Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Summary Checkpoint Guide

    Cargado por

    bravojf
    52 vistas32 páginas
    Resumen de tecnologias de checkpoint, introduccion

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Resumen de tecnologias de checkpoint, introduccion

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    52 vistas32 páginas

    Summary Checkpoint Guide

    Cargado por

    bravojf
    Resumen de tecnologias de checkpoint, introduccion

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 32

    CHECK POINT

    TECHNOLOGIES
    Temas

    • Dudas Laboratorios 1-4


    1
    • Sesión de preguntas

    2 • Network Address Translation (NAT)

    • Virtual Private Network (VPN)


    3
    • VPN Site to Site & Client to Site
    Objetivos de aprendizaje
    • Conocer y entender los diferentes tipos de NAT y cuando
    aplicar cada uno de ellos.
    • Descripción Static Manual NAT
    • Descripción Static Automatic NAT
    • Descripción Hide behind IP & Gw
    • Xlate Source & Xlate Destination
    • Relación NAT & ARP cuando aplica y porque
    • Cómo crear reglas manuales y automáticas
    Objetivos de aprendizaje (cont…)
    • Conocer y entender los tipos de VPN, descripción y
    composición de las fases que conforman una VPN.
    • Algoritmos de encriptación e integridad de datos
    • VPN Mesh
    • VPN Star
    • VPN Client
    • Que el alumno entienda cuando es recomendable aplicar
    cada configuración
    • Como se conforma una regla de seguridad y sus
    características.
    Network Address Translation
    NAT
    NETWORK ADDRESS TRANSLATION

    En las redes de computadoras, Network Address


    Translation (NAT), es el proceso de modificación de la
    dirección IP en los headers de paquetes IP en tránsito,
    a través de un dispositivo de ruteo de trafico.
    Introducción de NAT
    Network Address Translation puede ser utilizado para
    trasladar cualquier dirección IP dentro de una
    conexión. Cuando trasladamos la IP de una maquina
    que inicia la conexión, esta es conocida como “Source
    NAT”. Cuando trasladamos la dirección IP de una
    maquina recibiendo el trafico es conocida como
    “Destination NAT”
    Los Security Gateway soportan dos tipos de NAT,
    donde el origen y/o destino son trasladados
    Introduccion de NAT (cont.)
    Hide NAT: Hide NAT es una relación de “muchos a uno”, donde
    multiples host dentro de una red son representadas por una sola y
    única dirección IP.

    Static NAT: Static NAT es una relación “uno a uno”, donde cada host
    es trasladado a una única dirección IP
    Un ejemplo podría ser un Web Server o un Servidor de Correo, estos
    necesitan permitir inicializar conexiones del exterior.

    NAT puede ser configurado dentro del CheckPoint en hosts, nodos,


    networks rangos de ip y en objetos dinámicos. NAT puede ser
    configurado automáticamente o también de manera manual. Las
    reglas de NAT manuales ofrecen flexibilidad ya que pueden
    configurarse tanto orígenes como destinos, además de permitir la
    configuración de trasladar tambien los servicios (PAT).
    NETWORK ADDRESS TRANSLATION
    -Hide NAT

    • Hide NAT

    Tip: Para protocolos donde el numero de puerto no puede ser cambiado,


    Hide NAT no puede ser usado
    NETWORK ADDRESS TRANSLATION
    -Static NAT

    • Static NAT
    NAT Propiedades Globales
    Alugnas propiedades
    globales influyen en el
    manejo del NAT por el
    Security Gateway.
    Configuración de objeto Hide NAT
    Hide NAT puede ser utilizado
    Para ocultar redes usando la IP
    De un Security Gateway u otra
    IP externa accessible.
    Configuración de objeto - Hide NAT
    Las reglas Address Translation son divididas en dos elementos: Original
    Packet y Translate Packet. Los elementos del paquete original informal al
    Gateway que paquetes hacen match en la regla. Los elementos del paquete
    transladado definene como el gateway debería modificar el paquete.
    Configuración de objeto – Static NAT

    La configuracion de un Static NAT


    Es similar a la de un Hide NAT.
    Debe ser indicada una IP externa y
    Unica accessible para el host a
    configurar.
    NAT Manual

    Security Gateway permite a los administradores cear reglas de NAT manuales las
    cuales involucran más configuraciones que las reglas de NAT automaticas, sin
    embargo brindan flexibilidad cuando es definido un Rule Base

    NAT Manual requiere de la configuracion de objetos y reglas, la cantidad de


    configuraciones varia entre Hide NAT y Static NAT ya que depende del tipo de
    servicio que se requiere configurar.
    Consideraciones especiales

    ARP

    Cuando es usado el metodo NAT Automatico, el gateway crea todo lo necesario para
    crear la tabla de ARP en el Security Gateway
    Si es usado el metodo de NAT Manual, el administrador debe editar la tabla de ARP
    del Security Gateway (local.arp).
    Virtual Private Network
    VPN
    IPSEC
    IPsec es una suite de protocolos open source
    • Authentication Headers (AH) — Brinda integridad y
    autenticación de los datos para los paquetes IP, tambien
    Brinda protección contra ataques del tipo replay.

