Instalación del servidor de Endpoint R80.

20 y
clientes
Marina Parrado Rollán
Security Engineer, Iberia
Mayo 2019

Índice
Instalación del servidor de Endpoint R80.20 y clientes.......................................................... 1
Introducción .............................................................................................................................................. 1
Instalación de la imagen y First Time Configuration Wizard .................................................................... 2
Descargar SmartConsole ......................................................................................................................... 9
Instalación de licencias .......................................................................................................................... 10
Instalación de Hotfixes necesarios ......................................................................................................... 13
Instalación de clientes de Endpoint ........................................................................................................ 15

Introducción

Endpoint es la solución de Check Point para securizar el puesto de trabajo. Junto a

funcionalidades anteriores, como las de firewall y antimalware local, presenta
capacidades de nueva generación para proteger frente amenazas ransomware,
phishing o ataques de día cero.

En esta guía, instalaremos tanto la máquina que gestionará Endpoint en la versión de

R80.20, como los clientes en PC, en la última versión actualmente, E80.96.

Los requisitos mínimos de R80.20 sobre Open Server son los siguientes:
 2 cores
 6 GB de RAM
 500 GB de disco
 Procesador Intel Pentium IV, 2.6 GHz o equivalente

Podemos virtualizar la máquina sobre:

 Red Hat Enterprise Linux
 VMWare ESXi 5.x o 6.x
 Microsoft Hyper-V, sobre Windows 2012 R2 2016 64-b, en el Hardware
soportado (puedes consultarlo aquí).

Instalaremos también SmartConsole, el cliente pesado para modificar la gestión. Para

ello necesitamos un PC con Windows 10 (cualquier edición), Windows 8.1 (Pro) o
Windows 7 (SP1, Ultimate, Professional o Enterprise); o bien Windows Server 2016,
2012, 2008 (SP2), o 2008 R2 (SP1) con los siguientes requisitos:
 Procesador Intel Pentium E2140 o equivalente de 2GHz.
 4 GB de memoria
 2 GB de disco

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 1

  Adaptador de vídeo con resolución mínima de 1024 x 768

Instalación de la imagen y First Time Configuration Wizard

Instalaremos la última versión de R80.20 disponible aquí (sk122485).

Paso por paso:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 2

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 3
Tras la instalación, nos pedirá reiniciar la máquina.

Después del reinicio, deberemos realizar el First Time Configuration Wizard:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 4

Nos conectamos mediante un browser a nuestra máquina. Es importante que sea a
través de https. En nuestro caso, https://192.168.70.253, y realizamos los siguientes
pasos:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 5

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 6
©2019 Check Point Software Technologies Ltd. All rights reserved | P. 7
Espera a que termine de realizarse la configuración

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 8

Descargar SmartConsole
Nos conectamos mediante un browser a nuestra máquina. Es importante que sea a
través de https. En nuestro caso, https://192.168.70.253.
Descargamos SmartConsole desde la página.

E instalamos SmartConsole

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 9

Instalación de licencias

Has de crear dos licencias de evaluación:

 Una All-in-one
 Otra específica de Endpoint

Desde el user center:

Y rellena la información requerida.

Cuando la licencia se cree, descárgala.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 10

Repetimos el proceso, esta vez con “Other evaluation option”, seleccionando la de
“Endpoint Security and SandBlast Agent”.

Rellena la información requerida.

Cuando se cree, búscala en Product Center, baja la pestaña de Evaluations.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 11

Ahora deberemos completar información.

Al final, tendremos dos archivos de licencia centrales.

El primero, el de VPN, debe ir asociado a la Management que gestiona los Gateways
que funcionarán como terminadores de VPN.
El otro debe ir asociado a la gestora de Endpoint.

Descarga ambas haciendo click en Get License File.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 12

 Una vez descargadas, debemos instalarlas. Para ello, debemos usar SmartConsole.

Añadimos las de Endpoint y la de All-in-one.

