy (patrz rysunek 2): Wirtualny przełącznik VSW (ang. virtual switch) służy do komunikacji pomiędzy VS. Wiele VS może poprzez VR współdzielić jeden interfejs fizyczny. Wirtualny przełącznik nie wymaga konfiguracji adresacji IP. Wirtualny ruter VR (ang. virtual router) służy podobnie jak wirtualny przełącznik do komunikacji pomiędzy VS. Wiele VS może poprzez VR współdzielić jeden interfejs fizyczny. VR posiada wbudowany moduł ochrony firewall. Domyślnie VR przepuszcza całą napływającą komunikację sieciową, za wyjątkiem ruchu kierowanego do VR, który podlega inspekcji zgodnie z polityką zabezpieczeń VR. Połączenia wirtualne tzw. warp link, łączące VS z wirtualnym przełącznikiem VSW lub wirtualnym ruterem VR. Interfejsy wirtualne po stronie VS noszą nazwę wrp<numer>, zaś po stronie wirtualnego rutera i przełącznika nazwę wrpj<numer>. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

interfejs i link fizyczny Wirtualny przełącznik interfejs i link wirtualny (warp link) VS klienta 1 VS klienta 2 VS klienta N Wirtualny ruter Rysunek 2. Podstawowe elementy systemu zabezpieczeń VSX Urządzenie zabezpieczeń VSX może działać w trybie rutera (L3 OSI) lub trybie transparentnym (L2 OSI). Działając w trybie transparentnym system VSX wspiera protokoły warstwy drugiej m.in. STP (ang. spanning tree protocol) i jego rozszerzenia. W systemie VSX można wykorzystywać interfejsy fizyczne i VLAN oraz wewnętrzne interfejsy wirtualne warp. Wirtualne rutery umożliwiają ustawienia rutingu statycznego opartego o miejsce przeznaczenia (ang. destination based routing) oraz rutingu źródłowego (ang. source based routing). VSX obsługuje także protokoły dynamicznego rutingu (RIPv1/2, OSPFv2, BGP-4). Różne VS mogą przy tym posiadać własne tabele rutingu, tworzone za pomocą różnych protokołów. Wirtualne systemy w zależności do przyjętego modelu zarządzania mogą posiadać oddzielnych administratorów. Zarządzanie systemu VSX może odbywać się z SmartCenter Server lub Provider-1, specjalizowanego do zarządzania wielo-domenowego. SmartCenter Server zapewnia jedną domenę zarządzania posiadającą jedną bazą obiektów z możliwością definiowania wielu polityk zabezpieczeń. W centrach danych i MSS najczęściej stosuje się wielo-domenowy system zarządzania Provider-1. Każda domena zarządzania może posiadać oddzielnych administratorów z różnymi uprawnieniami oraz oddzielne bazy obiektów i polityki zabezpieczeń. Typowa architektura zabezpieczeń VSX została przedstawiona na rysunku 3. Jeden interfejs zewnętrzny jest współdzielony przez wszystkie wirtualne systemy VS. Każdy z VS posiada oddzielny interfejs wewnętrzny VLAN (802.1q), łączący system zabezpieczeń z sieciami poszczególnych klientów. W zależności od potrzeb system VSX może zostać 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

wdrożony także w inny sposób m.in. dedykowane fizyczne interfejsy do sieci wewnętrznych, jeden współdzielony interfejs do sieci wewnętrznych bez VLAN, urządzenia VSX w trybie transparentnym (L2 OSI). Zarządzanie VSX odbywa się poprzez dedykowany interfejs sieciowy. Całość komunikacji urządzenia VSX z systemem zarządzania (SmartCenter Server, Provider-1) jest realizowana z wykorzystaniem jednego adresu IP, także w VSX działającym w konfiguracji klastrowej (HA). Komunikacja wirtualnych systemów z zewnętrznymi serwerami uwierzytelniania (LDAP, RADIUS, TACACS+) może odbywać się z VS bezpośrednio lub w sposób współdzielony (tzn. serwery uw. są dostępne dla VS poprzez obiekt VSX gateway). Interfejs zewnętrzny (fizyczny) Wirtualny przełącznik Ruter System zarządzania Provider-1 VSX gateway VLAN Trunk (802.1q) VS klienta 1 VS klienta 2 VS klienta N Przełącznik Interfejs zarządzania (fizyczny) Interfejsy wewnętrzne (VLAN 802.1q) Klient 1 Klient 2 Klient N Rysunek 3. Typowa architektura systemu zabezpieczeń VSX Urządzenia VSX działające na platformie systemowej SecurePlatform mogą zostać wdrożone w konfiguracji odpornej na awarie HA za pomocą modułu ClusterXL lub w urządzeniach firewall appliance (np. Crossbeam) innych dostępnych mechanizmów klasteringu. W razie awarii może nastąpić przełączenie urządzenia VSX lub poszczególnych VS. Synchronizacja w klastrze VSX obejmuje tabele stanu modułów zabezpieczeń. Moduł ClusterXL na platformie SecurePlatform zapewnia także synchronizację tabel rutingu. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