    • Encapsulating Security Payloads (ESP) — Brinda


    confidencialidad, autenticación del origen de los datos,
    integridad, y protección contra ataques del tipo replay.

    • Security Associations (SA) — Brinda un conjunto de


    algoritmos y datos con los parametros necesarios para
    manejar las operaciones de AH y ESP.
    Internet Key Exchange (IKE)
    Negociación IKE:
    • Fase 1 – Main mode – Se negocian los metodos de cifrado
    • Fase 2 – Quick mode – Se negocian los SA (Security Associations)
    de IPSec

    En la fase existen 2 modos Main y Aggressive

    Main Mode: usa 6 paquetes para la negociación, es mas seguro

    Aggressive Mode: usa 3 paquetes para la negociación, se recomienda


    el uso cuando se requiere establecer una VPN con un fabricante
    diferente que no soporta main mode.
    IKE FASE 1

    • Stage 1: Autenticación de los Peers


    usando certificados o pre-shared secret.

    • Stage 2: Cada gateway genera una llave


    privada Diffie-Hellman desde un pool de
    bits aleatorios. De cada llave privada DH
    se genera una llave publica DH. La llave
    publica Diffie Hellman es la que sera
    compartida.

    • Stage 3: Cada lado genera un shared-


    secret desde la llave privada local y la llave
    publica del otro peer. El shared-secret es
    la llave DH.

    • Stage 4: La llave Diffie Hellman


    intercambia el material de la llave (bits
    aleatorios y datos matematicos). En esta
    etapa se acuerda el metodo de cifrado e
    integridad de la fase 2.

    • Cada lado genera una llave simetrica,


    basada en la llave DH y el material de la
    llave es intercambiada en ambos lados.

    • En esta fase se acuerda el metodo para


    intercambiar material para la fase 2
    IKE Fase 2
    La fase 2 es cifrada de acuerdo a
    las llaves y metodos acordados
    en la fase 1. El material
    intercambiado durante la fase 2
    es usado para crear las llaves
    IPSec. El resultado de la fase 2
    son los SA de IPSec.
    Métodos de cifrado e integridad
    Parameter IKE Phase 1 (IKE SA) IKE PHASE 2 (IPSec SA)
    Encryption •AES-128 •AES-128 (default)
    •AES-256(default) •AES-256
    •3DES •3DES
    •DES •DES
    •CAST (IKEv1 only) •DES-40CP (IKEv1 only)
    •CAST (IKEv1 only)
    •CAST-40 (IKEv1 only)
    •NULL
    •AES-GCM-128
    •AES-GCM-256

    Integrity •MD5 •MD5


    •SHA1 (default) •SHA1 (default)
    •SHA -256 •SHA -256
    •AES-XCBC •AES-XCBC
    •SHA -384 •SHA -384
    Perfect Forward Secrecy

    Perfect Forward Secrecy (PFS) refiere a la condición en donde si


    una llave de session es comprometida, las llaves subsecuentes
    no sean comprometidas.

    Cuando PFS es habilitado, una llave Diffie Hellman fresca se


    renueva en cada intercambio de llaves.

    Este modo solo es soportado entre Gateways, no se soporta


    entre clientes y gateways.
    Virtual Private Network (VPN)
    Es una plataforma de conectividad segura, que brinda conexión
    entre redes y además protege los datos que pasan por la VPN.
    VPN Deployments
    Site-to-Site
    Las VPN´s Site-to-site (tambien llamadas Lan to Lan) se realizan para
    asegurar la comunicación y los datos entre compañías, departamentos,
    oficinas.
    VPN Site-to-Site
    La creación de túneles VPN entre Gateways se realiza mediante
    comunidades de VPN. En estas comunidades se especifican los hosts y/o
    redes que integraran el túnel de VPN.
    Topologías

    Meshed

    Star
    VPN Site-to-Site configuración

    1. Activar el blade de VPN en el Gateway local


    2. Crear el peer del Gateway remoto con quien se realizara la VPN
    3. Definir el dominio de cifrado
    4. Crear la comunidad de VPN, agregar el peer local y el remoto
    5. Definir parámetros de fase 1 y 2 de IKE
    6. Establecer la autenticación (pre-shared key o certificado)
    7. Configurar políticas de seguridad para acceso (Firewall)
    8. Iniciar la comunicación desde algunos de los equipos involucrados
    9. Validar la comunicación utilizando Smartview Tracker o SmartviewLog
    VPN Deployments
    Remote-Access VPN

    Las VPN´s Remote Access se realizan para aseguras la comunicación y datos entre la
    red corporativo y usuarios móviles/remotos.
    Flujo configuración de VPN Remote Access
    Consideraciones importantes en la configuración

    1. Configuración de fase 1 y fase 2


    2. Método de autenticación
    3. Grupo de trabajo
    4. Pool de direccionamiento
    5. Comunidad de VPN
    6. Política de seguridad
    ¿PREGUNTAS?

    También podría gustarte