Wie kann man den Netzwerk-Umkreisschutz verbessern? Praktische Empfehlungen für Check Point und nicht nur

  • Tutorial


Wir setzen die Artikelreihe zur Optimierung der Sicherheitseinstellungen für den Netzwerkperipherieschutz (NGFW) fort. Ich möchte sofort darauf hinweisen, dass diese Empfehlungen nicht nur für Check Point-Besitzer geeignet sind. Wenn Sie sich die Bedrohungen für alle gleich betrachten, entscheidet nur jeder NGFW-Anbieter auf seine eigene Art und Weise. Zuvor haben wir einen Minikurs „ Check Point to Maximum “ veröffentlicht, in dem gezeigt wurde, wie gefährlich die Standardeinstellungen sind. Dies waren allgemeine Empfehlungen. Jetzt wollten wir genauere Schritte für die mögliche Verstärkung des Umkreisschutzes beschreiben. Dieser Artikel ist nur beratender Natur! Folgen Sie dieser Anweisung nicht blind, ohne die möglichen Konsequenzen für Ihr Netzwerk zu analysieren!

Trends bei Cyberangriffen


Bevor Sie Empfehlungen aussprechen, müssen Sie verstehen, was uns bedroht? Von was verteidigen? Dazu schlage ich vor, den Check Point-Bericht für 2018 (CYBER ATTACK TRENDS ANALYSIS) zu verwenden. Natürlich gibt es viel Marketing, aber es gibt auch sehr nützliche Informationen. Zum Beispiel Statistiken über die Arten von Virendateien, die über das Web (http / https) und E-Mail (smtp) empfangen wurden:



Aus diesem Bild können Sie sehr wichtige Informationen abrufen . Web und E-Mail sind immer noch zwei Hauptangriffe. Wenn Sie sich die Statistiken anschauen, haben Sie festgestellt, dass SMTP in der ersten Jahreshälfte vorherrschte und HTTP in der zweiten Jahreshälfte dominierte.



Mal sehen, wie wir den Schutz für jeden Angriffsvektor (z. B. Web und E-Mail) verbessern können.
Reservieren Sie sofort, dass diese Maßnahmen sicherlich nicht ausreichen werden, um umfassenden Schutz zu bieten. Laut Statistik können wir jedoch die Sicherheit unseres Netzwerks erheblich verbessern .

Verbesserter Schutz gegen bösartigen Webverkehr.


Zurück im Kurs „ Check Point for Maximum “ zeigte ich einige Tricks, um die Sicherheit des Webverkehrs zu verbessern. Die wichtigsten Punkte:

  1. HTTPS-Inspektion aktivieren ;
  2. Verwenden Sie Content Awareness Blade ;
  3. Aktivieren Sie die Tiefenprüfung in den Anti-Virus-Einstellungen .
  4. Verwenden Sie IPS, um Dateien zu überprüfen .

Die meisten Empfehlungen waren jedoch allgemeiner Natur. Jetzt haben wir Informationen zu den wichtigsten Bedrohungen. Versuchen wir unser Wissen in der Praxis anzuwenden.

1) Content Blocking (Inhaltsbewusstsein)


Wie wir im obigen Bild gesehen haben, wird das .exe- Format am häufigsten unter den Virendateien gefunden, die Benutzer über das Web erhalten. Schon 46% ! Benötigen diese Dateien Ihre Benutzer? In Lektion 2 „Check Point for Maximum“ habe ich bereits gezeigt, wie Sie das Content Awareness-Blade verwenden. Wenn Sie immer noch Zweifel an dieser Blockierung hatten, werfen Sie einen Blick auf die Statistiken. Durch das Blockieren dieser Art von Datei "vereinfachen" Sie die Lebensdauer Ihrer NGFW um 46% (in Bezug auf das Überprüfen von Dateien). Sie müssen nur eine Regel hinzufügen:



Warum sollten Sie überprüfen, was Sie offensichtlich nicht benötigen, und hoffen, dass Ihr Antivirus- oder Sandkastenprogramm nicht fehlschlägt?

Wenn Sie eine andere Lösung (nicht Check Point) verwenden, gibt es möglicherweise keine Funktionen wie Content Awareness. Sie können jedoch wahrscheinlich verschiedene Dateitypen mithilfe von Antivirus blockieren. Dies ist eine ressourcenintensivere Methode, aber es ist besser als nichts.

