CHKP1 R80.10 Chapitre03-Fonctionnement

Chapitre III : administration du firewall
Eléments de l’architecture trois-tiers
– Firewall : placé en coupure c’est l’élément actif qui traite les flux selon les
politiques de sécurité établies.
– Security Management Server (SmartCenter) : il s’agit du serveur de gestion qui

contient toute la configuration (objets, politiques…) et centralise les journaux
de logs.
– Smart Console : il s’agit d’un outil graphique fonctionnant sous Windows et

permettant la connexion au SmartCenter ainsi que son administration. Un
outil unifié permet désormais d’administrer les règles et consulter les logs. La
plupart des anciens outils sont également présents.
Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 2

Module(s)
ET/OU
checkpoint
OS
Hardware

Cluster en mode « Standalone Full H.A. »
Le mode Full H.A. consiste en un cluster dans lequel le Security Management Server
et le Firewall Module sont sur la même machine, tout en opérant en mode
« cluster », ce qui n’est pas en principe possible, avec la solution de base.
Dans le mode « Standalone Full H.A. », le mode de

clustering du module firewall et celui du Security
Management Server sont désynchronisés. Ce mode n’est
donc pas recommandé.

• Firewall : Stateful Inspection

– Remplace la technologie de première génération ("stateless").
– Simplifie la transcription de la politique de sécurité.
– Augmente le niveau d’intelligence du produit.
– Augmente la rapidité de traitement.
– Améliore la sécurité.
• La tendance actuelle est l’utilisation de la technologie
Stateful Inspection combinée à un filtrage par utilisateur et
par application (« Next Generation Firewalls »)
Cette tendance au « Next Generation Firewall » a été initiée par la société
Palo Alto Networks.
• Le fonctionnement de la Stateful Inspection a été rendu

plus complexe avec l’intégration de SecureXL et CoreXL.

Firewall : Le moteur Inspect
– Le moteur INSPECT de Check Point (INSPECT Engine) est chargé

dynamiquement dans le noyau du système d’exploitation entre les couches 3
et 4 du model OSI.
– Il intercepte et inspecte les paquets entrants et sortants sur toutes les
interfaces.
– Ce moteur est toujours présent en R80.10, mais il a été considérablement
remanié.

L’outil Smart Console
Les autres clients, notamment

GUIDBedit sont toujours là.
Il s’agit d’un client unifié. Toutefois, pour l’instant, sur
certains aspects, les autres clients ont été conservés
(SmartDashboard R80.10).
Le mode Démo nécessite la connexion vers un serveur de

cloud fourni gracieusement par Check Point.

Les processus en jeu
La SmartConsole se connecte sur le Smartcenter sur le port 19009.

Le SmartDashboard traditionnel continue de se connecter sur le Smartcenter via le port
CPMI (18190).
Le port 19009 est désormais indispensable pour se connecter au Security Management
Server.
Gestion des utilisateurs concurrents
Les informations sur les règles et les objets étaient anciennement stockées dans le fichier
objects_5_0.C.
A partir de R80.10, elles sont stockées dans une base de données (PostgreSQL).
Le fichier Objects_5_0.C est conservé pour des raisons de compatibilité avec les versions
R77.30 et antérieures.
Il est donc possible à plusieurs administrateurs de se connecter en écriture simultanément.
En cas de modification, l’objet ou la règle est « lockée » par le système, pour ne pas être
modifié par un autre administrateur.
Elle sera donc non modifiable jusqu’à la publication des changements de la session, qui les
remet en disponibilité dans le système.

Gestion des sessions
Il est possible de donner un nom de
session, ainsi qu’un descriptif de
session.
Tous les changements sont
enregistrés par ailleurs.
En cas de changement dans la configuration,

le bouton « Publish » s’active.
L’indicateur situé à la gauche du bouton
« Publish » précise le nombre de
changements dans le cadre de cette session.
Il est possible de supprimer
l’ensemble des changements La publication des changements ne remplace
effectués en une seule fois en pas l’installation de la politique de sécurité !
sélectionnant l’icone en forme
de poubelle.

