Check Point Gaia POC Setting Guide

# Check Point Gaia POC Guide --- 此文件作為POC參考用文件並提供相對應截圖,以利使用者確認設定檢查 --- 版本紀錄 | 2024/06/05 | Jeremy | 初稿 | | ---------- | ------ | --- | | 2024/06/15 | Jeremy | 修正部份錯誤文字與敘述 | --- ###事前準備隨身工具建議帶著Console線,網路線,USB,一字十字螺絲起子於事前可以先準備好iso檔案並利用isomorphic 進行刷機作業建議隨身帶著以防現場異常狀況參考[SK65205](https://support.checkpoint.com/results/sk/sk65205) ![image](https://hackmd.io/_uploads/ByDxHn6V0.png) 以下是需要開放的資訊 + ### CP FW開放 Gaia內容如果對於上網需要走proxy可以設定Proxy ![image](https://hackmd.io/_uploads/ByDWSnaVA.png) - 上網需求:需開放80/443 port存取至\*.[checkpoint.com](checkpoint.com)進行Patten Update及License Check - 內部管理:需開放以下Port與Check Point GW進行存取22/80/257/443/18183/18191/18192/18202/18208/18210/18211 - 內部存取:管理者需可以透過以下Port進行存取 22/80/443/18190/18205/18211/19009 <https://support.checkpoint.com/results/sk/sk52421> 開放網段清單參考連結如下 <https://support.checkpoint.com/results/sk/sk83520> ### POC 模式區分三種 1. inline 難度較高會將流量以routing mode的方式進行檢查 2. bridge 此模式會以透通方式進行使流量一進一出將兩個介面綁定為一組bridge 3. monitor 透過Switch 設定SPAN 將流量複寫一份到Check Point設備上面關於Switch如何設定可以參考這篇[側錄教學](https://medium.com/blacksecurity/cisco-%E6%B5%81%E9%87%8F%E5%81%B4%E9%8C%84%E5%8A%9F%E8%83%BD-span-mirror-port-17f380e404ac) CP上面則是設定monitor介面 ![image](https://hackmd.io/_uploads/HktzSnTER.png) ## POC設定手冊得到IP之後記得完成申請trail key與license匯入步驟為追求進一步抓到更多資料官方有給出一個POC guide,建議依照此模式進行設定詳細記錄如下 1. 啟用功能管理機注意開啟log&smart event ![image](https://hackmd.io/_uploads/r1wEH36NR.png) - 防火牆開啟Application / Url filtering,IPS,Anti-Virus / Anti-Bot,Threat Emulation , Identity Awerness,Content Awerness,Monitoring Blade ![image](https://hackmd.io/_uploads/r1oHB2aVR.png) 2. Access Control 設定一筆any any accept 的log 注意選擇detail log ![image](https://hackmd.io/_uploads/r1pB3xsrC.png) 設定一筆包含FW & APP Layer的 Content也要 ![image](https://hackmd.io/_uploads/BJYvhloH0.png) 也務必注意Implicit Cleanup Action 設定為Accept ![image](https://hackmd.io/_uploads/Hyqw2eoSR.png) 於Management Setting中要注意要將Fail Mode設定為 Fail-Open,注意Categorize Https website & Categorize cached pages and translate pages in search engines要勾選 ![image](https://hackmd.io/_uploads/H1WR6gjSC.png) 3. Threat Prevention 設定Threat Prevention 未取得更多的log這邊建議以strict設定為主,除非當下效能已經不足,在考慮調整成optimized ![image](https://hackmd.io/_uploads/Syvj2CcBA.png) 於Anti-Virus將protected Scope inspection 改成All file type 改成all 另外也啟用archive scanning ![image](https://hackmd.io/_uploads/Hk232A5BA.png) 於threat emulation啟用scope為all protocol都勾選 file type 選擇all file type ![image](https://hackmd.io/_uploads/BJhHdRqBC.png) 於threat emulation advanced 設定log every file scanned ![image](https://hackmd.io/_uploads/B1w8_0cSR.png) 於Management Setting 設定Backgroud mode ![image](https://hackmd.io/_uploads/ryzUAesSA.png) 4. 於interface上注意設定anti-spoofing取消 ![image](https://hackmd.io/_uploads/HJMjAxoSA.png) 5. monitor mode中設定兩筆參數 `vi$FWDIR/boot/modules/fwkern.conf` `psl_tap_enable=1` `fw_tap_enable=1` 可以利用 `fw ctl set int psl_tap_enable 1` `fw ctl set int fw_tap_enable 1` 來讓設定on the fly 生效就不用重新開機 6. 另外設定以下參數減少會遇到的問題 `fw_local_interface_anti_spoofing=0` `fw_antispoofing_enabled=0` `sim_anti_spoofing_enabled=0` `fw_icmp_redirects=1` `fw_allow_out_of_state_icmp_error=1` 7. 還需要調整DNS Trap 避免真正瀏覽到異常網站,透過dns reputation的機制 ![image](https://hackmd.io/_uploads/rygbFC9SC.png) 8. Inspection setting 可以將TCP相關drop關閉,理由是盡可能於POC階段減少對客戶環境的影響 ![image](https://hackmd.io/_uploads/BJeSFCqHC.png) 9. log Implied rule勾選同樣是盡量增加log ![image](https://hackmd.io/_uploads/ByIwtR5BA.png) 10. out of state packets 將這三項取消勾選 ![image](https://hackmd.io/_uploads/ByvOY05SR.png) 11. 注意GW內外角定義 ![image](https://hackmd.io/_uploads/HkJYKRqHC.png) 為了創造流量資安相關的可以利用http://www.cpcheckme.com/checkme/ 來創造流量出來