Comments
Description
Transcript
標的型攻撃対策 ハンズオン・トレーニング - チェック・ポイント・ソフトウェア
標的型攻撃対策 ハンズオン・トレーニング 次世代ファイアウォール/Software Blade基本設定コース Last updated on Jul 28, 2016 ©2016 Check Point Software Technologies ©2016 Check Point Software Technologies Ltd.Ltd1 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 2 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 3 アプライアンス・シリーズ アプライアンス 1) 理想的なテスト環境におけるパフォー マンス(RFC 3511, 2544, 2647, 1242) 2) アクセラレータ・カード使用時 Security Power FWスループット1) 標準メモリ 2200 121 3Gbps 2GB(最大2GB) 32bit 4200 121 3Gbps 4GB (最大4GB) 32bit 4400 230 5Gbps 4GB (最大4GB) 32bit 4600 405 9Gbps 4GB(最大4GB) 32bit 4800 673 11Gbps 4GB 8GB/8GB 32bit / 64bit 12200 811 15Gbps 4Gb 8GB/8GB 32bit / 64bit 12400 1185 25Gbps 4GB 8GB/12GB 32bit / 64bit 12600 2050 30Gbps 6GB 6GB/12GB 32bit / 64bit 13500 3200 77Gbps 16GB 16GB/64GB 32bit / 64bit 13800 3800 77Gbps 16GB 16GB/64GB 32bit / 64bit 21400 2175/29002) 50/110Gbps2) 12GB 12GB/24GB 32bit / 64bit 21700 3300/35512) 78.6/110Gbps2) 16GB 16GB/32GB 32bit / 64bit 21800 4100/43002) 78/110Gbps2) 16GB 16GB/64B 32bit / 64bit 64bitメモリ (最小/最大) OS対応 2200 アプライアンス 12000 アプライアンス 4000 アプライアンス 21000 アプライアンス 13000 アプライアンス ©2016 Check Point Software Technologies Ltd. 4 アプライアンス・シリーズ アプライアンス Security Power FWスループット1) 同時接続数 (標準/最大) 10/100/1000BaseTポート数 (標準/最大) 標準メモリ (標準/最大) 3200 250 4Gbps 320万 6 8GB 5200 425 16Gbps 320万/640万 6/14 8/16GB 5400 600 22Gbps 320万/1280万 10/18 8/32GB 5600 950 25Gbps 320万/1280万 10/18 8/32GB 5800 1750 35Gbps 320万/1280万 10/26 8/32GB 15400 2600 58Gbps 320万/2560万 10/26 8/64GB 15600 3850 76Gbps 640万/2560万 10/26 16/64GB 23500 4900 116Gbps 640万/5120万 10/42 16/128GB 23800 6200 128Gbps 1280万/5120万 10/42 32/128GB 1) 理想的なテスト環境におけるパフォーマンス(RFC 3511, 2544, 2647, 1242) 1400/3200 アプライアンス 15000 アプライアンス 5000 アプライアンス 23000 アプライアンス ©2016 Check Point Software Technologies Ltd. 5 新旧アプライアンス製品の性能比較 ※NGTP – Next Generation Threat Prevention (Firewall, IPS, Anti Virus, Anti Bot, App Control, URL Filtering) 300 1600 250 200 150 NGFW NGTP※ 100 Mbps (Prod. Traffic) Mbps (Prod. Traffic) 1200 800 NGFW NGTP※ 400 50 0 0 4400 5200 12400 15400 性能劣化なしにNGTP※を処理可能 [Confidential] For designated groups and individuals ©2016 Check Point Software Technologies Ltd. 6 NGTX※を高い性能で実行 350 2400 300 2000 200 NGTX※ 150 NGTP 100 Mbps (Prod. Traffic) Mbps (Prod. Traffic) 250 1600 1200 NGTP 800 50 400 0 0 4600 5400 NGTX※ 13500 15600 ※NGTX – Next Generation Threat Extraction (NGTP + Threat Extraction + Threat Emulation) [Confidential] For designated groups and individuals ©2016 Check Point Software Technologies Ltd. 7 パッケージ化されたソリューション 標準 * オプション NGTP NGTX Next Generation Threat Prevention Next Generation Threat Extraction Firewall Identity Awareness IPsec VPN ADN&C Mobile Access IPS App Control URL Filtering Antivirus Anti-Bot Anti-Spam & Email Threat Extraction Threat Emulation DLP * * * * ©2016 Check Point Software Technologies Ltd. 8 標的型攻撃 – 代表的な攻撃シナリオ 1. 1 マルウェア・ファイル付メールの送信 1. 2 C&CサイトのURL付メールの送信 2. 1 受信者が添付ファイルをオープン、文書中 に存在するリンクをクリック 2. 2 または、メール本文中のリンクをクリック 3. 攻撃が仕組まれたサイトへ誘導、アクセス 4. 攻撃プログラムがダウンロード 5. 侵入したボットが 攻撃者に指令を求めて通信 個人情報の流出、企業データの流出 ©2016 Check Point Software Technologies Ltd. [Confidential] For designated groups and individuals 9 ©2016 Check Point Software Technologies Ltd. 9 標的型攻撃の防御に必要な機能 1 マルウェア・ フ 1. 1 マルウェア・ファイル付メールの送信 2 C&CサイトのU 1. 2 C&CサイトのURL付メールの送信 Emulation Extraction 1 受信 者が添付フ 2. 1 2. 受信者が添付ファイルをオープン、文書中 に存在するリンクをクリック 2. 