Mit dem Rest der Dateitypen ist das nicht so einfach. Doc und Pdf werden wahrscheinlich von der Mehrheit benötigt und können nicht gesperrt werden. Gleiches gilt für die restlichen Dateien (JS, Jar). Wenn sie blockiert werden, kann es zu Problemen bei der Anzeige von Webseiten kommen. Der einzige Ausweg in diesem Fall besteht darin, sie SEHR sorgfältig zu überprüfen.

2) Aktivieren Sie den Deep Scan für die gefährlichsten Dateitypen.


In der vierten Lektion „Kontrollpunkt auf Maximum“ habe ich gezeigt, dass Anti-Virus mit den Standardeinstellungen sehr schlechte Ergebnisse zeigt. Und das gilt absolut für alle Anbieter. Fast jeder hat die Möglichkeit, "schnell" und "tiefer" zu prüfen. Standardmäßig wird natürlich zur Optimierung "fast" verwendet. Für Check Point wird die Option " Deep Scan " als " Deep Scan " bezeichnet und kann für verschiedene Dateitypen aktiviert werden. Das erste, was mir einfällt, ist die Aktivierung für alle Dateitypen (derzeit gibt es etwa 90 Dateitypen). Und so kann es gemacht werden! Wenn Sie eine sehr reiche Firma haben. Für diese Option ist eine sehr leistungsfähige Hardware erforderlich. Sie können einen Kompromiss finden - aktivieren Sie die Tiefenprüfung für die gefährlichsten Dateien:



Aus den Statistiken haben wir die folgenden Dateien:pdf, doc, javascript, jar . Aber ich würde mindestens hinzufügen: xls, zip, rar, 7zip, rtf, swf . Natürlich müssen Sie kennwortgeschützte Archive sperren.

Wenn Sie keinen Check Point haben, prüfen Sie die Möglichkeit, solche Optionen zu verwenden. Es ist sehr wichtig.

3) Fügen Sie die erforderlichen IPS-Signaturen hinzu


Um wieder zum Kurs „Check Point to Maximum“ zurückzukehren, habe ich in Lektion 6 gezeigt, wie wichtig IPS für die Überprüfung von Dateien ist. IPS kann Exploits in Dokumenten finden! Die größte Qual mit IPS ist die Auswahl der benötigten Signaturen. An derselben Stelle zeigte ich ein paar Tricks, um mit ihnen (oder genauer mit Kategorien) zu arbeiten. Aber jetzt haben wir zusätzliche Informationen. Wir benötigen definitiv Unterschriften, die mit Dateien wie pdf, doc, javascript und jar verbunden sind . Es ist ziemlich einfach, dies zu tun, es reicht aus, die Suche anhand von Signaturen zu verwenden:



(Im Fall von pdf dürfen Sie nicht vergessen, dass es andere Zuschauer gibt, z. B. Foxit).
Oder wiederum mit Kategorien in Filtern:



Jetzt werden eingehende Dateien nicht nur mit Anti-Virus, sondern auch mit IPS geprüft.

Wenn Sie Check Point nicht verwenden, versuchen Sie auch, relevante Signaturen (alle Dokumente, Archive, Javascript, Jar) mit einzuschließen.

4) Bedrohungsemulation und -extraktion


Antivirus und IPS sind gut, aber dies ist eine Signaturanalyse. Der Hauptnachteil ist, dass sie nur mit bekannten Bedrohungen funktioniert. Was tun mit dem Unbekannten (0 Tage)? Dafür und mit einer "Sandbox". Bei Check Point heißt diese Technologie SandBlast und wird unter Verwendung folgender Blades implementiert:

Threat Emulation - Dateiemulation . Derzeit werden über 65 Dateitypen unterstützt. Stellen Sie sicher, dass Sie die Emulation für die oben genannte Liste mit Stimmen ( pdf, doc, javascript und jar ) und meine Empfehlungen ( xls, zip, rar, 7zip, rtf, swf ) aktivieren : Mit



Threat Emulation können Sie die Dateien vor dem Herunterladen überprüfen. Dies ist eine sehr wichtige Funktion, weil Nicht jede Lösung kann im Prevent-Modus für Webdatenverkehr arbeiten.