Gestion de la sécurité du Management à travers de l’API en
ligne de commande.
Il existe 4 moyens de communiquer avec le Management en utilisant l’API :
1) Entrer des commandes d’API depuis une fenêtre de dialogue à l’intérieur de

l’application SmartConsole.
2) Entrer des commandes d’API en utilisant l’executable « mgmt_cli » disponible sous
Windows et Linux/Gaia.
3) Entrer des commandes d’API en utilisant directement le secure shell Gaia (CLIsh).
4) Entrer des commandes à travers une session HTTPS par le biais des Web Services.
Pour avoir accès au management depuis Gaia, il suffit d’entrer la commande : mgmt login.

Communication avec l’outil mgmt_cli
L’outil mgmt_cli peut par exemple se connecter sur le Management pour créer 2
nouveaux objets hosts.
Dans l’exemple montré ci-dessous, l’identifiant de session est enregistré dans le

fichier id.txt.
Il est également possible d’utiliser la variable d’environnement
MGMT_CLI_SESSION_ID.
Un outil, jq, présent sur chaque machine Gaïa, permet de faire le parsing
automatiques des informations au format JSON.

Communication avec le management server en utilisant l’API
Rest.
https://<managemenet server>:<port>/web_api/<command>
Le port par défaut est 443.
Les réponses du serveur Web se font en format JSON (Java Script Object Notation).
En cas de succès de la requête, la valeur retournée est :

HTTP status 200
Une chaîne de caractères au format JSON.
En cas d’échec, la valeur renvoyée est :

HTTP status 500
Une structure JSON avec les détails de l’erreur.
Les détails de l’API sont sur :

https://sc1.checkpoint.com/documents/latest/APIs/#ws~v1.1
L’API nécessite 4 GB au minimum sur le Management ( 8 GB en Standalone).
SMS : Internal Certificate Authority
– L’ICA (Internal Certificate Authority) est

l’Autorité de Certification de l’architecture
logicielle des produits Check Point.
– Elle est automatiquement installée à la
création sur le Security Management Server
(SMS).
– Elle assure :
• La gestion des certificats SIC, permettant
l’authentification ainsi que l’intégrité et
le chiffrement des données entre le
Security Management Center et les
composants Check Point (tel que les
firewalls).
• La gestion des certificats VPN IPSec/IKE.

Outils de sauvegarde et d’upgrade
– backup / restore : sauvegarde et restauration des

configurations système et Check Point
– CPInfo : utilisé par le support client Check Point
– fwm dbexport : export de la base utilisateurs.
– upgrade_import / upgrade_export : sauvegarde Depuis R80.10,
des configurations Check Point. Utilisé pour l’essentiel des
réaliser les upgrade de versions. opérations est
– snapshot / revert : Réalise une image complète du accessible via la
système, bootable SmartConsole.
– Database Revision Control / Policy Packages : outils
utilisés via le SmartDashboard pour revenir à Il est également
d’anciennes configurations. possible de lancer la
WebUI directement
depuis la
SmartConsole.
Les fonctionnalités de backup/restore

sont complémentaires de celles
proposées au travers de la WebUI.
Le backup nécessite au minimum des gateways en

R77 et sous Gaia.
Il n’est pas possible de l’effectuer sur le Smartcenter.

Il est par ailleurs possible d’ouvrir un shell

directement sur la Gateway, à partir du client
SmartConsole.

Scripts de sauvegarde sur Gaia
Possibilité de faire des sauvegardes de l’ensemble de la configuration :
« save configuration <filename.tgz> » : sauvegarde toute la configuration sur un

fichier texte.
« load configuration <filename.tgz> » : chargement de l’ensemble de la configuration

en Clish

L’envoi des Services Request

nécessite l’envoi d’informations
spécifiques aux équipes de
support Check Point.
L’ouverture des tickets de support est

facilitée par l’automatisation de la
plupart des étapes, y compris la création
du fichier CPINFO, l’ouverture de la
« Service Request » et l’envoi aux équipes
de Check Point.