La licencia de VPN debemos añadírsela al SmartCenter que gestione los gateways que
sean terminadores de VPN.
Añadimos también el contrato, con nuestras credenciales de User Center:

Instalación de Hotfixes necesarios

En este apartado, vamos a instalar los hotfixes necesarios para que nuestra
Management funcione correctamente gestionando Endpoint. Previamente, necesitamos
descargar:

 El hotfix que permite la descarga de firmas de malware: sk127074

 El ultimo jumbo hotfix acumulator disponible para R80.20: sk137592

Primero, vamos a añadir a nuestra gestora la funcionalidad de Endpoint. Para ello,

usaremos el cliente de SmartConsole y añadiremos el blade de Endpoint Management.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 13

Después de esto, hay que instalar los cambios en la gestora con un Install Database.

Vamos ahora a instalar los Hotfixes para permitir las actualizaciones de Endpoint.
Lo haremos desde un navegador, usando CPUSE.

Importante: después de instalar el Endpoint, el puerto cambia a 4434.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 14

Importamos el paquete que acabamos de descargar:

Y lo instalamos:

Una vez esté instalado, importamos e instalamos el último hotfix también, de la misma
manera que el anterior, aunque este exigirá un reinicio.

Instalación de clientes de Endpoint

Descargamos los clientes de Endpoint, de aquí: Descarga Endpoint Clients E80.96.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 15

Una vez descargados, debemos descomprimir la carpeta y la importamos todos los
clientes de la carpeta:

Mientras esperamos a que se importe el paquete, crearemos los grupos virtuales en los
que aplicaremos las políticas.

Cada cambio que hagamos en los grupos, se aplicarán sin necesidad de hacer una
instalación de políticas.

Es importante que el grupo sea del tipo “Computer Group”.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 16

En la siguiente ventana, aceptad sin seleccionar ningún grupo.

En este grupo inicial, que contará con los blades básicos de Endpoint, incluiremos
todos los PCs que se instalen Endpoint por primera vez. Después de que está
instalado, podremos mover el PC a otro grupo que incluya los blades que necesitemos.
Para esto último, además de este grupo inicial, para este ejemplo, hemos creado dos
grupos más. En uno incluiremos el paquete de SBA, y en otro todas las funcionalidades
excepto URL filtering.

Ahora vamos a crear las reglas de instalación de cada uno de estos grupos:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 17

En este grupo dejaremos los blades de Firewall, Application Control, Compliance y
VPN.

Una vez creada esta regla, hemos creado también las otras reglas para los otros
grupos virtuales del ejemplo. El resultado es el siguiente:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 18

Guardamos la configuración e instalamos.

Vamos a descargar el cliente:

Pasamos este .msi a los PCs.

Recomendación:
Desactivar el Firewall de Windows.

Nota para PCs con Windows 7:

Antes de continuar la instalación de Endpoint, necesitaremos que estos PCs tengan
instalados un KB de Windows tal y como indica el sk111672. El kb en concreto es

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 19

KB3033929. Aseguraos de que os estáis descargando el KB adecuado para el sistema
operativo que tengáis, ya que por defecto se descarga el de x86.

Instalamos el .msi en los PCs. Cuando el PC detecte conectividad con la gestora, el

cliente de Endpoint tendrá este aspecto:

Tras esto, informará de que ha detectado la necesidad de descargar un paquete de

Endpoint. Después se reiniciará.

Ahora, abrimos el cliente de SmartEndpoint y podemos observar que en la pestaña de

Users and Computers, bajo el grupo virtual de “Initial Group”, tenemos un PC, este que
acabamos de instalar.
Para cambiarlo de este grupo a otro que incluya más blades, haz click con el botón
derecho, en la opción “Move to virtual group…”. En nuestro caso, lo moveremos al
grupo “Basic+SBA”.

Nota: Los cambios que impliquen añadir o eliminar una funcionalidad exigen un reinicio
del PC. Los cambios de política de esas funcionalidades, no.

Una vez el PC detecte los cambios, los descargará y nos pedirá permiso para reiniciar
el PC. Cuando se reinicie, el PC tendrá las funcionalidades del grupo nuevo.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 20