Policy 2/1 - HackMD

# Policy 2/1 在未手動給規則包前,即使刪了inital規則包,設備重開後預設會再次啟動inital規則包 expert A-SMS:Chkp@345 A-GW:Chkp%678 B-GW:Chkp^789 由前最後測試得到黑、白名單的特性 FW Ping 設備-OK 設備Ping GW-不OK inital的規則包 ![](https://i.imgur.com/OtY7KTL.png) ==TAB鍵==可查指令 `show interfaces` `show interface eth1` `show route` `netstat -rn` `netstat -a` `tcpdump -nni eth0` (以需專家模式**expert**) 防火牆通常會有類似的模式接著用GUI Ping 可觀察即時設定expert密碼 ![](https://i.imgur.com/cGymaMG.png) 最後需`save config` 同帳號(同群組) 使用了不同的運行模式稱為**僅知**，需要時才**知**道() 新增2個使用者 ![](https://i.imgur.com/4reFHuF.png) ``` show users add user joe uid 200 homedir /home/joe set user joe newpass vpn123 add rba user joe roles adminRole ``` ``` add user jane uid 300 homedir /home/jane set user jane newpass vpn123 add rba user jane roles adminRole show users ``` 刪除使用者 `delete user jane` ``` show backup status add backup local ``` 需Exp模式才能進夾看備份檔案使用備份檔還原 `set backup restore local backup_xxx(用TAB帶出檔名)` ==B-GW== joe2/~~vpn123~~第二次重建改用vpn456 jean2/~~vpn456~~第二次重建改用UID600，vpn456 重創同名稱User不可使用同一組密碼即使備份還原後使用者不存在，CP仍有記錄使用者帳號與密碼歷史，測試後密碼不是與UID關聯 ![](https://i.imgur.com/tuh6Xy0.png) **改jane2**(設錯名稱~~jean~~) ![](https://i.imgur.com/4MNNJew.png) **Backup** B-GW ![](https://i.imgur.com/pF8n2F0.png) A-SMS ![](https://i.imgur.com/PJyFy37.png) A-GW ![](https://i.imgur.com/WPQaM1c.png) # Initial Policy `fw unloadlocal`:移除初始Policy Smart Console連SMS,再使用SIC將GW拉進來 Check Point solution Cisco ASA solution 在安全中間都是物件(Object/Entity) 設備、帳號、角色、規則等 ![](https://i.imgur.com/yPhwYd2.png) Smart Console可連到SMS 確認5台組態(Net,預設路由,Users,BISO時間) 5台都建立快照2 ![](https://i.imgur.com/WLkLxA9.png) 改顏色 ![](https://i.imgur.com/27brw5s.png) 需發佈才會生效 ![](https://i.imgur.com/Swc1rRJ.png) Smart Logs ![](https://i.imgur.com/nlXE0Yr.png) ![](https://i.imgur.com/Gs90rdd.png) Logs 以設備角度記錄，是完整的記錄 ![](https://i.imgur.com/TiyLWZs.png) Audit Log 重點放在管理層面，記錄了Who在When做了What ![](https://i.imgur.com/yVQSLQg.png) # 建立物件：A-GW-02 ![](https://i.imgur.com/svVbzXF.png) ![](https://i.imgur.com/Ce15RVF.png) IP使用對外的IP：172.21.101.1 HW：Open Server 以SIC加入 ![](https://i.imgur.com/v7bOdW4.png) :warning::warning::warning: 輸入SIC一次性密碼建立信賴不可輸入錯誤，且不可丟棄Session 若出錯需重置SIC(或用快照還原) :::spoiler **GW重置SIC** `cpconfig` ![](https://i.imgur.com/mZT1JEA.png) 5:重設SIC ![](https://i.imgur.com/R5sXAYt.png) 9:離開與重開 ::: ![](https://i.imgur.com/2oYOvJr.png) ![](https://i.imgur.com/HB7GE4A.png) ![](https://i.imgur.com/rKJV08D.png) 發佈 ![](https://i.imgur.com/z3XWQPR.png) ![](https://i.imgur.com/YIG2xzI.png) ![](https://i.imgur.com/kdGnhek.png) 設定Interface描述 ![](https://i.imgur.com/N92YNHv.png) Summary+發佈 ![](https://i.imgur.com/j910Hmi.png) ## 信任關係-物件 ==直接信任：Direct Trust== 1.One Way(埋暗碼時) 2.Two Way(回傳指紋後) ==間接信賴：Indirect Trust== 1.Vertical 3rd Party 2.Web P2P ==建立GUI與GW為間接信賴關係，並由第3方SMS認證== 關係皆是物件與物件的，信賴關係也是新增物件：A-GUI、LAN2 New Host(非CP的設備) ![](https://i.imgur.com/zgPpPV8.png) Lan2為內網廣播Addr(FF.FF.FF.FF.FF.FF) 需考量廣播風暴等 ![](https://i.imgur.com/58MoU0X.png) ![](https://i.imgur.com/wn8Eu9t.png) CP規則間則的原則有關鍵沖突：不能並存有部份沖突：能並存？規則是依順序越精細的規則：放越前面越小範圍的規則：放越前面一樣範圍則比較精細程度擦屁股規則預設的Drop，也都會放在最後一條實務通常不留記錄(量太大了) ![](https://i.imgur.com/uN1ibmy.png) 規則名稱：Policy Name 實務上常用代碼取名，避免名稱容易被識別 **Management Role** ![](https://i.imgur.com/K03SE6s.png) 含兩條主要規則 1.組態控制能透過GUI 2.組態控制交給SMS 3.最後明確的將A-GW隱身(範圍較廣,放第3條) 因擦屁規則太廣泛，需以GW角度將其它的Drop **縱深防禦** 雖第3條與第4條重疊但仍為必要，此多重防禦稱縱深防禦 4.內網出去皆允許 ![](https://i.imgur.com/jlPomGb.png) **全域規則：Global Policy** 此為設在FW上，不管之後換了什麼規則包 ![](https://i.imgur.com/tbAL2PJ.png) Accept ICMP req：First 優先權：First、Last、Before Last Log ![](https://i.imgur.com/6i6xavr.png) Publish-Verify-Install 不可全靠Verify檢查， Verify只能檢查邏輯錯誤 ![](https://i.imgur.com/wDA1wLg.png) ![](https://i.imgur.com/fMAVFXn.png) :::spoiler ::: 錯誤測試： 3調到1-有錯誤 ![](https://i.imgur.com/WLNyDxG.png) ![](https://i.imgur.com/1vI1O36.png) 12互換-查不出錯誤 ![](https://i.imgur.com/1hjXPGk.png) ![](https://i.imgur.com/VbBryxJ.png) Install Each、All ![](https://i.imgur.com/PaWhgaN.png) ![](https://i.imgur.com/AjHblPZ.png) 可查看差異與(目標?) ![](https://i.imgur.com/PHjzVkA.png) 完成 ![](https://i.imgur.com/9BG4hcG.png) A-GW己使用新Policy ![](https://i.imgur.com/0cuIbiT.png) A區互Ping-OK A-GUI己可Ping到A-GW上的3個GW(與A-SMS,A-DMZ) A-GUI可開A-DMZ的網頁(第4條通) ![](https://i.imgur.com/Drl7DgQ.png) ![](https://i.imgur.com/BGS5GeS.png) A-DMZ開不了A-GUI的網頁(第5條擋,同時保護內部其它網路設備) ![](https://i.imgur.com/UxOxdnh.png) ![](https://i.imgur.com/k5copRa.png) --- # 加入B-GW B-GW的Initial Policy會擋Ping 刪掉後能Ping到B-GW的2個GW IP，但Ping不到B-GUI 從S.C加入B-GW物件 ![](https://i.imgur.com/IjfOIET.png) ![](https://i.imgur.com/hawjIEE.png) ![](https://i.imgur.com/UzAL29T.png) --- 2/10(2/3) A-GUI安裝新版WireShark Ping後觀察WireShark `icmp && ip.addr==10.1.1.201 && ip.addr==10.1.1.101` `icmp && ip.src == 10.1.1.201 && ip.addr == 192.0.2.10 ` ip.addr ip.src ip.dst icmp.type==0 icmp.type==8 建新規則包 ![](https://i.imgur.com/2P0ObaN.png) ![](https://i.imgur.com/Gf8KWTS.png) ![](https://i.imgur.com/l8g8pMd.png) 以原本的作為樣本Copy&Post到B規則包後調整 B-GW受控於A-SMS與A-GUI不變 ![](https://i.imgur.com/CTXlLa3.png) 第4條改為Bravo-Internal(LAN4) ![](https://i.imgur.com/NeIr4gz.png) ![](https://i.imgur.com/KzG6pqs.png) Verify&Install ![](https://i.imgur.com/mamRwH0.png) ![](https://i.imgur.com/A3oipt7.png) 只安裝B-GW ![](https://i.imgur.com/NYHVA1W.png) ![](https://i.imgur.com/kdgIgc0.png) ![](https://i.imgur.com/1Z8BHe6.png) A-GUI Ping B Site Test-OK ![](https://i.imgur.com/EKh77b6.png) --- # 合併規則包合併兩個規則包，並一起安裝 ![](https://i.imgur.com/NyxCFHf.png) 貼上A規則及B規則進行調整 ![](https://i.imgur.com/hem3k1M.png) A、B出去不限制，需再增加A、B進來的限制規則進A只能用FTP，進B只能HTTP ![](https://i.imgur.com/5cH2sUY.png) **丟掉某些特定服務**，不記錄 ![](https://i.imgur.com/K8be4Ae.png) 1.UDP High Ports：UDP後端埠(Ex:1024~65535) ![](https://i.imgur.com/K4tiPDO.png) 2.Bootp: ![](https://i.imgur.com/myG55iQ.png) 3.NTB:NetBIOS ![](https://i.imgur.com/VRECIug.png) 4.RIP:UDP/520 ![](https://i.imgur.com/coqczDe.png) # 規則分類 Section ![](https://i.imgur.com/0xpHmMZ.png) 規則分組(Install On):依需要的GW設定規則條 ![](https://i.imgur.com/xrqA7mR.png) **Summary** ![](https://i.imgur.com/s3I26BA.png) **Verify&Install** ![](https://i.imgur.com/LPN7ZI8.png) ![](https://i.imgur.com/iHaLPUO.png) 共有3個Session,82個變化 ![](https://i.imgur.com/jksHSQ6.png) 確定覆蓋 ![](https://i.imgur.com/jteibhf.png) ![](https://i.imgur.com/lyaMFdh.png) GW皆己上新規則包 ![](https://i.imgur.com/tdWJ1kD.png) ![](https://i.imgur.com/aK9t1e5.png) **測試** B-GUI先建FTP站台(需用IE開FTP，Edge,Firefox可能會擋) ![](https://i.imgur.com/eBPknpJ.png) ![](https://i.imgur.com/7OhpcG3.png) 開WireShark觀察Http封包與CP的Log B-GUI連A-GUI的Web 再將雙邊補上允許Http及FTP觀察 # DMZ 2/14(2/4) 新增Host：A-DMZ ![](https://i.imgur.com/hPLooOs.png) CP另有依Server類型提供基本預設的防護組態 (實務上會勾選,FW練習不勾選) ![](https://i.imgur.com/2d4E5zK.png) EX:Web Server ![](https://i.imgur.com/3JYBXLi.png) Mail Server ![](https://i.imgur.com/Fkth7IW.png) DNS Server ![](https://i.imgur.com/a56MPkb.png) 新增Network:A-DMZ ![](https://i.imgur.com/dMsGWXU.png) 新增DMZ規則，與調整 ![](https://i.imgur.com/0L2B2aU.png) 調整 ![](https://i.imgur.com/pWlm3v3.png) **Verify檢查** # NAT 討論點：合作夥伴共用的資料是否可放DMZ？需求情境:開權限讓廠商來檢查物料庫存量 () **Extranet**：廠商外部連入,非內網；位於內部,也非外網藏網段裡與藏FW裡用NAT將A-DMZ隱藏 NAT會將封包檔頭的Src與Dst位子換掉 Method 1. Hide:藏在某個地方 ![](https://i.imgur.com/6pK55Dv.png) 2. Static:使用對照表 ![](https://i.imgur.com/ZQDaTjJ.png) 設定A-DMZ的NAT(使用FW的外部IP同網段) 由FW將172.21.101.10轉到192.0.2.10 ![](https://i.imgur.com/CpRxNEW.png) 設定後會新增於NAT中(圖示s代表靜態NAT,最下方兩條為預設NAT規則) ![](https://i.imgur.com/LbJPBeK.png) 以A-B_Combine來Clone一個**新的A-B_Combine_NAT**規則包 (若一開始設為DMZ網段，則此段無NAT設定，沒有搭配) ![](https://i.imgur.com/m86MatU.png) 出去也要加A-DMZ，否則會能進不能出 ![](https://i.imgur.com/eWVOkmU.png) **Verify**&**Install** ![](https://i.imgur.com/FDeuM4b.png) 