2. Wielo-domenowy system zarządzania Check Point Provider-1 Check Point Provider-1 to centralny system zarządzania zabezpieczeń dedykowany dla dużych korporacji, centrów danych oraz dostawców usług bezpieczeństwa. System umożliwia sprawne zarządzanie dużej liczby polityk i modułów zabezpieczeń. Provider-1 rozszerza funkcjonalność standardowego systemu zarządzania SmartCenter Server o możliwości administrowania z jednej konsoli wielu polityk zabezpieczeń różnych firm. Podstawowym komponentem Provider-1 są serwery Multi Domain Server (MDS). Serwer MDS na jednej platformie sprzętowej umożliwia uruchomienie wielu oddzielnych modułów zarządzania Customer Management Add-on (CMA). Zwykle jeden moduł CMA służy do zarządzania polityk zabezpieczeń jednej firmy (klienta). Polityka zabezpieczeń CMA może dotyczyć wielu różnych modułów zabezpieczeń, chroniących zasoby IT określonej firmy. Moduł CMA posiada własne reguły polityki zabezpieczeń, własny urząd certyfikacji ICA, własną bazę użytkowników i obiektów sieciowych oraz pliki logów. Funkcjonalnie CMA jest odpowiednikiem SmartCenter Server. NOC może składać się z wielu serwerów MDS i dzięki temu zarządzać nawet wieloma tysiącami polityk zabezpieczeń. Rysunek 4 przedstawia koncepcję wdrożenia Provider-1 z systemem VSX. VSX Gateway CMA CMA CMA CMA CMA CMA wirtualne systemy Multi-Domain GUI Provider-1 MDS Rysunek 4. System zabezpieczeń VSX zarządzany przez Provider-1 Zarządzanie serwerów MDS odbywa się z konsoli Multi Domain GUI (MDG). Elementem odróżniającym MDG od standardowej konsoli zarządzania SmartCenter Server jest możliwość definiowana globalnych polityk zabezpieczeń (ang. global policy). Polityki globalne zawierają reguły obowiązujące w wielu CMA. Z poziomu MDG dla poszczególnych CMA uruchamiane są standardowe narzędzia konsoli zarządzania SmartConsole (m.in. SmartDashboard, SmartView Tracker, SmartView Monitor). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

W systemie zarządzania Provider-1 można wyróżnić dwa rodzaje serwerów MDS, instalowanych na jednej platformie sprzętowej lub oddzielnie, tzn.: MDS Manager utrzymuje dane systemu zarządzania Provider-1 i odpowiada za komunikację z MDG, MDS Container utrzymuje bazy i zarządza modułami CMA. W dużych systemach w celu zmniejszenia obciążenia serwera MDS można na dedykowanym serwerze zainstalować moduł Multi-customer Log Module (MLM). Jest to dedykowany serwer logów, który przejmuje od MDS zadania obsługi zdarzeń rejestrowanych w systemach zabezpieczeń. W razie potrzeby można także w sieciach klientów wdrożyć serwery logów Customer Log Module (CLM), przeznaczone do obsługi zdarzeń rejestrowanych w systemach zabezpieczeń tych klientów. Rysunek 5. Konsola systemu zarządzania Provider-1 (MDG) 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

Administratorzy systemu zarządzania Provider-1 mogą uwierzytelniać swoją tożsamość za pomocą haseł statycznych (Check Point Password, OS Password), haseł dynamicznych (RADIUS, TACACS, SecurID), a także certyfikatów cyfrowych X.509 wydawanych przez wewnętrzny urząd certyfikacji ICA. Zarządzanie może odbywać się z wielu konsol MDG w tym samym czasie. W systemie zarządzania Provider-1 występują następujące rodzaje administratorów (patrz rysunek 5): Provider-1 Superuser - zarządza całym systemem Provider-1 i konfiguracjami klientów; posiada uprawnienia zarządzania innymi administratorami; dysponuje wszystkimi narzędziami administracyjnymi. Customer Superuser - zarządza konfiguracjami wszystkich klientów za pomocą konsoli MDG i SmartConsole; zarządza administratorami niższego szczebla (tzn. Customer Manager, None Administrator); nie posiada uprawnień modyfikacji środowiska MDS. Customer Manager - zarządza konfiguracjami określonych klientów; zarządza administratorami typu None Administrator swoich klientów. None Administrator - administratorzy spoza systemu Provider-1, którzy mogą zarządzać zabezpieczeniami klientów za pomocą narzędzi SmartConsole; nie mają dostępu do konsoli zarządzania MDG. System zarządzania Provider-1 posiada możliwości wdrożenia w konfiguracji odpornej na awarie (HA). Ochrona przed awariami dotyczy MDS i CMA, tzn. serwery MDS mogą funkcjonować w konfiguracji HA i synchronizować swoje bazy danych; moduły CMA, zainstalowane na różnych serwerach MDS mogą funkcjonować we wzajemnej redundancji. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

3. Konfiguracja systemu zabezpieczeń VSX Konfiguracja zabezpieczeń zostanie omówiona na przykładzie systemu VSX przedstawionego na rysunku 6. Jest to typowa architektura zabezpieczeń VSX z interfejsami VLAN po stronie sieci wewnętrznych. W przykładzie urządzenie VSX złożone z trzech wirtualnych systemów jest zarządzane z systemu Provider-1 poprzez jeden moduł CMA. eth1 Wirtualny przełącznik IP: 10.10.201.10 IP: 10.10.201.20 IP: 10.10.201.30 Ruter IP: 10.10.201.254 Eth0 192.168.10.1 eth1 VSX gateway VS_1 VS_2 VS_3 Provider-1 MDS: 192.168.10.101 CMA(1): 192.168.10.201 GUI: 192.168.10.105 eth2 VLAN Trunk (802.1q) VLAN 10 IP: 10.10.101.1 VLAN 20 IP: 10.10.102.1 VLAN 30 IP: 10.10.103.1 Zarządzanie VSX gateway IP: 192.168.10.1 eth2.10 eth2.20 eth2.30 Klient 1 Klient 2 Klient 3 IP: 10.10.101.0/24 IP: 10.10.102.0/24 IP: 10.10.103.0/24 Rysunek 6. Przykładowa architektura zabezpieczeń VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

Procedura konfiguracji zabezpieczeń VSX za pomocą konsoli Provider-1 MDG: 1. Dodajemy nowego klienta. 2. Ustalamy zakres kopiowanej bazy obiektów globalnych (tzn. czy kopiowane są wszystkie obiekty z bazy czy tylko obiekty wykorzystywane w przydzielonej dla CMA globalnej polityce zabezpieczeń). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

3. Definiujemy moduł CMA dla klienta (m.in. ustalamy adres IP do zarządzania CMA, administratorów i stacje zarządzania GUI Client). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 14

4. Definiujemy obiekt reprezentujący system VSX Gateway 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 15

5. Wybieramy architekturę systemu VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 16

6. Konfigurujemy interfejsy sieciowe VSX 7. Ustalamy protokoły zarządzania VSX 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 17

8. Tworzymy pierwszy wirtualny system VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 18

9. Tworzymy kolejne wirtualne systemy (tworząc VS_2 oraz VS_3 postępujemy analogicznie jak dla VS_1). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 19

10. Definiujemy i instalujemy politykę zabezpieczeń VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 20

11. W razie potrzeby z poziomu Provider-1 może zdefiniować politykę globalną 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 21

12. Przypisujemy politykę globalną do CMA i instalujemy na VS. 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 22

4. Monitorowanie i utrzymanie zabezpieczeń VSX Informacje na temat stanu poszczególnych elementów zabezpieczeń VSX można odczytać z konsoli MDG oraz narzędzi SmartView Monitor. -- moduły systemu zabezpieczeń oraz polityki globalne 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 23

-- monitorowanie VSX za pomocą narzędzi SVM 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 24

W pewnym zakresie obsługa i monitorowanie systemu VSX może odbywać się za pomocą poleceń linii komend CLI, m.in.: fw vsx stat // odczyt stanu systemu VSX fw getifs // lista interfejsów, do których przywiązany jest moduł firewall fw vsx deletevs // usunięcie określonego VS z systemu VSX fw vsx sic reset // reset połączenia SIC określonego VS reset_gw // reset systemu VSX m.in. usunięcie wszystkich VS 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 25

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres