Наступило время для завершения цикла статей о новом поколении SMB Check Point (1500 cерия). Мы надеемся, что этот опыт был полезен для вас и будем рады вашей подписке на блог TS Solution.
Тема для заключительной статьи мало затрагиваемая, но не менее важная: тюнинг производительности SMB. Мы затронем вопросы возможности по конфигурации аппаратной и программной части работы NGFW, опишем доступные команды и способы взаимодействия.
Все статьи цикла о NGFW для малого бизнеса:
- Новая линейка CheckPoint 1500 Security Gateway
- Распаковка и настройка
- Беспроводная передача данных: WiFi и LTE
- VPN
На текущий момент существует не так много источников информации о тюнинге производительности для SMB решений ввиду ограничений внутренней ОС - Gaia 80.20 Embedded.
В нашей статье мы будем использовать макет с централизованным управлением — выделенный Management Server. Он позволяет применить большее количество инструментов при работе с NGFW.
Аппаратная часть
Прежде чем затрагивать архитектуру Check Point-семейства SMB, вы всегда можете обратиться к вашему партнеру, чтобы он использовал утилиту Appliance Sizing Tool для подбора оптимального решения согласно заданным характеристикам (пропускная способность, ожидаемое количество пользователей и т.д).
Важные заметки при взаимодействие с аппаратной частью вашего NGFW
1. NGFW решения семейства SMB не имеют возможности аппаратного апгрейда системных компонентов (CPU, RAM, HDD), в зависимости от модели есть поддержка SD-карт, это позволяет расширить емкость диска, но не значительно.
2. Работа сетевых интерфейсов требует контроля. В Gaia 80.20 Embedded не так много инструментов для мониторинга, но вы всегда можете использовать общеизвестную команду в CLI через режим Expert.
# ifconfig
Обратите внимание на подчеркнутые строки, они позволят вам оценить количество ошибок на интерфейсе. Крайне рекомендуется проверять данные параметры при первичном внедрении вашего NGFW, а также периодически уже в ходе эксплуатации.
3. Для полноценной Gaia есть команда:
> show diag
С ее помощью возможно получить информацию о температуре аппаратного обеспечения. К сожалению, в 80.20 Embedded данной опции нет, укажем наиболее популярные SNMP-traps:
4. Работа вашего шлюза требует контроля RAM. Для работы Gaia (Linux подобная OC) это нормальная ситуация, когда расход RAM доходит до 70-80% использования.
В архитектуре SMB-решений не предусмотрено использование SWAP-памяти, в отличие от более старших моделей Check Point. Тем не менее, в системных файлах Linux был замечен <vm.swapsiness>, что говорит о теоретической возможности изменять параметр SWAP.
Программная часть
На момент выхода статьи актуальная версии Gaia - 80.20.10. Вам нужно знать, что присутствуют ограничения при работе в CLI: в режиме Expert поддерживаются некоторые Linuх команды.
Для оценки работы NGFW требуется оценка работы демонов и служб, более подробно об этом можно узнать в статье моего коллеги. Мы же рассмотрим возможные команды для SMB.
Работа с Gaia OS
1. Просмотр шаблонов SecureXL
# fwaccel stat
2. Просмотр загрузки по ядрам
# fw ctl multik stat
3. Просмотр количества сессий (соединений).
# fw ctl pstat
4. *Просмотр состояния кластера
# cphaprob stat
5. Классическая Linux-команда TOP
Логирование
Как вы уже знаете, есть три способа работы с логами NGFW (хранение, обработка) : локально, централизованно и в облаке. Последние два варианта подразумевают наличие сущности - Management Server.
Возможные схемы управления NGFW
Наиболее ценные файлы логов
1. Системные сообщения (содержит меньше информации, чем в полноценной Gaia)
# tail -f /var/log/messages2
2. Cообщения об ошибках в работе блейдов (достаточно полезный файл при поиске проблем)
# tail -f /var/log/log/sfwd.elg
3. Просмотр сообщений из буфера на уровне ядра системы.
# dmesg
Конфигурация блейдов
Данный раздел не будет содержать полноценных инструкций по настройке вашего NGFW Сheck Point, он лишь содержит наши рекомендации, подобранные опытным путем.
Application Control / URL Filtering
- Рекомендовано избегать в правилах условия ANY, ANY (Source, Destination)
- В случае задания кастомного URL-ресурса более действенно будет использовать регулярное выражения типа: (^|..)checkpoint.com
- Избегайте чрезмерного использования логирования по правилам и показа страниц блокировки (UserCheck)
- Убедитесь, что корректно работает технология “SecureXL”. Большая часть трафика должна проходить через accelerated / medium path. Также не забывайте фильтровать правила по наиболее используемым (поле Hits)
HTTPS-Inspection
Ни для кого не секрет, что 70-80% пользовательского трафика приходится на HTTPS-соединения, соответственно, это требует ресурсов от процессора вашего шлюза. Кроме этого, HTTPS-Inspection участвует в работе IPS, Antivirus, Antibot.
Начиная с версии 80.40 появилась возможность работать с HTTPS-правилами без Legacy Dashboard. Вот некоторый рекомендуемый порядок правил:
- Bypass для группы адресов и сетей (Destination)
- Bypass для группы URL-адресов
- Bypass для внутренних IP и cетей с привилегированным доступом (Source)
- Inspect для необходимых сетей, пользователей
- Bypass для всех остальных
* Всегда лучше выбирать вручную сервисы HTTPS или HTTPS Proxy, не оставлять Any. Логировать события по правилам Inspect.
IPS
Блейд IPS может вызывать ошибку при инсталляции политики на вашем NGFW , если используется слишком много сигнатур. Согласно статье от Check Point, архитектура SMB-устройств не рассчитана для запуска полного рекомендуемого профиля настроек IPS.
Чтобы решить или предотвратить проблему, выполните следующие шаги:
1. Клонируйте Optimized профиль под названием “Optimized SMB” ( либо другим на ваше усмотрение )
2. Отредактируйте профиль, перейдите в раздел IPS → Pre R80.Settings и выключите Server Protections
3. По вашему усмотрению вы можете деактивировать CVE старше 2010. Данные уязвимости могут быть редко обнаружены в малых офисах, но влияют на производительность.
Чтобы отключить некоторые из них , перейдите в Profile→ IPS→ Additional Activation → Protections to deactivate list
Вместо заключения
В рамках цикла статей о новом поколении NGFW-семейства SMB (1500) мы постарались осветить основные возможности решения, продемонстрировали на конкретных примерах настройку важных компонентов безопасности.
Будем рады ответить на любые вопросы о продукте в комментариях. Остаемся с вами , спасибо за внимание!
Автор : Никита Турков. Инженер информационной безопасности
Большая подборка материалов по Check Point от TS Solution.
Подписывайтесь на наш канал, чтобы не пропустить обновления ✅
#межсетевой экран #сетевые технологии #информационная безопасность #it-технологии #серверное администрирование