...

標的型攻撃対策 ハンズオン・トレーニング - チェック・ポイント・ソフトウェア

by user

on
Category: Documents
20

views

Report

Comments

Transcript

標的型攻撃対策 ハンズオン・トレーニング - チェック・ポイント・ソフトウェア
標的型攻撃対策 ハンズオン・トレーニング
次世代ファイアウォール/Software Blade基本設定コース
Last updated on Jul 28, 2016
©2016
Check
Point
Software
Technologies
©2016
Check
Point
Software
Technologies
Ltd.Ltd1
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 2
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 3
アプライアンス・シリーズ
アプライアンス
1) 理想的なテスト環境におけるパフォー
マンス(RFC 3511, 2544, 2647, 1242)
2) アクセラレータ・カード使用時
Security Power
FWスループット1)
標準メモリ
2200
121
3Gbps
2GB(最大2GB)
32bit
4200
121
3Gbps
4GB (最大4GB)
32bit
4400
230
5Gbps
4GB (最大4GB)
32bit
4600
405
9Gbps
4GB(最大4GB)
32bit
4800
673
11Gbps
4GB
8GB/8GB
32bit / 64bit
12200
811
15Gbps
4Gb
8GB/8GB
32bit / 64bit
12400
1185
25Gbps
4GB
8GB/12GB
32bit / 64bit
12600
2050
30Gbps
6GB
6GB/12GB
32bit / 64bit
13500
3200
77Gbps
16GB
16GB/64GB
32bit / 64bit
13800
3800
77Gbps
16GB
16GB/64GB
32bit / 64bit
21400
2175/29002)
50/110Gbps2)
12GB
12GB/24GB
32bit / 64bit
21700
3300/35512)
78.6/110Gbps2)
16GB
16GB/32GB
32bit / 64bit
21800
4100/43002)
78/110Gbps2)
16GB
16GB/64B
32bit / 64bit
64bitメモリ
(最小/最大)
OS対応
2200 アプライアンス
12000 アプライアンス
4000 アプライアンス
21000 アプライアンス
13000 アプライアンス
©2016 Check Point Software Technologies Ltd. 4
アプライアンス・シリーズ
アプライアンス
Security Power
FWスループット1)
同時接続数
(標準/最大)
10/100/1000BaseTポート数
(標準/最大)
標準メモリ
(標準/最大)
3200
250
4Gbps
320万
6
8GB
5200
425
16Gbps
320万/640万
6/14
8/16GB
5400
600
22Gbps
320万/1280万
10/18
8/32GB
5600
950
25Gbps
320万/1280万
10/18
8/32GB
5800
1750
35Gbps
320万/1280万
10/26
8/32GB
15400
2600
58Gbps
320万/2560万
10/26
8/64GB
15600
3850
76Gbps
640万/2560万
10/26
16/64GB
23500
4900
116Gbps
640万/5120万
10/42
16/128GB
23800
6200
128Gbps
1280万/5120万
10/42
32/128GB
1) 理想的なテスト環境におけるパフォーマンス(RFC 3511, 2544, 2647, 1242)
1400/3200 アプライアンス
15000 アプライアンス
5000 アプライアンス
23000 アプライアンス
©2016 Check Point Software Technologies Ltd. 5
新旧アプライアンス製品の性能比較
※NGTP – Next Generation Threat Prevention (Firewall, IPS, Anti Virus, Anti Bot, App Control, URL Filtering)
300
1600
250
200
150
NGFW
NGTP※
100
Mbps (Prod. Traffic)
Mbps (Prod. Traffic)
1200
800
NGFW NGTP※
400
50
0
0
4400
5200
12400
15400
性能劣化なしにNGTP※を処理可能
[Confidential] For designated groups and individuals
©2016 Check Point Software Technologies Ltd. 6
NGTX※を高い性能で実行
350
2400
300
2000
200
NGTX※
150
NGTP
100
Mbps (Prod. Traffic)
Mbps (Prod. Traffic)
250
1600
1200
NGTP
800
50
400
0
0
4600
5400
NGTX※
13500
15600
※NGTX – Next Generation Threat Extraction (NGTP + Threat Extraction + Threat Emulation)
[Confidential] For designated groups and individuals
©2016 Check Point Software Technologies Ltd. 7
パッケージ化されたソリューション
標準
*
オプション
NGTP
NGTX
Next Generation Threat Prevention
Next Generation Threat Extraction
Firewall
Identity Awareness
IPsec VPN
ADN&C
Mobile Access
IPS
App Control
URL Filtering
Antivirus
Anti-Bot
Anti-Spam & Email
Threat Extraction
Threat Emulation
DLP
*
*
*
*
©2016 Check Point Software Technologies Ltd. 8
標的型攻撃 – 代表的な攻撃シナリオ
1. 1 マルウェア・ファイル付メールの送信
1. 2 C&CサイトのURL付メールの送信
2. 1 受信者が添付ファイルをオープン、文書中
に存在するリンクをクリック
2. 2 または、メール本文中のリンクをクリック
3. 攻撃が仕組まれたサイトへ誘導、アクセス
4. 攻撃プログラムがダウンロード
5. 侵入したボットが 攻撃者に指令を求めて通信
個人情報の流出、企業データの流出
©2016 Check Point Software Technologies Ltd.
[Confidential] For designated groups and individuals
9
©2016 Check Point Software Technologies Ltd. 9
標的型攻撃の防御に必要な機能
1 マルウェア・ フ
1. 1 マルウェア・ファイル付メールの送信
2 C&CサイトのU
1. 2 C&CサイトのURL付メールの送信
Emulation
Extraction
1 受信 者が添付フ
2. 1 2.
受信者が添付ファイルをオープン、文書中
に存在するリンクをクリック
2. 2 または、メール本文中のリンクをクリック
Threat
Threat
Antivirus
3. 攻撃が仕組まれたサイトへ誘導、アクセス
4.
Antivirus
IPS
Threat
Emulation
攻撃プログラムがダウンロード
5. 侵入したボットが 攻撃者に指令を求めて通信
個人情報の流出、企業データの流出
Anti-bot
©2016 Check Point Software Technologies Ltd.
DLP
[Confidential] For designated groups and individuals
1
©2016 Check Point Software Technologies Ltd. 10
0
ゼロデイ標的型攻撃への多層防御
IPS
Antivirus
(入口) 既知の脆弱性を狙
うエクスプロイトからの保護
(入口) 既知のマルウェア・ファ
イルのダウンロードをブロック
Threat Emulation
(入口) 未知のマルウェアに
よるゼロデイ攻撃をブロック
Threat Extraction
(入口)ゼロ秒でドキュメン
トを無害化し配信
Anti-Bot
ThreatCloud
(出口)ボットによる
被害を検出し、阻止
リアルタイムのセキュリ
ティ・インテリジェンス
©2016 Check Point Software Technologies Ltd. 11
HTTPSインスペクション
SSLで暗号化された通信の検査を実現
IPS
Application
Control
URL Filtering
Antivirus
Anti-Bot
Threat
Emulation
©2016 Check Point Software Technologies Ltd. 12
三層構造アーキテクチャ
スタンドアロン構成
赤枠: 一台のアプライアンス
セキュリティ・ポリシーなど
ログやステータスなど
ゲートウェイ
Security Management サーバ
管理コンソール
SmartConsole & Webブラウザ
• Security Managementサーバでは、セキュリティ・ポリシーの保存やコンパイルなど
が行われます
• ゲートウェイで生成されるログは、 管理サーバに保存されます
©2016 Check Point Software Technologies Ltd. 13
構成パターン
本ドキュメントは、
こちらについて解説します!
分散構成
スタンドアロン構成
Gateway
Gateway
Management
Management
冗長構成
冗長構成 (Full HA)
(Cluster-XL or VRRP)
Management
Gateway
Management
Gateway
Management
Gateway
Gateway
©2016 Check Point Software Technologies Ltd. 14
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 15
GAiAのサポート・ブラウザ
• Microsoft Internet Explorer 8 or higher
• Google Chrome 14 or higher
• Firefox 6 or higher
• Apple Safari 5 or higher
©2016 Check Point Software Technologies Ltd. 16
ネットワーク構成図
Internet
192.168.100.1
External:192.168.100.0/24
(GW)
192.168.100.xx
(ポート1)
xxは別紙参照
(グループごとに異なります)
本トレーニングでは
使用しません
172.16.1.1
(ポート6)
192.168.10.101
(ポート2)
DMZ:192.168.10.0/24
管理PC:172.16.1.5
Internal:172.16.1.0/24
[Restricted] ONLY for designated groups and individuals
©2016 Check Point Software Technologies Ltd. 17
アプライアンス初期設定
• アプライアンスは、初期設定においてMGMTインター
フェースに192.168.1.1/24のIPアドレスが割り当てられて
います
• PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されてい
ることを確認します
• PCをMGMTインターフェースに接続します
• ブラウザを起動して以下のURLにアクセスします
– https://192.168.1.1
MGMTポート
Consoleポート
2200 アプライアンスの例
©2016 Check Point Software Technologies Ltd. 18
初期アカウント
• 初期設定では、以下のアカウントが設定されています
– ユーザ名:admin, パスワード:admin
• ログイン後、First Time Configuration Wizardが表示されます
©2016 Check Point Software Technologies Ltd. 19
First Time Configuration Wizard 1
• クリーンインストールによるR77.20の設定を行います
• Nextボタンをクリックして初期パスワードを変更します
– 今回は、例としてP@ssw0rdと入力します
©2016 Check Point Software Technologies Ltd. 20
First Time Configuration Wizard 2
• Mgmtインターフェースのアドレスを構成図のアドレスに変更
します。アドレスを変更すると、初期のアドレスは、セカン
ダリIPアドレスに変更されます
• 構成図の通り、デフォルト・ゲートウェイのアドレスを設定
します
©2016 Check Point Software Technologies Ltd. 21
First Time Configuration Wizard 3
• ライセンス、コントラクト、防御機能などのアップデートを
行うためにCheck Point User Centerと通信するインター
フェースを設定します
• 今回は、eth1がインターネット接続可能なインターフェース
になりますので、eth1のアドレスを設定します
©2016 Check Point Software Technologies Ltd. 22
First Time Configuration Wizard 4
• ホスト名、ドメイン名、DNSサーバを設定します
• ホスト名は、ゲートウェイ管理の“オブジェクト名”に利用さ
れますので、複数ある場合は重複しない名前を入力します
©2016 Check Point Software Technologies Ltd. 23
First Time Configuration Wizard 5
• アプライアンスの構成を決定します
• 今回は、スタンドアロン構成になるのでSecurity Gatewayと
Security Managementにチェックをします
• Check Point User Centerのアカウントがないので、今回は自
動ダウンロードのチェックを外します(推奨は有効)
©2016 Check Point Software Technologies Ltd. 24
First Time Configuration Wizard 6
• 管理サーバのユーザ名、パスワードを設定します
• 今回は例として以下を入力します
– Administrator Name: fwadmin, Password: P@ssw0rd
©2016 Check Point Software Technologies Ltd. 25
First Time Configuration Wizard 7
• 管理サーバに専用GUIからのアクセスを許容するアドレスを
設定します
• アドレス、ネットワーク、アドレスレンジの設定が可能です
©2016 Check Point Software Technologies Ltd. 26
First Time Configuration Wizard 8
• ライセンスの投入を行います
• 購入ライセンスがない場合、Activation laterを選択すること
で、15日間のトライアル・ライセンスで動作します
©2016 Check Point Software Technologies Ltd. 27
First Time Configuration Wizard 9
• ライセンスの投入を行います
• 購入ライセンスがない場合、Activation laterを選択すること
で、15日間のトライアル・ライセンスで動作します
• システムのフィードバックをCheck Pointに送信するか否かの
チェックを今回は外します
設定のプロセスを開始します
©2016 Check Point Software Technologies Ltd. 28
First Time Configuration Wizard 10
• ゲートウェイと管理サーバの設定プロセスが進みます
• 設定内容の一覧を確認してOKボタンをクリックします
• 自動的に GAiA ポータルにログインしますが、
一旦サインアウトします。
©2016 Check Point Software Technologies Ltd. 29
GAiA Portal 1
• クライアントのアドレスを構成図に合わせて変更します
• 新たに設定したMgmtインターフェースのアドレスにアクセスします
– https://172.16.1.1/
– ユーザ名:admin, パスワード:P@ssw0rd
©2016 Check Point Software Technologies Ltd. 30
GAiA Portal 2
• First Time Configuration Wizardで設定したインターフェース
やゲートウェイのバージョンを確認できます
©2016 Check Point Software Technologies Ltd. 31
GAiA Portal 3
• 初期設定時のアドレス(192.168.1.1)がMgmt:1に割り当てられ
ているのが分かります
• Mgmt:1は必要ないので削除します
– Network Interfaces> Mgmt:1を選択してDeleteボタンをクリック
します
©2016 Check Point Software Technologies Ltd. 32
GAiA Portal 4
• eth2を選択してEditボタンをクリックします。Enableに
チェックを入れて所定のアドレスを入力します
• Commentには、インターフェースの利用目的を記すと管理し
やすくなります
• Ethernetタブでは、Link Speedなどの設定ができます
©2016 Check Point Software Technologies Ltd. 33
GAiA Portal 5
• eth2と同様の手順で、Mgmtとeth1の修正を行います(Comment部分)
– ハンズオンでは、eth2は物理的には接続されていないのでDownの状態です
©2016 Check Point Software Technologies Ltd. 34
GAiA Portal 6
• GAiA PortalからTerminalアクセスが可能です
• login: admin, Password: P@ssw0rdでログインできます
©2016 Check Point Software Technologies Ltd. 35
GAiA Portal 7
• expertモードでは、Unixコマンドを実行できます
• expertモードのアカウントを設定します
– set expert-password P@ssw0rd(今回はP@ssw0rdで設定)
– CLIで設定変更した場合、save configコマンドによる保存が必
要です
©2016 Check Point Software Technologies Ltd. 36
GAiA Portal 8
• show version allコマンドでプロダクトのバージョンを確認で
きます
• show configurationコマンドでGAiAの設定を確認できます
©2016 Check Point Software Technologies Ltd. 37
GAiA Portal 9
• 設定変更の権限がない場合、コンフィグレーション・ロック
の状態になります
– GAiAポータルでは、鍵マークをクリックすると権限を得られます
– CLIでは、lock database overrideコマンドで権限を得られます
©2016 Check Point Software Technologies Ltd. 38
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 39
SmartConsoleのインストール 1
• SmartConsoleのインストールは[Download Now!]をクリックし
ます
©2016 Check Point Software Technologies Ltd. 40
SmartConsoleのインストール 2
• SmartConsoleのインストールを開始します
• ライセンスに同意してプロセスを進めます
©2016 Check Point Software Technologies Ltd. 41
SmartDashboardの接続 1
• プログラムからSmartDashboard R77.20を選択して、管理
サーバにアクセスを行います
• First Time Configuration Wizardで設定した管理サーバの
ユーザ名、パスワードを入力します
– ユーザ名:fwadmin, パスワード:P@ssw0rd
• SmartDashboardは、実機が無くてもSoftware Bladeの機能を
確認できるDemo modeを利用できます
©2016 Check Point Software Technologies Ltd. 42
SmartDashboardの接続 2
• 管理サーバが成りすまされていないかFingerprintを確認し
ます
• 評価期間であることと、その残存日数が表示されますの
で、”OK”ボタンをクリックします
©2016 Check Point Software Technologies Ltd. 43
SmartDashboardの接続 3
• 各Software Bladeの設定がタブで分かれています
Software Bladeタブ
オブジェクト
管理サーバで管理している
ゲートウェイ
©2016 Check Point Software Technologies Ltd. 44
ゲートウェイ・オブジェクトの編集 1
• オブジェクトでGW-1を選択してダブルクリックします
• 購入したSoftware Bladeに応じたものを選択します
• トライアル・ライセンスでは、各種Software Bladeを確認
できます
©2016 Check Point Software Technologies Ltd. 45
ゲートウェイ・オブジェクトの編集 2
• スタンドアロン構成では、管理サーバのBladeも選択でき
ます
©2016 Check Point Software Technologies Ltd. 46
ゲートウェイ・オブジェクトの編集 3
• Topology> Get> Interfaces with Topologyを選択します
• Anti-Spoofingが設定されているメッセージが表示されます
ので、”OK”ボタンをクリックします
©2016 Check Point Software Technologies Ltd. 47
ゲートウェイ・オブジェクトの編集 4
• インターフェースのTopology情報を収集した結果が出力さ
れますので”Accept”ボタンをクリックします
• Mgmtインターフェースを選択して”Edit”ボタンをクリック
します
©2016 Check Point Software Technologies Ltd. 48
ゲートウェイ・オブジェクトの編集 5
• MgmtインターフェースのTopologyがInternalになっている
かを確認します
• Internal> TopologyのNetwork defined by the interface IP
and Net Maskが選択されていることで、172.16.1.0/24が
internalインターフェースで認識されるIPアドレスと判断さ
れます
©2016 Check Point Software Technologies Ltd. 49
ゲートウェイ・オブジェクトの編集 6
• eth1インターフェースのTopologyがExternalになっている
かを確認します
©2016 Check Point Software Technologies Ltd. 50
ゲートウェイ・オブジェクトの編集 7
• eth2インターフェースのTopologyがInternalになっている
かを確認します
• Interface leads to DMZにチェックを入れます。この設定は
コンテンツ検査を行うBladeでInternal, DMZを認識して検
査するのに用いられます
©2016 Check Point Software Technologies Ltd. 51
ゲートウェイ・オブジェクトの編集 8
• ゲートウェイ・オブジェクトの設定を終了するために
“OK“ボタンをクリックします
©2016 Check Point Software Technologies Ltd. 52
ネットワーク・オブジェクトの追加 1
• オブジェクトでNetworksを右クリックしてNetworkを選択
します
• 内部ネットワークの172.16.1.0を設定します
©2016 Check Point Software Technologies Ltd. 53
ネットワーク・オブジェクトの追加 2
• NATタブを選択して、Add Automatic Address Translation
ruleにチェックを入れます
• Translation method:は、Hideを選択します
– Hide behind Gatewayを選択して、ゲートウェイのアドレスに
変換されるように設定します
©2016 Check Point Software Technologies Ltd. 54
ホスト・オブジェクトの追加 1
• オブジェクトでNodesを右クリックしてNode> Hostを選択
します
• DNSサーバをホスト・オブジェクトに設定して”OK“ボタン
をクリックします
©2016 Check Point Software Technologies Ltd. 55
ホスト・オブジェクトの追加 2
• 同様に管理クライアント[Admin_PC] (172.16.1.5)をホス
ト・オブジェクトに追加します
• NATを選択してAdd Automatic Address Translation ruleに
チェックを入れます
– 公開Webサーバなどは、Translation methodをStaticにして公
開アドレスを設定します
©2016 Check Point Software Technologies Ltd. 56
FWポリシーの作成 1
• Policy> Add Rule at the Topボタンをクリックすると、
ルールが1行追加されます
©2016 Check Point Software Technologies Ltd. 57
FWポリシーの作成 2
• Sourceでは管理PCを選択、DestinationではGW-1を選
択します
©2016 Check Point Software Technologies Ltd. 58
FWポリシーの作成 3
• Actionで右クリックしてacceptを選択します
• Trackで右クリックしてlogを選択します
©2016 Check Point Software Technologies Ltd. 59
FWポリシーの作成 4
• Add Ruleでルールを追加して以下のポリシーを完成させ
ます(次のページで拡大画面を用意しています)
• Serviceでは制御したいサービスを選択します
©2016 Check Point Software Technologies Ltd. 60
FWポリシーの作成 5
• ルール1:Admin_PCからGW-1の通信を許可
• ルール2:IntranetからDNS_ServerにDNS, icmpの通信
を許可
• ルール3:IntranetからAnyに対してhttp, https, icmp,
smtpのみ通信を許可
• ルール4:クリーンアップ・ルールで全ての通信を破棄
©2016 Check Point Software Technologies Ltd. 61
ポリシーのインストール
• Install PolicyをクリックしてGW-1にポリシーをインス
トールします
• ゲートウェイが複数ある場合、チェックの有無でポリ
シーインストールするゲートウェイを指定できます
©2016 Check Point Software Technologies Ltd. 62
SmartView Tracker 1
• SmartView Trackerは、各種Software Bladeで検出した
ログ、監査ログなどをリアルタイムで確認できます
• 特定のログをダブルクリックすると詳細を確認できます
©2016 Check Point Software Technologies Ltd. 63
SmartView Tracker 2
• Managementタブでは、管理系のログを確認できます
©2016 Check Point Software Technologies Ltd. 64
暗黙のルール 1
• Launch Menu> View> Implied Rulesを選択すると、暗黙
のルールが確認できます。これは、SmartDashboardク
ライアント、管理サーバ、ゲートウェイを管理する上で
必要なルールが予め設定されています
• もう一度選択すると、元の表示に戻ります
©2016 Check Point Software Technologies Ltd. 65
暗黙のルール 2
• Launch Menu> Policy> Global Properties> FireWallで暗
黙のルールを制御することができます
• 誤った設定を行うと、管理に影響が出ますので、注意し
てください
©2016 Check Point Software Technologies Ltd. 66
Evaluationライセンスの投入 1
• SmartUpdateを開き、License & Contractsタブを表示し
ます
©2016 Check Point Software Technologies Ltd. 67
Evaluationライセンスの投入 2
• Launch Menu> Licenses & Contracts> Add License>
From FileでEvaluationライセンスを投入します
– デスクトップ> Evaluation-license>にある
CPLicenseFile.licを選択します
©2016 Check Point Software Technologies Ltd. 68
Evaluationライセンスの投入 3
• GW1を右クリックしてAttach Licensesを選択して表示
されたライセンスをすべて(2つ)アタッチします
©2016 Check Point Software Technologies Ltd. 69
コントラクトのアップデート
• Launch Menu> Licenses & Contracts> Update
Contracts> From FilesでEvaluationライセンス(コントラ
クト)を投入します
– デスクトップ> Evaluation-licenseにある
ServiceContract.xmlを選択します
©2016 Check Point Software Technologies Ltd. 70
ライセンスとコントラクトの確認
• cpsg-xxの表示がゲートウェイ用のライセンス
• cpsm-xxの表示が管理サーバ用のライセンス
• コントラクトのアップデート後に”Has Contracts”カラム
が Yes になっているかを確認
©2016 Check Point Software Technologies Ltd. 71
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 72
IPSブレードで脅威の侵入を防御
既知の脆弱性を悪用する攻撃を防御
アノマリ検出をベースとした
ゼロデイ攻撃の防御
IPS
攻撃パターンの検出
ハッカー
怪しいサイト
アノーマリ検出
©2016 Check Point Software Technologies Ltd. 73
IPSブレードの有効化
• GW-1のオブジェクトを選択してNetwork Securityタブ
のIPSにチェックを入れます
©2016 Check Point Software Technologies Ltd. 74
IPSブレードによる防御
• IPSブレードはCheck Point ThreatCloudから最新の防御
機能をダウンロードして防御機能を提供します
©2016 Check Point Software Technologies Ltd. 75
IPSプロファイルの指定
• プロファイルにより、どの防御機能が有効化されている
かが決まります。Recommendedを選択して推奨の防御
機能にします
今回はラボ環境なので特別にall trafficの検査を選択しますが
選択するとパフォーマンス影響のメッセージがでます
通常は侵入検出・防御の目的なので、internal host onlyを選択します
©2016 Check Point Software Technologies Ltd. 76
フェイル・セーフなメカニズム
• 高負荷時にIPS機能をバイパス処理する事ができます
• Highの値に達するとバイパス処理され、Lowの値に達す
ると再びIPS検査が行われます
今回は機能確認できたらチェックをしないで
OKをクリックします
©2016 Check Point Software Technologies Ltd. 77
IPS Overview画面
• IPSタブを選択するとIPSの詳細画面を確認できます
アクション・アイテム
•
コントラクト
•
シグネチャ更新など
プロファイル適用状況
インシデントの発生状況
最新のアドバイザリ
©2016 Check Point Software Technologies Ltd. 78
プロファイルの管理 1
• プロファイルは各防御機能を制御するグループです
• ゲートウェイごとに異なるプロファイルを割り当てる事
で、異なる防御の設定で複数ゲートウェイを展開できます
•
デフォルトで2つのプロファイルが用意されています
Default – 必要最小限の防御機能が有効化
Recommended – 推奨の防御機能が有効化
©2016 Check Point Software Technologies Ltd. 79
プロファイルの管理 2
• Recommended_Protectionのプロファイルをダブルクリッ
クするとIPSモードをPreventで動作させるかDetectで動作
させるか選択できます
検出と防御を行いたい場合、
デフォルト値のPreventで動作させます
©2016 Check Point Software Technologies Ltd. 80
IPSポリシー
• IPSポリシーは、有効化する防御機能を制御します
• 各防御機能には、Client/Server, Severity, Confidence
Level, performance impactの情報があり、それぞれのレベ
ルに応じて検査の有効化と無効化の制御ができます
IPSポリシーを変更すると、
ポリシーに従って防御機能が変更されます
©2016 Check Point Software Technologies Ltd. 81
アップデート・ポリシー
• 防御機能のアップデートを行った際に、新しく追加された
防御機能をDetect/Preventのどちらにするかを決定します
• 通常は、デフォルト値の”Detect”にしておきます
©2016 Check Point Software Technologies Ltd. 82
IPS防御機能
• プロファイルに含まれている各種防御機能の項目とそれぞ
れの設定値を確認できます
©2016 Check Point Software Technologies Ltd. 83
IPS防護機能の例
Severity(緊急度)
•
攻撃によりどの程度の影響が出るのか
Confidence Level(信頼度)
•
攻撃トラフィックであると確信できる信頼度
パフォーマンス影響度
•
ゲートウェイのパフォーマンスに与える影響
保護タイプ
•
クライアント保護・サーバ保護
関連セキュリティ勧告
•
この例ではMS14-018: CVE-2014-1755
©2016 Check Point Software Technologies Ltd. 84
更新された防御機能
• Check Point ThreatCloudから最新の防御機能がダウンロー
ドされると、その防御機能は一時的に強調表示になり、
Follow Upフラグが付きます
©2016 Check Point Software Technologies Ltd. 85
Max Ping Size防御機能の変更
• ラボ環境でIPS防御機能の動作を確認するために、Max
Ping Sizeの設定を変更してみます
pingで検索
Max Ping Sizeをダブルクリック
Preventに変更
Recommended_Protectionを
ダブルクリック
200 bytes
パケット・キャプチャ
©2016 Check Point Software Technologies Ltd. 86
ポリシーのインストール
• IPSブレードの設定をゲートウェイに反映するためにポリ
シーのインストールを行います
©2016 Check Point Software Technologies Ltd. 87
IPS防御機能の確認
• デフォルト・ゲートウェイにサイズの大きいpingを実施し
て、IPS防御されていることを確認します
– 例:ping 192.168.100.1 -l 500
©2016 Check Point Software Technologies Ltd. 88
SmartView Trackerの詳細ログ
• SmartView Trackerの詳細ログには、IPSブレードで検出し
た攻撃のパケット情報を含むことができます
©2016 Check Point Software Technologies Ltd. 89
防御機能のアップデート
• 実環境では、Download Updatesを設定して最新の防御機
能をダウンロードできるようにします
– マニュアル、自動、オフライン、何れかのアップデート方法
を選択できます
アップデートには、UserCenterの
アカウントが必要です
©2016 Check Point Software Technologies Ltd. 90
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 91
Anti-Botブレードによるボット通信の防御
多層的な検出エンジンによる感染マシンの検出
アウトバウンドの通信を停止することにより、
ボットによるダメージを低減
Anti-Bot
C&Cサーバ
コマンド&コント
ロール用のアドレス
通信パターン
振る舞い解析
©2016 Check Point Software Technologies Ltd. 92
Antivirusブレードのマルウェア侵入防御
侵入してくる不正なファイルをスキャンして防御
サンドボックスによるゼロデイの検出
不正な Web サイトへのアクセスを防御

マルウェア感染の検出にThreatCloudを活用

ファイル全体をバッファ

ユーザが利用しやすいように簡単に設定可能
ThreatCloud™
サイトのアドレスを確認
レジストリ
Antivirus
OS ファイル
不正ファイル
不正なWebサイト
©2016 Check Point Software Technologies Ltd. 93
Anti-BotとAntivirusブレードの有効化 1
• GW-1のオブジェクトを選択してNetwork Securityタブ
のAnti-BotとAntivirusにチェックを入れます
©2016 Check Point Software Technologies Ltd. 94
Anti-BotとAntivirusブレードの有効化 2
• Anti-Bot, Antivirusにチェックを入れると、First Time
Activationが出力されます
• 検出と防御を行うに場合は、”According to the Anti-Bot
and Antivirus policy”のチェックでOKボタンをクリック
します
匿名で攻撃の情報をCheck Point
ThreatCloudに共有できる場合は、
チェックを入れたままにします
今回はラボ環境なのでチェックを
外してみます
First Time Activationの内容
が反映されています
©2016 Check Point Software Technologies Ltd. 95
プロファイルの管理 1
• Threat Preventionタブを選択してデフォルトで用意され
ているプロファイルを確認します
• Recommended_Profileを選択してEditボタンをクリック
します
©2016 Check Point Software Technologies Ltd. 96
プロファイルの管理 2
• Anti-BotとAntivirusの設定を確認します
• UserCheckはAnti-Bot, Antivirusの防御時に、リダイレク
ションのメッセージを決定しています
ボットの活動を検査する
emailのサイズ(KB)
防御対象の
インターフェース指定
検査対象プロトコル
©2016 Check Point Software Technologies Ltd. 97
ポリシーの管理
Recommended_Profileを使用しています
Anti-BotとAntivirusは、ルールベースの
防御範囲に基づいて検査を行います
©2016 Check Point Software Technologies Ltd. 98
ポリシーのインストール
• Anti-BotとAntivirusブレードの設定をゲートウェイに反映
するためにポリシーのインストールを行います
©2016 Check Point Software Technologies Ltd. 99
プロテクションの確認
• プロテクションをクリックすると、レピュテーション、
シグネチャ、振る舞いなどの検出・防御機能が確認でき
ます
©2016 Check Point Software Technologies Ltd. 100
Threat Wiki 1
• Threat Wikiでは、マルウェア・データベース上にあるマ
ルウェア確認できます
©2016 Check Point Software Technologies Ltd. 101
Threat Wiki 2
• マルウェア・データベースは、インターネットからも閲
覧できます
– http://threatwiki.checkpoint.com/threatwiki/public.htm
©2016 Check Point Software Technologies Ltd. 102
Anti-Bot防御機能の確認 1
Anti-Botのテストを実施してみます
UserCheckのブロックメッセージ
*メッセージを日本語に変更できます
©2016 Check Point Software Technologies Ltd. 103
Anti-Bot防御機能の確認 2
• SmartView Trackerで防御ログを確認します
防御のログが確認できます
©2016 Check Point Software Technologies Ltd. 104
Antivirus防御機能の確認 1
Antivirusのテストを実施してみます
UserCheckのブロックメッセージ
©2016 Check Point Software Technologies Ltd. 105
Antivirus防御機能の確認 2
• SmartView Trackerで防御ログを確認します
防御のログが確認できます
©2016 Check Point Software Technologies Ltd. 106
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 107
Threat Emulationブレードによる未知マルウェア防御
不正なファイルが
添付されたメール
Threat Emulation Software
Bladeがインターセプト
添付ファイルを抽出
マルウェア検出
問題なし
サンドボックス内で
エミュレート
脅威の挙動観察により
新しい攻撃を検出およびストップ
©2016 Check Point Software Technologies Ltd. 108
Threat Emulationの検査プロセス
File Aggregation
(kernel, dlpu)
Cache
キャッシュの負荷は、非常に軽量で
パフォーマンスにプラスの効果がある
Static Analysis
悪意あるコードを含むことができない
と判断すると
エミュレーションをスキップする
Emulation
サンドボックス環境(クラウド/オンプ
レミス)によるエミュレーション
[Restricted] ONLY for designated groups and individuals
©2016 Check Point Software Technologies Ltd. 109
Threat Emulationの導入オプション
オプション①
オプション②
Threat Emulation
クラウドサービス
SandBlast
アプライアンス
セキュリティ・ゲートウェイ
に統合
Security Gateway, R77
導入要件にそった最適な導入オプションを提供
[Restricted] ONLY for designated groups and individuals
©2016 Check Point Software Technologies Ltd. 110
CPUレベル脅威防御
©2016 Check Point Software Technologies Ltd. 111
攻撃の感染フロー
脆弱性
パッチが適用されていないソフトウェアや、