Il est possible de lancer des scripts

spécifiques depuis le Smartcenter.
Ces scripts peuvent être écrits en tout
language compréhensible par le système
Gaia (le plus souvent en CLIsh).

Les scripts peuvent

être stockés sur le
Security Management
Server.

Management API
Il est possible d’accéder en SSH à la ligne de commande (CLI) au travers de la connexion

classique (par le port 19009).

Il est possible de publier les changements et de les installer en une seule opération.

On choisit le Policy
Package souhaité.
Il est possible
d’installer au choix la
politique de contrôle
d’accès et/ou de
prévention des
menaces.
Les changements
sont visualisables
par passerelle.
Il est possible de visualiser l’ensemble

On peut spécifier les passerelles des changements de l’ensemble des
sur lesquelles s’installe le « policy sessions avant d’installer.
package ».
WebUI Gaia
2 modes : Advanced et Basic.
Nécessité de capturer le
« lock » pour la mise en
place de modifications
affectant le système.

WebUI Gaia en mode Advanced

Aperçu du « System Overview »


Aperçu de l’onglet « Network Management »
Cet onglet permet de :

• Rajouter, modifier, supprimer des interfaces
physiques, des VLANs, des bonds (agrégats),…
• Visualiser les correspondances ARP, ou bien en
supprimer.
• Faire office de serveur DHCP
• Permettre la configuration DNS
• Permettre le routage statique IPv4 et IPv6
• Configurer l’export Netflow


Aperçu de l’onglet « System Management »
 Gérer l’horloge
 Gérer les tâches (« cron »)
 Gérer les serveurs SNMP
 Configurer un proxy pour l’accès Internet
 Paramétrer les « timers » de sessions
 Gérer les accès aux niveaux réseau et hôte
 …


Aperçu de l’onglet « Advanced Routing »
 Gérer le DHCP Relay

 Gérer les protocoles BGP, IGMP, PIM, RIP et OSPF
 Gérer le Policy Based Routing
 Gérer l’agrégat de routes
 …


Aperçu de l’onglet « User Management »
 Gérer les Administrateurs

 Gérer les groupes d’Administrateurs
 Modifier la politique de mot de passe
 Faire appel à des serveurs d’authentification externes
pour l’authentification des utilisateurs
 …


Aperçu de l’onglet « High Availability »
Cet onglet permet de gérer le protocole VRRP, étant

entendu que la manière préférée de mettre en place la
haute disponibilité est le mode ClusterXL de Check Point.


Aperçu de l’onglet « Upgrades »
Cet onglet est en rapport avec les mises à jour,

notamment au travers de la fonctionnalité CPUSE.


Check Point produit régulièrement des Hotfixes. Le Take 15 est disponible pour la R80.10.
En CLI, il est possible de vérifier la présence de Hotfixes sur la WebUI ou bien en tapant la
commande : installed_jumbo_take.

Travaux Pratiques
– Pour mettre en pratique ce que vous avez appris nous vous invitons a
réaliser les travaux pratiques suivants :
• TP 1 : Installation du Security Management Server en R80.10

• TP 2 : Installation de votre Security Gateway en R80.10

Questions de base
– Quelle est la commande permettant en CLI d’obtenir les droits de modifications

sur une plateforme Gaia ?
– Quel type d’installation (standalone/distributed) est préconisé ? Pourquoi ?
– Comment sont gérées les logs ?
– Combien d’administrateurs est-il possible de créer à l’installation du Firewall ?

Réponses aux questions de base.
– Quelle est la commande permettant en CLI d’obtenir les droits de
modifications sur une plateforme Gaia ?
« lock database override ».
– Quel type d’installation (standalone/distributed) est préconisé ? Pourquoi ?
L’installation distribuée séparant le Firewall Module du SmartCenter est la
plus efficace, la plus rapide et la plus sécurisée.
– Comment sont gérées les logs ?
Les logs sont centralisées sur le SmartCenter. Il est possible de les exporter
sur un outil de SIEM par le biais du protocole LEA (Logging Event API).
– Combien d’administrateurs est-il possible de créer à l’installation du Firewall ?
Un seul. D’autres administrateurs peuvent être créés via SmartConsole.

Questions avancées
– Comment désactiver/réactiver l’exécution du « wizard » d’installation sur les

plateformes Gaïa ?
– Comment changer le port d’administration Web sous Gaïa ?
– Comment configurer un firewall en mode transparent sous Gaïa ?
– Quel est le nombre maximum d’interfaces d’un Bond (agrégat) ?

Réponses aux questions avancées.
 Comment désactiver/réactiver l’exécution du « wizard » d’installation sur les
plateformes Gaïa ?
rm /etc/.wizard_accepted (suppression du fichier wizard_accepted).
La commande config_system permet de relancer l’exécution du « wizard »
(commande non interactive).
 Comment changer le port d’administration Web sous Gaïa ?

Il faut le changer d’abord via SmartConsole, ensuite en CLI : set web ssl-
port <numero_port>.
 Comment configurer un firewall en mode transparent sous Gaïa ?

Depuis l’interface Web ou en CLI, sélectionner l’option Bridge interfaces.
 Quel est le nombre maximum d’interfaces d’un Bond (agrégat) ?

8.

CHKP1 R80.10 Chapitre03-Fonctionnement

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CHKP1 R80.10 Chapitre03-Fonctionnement

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre III : administration du firewall

Chapitre III : administration du firewall

Eléments de l’architecture trois-tiers

– Security Management Server (SmartCenter) : il s’agit du serveur de gestion qui

– Smart Console : il s’agit d’un outil graphique fonctionnant sous Windows et

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 2

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 3

Cluster en mode « Standalone Full H.A. »

Dans le mode « Standalone Full H.A. », le mode de

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 4

• Firewall : Stateful Inspection

• Le fonctionnement de la Stateful Inspection a été rendu

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 5

Firewall : Le moteur Inspect

– Le moteur INSPECT de Check Point (INSPECT Engine) est chargé

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 6

Les autres clients, notamment

Le mode Démo nécessite la connexion vers un serveur de

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 7

La SmartConsole se connecte sur le Smartcenter sur le port 19009.

Il est donc possible à plusieurs administrateurs de se connecter en écriture simultanément.

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 9

En cas de changement dans la configuration,

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 10

1) Entrer des commandes d’API depuis une fenêtre de dialogue à l’intérieur de

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 11

Dans l’exemple montré ci-dessous, l’identifiant de session est enregistré dans le

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 12

En cas de succès de la requête, la valeur retournée est :

En cas d’échec, la valeur renvoyée est :

Les détails de l’API sont sur :

SMS : Internal Certificate Authority

– L’ICA (Internal Certificate Authority) est

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 14

Outils de sauvegarde et d’upgrade

– backup / restore : sauvegarde et restauration des

Les fonctionnalités de backup/restore

Le backup nécessite au minimum des gateways en

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 16

Il est par ailleurs possible d’ouvrir un shell

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 17

Scripts de sauvegarde sur Gaia

Possibilité de faire des sauvegardes de l’ensemble de la configuration :

« save configuration <filename.tgz> » : sauvegarde toute la configuration sur un

« load configuration <filename.tgz> » : chargement de l’ensemble de la configuration

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 18

L’envoi des Services Request

L’ouverture des tickets de support est

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 19

Il est possible de lancer des scripts

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 20

Les scripts peuvent

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 21

Il est possible d’accéder en SSH à la ligne de commande (CLI) au travers de la connexion

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 22

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 23

Il est possible de visualiser l’ensemble

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 25

WebUI Gaia en mode Advanced

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 26

WebUI Gaia en mode Advanced

Cet onglet permet de :

Secureware, Copyright © 2017 Check Point R80.10 Niveau 1 27

WebUI Gaia en mode Advanced