2 または、メール本文中のリンクをクリック Threat Threat Antivirus 3. 攻撃が仕組まれたサイトへ誘導、アクセス 4. Antivirus IPS Threat Emulation 攻撃プログラムがダウンロード 5. 侵入したボットが 攻撃者に指令を求めて通信 個人情報の流出、企業データの流出 Anti-bot ©2016 Check Point Software Technologies Ltd. DLP [Confidential] For designated groups and individuals 1 ©2016 Check Point Software Technologies Ltd. 10 0 ゼロデイ標的型攻撃への多層防御 IPS Antivirus (入口) 既知の脆弱性を狙 うエクスプロイトからの保護 (入口) 既知のマルウェア・ファ イルのダウンロードをブロック Threat Emulation (入口) 未知のマルウェアに よるゼロデイ攻撃をブロック Threat Extraction (入口)ゼロ秒でドキュメン トを無害化し配信 Anti-Bot ThreatCloud (出口)ボットによる 被害を検出し、阻止 リアルタイムのセキュリ ティ・インテリジェンス ©2016 Check Point Software Technologies Ltd. 11 HTTPSインスペクション SSLで暗号化された通信の検査を実現 IPS Application Control URL Filtering Antivirus Anti-Bot Threat Emulation ©2016 Check Point Software Technologies Ltd. 12 三層構造アーキテクチャ スタンドアロン構成 赤枠: 一台のアプライアンス セキュリティ・ポリシーなど ログやステータスなど ゲートウェイ Security Management サーバ 管理コンソール SmartConsole & Webブラウザ • Security Managementサーバでは、セキュリティ・ポリシーの保存やコンパイルなど が行われます • ゲートウェイで生成されるログは、 管理サーバに保存されます ©2016 Check Point Software Technologies Ltd. 13 構成パターン 本ドキュメントは、 こちらについて解説します! 分散構成 スタンドアロン構成 Gateway Gateway Management Management 冗長構成 冗長構成 (Full HA) (Cluster-XL or VRRP) Management Gateway Management Gateway Management Gateway Gateway ©2016 Check Point Software Technologies Ltd. 14 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 15 GAiAのサポート・ブラウザ • Microsoft Internet Explorer 8 or higher • Google Chrome 14 or higher • Firefox 6 or higher • Apple Safari 5 or higher ©2016 Check Point Software Technologies Ltd. 16 ネットワーク構成図 Internet 192.168.100.1 External:192.168.100.0/24 (GW) 192.168.100.xx (ポート1) xxは別紙参照 (グループごとに異なります) 本トレーニングでは 使用しません 172.16.1.1 (ポート6) 192.168.10.101 (ポート2) DMZ:192.168.10.0/24 管理PC:172.16.1.5 Internal:172.16.1.0/24 [Restricted] ONLY for designated groups and individuals ©2016 Check Point Software Technologies Ltd. 17 アプライアンス初期設定 • アプライアンスは、初期設定においてMGMTインター フェースに192.168.1.1/24のIPアドレスが割り当てられて います • PCのIPアドレスが192.168.1.x/24 (.1以外)に設定されてい ることを確認します • PCをMGMTインターフェースに接続します • ブラウザを起動して以下のURLにアクセスします – https://192.168.1.1 MGMTポート Consoleポート 2200 アプライアンスの例 ©2016 Check Point Software Technologies Ltd. 18 初期アカウント • 初期設定では、以下のアカウントが設定されています – ユーザ名:admin, パスワード:admin • ログイン後、First Time Configuration Wizardが表示されます ©2016 Check Point Software Technologies Ltd. 19 First Time Configuration Wizard 1 • クリーンインストールによるR77.20の設定を行います • Nextボタンをクリックして初期パスワードを変更します – 今回は、例としてP@ssw0rdと入力します ©2016 Check Point Software Technologies Ltd. 20 First Time Configuration Wizard 2 • Mgmtインターフェースのアドレスを構成図のアドレスに変更 します。アドレスを変更すると、初期のアドレスは、セカン ダリIPアドレスに変更されます • 構成図の通り、デフォルト・ゲートウェイのアドレスを設定 します ©2016 Check Point Software Technologies Ltd. 21 First Time Configuration Wizard 3 • ライセンス、コントラクト、防御機能などのアップデートを 行うためにCheck Point User Centerと通信するインター フェースを設定します • 今回は、eth1がインターネット接続可能なインターフェース になりますので、eth1のアドレスを設定します ©2016 Check Point Software Technologies Ltd. 22 First Time Configuration Wizard 4 • ホスト名、ドメイン名、DNSサーバを設定します • ホスト名は、ゲートウェイ管理の“オブジェクト名”に利用さ れますので、複数ある場合は重複しない名前を入力します ©2016 Check Point Software Technologies Ltd. 23 First Time Configuration Wizard 5 • アプライアンスの構成を決定します • 今回は、スタンドアロン構成になるのでSecurity Gatewayと Security Managementにチェックをします • Check Point User Centerのアカウントがないので、今回は自 動ダウンロードのチェックを外します(推奨は有効) ©2016 Check Point Software Technologies Ltd. 24 First Time Configuration Wizard 6 • 管理サーバのユーザ名、パスワードを設定します • 今回は例として以下を入力します – Administrator Name: fwadmin, Password: P@ssw0rd ©2016 Check Point Software Technologies Ltd. 25 First Time Configuration Wizard 7 • 管理サーバに専用GUIからのアクセスを許容するアドレスを 設定します • アドレス、ネットワーク、アドレスレンジの設定が可能です ©2016 Check Point Software Technologies Ltd. 26 First Time Configuration Wizard 8 • ライセンスの投入を行います • 購入ライセンスがない場合、Activation laterを選択すること で、15日間のトライアル・ライセンスで動作します ©2016 Check Point Software Technologies Ltd. 27 First Time Configuration Wizard 9 • ライセンスの投入を行います • 購入ライセンスがない場合、Activation laterを選択すること で、15日間のトライアル・ライセンスで動作します • システムのフィードバックをCheck Pointに送信するか否かの チェックを今回は外します 設定のプロセスを開始します ©2016 Check Point Software Technologies Ltd. 28 First Time Configuration Wizard 10 • ゲートウェイと管理サーバの設定プロセスが進みます • 設定内容の一覧を確認してOKボタンをクリックします • 自動的に GAiA ポータルにログインしますが、 一旦サインアウトします。 ©2016 Check Point Software Technologies Ltd. 29 GAiA Portal 1 • クライアントのアドレスを構成図に合わせて変更します • 新たに設定したMgmtインターフェースのアドレスにアクセスします – https://172.16.1.1/ – ユーザ名:admin, パスワード:P@ssw0rd ©2016 Check Point Software Technologies Ltd. 30 GAiA Portal 2 • First Time Configuration Wizardで設定したインターフェース やゲートウェイのバージョンを確認できます ©2016 Check Point Software Technologies Ltd. 31 GAiA Portal 3 • 初期設定時のアドレス(192.168.1.1)がMgmt:1に割り当てられ ているのが分かります • Mgmt:1は必要ないので削除します – Network Interfaces> Mgmt:1を選択してDeleteボタンをクリック します ©2016 Check Point Software Technologies Ltd. 32 GAiA Portal 4 • eth2を選択してEditボタンをクリックします。Enableに チェックを入れて所定のアドレスを入力します • Commentには、インターフェースの利用目的を記すと管理し やすくなります • Ethernetタブでは、Link Speedなどの設定ができます ©2016 Check Point Software Technologies Ltd. 33 GAiA Portal 5 • eth2と同様の手順で、Mgmtとeth1の修正を行います(Comment部分) – ハンズオンでは、eth2は物理的には接続されていないのでDownの状態です ©2016 Check Point Software Technologies Ltd. 34 GAiA Portal 6 • GAiA PortalからTerminalアクセスが可能です • login: admin, Password: P@ssw0rdでログインできます ©2016 Check Point Software Technologies Ltd. 35 GAiA Portal 7 • expertモードでは、Unixコマンドを実行できます • expertモードのアカウントを設定します – set expert-password P@ssw0rd(今回はP@ssw0rdで設定) – CLIで設定変更した場合、save configコマンドによる保存が必 要です ©2016 Check Point Software Technologies Ltd. 36 GAiA Portal 8 • show version allコマンドでプロダクトのバージョンを確認で きます • show configurationコマンドでGAiAの設定を確認できます ©2016 Check Point Software Technologies Ltd. 37 GAiA Portal 9 • 設定変更の権限がない場合、コンフィグレーション・ロック の状態になります – GAiAポータルでは、鍵マークをクリックすると権限を得られます – CLIでは、lock database overrideコマンドで権限を得られます ©2016 Check Point Software Technologies Ltd. 38 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 39 SmartConsoleのインストール 1 • SmartConsoleのインストールは[Download Now!]をクリックし ます ©2016 Check Point Software Technologies Ltd. 40 SmartConsoleのインストール 2 • SmartConsoleのインストールを開始します • ライセンスに同意してプロセスを進めます ©2016 Check Point Software Technologies Ltd. 41 SmartDashboardの接続 1 • プログラムからSmartDashboard R77.20を選択して、管理 サーバにアクセスを行います • First Time Configuration Wizardで設定した管理サーバの ユーザ名、パスワードを入力します – ユーザ名:fwadmin, パスワード:P@ssw0rd • SmartDashboardは、実機が無くてもSoftware Bladeの機能を 確認できるDemo modeを利用できます ©2016 Check Point Software Technologies Ltd. 42 SmartDashboardの接続 2 • 管理サーバが成りすまされていないかFingerprintを確認し ます • 評価期間であることと、その残存日数が表示されますの で、”OK”ボタンをクリックします ©2016 Check Point Software Technologies Ltd. 43 SmartDashboardの接続 3 • 各Software Bladeの設定がタブで分かれています Software Bladeタブ オブジェクト 管理サーバで管理している ゲートウェイ ©2016 Check Point Software Technologies Ltd. 44 ゲートウェイ・オブジェクトの編集 1 • オブジェクトでGW-1を選択してダブルクリックします • 購入したSoftware Bladeに応じたものを選択します • トライアル・ライセンスでは、各種Software Bladeを確認 できます ©2016 Check Point Software Technologies Ltd. 45 ゲートウェイ・オブジェクトの編集 2 • スタンドアロン構成では、管理サーバのBladeも選択でき ます ©2016 Check Point Software Technologies Ltd. 46 ゲートウェイ・オブジェクトの編集 3 • Topology> Get> Interfaces with Topologyを選択します • Anti-Spoofingが設定されているメッセージが表示されます ので、”OK”ボタンをクリックします ©2016 Check Point Software Technologies Ltd. 47 ゲートウェイ・オブジェクトの編集 4 • インターフェースのTopology情報を収集した結果が出力さ れますので”Accept”ボタンをクリックします • Mgmtインターフェースを選択して”Edit”ボタンをクリック します ©2016 Check Point Software Technologies Ltd. 48 ゲートウェイ・オブジェクトの編集 5 • MgmtインターフェースのTopologyがInternalになっている かを確認します • Internal> TopologyのNetwork defined by the interface IP and Net Maskが選択されていることで、172.16.1.0/24が internalインターフェースで認識されるIPアドレスと判断さ れます ©2016 Check Point Software Technologies Ltd. 49 ゲートウェイ・オブジェクトの編集 6 • eth1インターフェースのTopologyがExternalになっている かを確認します ©2016 Check Point Software Technologies Ltd. 50 ゲートウェイ・オブジェクトの編集 7 • eth2インターフェースのTopologyがInternalになっている かを確認します • Interface leads to DMZにチェックを入れます。この設定は コンテンツ検査を行うBladeでInternal, DMZを認識して検 査するのに用いられます ©2016 Check Point Software Technologies Ltd. 51 ゲートウェイ・オブジェクトの編集 8 • ゲートウェイ・オブジェクトの設定を終了するために “OK“ボタンをクリックします ©2016 Check Point Software Technologies Ltd. 52 ネットワーク・オブジェクトの追加 1 • オブジェクトでNetworksを右クリックしてNetworkを選択 します • 内部ネットワークの172.16.1.0を設定します ©2016 Check Point Software Technologies Ltd. 53 ネットワーク・オブジェクトの追加 2 • NATタブを選択して、Add Automatic Address Translation ruleにチェックを入れます • Translation method:は、Hideを選択します – Hide behind Gatewayを選択して、ゲートウェイのアドレスに 変換されるように設定します ©2016 Check Point Software Technologies Ltd. 54 ホスト・オブジェクトの追加 1 • オブジェクトでNodesを右クリックしてNode> Hostを選択 します • DNSサーバをホスト・オブジェクトに設定して”OK“ボタン をクリックします ©2016 Check Point Software Technologies Ltd. 55 ホスト・オブジェクトの追加 2 • 同様に管理クライアント[Admin_PC] (172.16.1.5)をホス ト・オブジェクトに追加します • NATを選択してAdd Automatic Address Translation ruleに チェックを入れます – 公開Webサーバなどは、Translation methodをStaticにして公 開アドレスを設定します ©2016 Check Point Software Technologies Ltd. 56 FWポリシーの作成 1 • Policy> Add Rule at the Topボタンをクリックすると、 ルールが1行追加されます ©2016 Check Point Software Technologies Ltd. 57 FWポリシーの作成 2 • Sourceでは管理PCを選択、DestinationではGW-1を選 択します ©2016 Check Point Software Technologies Ltd. 58 FWポリシーの作成 3 • Actionで右クリックしてacceptを選択します • Trackで右クリックしてlogを選択します ©2016 Check Point Software Technologies Ltd. 59 FWポリシーの作成 4 • Add Ruleでルールを追加して以下のポリシーを完成させ ます(次のページで拡大画面を用意しています) • Serviceでは制御したいサービスを選択します ©2016 Check Point Software Technologies Ltd. 60 FWポリシーの作成 5 • ルール1:Admin_PCからGW-1の通信を許可 • ルール2:IntranetからDNS_ServerにDNS, icmpの通信 を許可 • ルール3:IntranetからAnyに対してhttp, https, icmp, smtpのみ通信を許可 • ルール4:クリーンアップ・ルールで全ての通信を破棄 ©2016 Check Point Software Technologies Ltd. 61 ポリシーのインストール • Install PolicyをクリックしてGW-1にポリシーをインス トールします • ゲートウェイが複数ある場合、チェックの有無でポリ シーインストールするゲートウェイを指定できます ©2016 Check Point Software Technologies Ltd. 62 SmartView Tracker 1 • SmartView Trackerは、各種Software Bladeで検出した ログ、監査ログなどをリアルタイムで確認できます • 特定のログをダブルクリックすると詳細を確認できます ©2016 Check Point Software Technologies Ltd. 63 SmartView Tracker 2 • Managementタブでは、管理系のログを確認できます ©2016 Check Point Software Technologies Ltd. 64 暗黙のルール 1 • Launch Menu> View> Implied Rulesを選択すると、暗黙 のルールが確認できます。これは、SmartDashboardク ライアント、管理サーバ、ゲートウェイを管理する上で 必要なルールが予め設定されています • もう一度選択すると、元の表示に戻ります ©2016 Check Point Software Technologies Ltd. 65 暗黙のルール 2 • Launch Menu> Policy> Global Properties> FireWallで暗 黙のルールを制御することができます • 誤った設定を行うと、管理に影響が出ますので、注意し てください ©2016 Check Point Software Technologies Ltd. 66 Evaluationライセンスの投入 1 • SmartUpdateを開き、License & Contractsタブを表示し ます ©2016 Check Point Software Technologies Ltd. 67 Evaluationライセンスの投入 2 • Launch Menu> Licenses & Contracts> Add License> From FileでEvaluationライセンスを投入します – デスクトップ> Evaluation-license>にある CPLicenseFile.licを選択します ©2016 Check Point Software Technologies Ltd. 68 Evaluationライセンスの投入 3 • GW1を右クリックしてAttach Licensesを選択して表示 されたライセンスをすべて(2つ)アタッチします ©2016 Check Point Software Technologies Ltd. 69 コントラクトのアップデート • Launch Menu> Licenses & Contracts> Update Contracts> From FilesでEvaluationライセンス(コントラ クト)を投入します – デスクトップ> Evaluation-licenseにある ServiceContract.xmlを選択します ©2016 Check Point Software Technologies Ltd. 70 ライセンスとコントラクトの確認 • cpsg-xxの表示がゲートウェイ用のライセンス • cpsm-xxの表示が管理サーバ用のライセンス • コントラクトのアップデート後に”Has Contracts”カラム が Yes になっているかを確認 ©2016 Check Point Software Technologies Ltd. 71 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 72 IPSブレードで脅威の侵入を防御 既知の脆弱性を悪用する攻撃を防御 アノマリ検出をベースとした ゼロデイ攻撃の防御 IPS 攻撃パターンの検出 ハッカー 怪しいサイト アノーマリ検出 ©2016 Check Point Software Technologies Ltd. 73 IPSブレードの有効化 • GW-1のオブジェクトを選択してNetwork Securityタブ のIPSにチェックを入れます ©2016 Check Point Software Technologies Ltd. 74 IPSブレードによる防御 • IPSブレードはCheck Point ThreatCloudから最新の防御 機能をダウンロードして防御機能を提供します ©2016 Check Point Software Technologies Ltd. 75 IPSプロファイルの指定 • プロファイルにより、どの防御機能が有効化されている かが決まります。Recommendedを選択して推奨の防御 機能にします 今回はラボ環境なので特別にall trafficの検査を選択しますが 選択するとパフォーマンス影響のメッセージがでます 通常は侵入検出・防御の目的なので、internal host onlyを選択します ©2016 Check Point Software Technologies Ltd. 76 フェイル・セーフなメカニズム • 高負荷時にIPS機能をバイパス処理する事ができます • Highの値に達するとバイパス処理され、Lowの値に達す ると再びIPS検査が行われます 今回は機能確認できたらチェックをしないで OKをクリックします ©2016 Check Point Software Technologies Ltd. 77 IPS Overview画面 • IPSタブを選択するとIPSの詳細画面を確認できます アクション・アイテム • コントラクト • シグネチャ更新など プロファイル適用状況 インシデントの発生状況 最新のアドバイザリ ©2016 Check Point Software Technologies Ltd. 78 プロファイルの管理 1 • プロファイルは各防御機能を制御するグループです • ゲートウェイごとに異なるプロファイルを割り当てる事 で、異なる防御の設定で複数ゲートウェイを展開できます • デフォルトで2つのプロファイルが用意されています Default – 必要最小限の防御機能が有効化 Recommended – 推奨の防御機能が有効化 ©2016 Check Point Software Technologies Ltd. 79 プロファイルの管理 2 • Recommended_Protectionのプロファイルをダブルクリッ クするとIPSモードをPreventで動作させるかDetectで動作 させるか選択できます 検出と防御を行いたい場合、 デフォルト値のPreventで動作させます ©2016 Check Point Software Technologies Ltd. 80 IPSポリシー • IPSポリシーは、有効化する防御機能を制御します • 各防御機能には、Client/Server, Severity, Confidence Level, performance impactの情報があり、それぞれのレベ ルに応じて検査の有効化と無効化の制御ができます IPSポリシーを変更すると、 ポリシーに従って防御機能が変更されます ©2016 Check Point Software Technologies Ltd. 81 アップデート・ポリシー • 防御機能のアップデートを行った際に、新しく追加された 防御機能をDetect/Preventのどちらにするかを決定します • 通常は、デフォルト値の”Detect”にしておきます ©2016 Check Point Software Technologies Ltd. 82 IPS防御機能 • プロファイルに含まれている各種防御機能の項目とそれぞ れの設定値を確認できます ©2016 Check Point Software Technologies Ltd. 83 IPS防護機能の例 Severity(緊急度) • 攻撃によりどの程度の影響が出るのか Confidence Level(信頼度) • 攻撃トラフィックであると確信できる信頼度 パフォーマンス影響度 • ゲートウェイのパフォーマンスに与える影響 保護タイプ • クライアント保護・サーバ保護 関連セキュリティ勧告 • この例ではMS14-018: CVE-2014-1755 ©2016 Check Point Software Technologies Ltd. 84 更新された防御機能 • Check Point ThreatCloudから最新の防御機能がダウンロー ドされると、その防御機能は一時的に強調表示になり、 Follow Upフラグが付きます ©2016 Check Point Software Technologies Ltd. 85 Max Ping Size防御機能の変更 • ラボ環境でIPS防御機能の動作を確認するために、Max Ping Sizeの設定を変更してみます pingで検索 Max Ping Sizeをダブルクリック Preventに変更 Recommended_Protectionを ダブルクリック 200 bytes パケット・キャプチャ ©2016 Check Point Software Technologies Ltd. 86 ポリシーのインストール • IPSブレードの設定をゲートウェイに反映するためにポリ シーのインストールを行います ©2016 Check Point Software Technologies Ltd. 87 IPS防御機能の確認 • デフォルト・ゲートウェイにサイズの大きいpingを実施し て、IPS防御されていることを確認します – 例:ping 192.168.100.1 -l 500 ©2016 Check Point Software Technologies Ltd. 88 SmartView Trackerの詳細ログ • SmartView Trackerの詳細ログには、IPSブレードで検出し た攻撃のパケット情報を含むことができます ©2016 Check Point Software Technologies Ltd. 89 防御機能のアップデート • 実環境では、Download Updatesを設定して最新の防御機 能をダウンロードできるようにします – マニュアル、自動、オフライン、何れかのアップデート方法 を選択できます アップデートには、UserCenterの アカウントが必要です ©2016 Check Point Software Technologies Ltd. 90 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 91 Anti-Botブレードによるボット通信の防御 多層的な検出エンジンによる感染マシンの検出 アウトバウンドの通信を停止することにより、 ボットによるダメージを低減 Anti-Bot C&Cサーバ コマンド&コント ロール用のアドレス 通信パターン 振る舞い解析 ©2016 Check Point Software Technologies Ltd. 92 Antivirusブレードのマルウェア侵入防御 侵入してくる不正なファイルをスキャンして防御 サンドボックスによるゼロデイの検出 不正な Web サイトへのアクセスを防御 マルウェア感染の検出にThreatCloudを活用 ファイル全体をバッファ ユーザが利用しやすいように簡単に設定可能 ThreatCloud™ サイトのアドレスを確認 レジストリ Antivirus OS ファイル 不正ファイル 不正なWebサイト ©2016 Check Point Software Technologies Ltd. 93 Anti-BotとAntivirusブレードの有効化 1 • GW-1のオブジェクトを選択してNetwork Securityタブ のAnti-BotとAntivirusにチェックを入れます ©2016 Check Point Software Technologies Ltd. 94 Anti-BotとAntivirusブレードの有効化 2 • Anti-Bot, Antivirusにチェックを入れると、First Time Activationが出力されます • 検出と防御を行うに場合は、”According to the Anti-Bot and Antivirus policy”のチェックでOKボタンをクリック します 匿名で攻撃の情報をCheck Point ThreatCloudに共有できる場合は、 チェックを入れたままにします 今回はラボ環境なのでチェックを 外してみます First Time Activationの内容 が反映されています ©2016 Check Point Software Technologies Ltd. 95 プロファイルの管理 1 • Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します • Recommended_Profileを選択してEditボタンをクリック します ©2016 Check Point Software Technologies Ltd. 96 プロファイルの管理 2 • Anti-BotとAntivirusの設定を確認します • UserCheckはAnti-Bot, Antivirusの防御時に、リダイレク ションのメッセージを決定しています ボットの活動を検査する emailのサイズ(KB) 防御対象の インターフェース指定 検査対象プロトコル ©2016 Check Point Software Technologies Ltd. 97 ポリシーの管理 Recommended_Profileを使用しています Anti-BotとAntivirusは、ルールベースの 防御範囲に基づいて検査を行います ©2016 Check Point Software Technologies Ltd. 98 ポリシーのインストール • Anti-BotとAntivirusブレードの設定をゲートウェイに反映 するためにポリシーのインストールを行います ©2016 Check Point Software Technologies Ltd. 99 プロテクションの確認 • プロテクションをクリックすると、レピュテーション、 シグネチャ、振る舞いなどの検出・防御機能が確認でき ます ©2016 Check Point Software Technologies Ltd. 100 Threat Wiki 1 • Threat Wikiでは、マルウェア・データベース上にあるマ ルウェア確認できます ©2016 Check Point Software Technologies Ltd. 101 Threat Wiki 2 • マルウェア・データベースは、インターネットからも閲 覧できます – http://threatwiki.checkpoint.com/threatwiki/public.htm ©2016 Check Point Software Technologies Ltd. 102 Anti-Bot防御機能の確認 1 Anti-Botのテストを実施してみます UserCheckのブロックメッセージ *メッセージを日本語に変更できます ©2016 Check Point Software Technologies Ltd. 103 Anti-Bot防御機能の確認 2 • SmartView Trackerで防御ログを確認します 防御のログが確認できます ©2016 Check Point Software Technologies Ltd. 104 Antivirus防御機能の確認 1 Antivirusのテストを実施してみます UserCheckのブロックメッセージ ©2016 Check Point Software Technologies Ltd. 105 Antivirus防御機能の確認 2 • SmartView Trackerで防御ログを確認します 防御のログが確認できます ©2016 Check Point Software Technologies Ltd. 106 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 107 Threat Emulationブレードによる未知マルウェア防御 不正なファイルが 添付されたメール Threat Emulation Software Bladeがインターセプト 添付ファイルを抽出 マルウェア検出 問題なし サンドボックス内で エミュレート 脅威の挙動観察により 新しい攻撃を検出およびストップ ©2016 Check Point Software Technologies Ltd. 108 Threat Emulationの検査プロセス File Aggregation (kernel, dlpu) Cache キャッシュの負荷は、非常に軽量で パフォーマンスにプラスの効果がある Static Analysis 悪意あるコードを含むことができない と判断すると エミュレーションをスキップする Emulation サンドボックス環境(クラウド/オンプ レミス)によるエミュレーション [Restricted] ONLY for designated groups and individuals ©2016 Check Point Software Technologies Ltd. 109 Threat Emulationの導入オプション オプション① オプション② Threat Emulation クラウドサービス SandBlast アプライアンス セキュリティ・ゲートウェイ に統合 Security Gateway, R77 導入要件にそった最適な導入オプションを提供 [Restricted] ONLY for designated groups and individuals ©2016 Check Point Software Technologies Ltd. 110 CPUレベル脅威防御 ©2016 Check Point Software Technologies Ltd. 111 攻撃の感染フロー 脆弱性 パッチが適用されていないソフトウェアや、 ゼロ・デイ脆弱性に対するアタックをトリガー エクスプロイト エクスプロイト方法を用いて、CPUとOS のセキュリティ制御をバイパス シェルコード マルウェア 埋め込んだペイロードを有効化し、 マルウェアを読み込み 悪質なコードを実行 ©2016 Check Point Software Technologies Ltd. 112 攻撃の感染フロー 脆弱性 エクスプロイト 数千種類 マルウェア側で回避困難 数種類 エクスプロイト開始前に検知 シェルコード マルウェア 回避技術を持つマルウェアを探すのでは なく、エクスプロイト自身を特定 数百万種類 ©2016 Check Point Software Technologies Ltd. 113 CPUレベル脅威防御の仕組み 最新のCPU技術(Intel Haswell)を利用 エクスプロイトが、OSのセキュリティ制御を バイパスしようとするCPUベースの命令を監視 最先端の CPUレベルでの 脅威防御エンジン ©2016 Check Point Software Technologies Ltd. 114 サードパーティ(Miercom)による 「Unknown 300」テストの検証結果 ©2016 Check Point Software Technologies Ltd. 115 Threat Emulationブレードの有効化 1 • GW-1のオブジェクトを選択してNetwork Securityタブ のThreat Emulationにチェックを入れます • Threat Emulation にチェックを入れると、First Time Activationが出力されます ©2016 Check Point Software Technologies Ltd. 116 Threat Emulationブレードの有効化 2 • ThreadCloudで未知のマルウェアか否かを検査するため に、ThreadCloud Emulation Serviceにチェックを入れ てNextをクリックします • ライセンスが登録されているユーザセンターのアカウン トに、Threat Emulationのライセンスが登録されていな い場合、エラーになります ©2016 Check Point Software Technologies Ltd. 117 Threat Emulationブレードの有効化 3 • First Time Activationで設定した内容がGW-1のオブジェ クトのThreat Emulationで確認できます デフォルトのエミュレーションは以下の2つです WinXP, Office 2003/7, Adobe9 Win7, Office 2003/7, Adobe9 *追加の場合は他のイメージにチェックを入れます - ©2016 Check Point Software Technologies Ltd. 118 ファイル・タイプの追加 • Threat Preventionタブを選択Messages and Actionsに検 査対象にできるファイルタイプが追加されていないか確 認します 検査対象に加えたいファイルタイプを選択します ©2016 Check Point Software Technologies Ltd. 119 プロファイルの管理 1 • Threat Preventionタブを選択してデフォルトで用意され ているプロファイルを確認します • Recommended_Profileを選択してEditボタンをクリック します ©2016 Check Point Software Technologies Ltd. 120 プロファイルの管理 2 • Threat Emulationの設定を確認します • 検査対象に加えたファイルタイプが、File Typesに追加 されています 防御対象の インターフェース指定 検査対象プロトコル 検査対象のファイル・タイプ ©2016 Check Point Software Technologies Ltd. 121 プロファイルの管理 3 • Advanced設定では、Threat Emulationによる検査を行う 際のコネクションの扱いを決定できます • ラボ環境でThreat Emulation防御機能の動作を確認する ために、今回はHoldに変更します Background ファイルの検査が終了しなくてもコネクションを許可します。 マルウェアと判断されたファイルは、次回からは防御します Hold ファイルの検査が終了するまでコネクションを許可しません Custom プロトコル毎にコネクションの扱いを変えることができます Hold設定にするとコネクションのタイムアウトが 発生する可能性がある旨がポップアップされま す。SMTPのHold設定は、MT Aの併用がお勧め です ©2016 Check Point Software Technologies Ltd. 122 ポリシーのインストール • Threat Emulation ブレードの設定をゲートウェイに反映す るためにポリシーのインストールを行います ©2016 Check Point Software Technologies Ltd. 123 Threat Emulation防御機能の確認 1 Threat Emulationのテスト を実施してみます マルウェアのファイルと検出・防御されたので、 ダウンロードが完了しない ©2016 Check Point Software Technologies Ltd. 124 Threat Emulation防御機能の確認 2 マルウェアではないファイルの ダウンロードが正常に行えるこ とを確認してみます ©2016 Check Point Software Technologies Ltd. 125 Threat Emulation防御機能の確認 3 • SmartView Trackerで防御ログを確認します ©2016 Check Point Software Technologies Ltd. 126 Threat Emulation防御機能の確認 4 Threat Emulationの検査結果 レポートが添付されています 不正な活動 システムプロセス レジストリの値 ファイル・システムの アクティビティ ©2016 Check Point Software Technologies Ltd. 127 Threat Emulation防御機能の確認 5 • 検出されたマルウェアのファイルを入手できます • マルウェアのファイルは、扱いに注意が必要なので、パス ワード付きのtar.gzファイルになっています ©2016 Check Point Software Technologies Ltd. 128 Threat Emulation防御機能の確認 6 • Threat Emulationでマルウェアと判断されたファイルは、 以降はlocal cacheの情報と照合して防御対象になります Cloud Local cache ©2016 Check Point Software Technologies Ltd. 129 MTAの設定(補足情報) • GWをMTAとして動作させると、Hold設定時にSMTPのコ ネクションを保持しながら検査できます SMTPトラフィックのインターフェース MTAがメールを保持する時間やHDの空き容量 ©2016 Check Point Software Technologies Ltd. 130 今日のソリューション・ギャップ 100% ANTI-VIRUS ZERO-DAY PROTECTION 既知、古い マルウェアを捕獲 新しい未知の マルウェアを検知 1,000の既知のマルウェアの 100インスタンスのうち5は、 うち、71は非検知 未知のマルウェアで非検知 セキュリティ ギャップ ©2016 Check Point Software Technologies Ltd. 131 チェック・ポイントが発表…. 未然に ゼロ秒で ゼロ・マルウェアに 完全な脅威削除を実現する先進の技術 出展: Validated with thousands of “unknown” malware in Check Point Lab Testing as of February 2016 ©2016 Check Point Software Technologies Ltd. ゼロ・マルウェア・ドキュメント 元々のドキュメント ドキュメントを再構築 ゼロ・マルウェア ドキュメント CHECK POINT T H R E AT E X T R A C T I O N ©2016 Check Point Software Technologies Ltd. 133 リスク・ベース・プロファイルでの再構築オプション PDFへ変換 元々のフォーマットを維持 • エクスプロイト可能なコンテンツを削除 ©2016 Check Point Software Technologies Ltd. 134 アジェンダ 1 2 3 4 5 6 7 アプライアンスの概要 GAiAセットアップ FWセットアップ IPSセットアップ Anti-BotとAntivirusのセットアップ Threat Emulationのセットアップ 運用管理オペレーション ©2016 Check Point Software Technologies Ltd. 135 SmartView Monitor ©2016 Check Point Software Technologies Ltd. 136 ログ管理1 • ログはゲートウェイで生成されて、Security Managementサーバに ネットワーク経由で転送され、 Security ManagementサーバのHDD上 の$FWDIR/log/fw.logに累積的に追加されます • ログはfw.logのみではなく、ポインタ・ファイルも構成されます • ログはlog switch(ログ切り換え)という作業を行うことにより、それま でのログを別ファイルに保存できます。 Log switchではポインタ・ ファイルも別ファイル名で保存されます • 後に再度ログを閲覧する場合、Security Managementサーバ上の $FWDIR/logディレクトリに戻して確認します • Log switchは手動で行う方法と自動で行う方法があります – 手動では、SmartView TrackerのLaunch Menu> File> Switch Active File、も しくはCLIからfw logswitchコマンドで実行できます – 自動では、定時に行う、ログファイルのサイズが指定した大きさを 超えたら行うなどの設定が可能です ©2016 Check Point Software Technologies Ltd. 137 ログ管理2 • $FWDIR/logディレクトリのログファイルの例です ©2016 Check Point Software Technologies Ltd. 138 ログ管理3 • オブジェクトのLogs> Local Log Storageで、自動でLog switchする設 定が可能です • 初期設定で、幾つかのtimeオブジェクトが用意されています ©2016 Check Point Software Technologies Ltd. 139 システム・バックアップ1 • バックアップは、手動で行う方法とスケジュール化による自動の方法 があります – バックアップは、GAiA OSとSoftware Bladeの設定です – $FWDIR/log/配下は含まれません • バックアップファイルは、/var/log/CPbackup/backups/に保存されます • リストアは、バックアップしたバージョン、Build、HF、HFAなど全て 合わせて実行する必要があります ©2016 Check Point Software Technologies Ltd. 140 システム・バックアップ2 • バックアップ・リストアは、CLIからも実行できます • バックアップコマンド: add backup local • リストアコマンド:set backup restore • リストア後は、rebootコマンドで再起動を実行します Localにバックアップの例 show backup statusコマンドの例 ©2016 Check Point Software Technologies Ltd. 141 スナップショット・マネジメント • Snapshot Managementは、Snapshotによるシステムイメージのバック アップです。/bootにディレクトリが作成され、その中にファイルが生 成されます – システム全体をイメージとして保存します – イメージの容量は数GBに達しますので、処理が完了するまで数十分要する 場合があります – イメージは、export, importが可能です • Image Managementには、ログファイルは含まれません Revertで復元できます ©2016 Check Point Software Technologies Ltd. 142 システムの初期化1 • CLIでrebootを行います • “Press any key to see the boot menu”が表示されている間に、Enter キーを入力します ©2016 Check Point Software Technologies Ltd. 143 システムの初期化2 • プロセスが終了して、loginプロンプトが表示されたら、初期時の アカウントでログインします – ユーザ名: admin, パスワード: admin • 電源offする場合、Haltコマンドを入力します • Power downが表示されたら、電源offします ©2016 Check Point Software Technologies Ltd. 144 セキュリティのリスクを可視化をしてみませんか? (Security CheckUpレポート) ©2016 Check Point Software Technologies Ltd. 145 Security CheckUp構成例 • • 内部ホストのトラフィックを検査して可視化 FW(NATされた)を通過した外部からの脅威を可視化 境界ファイアウォール スイッチ インターネット ミラーポート(SPANポート) シグネチャ・アップデート用の インターネット接続 Security CheckUpレポート 2012 アプライアンス ©2016 Check Point Software Technologies Ltd. 146 セキュリティのリスクを可視化 無償サービスです! Web セキュリティのイベント 侵入 & 攻撃のイベント データ損失のイベント ボットのイベント ウイルスのイベント サンドボックスの検査のイベント(未知の脅威) アプリケーション利用 アプリケーションごとの帯域幅利用 マルウェアの脅威 ©2016 Check Point Software Technologies Ltd. 147 ありがとうございました! Point Software Technologies Ltd ©2016©2016 CheckCheck Point Software Technologies Ltd. 148