ÍNDICE
- Entendendo a arquitetura
- Sistema Operacional
- Versionamento de Software
- Opções de implementação
- Implementação Standalone and Distributed
- Implementação do hardware
- Security Gateway Software Blades
- Comunicação entre SMS e SG
Entendendo a arquitetura
O principal produto que a empresa Check Point trabalha são os Next Generation Firewall (NGFW), nesta arquitetura trabalhamos com 3 componentes principais:
- Security Gateway (SG): Geralmente implementado no perímetro da rede para controlar e assegurar o trafego de rede com os recursos do firewall e prevenções contra ameaças.
- Security Management Server (SMS): define e controla as politicas de segurança nos SG. Podendo também ser usado como um servidor de log com o sistema integrado (SmartLog) e correlação entre eventos (SmartEvent). Geralmente, o SMS é o principal elemento para realizar o gerenciamento central de vários SGs em operação. Porém você precisa de um SMS mesmo se sua rede tiver ao menos um SG.
- SmartConsole: é uma interface gráfica administrativa que se conecta ao SMS. Através desta ferramenta é possível que o administrador de segurança prepare e aplique politicas de segurança nos SGs da rede.
Sendo assim o seu processo administrativo seguem os seguintes passos:
- Acesse a SmartConsole para se conectar ao SMS;
- Realize alguma alteração e aplique as novas politicas;
- O SMS realiza uma verificação na consistência das politicas aplicadas para evitar erros, compila e envia o resultado das novas politicas para o SG;
- O SG recebe as novas politicas e aplica no trafego da rede que passa pelo SG.
Sistema Operacional
Historicamente, a Check Point já foi orientada por diferentes OS, nos dias atuais a arquitetura se baseia no uso dos seguintes OS para gerenciar a sua arquitetura:
- Windows: Para o uso da SmartConsole.
- Gaia OS: É um sistema operacional proprietário da Check Point, sendo baseado no RedHat Enterprise Linux, sendo a opção para instalar um SMS e SG em servidores abertos ou equipamentos da Check Point.
- Gaia Embedded OS: Uma versão simplificada e otimizada do Gaia OS para ser utilizado em equipamentos Check Point SMB (Small and Medium Business) que são baseados em processadores ARM.
Versionamento de Software
Atualmente a Check Point fornece suporte para quatro principais versões de softwares:
- R81.20 Titan Release
- R81.10
- R81
- R80.40
Porém esta informação pode ser alterada, para verificar quais são as versões que a Check Point fornece suporte acesse sk95746
Opções de implementação
Existem diferentes maneiras de implementar os softwares da Check Point:
- Check Point Security Appliance: Ao adquirir um equipamento da Check Point você possui o Hardware e Software necessários para executar o sistema de segurança.
- Open Server: O Gaia OS pode ser instalado nos servidores, para verificar se o seu servidor é compatível com o Gaia OS clique aqui.
- Virtual Machine: O Gaia é suportado pelo VMware ESX e outras nuvens publicas como AWS, Azure, Google Cloud Plataform, Alibaba, Oracle e outras.
Implementação Standalone and Distributed
Existem maneiras de realizar a implementação do seu sistema de segurança da Check Point, ao realizar a implementação podemos escolher:
- Standalone seria a opção mais econômica, levando em consideração que realizamos a instalação do SMS e do SG no mesmo equipamento.
- Distributed seria a opção mais comum entre os clientes da Check Point, realizamos a instalação do SMS e do SG em equipamentos diferentes.
- Standalone Full HA Deployment esta opção realizamos a instalação do SMS e SG no mesmo equipamento, porém instalamos ele em dois equipamentos diferentes que estão diretamente conectados, sendo assim, possuem high availability.
Implementação do hardware
- Routed Mode: Sendo o uso mais comum, neste caso o SG faz o roteamento de camada 3.
- Bridge Mode: É implementado sem alterar a topologia da rede, pois é utilizado para controlar o trafego de camada 2, consequentemente algumas funcionalidades estão desabilitadas.
Security Gateway Software Blades
Blades são funcionalidades que os dispositivos da Check Point tem para melhor prover a segurança de rede, existem diversas blades, iremos citar algumas principais:
- Firewall: Criação de filtros básicos para segurança.
- IPSec VPN: Criação de IPSec-based Site to Site VPN.
- Application Control & URL Filtering: Solução para controlar as URL utilizadas na web e trafego que passa pelo SG.
- Intrusion Prevention System (IPS): Oferece a prevenção de intrusão a rede, realizando a leitura de milhares de assinaturas, proteções comportamentais e preventivas.
Comunicação entre SMS e SG
É realizada por meio da Secure Internal Communications (SIC),na qual todos os sistemas de segurança da Check Point utilizam canais de interconexão TLS criptografados para passar dados, este tunelamento é conhecido como SIC que utiliza um certificado com base na criptografia.
Fontes utilizadas para a criação deste artigo:
IPS Software Blade: https://sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_NextGenSecurityGateway_Guide/Topics-FWG/IPS-Blade.htm (26/03/2023)
SIC: sc1.checkpoint.com/documents/R81/WebAdminGuides/EN/CP_R81_NextGenSecurityGateway_Guide/Search.htm?q=SIC (26/03/2023)
Network Secutiry Part 1 - The Architecture: https://community.checkpoint.com/t5/Check-Point-for-Beginners-2-0/Part-1-The-Architecture/ba-p/88043 (25/03/2023)
Check Point Recommended Version and Release Terminology: https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk95746 (25/03/2023)
01 CP Security 101 Gaia: Treinamento privado de Check Point (25/03/2023)