Extraktion von Bedrohungen- Aktive Inhalte löschen. Die Bereinigung kann durch Konvertieren einer Datei in ein PDF oder durch Ausschneiden aller aktiven Inhalte (Skripts, Makros, URLs usw.) durchgeführt werden. Gegenwärtig unterstützt die Bedrohungsextraktion etwa 45 Dateitypen. Und die Vorteile der Verwendung dieser Klinge erzählte ich in drei Teilen des Kurses Check Point SandBlast . Schauen Sie, es gibt eine Demonstration der Arbeit. Es wird dringend empfohlen, zur Reinigung von PDF und Doc. Threat Extraction zu verwenden. Und am besten wählen Sie die "Konvertierung in PDF", dies ist die "100 Pood" -Methode. Mit xls rollt es nicht immer, weil Das Dokument ist möglicherweise stark betroffen. Verwenden Sie daher eine benutzerdefinierte Richtlinie für die Bedrohungsextraktion.

Leider funktioniert die Bedrohungsextraktion für den Internetverkehr derzeit nur bei Verwendung einer speziellen Browsererweiterung.SandBlast Agent für Browser . In der nächsten Version ( Gaia R80.30 ) können Dateien jedoch auch ohne zusätzliche Erweiterungen bereinigt und konvertiert werden.

Wenn Sie Check Point nicht verwenden, empfehle ich auch, die Sandbox-Funktionalität auszuprobieren. Fast alle Anbieter haben einen Testmodus. Ich bin mir ziemlich sicher, dass Ihre "Catch Rate" nach dem Einschalten deutlich ansteigen wird.

Wir verstärken den Schutz vor bösartigen E-Mails


Mit dem Internetverkehr mehr oder weniger durchdacht (obwohl eigentlich alles komplizierter ist). Lassen Sie uns nun zu einem anderen bekannten Angriffsvektor, E-Mail, übergehen. In fast allen Unternehmen erhält der Mail-Schutz die größte Aufmerksamkeit. Mal sehen, was wir mit NGFW-Lösungen im Umkreis des Netzwerks tun können.

1) MTA-Modus


Als erstes müssen Sie das Check Point Gateway in den MTA-Modus (Mail Transfer Agent) umschalten. Dies ermöglicht einen umfassenderen Scan von E-Mail-Nachrichten, insbesondere wenn Sie SMTPS verwenden (in diesem Fall kann Ihr Gateway ohne MTA-Funktion diesen Datenverkehr nicht überprüfen).



Wenn Sie Check Point nicht verwenden und Ihr NGFW keinen MTA unterstützt, lesen Sie den Artikel weiter - es ist sinnlos. Sie können einfach keine zusätzlichen Prüfungen durchführen. In diesem Fall verwenden Sie höchstwahrscheinlich eine separate Lösung zum Schutz von E-Mails.

2) Upgrade auf R80.20


Dies ist ein weiterer wichtiger Punkt. In der Version des Gaia R80.20 hat sich die MTA-Funktionalität (und nicht nur) erheblich verändert. Dies gilt auch für das Mailing-Reporting. Standardmäßig sind mehrere neue Dashboards gleichzeitig verfügbar:



Sie müssen nicht mehr in die Befehlszeile einsteigen, um das Trashlshuting zu überwachen. Darüber hinaus wurde die MTA-Funktionalität seit Version R80.20 in den Profileinstellungen des Threat Prevention-Profils auf eine separate Registerkarte verschoben:



Die wichtigsten Punkte:

  1. Nun können Mail-Anhänge nicht nur von der Sandbox (im MTA-Modus) geprüft werden. Zunächst werden die Dateien und Links in der E-Mail von der Antivirus-Engine geprüft. Dies ist sehr vorteilhaft für die Geräteleistung, weil Wenn es sich bei der Datei um eine bekannte Malware handelt, wird diese gelöscht, ohne an die Sandbox gesendet zu werden.
  2. Nun können alle gesperrten E-Mails an eine dedizierte E-Mail gesendet werden und organisieren so eine Art Quarantäne. Dies ist nützlich, wenn Sie Zugriff auf eine blockierte E-Mail benötigen.

Soweit ich weiß, wurde an Check Point derzeit ein eigenes Team gebildet, das sich ausschließlich mit der MTA-Funktionalität beschäftigt. Weitere Verbesserungen stehen also vor der Tür (R80.30 ist bereits im EA-Programm).

3. Erstellen Sie eine separate Threat Prevention-Regel für MTA


Ein weiterer wichtiger Punkt. Es muss unterschiedliche Profile für den Webverkehr und für E-Mail geben. Die Regel sollte folgendermaßen aussehen:



Wenn Sie R80.20 verwenden, wird diese Regel automatisch erstellt, wenn Sie den MTA aktivieren.

