ÍNDICE

Entendendo a arquitetura

O principal produto que a empresa Check Point trabalha são os Next Generation Firewall (NGFW), nesta arquitetura trabalhamos com 3 componentes principais:

  1. Security Gateway (SG): Geralmente implementado no perímetro da rede para controlar e assegurar o trafego de rede com os recursos do firewall e prevenções contra ameaças.
  2. Security Management Server (SMS): define e controla as politicas de segurança nos SG. Podendo também ser usado como um servidor de log com o sistema integrado (SmartLog) e correlação entre eventos (SmartEvent). Geralmente, o SMS é o principal elemento para realizar o gerenciamento central de vários SGs em operação. Porém você precisa de um SMS mesmo se sua rede tiver ao menos um SG.
  3. SmartConsole: é uma interface gráfica administrativa que se conecta ao SMS. Através desta ferramenta é possível que o administrador de segurança prepare e aplique politicas de segurança nos SGs da rede.

Sendo assim o seu processo administrativo seguem os seguintes passos:

  1. Acesse a SmartConsole para se conectar ao SMS;
  2. Realize alguma alteração e aplique as novas politicas;
  3. O SMS realiza uma verificação na consistência das politicas aplicadas para evitar erros, compila e envia o resultado das novas politicas para o SG;
  4. O SG recebe as novas politicas e aplica no trafego da  rede que passa pelo SG.

Sistema Operacional

Historicamente, a Check Point já foi orientada por diferentes OS, nos dias atuais a arquitetura se baseia no uso dos seguintes OS para gerenciar a sua arquitetura:

  1. Windows: Para o uso da SmartConsole.
  2. Gaia OS: É um sistema operacional proprietário da Check Point, sendo baseado no RedHat Enterprise Linux, sendo a opção para instalar um SMS e SG em servidores abertos ou equipamentos da Check Point.
  3. Gaia Embedded OS: Uma versão simplificada e otimizada do Gaia OS para ser utilizado em equipamentos Check Point SMB (Small and Medium Business) que são baseados em processadores ARM.

Versionamento de Software

Atualmente a Check Point fornece suporte para quatro principais versões de softwares:

  • R81.20 Titan Release
  • R81.10
  • R81
  • R80.40

Porém esta informação pode ser alterada, para verificar quais são as versões que a Check Point fornece suporte acesse sk95746


Opções de implementação

Existem diferentes maneiras de implementar os softwares da Check Point:

  1. Check Point Security Appliance: Ao adquirir um equipamento da Check Point você possui o Hardware e Software necessários para executar o sistema de segurança.
  2. Open Server: O Gaia OS pode ser instalado nos servidores, para verificar se o seu servidor é compatível com o Gaia OS clique aqui.
  3. Virtual Machine: O Gaia é suportado pelo VMware ESX e outras nuvens publicas como AWS, Azure, Google Cloud Plataform, Alibaba, Oracle e outras.

Implementação Standalone and Distributed

Existem maneiras de realizar a implementação do seu sistema de segurança da Check Point, ao realizar a implementação podemos escolher:

  • Standalone seria a opção mais econômica, levando em consideração que realizamos a instalação do SMS e do SG no mesmo equipamento.
  • Distributed seria a opção mais comum entre os clientes da Check Point, realizamos a instalação do SMS e do SG em equipamentos diferentes.
  • Standalone Full HA Deployment esta opção realizamos a instalação do SMS e SG no mesmo equipamento, porém instalamos ele em dois equipamentos diferentes que estão diretamente conectados, sendo assim, possuem high availability.

Implementação do hardware

  • Routed Mode: Sendo o uso mais comum, neste caso o SG faz o roteamento de camada 3.
  • Bridge Mode: É implementado sem alterar a topologia da rede, pois é utilizado para controlar o trafego de camada 2, consequentemente algumas funcionalidades estão desabilitadas.

Security Gateway Software Blades

Blades são funcionalidades que os dispositivos da Check Point tem para melhor prover a segurança de rede, existem diversas blades, iremos citar algumas principais:

  • Firewall: Criação de filtros básicos para segurança.
  • IPSec VPN: Criação de IPSec-based Site to Site VPN.
  • Application Control & URL Filtering: Solução para controlar as URL utilizadas na web e trafego que passa pelo SG.
  • Intrusion Prevention System (IPS): Oferece a prevenção de intrusão a rede, realizando a leitura de milhares de assinaturas, proteções comportamentais e preventivas.

Comunicação entre SMS e SG

É realizada por meio da Secure Internal Communications (SIC),na qual todos os sistemas de segurança da Check Point utilizam canais de interconexão TLS criptografados para passar dados, este tunelamento é conhecido como SIC que utiliza um certificado com base na criptografia.


Fontes utilizadas para a criação deste artigo:

IPS Software Blade: https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_NextGenSecurityGateway_Guide/Topics-FWG/IPS-Blade.htm (26/03/2023)

SIC: sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_NextGenSecurityGateway_Guide/Search.htm?q=SIC (26/03/2023)

Network Secutiry Part 1 - The Architecture: https://community.checkpoint.com/t5/Check-Point-for-Beginners-2-0/Part-1-The-Architecture/ba-p/88043 (25/03/2023)

Check Point Recommended Version and Release Terminology: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk95746 (25/03/2023)

01 CP Security 101 Gaia: Treinamento privado de Check Point (25/03/2023)