# CheckPoint
###### tags: `CheckPoint` `NGFW` `UTM`
## ====Аннотация====
Информация представленная ниже, ничто иное, как конспект с моими авторскими пометками по курсам
[Check Point Getting Started R80.20 от TS Solution](https://www.youtube.com/playlist?list=PLqio-3dnMW5_2cStMfIezwcAzzDCjX86C)
[Check Point на максимум от TS Solution](https://www.youtube.com/watch?v=us2gfs5m56E&list=PLqio-3dnMW5-q1IHBK3RClRp3n2SE-L1x)
[Check Point Remote Access VPN от TS Solution](https://tssolution.ru/katalog/checkpoint/online_course_remote_access_vpn?utm_source=youtube&utm_campaign=ravpn)
Возможно в будущем сформирую из представленной каши вменяемый гайд для новичка
## ====Общая информация====
---
:::danger
:a: Внимание, при развёртывании Standalone сервера Блейд *Smart Event* будет недоступен. Т.е. Smart Event - доступен только для Distributed :a:
:::
### ====Краткое описание функционала блейдов:====
**Firewall** — функционал межсетевого экрана;
**IPSec VPN** — построение частные виртуальных сетей;
**Mobile Access** — удаленный доступ с мобильных устройств;
**IPS** — система предотвращения вторжений;
**Anti-Bot** — защита от ботнет сетей;
**AntiVirus** — потоковый антивирус;
**AntiSpam & Email Security** — защита корпоративной почты;
**Identity Awareness** — интеграция со службой Active Directory;
**Monitoring** — мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)
**Application Control** — межсетевой экран уровня приложений (функционал NGFW);
**URL Filtering** — безопасность Web (+функционал proxy);
**Data Loss Prevention** — защита от утечек информации (DLP);
**Threat Emulation** — технология песочниц (SandBox);
**Threat Extraction** — технология очистки файлов;
**QoS** — приоритезация трафика.
### ====Ресурсы====
## ====Установка====
:::info
:a:
Под Root на продакшен системах нужно выделять не менее 30гб
:a:
:::
## ====Настройки====
:::info
:a:
Перед скачиванием, SmartConsole, да и началы работы в целом, очень желательно обновить все компоненты. Это поможет избежать некоторых багов в дальнейшем. Сделать это можно через веб управление SMS, в самом низу основной колонки настроек, во вкладке Upgrades(Status and Actions), естественно после настройки интерфейса External. А так же после подключения SG к SMS. Что бы у SMS был выход в интернет.
:a:
:::
:::info
:a:
Одновременно в режиме редактирования подключаться к Check Point может быть осуществлён только один коннект с правами редактирования. Чтобы снять это нажмите на Замок в WebGUI или введите
```bash=
lock database override
```
:a:
:::
:::info
:a: **https инспекция конфликтует с** опцией в Advance Settings для Application control (URL Filtring - **Categorize HTTPS website**) :a:
:::
## Типы политик
Proxy режим работает только при существовании последовательных слоёв
## ====NAT====
## ====Content Awareness====
## ====Identity Awareness====
:::info
:a:
При активации *Identity Awareness* на странице "Select an Active Directory" необходимо использовать **УЗ ActiveDirectory с правами администратора домена**.