ゼロ・デイ脆弱性に対するアタックをトリガー
エクスプロイト
エクスプロイト方法を用いて、CPUとOS
のセキュリティ制御をバイパス
シェルコード
マルウェア
埋め込んだペイロードを有効化し、
マルウェアを読み込み
悪質なコードを実行
©2016 Check Point Software Technologies Ltd. 112
攻撃の感染フロー
脆弱性
エクスプロイト
数千種類
マルウェア側で回避困難
数種類
エクスプロイト開始前に検知
シェルコード
マルウェア
回避技術を持つマルウェアを探すのでは
なく、エクスプロイト自身を特定
数百万種類
©2016 Check Point Software Technologies Ltd. 113
CPUレベル脅威防御の仕組み
最新のCPU技術(Intel Haswell)を利用
エクスプロイトが、OSのセキュリティ制御を
バイパスしようとするCPUベースの命令を監視
最先端の CPUレベルでの
脅威防御エンジン
©2016 Check Point Software Technologies Ltd. 114
サードパーティ(Miercom)による
「Unknown 300」テストの検証結果
©2016 Check Point Software Technologies Ltd. 115
Threat Emulationブレードの有効化 1
• GW-1のオブジェクトを選択してNetwork Securityタブ
のThreat Emulationにチェックを入れます
• Threat Emulation にチェックを入れると、First Time
Activationが出力されます
©2016 Check Point Software Technologies Ltd. 116
Threat Emulationブレードの有効化 2
• ThreadCloudで未知のマルウェアか否かを検査するため
に、ThreadCloud Emulation Serviceにチェックを入れ
てNextをクリックします
• ライセンスが登録されているユーザセンターのアカウン
トに、Threat Emulationのライセンスが登録されていな
い場合、エラーになります
©2016 Check Point Software Technologies Ltd. 117
Threat Emulationブレードの有効化 3
• First Time Activationで設定した内容がGW-1のオブジェ
クトのThreat Emulationで確認できます
デフォルトのエミュレーションは以下の2つです
WinXP, Office 2003/7, Adobe9
Win7, Office 2003/7, Adobe9
*追加の場合は他のイメージにチェックを入れます
-
©2016 Check Point Software Technologies Ltd. 118
ファイル・タイプの追加
• Threat Preventionタブを選択Messages and Actionsに検
査対象にできるファイルタイプが追加されていないか確
認します
検査対象に加えたいファイルタイプを選択します
©2016 Check Point Software Technologies Ltd. 119
プロファイルの管理 1
• Threat Preventionタブを選択してデフォルトで用意され
ているプロファイルを確認します
• Recommended_Profileを選択してEditボタンをクリック
します
©2016 Check Point Software Technologies Ltd. 120
プロファイルの管理 2
• Threat Emulationの設定を確認します
• 検査対象に加えたファイルタイプが、File Typesに追加
されています
防御対象の
インターフェース指定
検査対象プロトコル
検査対象のファイル・タイプ
©2016 Check Point Software Technologies Ltd. 121
プロファイルの管理 3
• Advanced設定では、Threat Emulationによる検査を行う
際のコネクションの扱いを決定できます
• ラボ環境でThreat Emulation防御機能の動作を確認する
ために、今回はHoldに変更します
Background
ファイルの検査が終了しなくてもコネクションを許可します。
マルウェアと判断されたファイルは、次回からは防御します
Hold
ファイルの検査が終了するまでコネクションを許可しません
Custom
プロトコル毎にコネクションの扱いを変えることができます
Hold設定にするとコネクションのタイムアウトが
発生する可能性がある旨がポップアップされま
す。SMTPのHold設定は、MT Aの併用がお勧め
です
©2016 Check Point Software Technologies Ltd. 122
ポリシーのインストール
• Threat Emulation ブレードの設定をゲートウェイに反映す
るためにポリシーのインストールを行います
©2016 Check Point Software Technologies Ltd. 123
Threat Emulation防御機能の確認 1
Threat Emulationのテスト
を実施してみます
マルウェアのファイルと検出・防御されたので、
ダウンロードが完了しない
©2016 Check Point Software Technologies Ltd. 124
Threat Emulation防御機能の確認 2
マルウェアではないファイルの
ダウンロードが正常に行えるこ
とを確認してみます
©2016 Check Point Software Technologies Ltd. 125
Threat Emulation防御機能の確認 3
• SmartView Trackerで防御ログを確認します
©2016 Check Point Software Technologies Ltd. 126
Threat Emulation防御機能の確認 4
Threat Emulationの検査結果
レポートが添付されています
不正な活動
システムプロセス
レジストリの値
ファイル・システムの
アクティビティ
©2016 Check Point Software Technologies Ltd. 127
Threat Emulation防御機能の確認 5
• 検出されたマルウェアのファイルを入手できます
• マルウェアのファイルは、扱いに注意が必要なので、パス
ワード付きのtar.gzファイルになっています
©2016 Check Point Software Technologies Ltd. 128
Threat Emulation防御機能の確認 6
• Threat Emulationでマルウェアと判断されたファイルは、
以降はlocal cacheの情報と照合して防御対象になります
Cloud
Local
cache
©2016 Check Point Software Technologies Ltd. 129
MTAの設定(補足情報)
• GWをMTAとして動作させると、Hold設定時にSMTPのコ
ネクションを保持しながら検査できます
SMTPトラフィックのインターフェース
MTAがメールを保持する時間やHDの空き容量
©2016 Check Point Software Technologies Ltd. 130
今日のソリューション・ギャップ
100%
ANTI-VIRUS
ZERO-DAY
PROTECTION
既知、古い
マルウェアを捕獲
新しい未知の
マルウェアを検知
1,000の既知のマルウェアの
100インスタンスのうち5は、
うち、71は非検知
未知のマルウェアで非検知
セキュリティ
ギャップ
©2016 Check Point Software Technologies Ltd. 131
チェック・ポイントが発表….