測試以B-GUI連DMZ的Web，172與192 (目前若使用原192的IP仍可進的來) 再從A-GW的Log觀查如何NAT轉換 172時：B-GW是172出去，A-GW轉192 ![](https://i.imgur.com/ByTocX8.png) ![](https://i.imgur.com/7A7hByE.png) 192時：B-GW是172出去，A-GW不NAT ![](https://i.imgur.com/252J7IY.png) **SMS設定NAT** ![](https://i.imgur.com/tmR7tHa.png) ![](https://i.imgur.com/h978sH5.png) (要開啟外網能透過VPN連入) ![](https://i.imgur.com/34Xa6hK.png) **將Alpha-Internal隱藏** (以NAT並給一個假IP) ![](https://i.imgur.com/KO5x2IF.png) ![](https://i.imgur.com/SxrSjeB.png) Install後以SMS Ping A-GW 172.21.101.1 再Pig 172.22.102.1 看Log，Src設AB-GW、SMS NAT設定前後在A-GW與B-GW看到的Src將會不同了 A-DMZ與B-GUI安裝WireShark(含NCap網卡驅動抓封包分析) A-GUI Ping A-DMZ 觀察SC Log、A-GUI與A-DMZ的WireShark SC Log：在A-GW上Src與Dst各符合1條NAT規則 A-GUI的WireShark：會同時有過與不過(出去的誤差＋回來的誤差)，但**最後的結果仍會是正確的** 因NAT對照表在GW上，所以A-GUI不知而有此誤差， ==因而資安中會需要SIEM來做結合比對== A-GUI Ping A-SMS 10.1.1.101、172.21.101.101 兩個TTL值不同，TTL少1因NAT而有繞出去FW外了(對外的172.21.101.101) ![](https://i.imgur.com/AhYmpN0.png) 練習與觀察 A-GUI Ping B-GUI B-GUI連A-DMZ的Web # User 透過驗證後可使用Telnet(仍要透過FW NAT) **新增User** Identity Provider:搭配第三方，Ex:SSO,雲服務 ![](https://i.imgur.com/g79Aqrr.png) ![](https://i.imgur.com/J7BJbKk.png) 驗證方式選項: **vpn123** ![](https://i.imgur.com/4T7tRnZ.png) (另有OS系統密碼、多因子驗證) ![](https://i.imgur.com/NJoRYtB.png) 登入位置限制：不設使用時間：AM9～1630 ![](https://i.imgur.com/8syI7it.png) **新增User Group** ![](https://i.imgur.com/ufJqAlW.png) ![](https://i.imgur.com/IaO8mJz.png) 新增Policy 需右鍵另選 ![](https://i.imgur.com/fg6xhtG.png) Service有多個FW驗證功能的選項 ![](https://i.imgur.com/yOR9Haz.png) Summary ![](https://i.imgur.com/gJZXasH.png) B-GUI安裝Telnet ![](https://i.imgur.com/Ul5GfmY.png) 輸入`telnet`進入,`q`離開 ![](https://i.imgur.com/cSVOD1S.png) `telnet 172.21.101.1 259` ![](https://i.imgur.com/BSz06JN.png) 259埠未開，需反查Log為何規則擋的(Src：B-GUI) 查看B-GW與A-GW都正常未擋，明天接著查看服務端口 :::info 傳統驗證是以帳號做驗證，新的(或AWS)是以**身份**驗證帳號屬於身份的一種，(身份能有多個?) **帳號:看身份**代表一個身份，帶著一個識別的方法，與一個驗證的方法 **群組:看?**代表有相同權力的帳號集合在一起 **角色:看？**代表有相同能力與權限 ::: # Identity Awareness 2/15 B-GUI Ping 172.21.101.77時(假IP)，B-GW會回應不知道給誰 ![](https://i.imgur.com/VAsLyed.png) 全雲：推AWS 雲地：推Azure **設定A-GW** ![](https://i.imgur.com/MnzGHym.png) ![](https://i.imgur.com/qlr3Nps.png) Web Browser(Don't Azure AD) ![](https://i.imgur.com/WFJMOj6.png) ![](https://i.imgur.com/NzM6UFs.png) All portal：預設內部介面才能接portal ![](https://i.imgur.com/ujSMTk0.png) ![](https://i.imgur.com/gpLFUNr.png) ![](https://i.imgur.com/om4RW4O.png) ![](https://i.imgur.com/bfaxkRh.png) ![](https://i.imgur.com/l79bc2g.png) --- **新增角色**:New Access Role Specific Network,橘色 ![](https://i.imgur.com/s4q9mhM.png) 將群組加入此角色中，附予權力與能力 ![](https://i.imgur.com/jHJdzrF.png) 預設, ![](https://i.imgur.com/CxrBWIQ.png) 預設,Any Client(與應用程式有關係) ![](https://i.imgur.com/He1gchQ.png) --- 限制存取需為DMZ_HTTP的角色 ![](https://i.imgur.com/TnIEq6l.png) **Captive Portal**是一個介面的設定，有時會搭配SSO技術，再搭配驗證機制 ![](https://i.imgur.com/AjJWpA3.png) 透過Portal嚴格限制第13條的A-DMZ不限制出去的流量右鍵Negate(新版無法對單一做設定，暫不設定) Install 有時會警告快過期，因無正式版授權，可不理會 --- ==A-GUI連A-DMZ== 用Web連192.0.2.10會轉到172.21.101.1(A-GW) ![](https://i.imgur.com/Epp6ctq.png) 進入後為另一驗證網站 ![](https://i.imgur.com/samdRJQ.png) (Testuser/vpn123)登入後會再轉回192正常瀏覽 ![](https://i.imgur.com/jVQumFy.png) 172.21.101.10(A-DMZ)也會轉到172.21.101.1(A-GW) ![](https://i.imgur.com/X3glIzE.png) (以上需第一次連才看的到差異,第二次會被Web Cache影响) 觀查SC Log有出現不同的樣子(濾Dst:A-DMZ) 打開看轉向的細節 ![](https://i.imgur.com/dqZ8GaO.png) ![](https://i.imgur.com/rnCOuP3.png) ![](https://i.imgur.com/LtZ8e5W.png) ![](https://i.imgur.com/8kkWORj.png) 移除13條的A-DMZ再觀查一次(需刪Web Cache) ==B-GUI連A-DMZ== 用Web連192.0.2.10與連172.21.101.1結果皆連不到因移除A-DMZ對外不限的動作(所以移不移除將依需求而設定) --- # VPN(Side To Side) VPN靠的是加密，一種連續加解密的應用家裡連公司是End to End Clone 規則包 A-GW、B-GW勾選VPN VPN Domain：自訂義，Alhpa、BravoInternal IPSec VPN皆使用預設 ![](https://i.imgur.com/pJ3sFLb.png) ![](https://i.imgur.com/zz9u0JS.png) ![](https://i.imgur.com/4wDoVXe.png) 新增星狀架構**社群**(非群組) 加入主站A-GW，衛星站：B-GW Policy-左下 ![](https://i.imgur.com/e7YhGCb.png) ![](https://i.imgur.com/zFCXCpG.png) 加密:預設 ![](https://i.imgur.com/lMxCW9y.png) 上面是加密方式(AES-256) 下面是解密方式(SHA1) SHA1為目前標準，但己找到碰撞，需用SHA1以上的 MD5是舊的，早己找到碰撞 Phase 1連線時，Phase 2傳輸時通道:預設 ![](https://i.imgur.com/mGwT9qd.png) ![](https://i.imgur.com/cQM4C0M.png) 停掉NAT(此S to S VPN無法使用NAT，E to E才可以) ![](https://i.imgur.com/GCTfTxa.png) **Blades** ![](https://i.imgur.com/Ma91i7J.png) --- **新增VPN的規則** ![](https://i.imgur.com/9wSXsn5.png) VPN欄位右鍵選*社群* ![](https://i.imgur.com/OhZW4Jt.png) 通常會放Stealth上方,或另放VPN裡 ![](https://i.imgur.com/ObhNzWG.png) 發佈,Verifity,Install --- 測試 A-GUI以SSH:10.1.1.101 admin/Chkp! ![](https://i.imgur.com/yk9QHec.png) ![](https://i.imgur.com/GBbl6Ig.png) 以B-GUI開WireShark Ping 10.1.1.1 SSH：10.1.1.101 WireShrak，濾TCP，看三向交握 ![](https://i.imgur.com/vKkr8hX.png) ![](https://i.imgur.com/2mv1udJ.png) 接著有SSH(PSH強制送) ![](https://i.imgur.com/rBK12fa.png) 只有版本與工具 ![](https://i.imgur.com/hXEd7OH.png) 傳輸的內容皆加密 ![](https://i.imgur.com/jlT8yG5.png) ![](https://i.imgur.com/XtfzTey.png) 可看到Key Install與SSH的加解密 ![](https://i.imgur.com/jvA4VAa.png) A-GW的??? (1)IKE ![](https://i.imgur.com/EtVIcmN.jpg) ![](https://i.imgur.com/TM7flK9.png)