**ЛИБО**
Создать специальную УЗ с урезанными провами создание которой **описано в [sk93938 (клац)](https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk93938)**
:a:
:::
:::info
:a: На машине со смарт консолью должен быть доступ к контроллеру домена :a:
:::
### ====Identity Awareness Troubleshooting====
## ====Thread Prevention====
## ====Logs & Monitor====
:::info
:a: Можно забивать в поиск произвольный тест или любым другим индексируемым параметрам и объединять запросы логическими операторами :a:
:::
Smart Event - визуализация информации с помощью дашбордов
:::info
:a: Хорошая практика:
Выносить SmartEvent на отдельный сервер т.к. может быть высокое потребление ресурсов, если архитектура очень большая рекомендуется выносить на отдельный сервер Logs:a:
:::
## ====Лицензирование====
:::info
**Купить устройство или виртуалку** можно **только с подписками NGTP или NGTX**, а при продлении (через год) можно купить подписку NGFW, в случае если блейды включённые в подписки NGTP и\или NGTX вам не нужны
:::
:::success
**Perpetual blade** - "вечные" блэйды (работающие без подписки)
В их список входят:
Firewall
Identiry awareness
IPSec VPN
Advanced Networking & Clistering
Mobile Access (5 users)
Network Policy Management
Logging and Status
:::
## ====https инспекция====
## ====Content Awareness====
:::info
:a: Хорошая практика запретить скачивание исполняемых файлов для пользователей которым это не необходимо для работы :a:
:::
## ====Anti-Virus====
:::info
:a: Хорошей практикой является включать Prevent во вкладке Activions - Malicious Activity :a:
:::
### ====Запрет скачивания архивов если архив битый и его невозможно проверить (не работает с запароленными архивами)====
### ====Запрет скачивания запароленных архивов====
## ====IPS====
### ====IPS теория====
:::spoiler теоритическая информация по IPS
:::
### ====IPS практика====
:::info
:a: Хорошие практики настройки IPS на CheckPoint можно почитать [**здесь (клац)**](https://sc1.checkpoint.com/documents/Best_Practices/IPS_Best_Practices/CP_R80.10_IPS_Best_Practices/html_frameset.htm) :a:
:::
:::info
:a: Обновляйте сигнатуры IPS пару раз в неделю :a:
:::
:::info
:a: Все новые сигнатуры преходят в режим Detected, после ручного анализа на то что новые сигнатуры не рушат легетимный трафик, сигнутуры переводятся в режим Prevent :a:
:::
Очистка профиля от Staging сигнатур производится в меню Actions 
1) Создаём отдельный Layer для блейда IPS, с Threat Prevention убираем блейд IPS
2) Разделяем пользовательские и серверные сигнатуры на два профиля
3) Задаём индивидуальные настройки для профиля пользовательского сегмента и серверного
4) Так же, аналогично, настраиваем сигнатуры на Servers, для примера:
Так-же есть настраиваемые сигнатуры, например связанные с брутфорсом
Так-же имеются исключения которые можно добавлять для конкретных хостов, конкретных сигнатур и т д
**Резюмирование.
Главные идеи правильной настройки IPS:**
1) **Вынести IPS в отдельный Layer**
2) **Создать несколько политик для разных сегментов**
3) **Выбрать только нужные сигнатуры, релевантные для данной сети\конечных устройств с помощью фильтров**
## ====Sandboxing====
## ====SecureXL====
ПЕРВЫЙ ПАКЕТ
ПОСЛЕДУЮЩИЕ ПАКЕТЫ В СЛУЧАЕ ЕСЛИ СЕССИЯ БЕЗОПАСНА
## ====CoreXL====
:::info
:a: При добавлении ядер на OpenServer или виртуалке ядра автоматически не добавляются их необходимо добавлять вручную :a:
:::
Распределение нагрузки исходя из загруженности ядра и очереди
По умолчанию динамическая очередь отключена
## Эффективность
На VMware нет существенного прироста к производительности при добавлении более 6 ядер
## ====Check Point VPN====
```
```
:::success
:alien: Системный администратор
### Паламарчук Антон
:e-mail: Email: mrpalamarchuk93@gmail.com
:airplane: Telegram Channel [@ipraptor_blog](https://t.me/ipraptor_blog)
:incoming_envelope: Telegram [@IPraptor](https://t.me/IPraptor)
:::
<style>
.button {
border-radius: 4px;
color: rgb(0, 41, 123);
display:block;
text-align: center;
font-family: Arial, Helvetica, sans-serif;
font-size: 100%;
padding: 10px 25px;
margin-top: 1%;
margin-left: 1%;
text-decoration: none;
background-color: rgb( 213, 233, 255);
border: none;
display:inline-block;
}
a.back{
border-radius: 4px;
color: black;
display:block;
width:157px;
text-align: center;
font-weight:bold;
font-family: Arial, Helvetica, sans-serif;
font-size: 14px;
padding: 8px 16px;
margin: left;
margin-top: 50px;
text-decoration: none;
background-color: rgb(255,237,55);
}
</style>
<a href="https://hackmd.io/@IPraptor
" class="back">К списку заметок</a>
Sign in with Wallet
Connect another wallet