未然に
ゼロ秒で
ゼロ・マルウェアに
完全な脅威削除を実現する先進の技術
出展: Validated with thousands of “unknown” malware in Check Point Lab Testing as of February 2016
©2016 Check Point Software Technologies Ltd.
ゼロ・マルウェア・ドキュメント
元々のドキュメント
ドキュメントを再構築
ゼロ・マルウェア
ドキュメント
CHECK POINT
T H R E AT E X T R A C T I O N
©2016 Check Point Software Technologies Ltd. 133
リスク・ベース・プロファイルでの再構築オプション
PDFへ変換
元々のフォーマットを維持
•
エクスプロイト可能なコンテンツを削除
©2016 Check Point Software Technologies Ltd. 134
アジェンダ
1
2
3
4
5
6
7
アプライアンスの概要
GAiAセットアップ
FWセットアップ
IPSセットアップ
Anti-BotとAntivirusのセットアップ
Threat Emulationのセットアップ
運用管理オペレーション
©2016 Check Point Software Technologies Ltd. 135
SmartView Monitor
©2016 Check Point Software Technologies Ltd. 136
ログ管理1
• ログはゲートウェイで生成されて、Security Managementサーバに
ネットワーク経由で転送され、 Security ManagementサーバのHDD上
の$FWDIR/log/fw.logに累積的に追加されます
• ログはfw.logのみではなく、ポインタ・ファイルも構成されます
• ログはlog switch(ログ切り換え)という作業を行うことにより、それま
でのログを別ファイルに保存できます。 Log switchではポインタ・
ファイルも別ファイル名で保存されます
• 後に再度ログを閲覧する場合、Security Managementサーバ上の
$FWDIR/logディレクトリに戻して確認します
• Log switchは手動で行う方法と自動で行う方法があります
– 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、も
しくはCLIからfw logswitchコマンドで実行できます
– 自動では、定時に行う、ログファイルのサイズが指定した大きさを
超えたら行うなどの設定が可能です
©2016 Check Point Software Technologies Ltd. 137
ログ管理2
• $FWDIR/logディレクトリのログファイルの例です
©2016 Check Point Software Technologies Ltd. 138
ログ管理3
• オブジェクトのLogs> Local Log Storageで、自動でLog switchする設
定が可能です
• 初期設定で、幾つかのtimeオブジェクトが用意されています
©2016 Check Point Software Technologies Ltd. 139
システム・バックアップ1
• バックアップは、手動で行う方法とスケジュール化による自動の方法
があります
– バックアップは、GAiA OSとSoftware Bladeの設定です
– $FWDIR/log/配下は含まれません
• バックアップファイルは、/var/log/CPbackup/backups/に保存されます
• リストアは、バックアップしたバージョン、Build、HF、HFAなど全て
合わせて実行する必要があります
©2016 Check Point Software Technologies Ltd. 140
システム・バックアップ2
• バックアップ・リストアは、CLIからも実行できます
• バックアップコマンド: add backup local
• リストアコマンド:set backup restore
• リストア後は、rebootコマンドで再起動を実行します
Localにバックアップの例
show backup statusコマンドの例
©2016 Check Point Software Technologies Ltd. 141
スナップショット・マネジメント
• Snapshot Managementは、Snapshotによるシステムイメージのバック
アップです。/bootにディレクトリが作成され、その中にファイルが生
成されます
– システム全体をイメージとして保存します
– イメージの容量は数GBに達しますので、処理が完了するまで数十分要する
場合があります
– イメージは、export, importが可能です
• Image Managementには、ログファイルは含まれません
Revertで復元できます
©2016 Check Point Software Technologies Ltd. 142
システムの初期化1
• CLIでrebootを行います
• “Press any key to see the boot menu”が表示されている間に、Enter
キーを入力します
©2016 Check Point Software Technologies Ltd. 143
システムの初期化2
• プロセスが終了して、loginプロンプトが表示されたら、初期時の
アカウントでログインします
– ユーザ名: admin, パスワード: admin
• 電源offする場合、Haltコマンドを入力します
• Power downが表示されたら、電源offします
©2016 Check Point Software Technologies Ltd. 144
セキュリティのリスクを可視化をしてみませんか?
(Security CheckUpレポート)
©2016 Check Point Software Technologies Ltd. 145
Security CheckUp構成例
•
•
内部ホストのトラフィックを検査して可視化
FW(NATされた)を通過した外部からの脅威を可視化
境界ファイアウォール
スイッチ
インターネット
ミラーポート(SPANポート)
シグネチャ・アップデート用の
インターネット接続
Security CheckUpレポート
2012 アプライアンス
©2016 Check Point Software Technologies Ltd. 146
セキュリティのリスクを可視化
無償サービスです!
Web セキュリティのイベント
侵入 & 攻撃のイベント
データ損失のイベント
ボットのイベント
ウイルスのイベント
サンドボックスの検査のイベント(未知の脅威)
アプリケーション利用
アプリケーションごとの帯域幅利用
マルウェアの脅威
©2016 Check Point Software Technologies Ltd. 147
ありがとうございました!
Point Software
Technologies
Ltd
©2016©2016
CheckCheck
Point Software
Technologies
Ltd. 148
Fly UP