4. E-Mail-Antivirus


Wie oben erwähnt, haben wir ab 80.20 die Möglichkeit, die Antiviren- Engine zum Überprüfen von Anhängen und Hyperlinks zu verwenden. Es korreliert perfekt mit unseren Bedürfnissen. Wenn Sie sich die Statistiken ganz am Anfang ansehen, sehen Sie, dass Exe- Dateien und URLs neben klassischen Dokumenten eine Bedrohung darstellen .

Zunächst müssen Sie unbedingt alle nicht benötigten Dateitypen blockieren, die als Anhänge gesendet werden können (nicht nur exe). Einfacher zu sagen, was zu verlassen ist: pdf, doc, xls, ppt. zip, rar, 7zip und andere gängige Office-Dateiformate. Verschiedene Skripte, Linux-Archive und ausführbare Dateien sollten jedoch blockiert werden.
Vergessen Sie auch nicht, die URL im Inhalt des Briefes zu überprüfen:



Für alle Arten von Dateien, die wir zulassen, müssen Sie natürlich die Tiefenprüfung konfigurieren.

5. Bedrohungsemulation und -extraktion


Mail ist der Hauptvektor für gezielte Angriffe, d. H. Angriffe, die vorbereitet sind. Meistens werden bei solchen Angriffen die Zero-Day-Schwachstellen (0-Day-Schwachstellen) ausgenutzt. Und hier ist die Signaturanalyse machtlos. Wenn Sie sich also für eine Sandkastenlösung entscheiden, sollten Sie sie zuerst per E-Mail anwenden. Für alle zulässigen Dateien (in Antivirus-Dateien) müssen wir die Sandbox-Funktion verwenden. Dies betrifft nicht nur Check Point-Lösungen.

In Bezug auf das Einstellen der Bedrohungsemulation für E-Mail ist alles das gleiche wie für das Web. Stellen Sie nur sicher, dass Sie die Emulation für alle Dateien aktivieren, die (durch Antivirus) zulässig sind. Wenn Sie sich unsere Statistiken ansehen, sind die gefährlichsten Dateitypen doc, pdf, rtf, xls.
Stellen Sie außerdem sicher, dass Sie Threat Extraction verwenden, um aktive Inhalte zu löschen.



In diesem Fall müssen Sie für Dokumente wie pdf und doc die Konvertierung in pdf konfigurieren. In diesem Fall müssen Sie sich nicht auf die Bedrohungsemulation verlassen. Mit einem positiven Urteil kann der Benutzer außerdem die Originaldatei herunterladen (in 95% der Fälle benötigt niemand das Original).

Allgemeine Empfehlungen


Das Hauptprinzip des Netzwerk-Umkreisschutzes besteht darin, den Angriffsbereich zu minimieren. Dafür haben wir eine Vielzahl von Mechanismen:

  1. Zulässige Ports auf Firewall-Ebene beschränken;
  2. Schränken Sie die im Unternehmensnetzwerk verwendeten Anwendungen ein.
  3. Beschränken Sie den Zugriff auf schädliche Ressourcen.
  4. Unerwünschten Inhaltstyp (ausführbare Dateien usw.) nicht zulassen;
  5. Aktivieren Sie die SSL-Prüfung, um das gesamte Bild zu sehen.

Ohne diese Schritte sind alle anderen Aktionen nutzlos. Nachdem wir den Angriffsbereich reduziert haben, sollten wir die Methoden der Signaturanalyse so gut wie möglich einsetzen:

  1. Antivirus;
  2. IPS;
  3. Anti-Bot,
  4. Anti-Spam.

Danach können wir zu schwereren Werkzeugen wie einer Sandbox übergehen:

  1. Bedrohungsemulation;
  2. Bedrohungsextraktion.

Ein derart konsistenter Ansatz verbessert den Netzwerkperipherieschutz erheblich. Der Ansatz ist universell und für fast alle NGFW-Lösungen relevant.

Zusätzliche Materialien


Wenn Sie sich für dieses Thema interessieren, werden mindestens die folgenden Ressourcen empfohlen:


Sie können eine kostenlose Überprüfung der Sicherheitseinstellungen von Check Point <a href=de tssolution.com/reshenie/check-point-security-audit-max-sandbox> hier durchführen.

Bald planen wir einen kleinen Kurs mit einer Demonstration all dieser Funktionen. Also bleibt dran! ( vk , telegramm ).

Jetzt auch beliebt: