Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mejores prácticas
Clasificación: [protected]
© 2018 Check Point Software Technologies Ltd.
Todos los derechos reservados. Este producto y la documentación relacionada están protegidos por copyright y distribuido bajo licencias
que restringen su uso, copia, distribución y descompilación. Ninguna parte de este producto o la documentación relacionada puede ser
reproducida en cualquier forma o por cualquier medio sin la autorización previa por escrito de Check Point. Mientras que todas las
precauciones se han tomado en la preparación de este libro, Check Point no asume ninguna responsabilidad por errores u omisiones. Esta
publicación y características aquí descritas están sujetas a cambio sin previo aviso. Leyenda de derechos restringidos:
El uso, duplicación o divulgación por el gobierno está sujeto a las restricciones establecidas en el subpárrafo (c) (1) (ii) de los
derechos de datos técnicos y cláusula de software de ordenador del DFARS
252.227-7013 y FAR 52.227-19.
MARCAS:
Consulte la página de derechos de autor http://www.checkpoint.com/copyright.html para obtener una lista de nuestras marcas registradas.
Le recomendamos que instale la versión más reciente del software para mantenerse al día con las últimas mejoras
funcionales, correcciones de estabilidad, mejoras de seguridad y protección contra ataques nuevos y en evolución.
Realimentación
Check Point está comprometido en un esfuerzo continuo para mejorar la documentación. Por favor ayúdenos
Revisión histórica
Fecha Descripción
.................................. 6
• Perfil optimizado
• Perfil básico
• Perfil estricta
Check Point recomienda el uso de la salida de la caja de perfil optimizado que proporciona el equilibrio entre una excelente protección para los
productos de red y protocolos comunes de los ataques recientes o populares y repercusión en el rendimiento. Sin embargo, su organización
puede tener ambientes adicionales. Por lo tanto, es posible que desee para personalizar su perfil para mejor ajuste tráfico de red de la
organización. A medida que el mundo de las amenazas informáticas y sus necesidades de red es dinámica, es posible que necesite ajustar y
mantener perfiles de IPS y protecciones establecidas para prevenir / detectar / inactiva o añadir excepciones. Uno de los elementos clave para
• Identificar dónde tiene que ajustar IPS y excluir los protocolos de tráfico únicas. Al revisar la política
• Cobertura - ¿El IPS de cobertura de la póliza todos los activos críticos de la red y los servicios, las vulnerabilidades y amenazas?
• Exactitud - Hacer todas las protecciones en el IPS de alerta política de amenazas reales en su entorno?
• Actuación - Los IPS hoja usa inspecciones profundas, y por lo tanto los recursos de puerta de enlace adicionales. ¿El hardware de
puerta de enlace de seguridad (CPU y memoria) se ajusta a los IPS de la cuchilla de políticas? El perfil optimizado equilibra las
compensaciones entre estas tres medidas y la seguridad de la empresa, el cumplimiento y los requisitos operacionales.
R80.10 Mejoras
Check Point R80.10 IPS hace que sea fácil de administrar la seguridad para redes complejas. Por favor revise estas nuevas
características en el Check Point Guía de administración de R80.10 de seguridad:
http://downloads.checkpoint.com/dc/download.htm?ID=54842
• Guarda automáticamente varias actualizaciones de IPS, lo que permite volver a una actualización anterior sin afectar a IPS otra configuración de
seguridad tales como la configuración de perfiles, reglas, excepciones, etc. Estas nuevas características ayudan a IPS el personalizar el administrador
de perfiles para adaptarse a la topología de la organización y crear la prevención de amenazas base de reglas en consecuencia .
Para obtener una lista completa de las protecciones y las razones de su eliminación, consulte sk103766
http://supportcontent.checkpoint.com/solutions?id=sk103766 .
Instalación inicial
El IPS de Check Point Software Blade utiliza miles de protecciones de seguridad para mantener su red. Al configurar IPS, por primera
vez, es imposible analizar cada protección. El perfil optimizado proporciona una excelente seguridad con impacto en el rendimiento
Protecciones de actualización
Al activar el IPS, por primera vez, se cargarán las más recientes protecciones IPS. Le recomendamos que utilice una
actualización manual la primera vez que actualice IPS y luego automatizar el proceso.
sintonización de perfil. Por favor revise la Check Point R80.10 registro y la supervisión Guía de administración http://downloads.checkpoint.com/dc/download.ht
. Después de la actualización primeras IPS, se deja correr durante al menos una semana.
Cuando IPS ha generado los registros, revise los registros y utilizar esta guía para configurar el modo de la protección de uno de estos:
Protecciones con alto grado de confianza se pueden configurar para evitar en estas protecciones están estrechamente monitorizados y
Protecciones que los eventos generados solamente para el tráfico malicioso debe ser ajustada para evitar. Utilice estos indicadores
• URL
Protecciones que no generaron ningún evento durante la puesta a punto inicial se puede establecer en el modo de prevenir.
6. En la ventana que se abre, establecer el Update en tim ey el frecuencia que mejor se adapten a su negocio:
• Diario
Sin embargo, las nuevas amenazas continuamente surgen y el tráfico de la red cambia con nuevas aplicaciones, servicios y protocolos.
Nosotros recomendamos que ejecute un análisis y revisión periódica IPS IPS eventos.
protecciones recién descargados estarán en el modo de puesta en escena. Revisar los eventos de estas protecciones y cambiar su modo de
estadificación de detectar.
Ejecutar un análisis sobre las nuevas medidas de protección y determinar si pueden funcionar en el modo de evitar, en la que realizamos
anteriormente para recopilar y analizar los sucesos de IPS iniciales (en la página 8 ).
.................................................. .... 11
Actualizaciones IPS
Check Point lanza nuevas protecciones IPS casi a diario. Revisar el Check Point publicada actualización de seguridad de IPS, que
contiene protecciones nuevas y actualizadas que incluyen protecciones contra vulnerabilidades urgentes y de día cero. Si las
protecciones son cruciales para su red, de implementar en el modo de prevenir. Considere el beneficio de prevenir el malware activo y
ataques salvajes usando Check Point IPS.
Actualizaciones de software
Es importante revisar las notas de la versión de las nuevas versiones de software e instalar periódicamente actualizaciones de software. Check
Point IPS combina las características del motor de IPS y nuevas protecciones que se agregan continuamente. El motor es el código del núcleo que
analiza e inspecciona el tráfico y que a menudo se mejora como parte de las actualizaciones de software para puertas de enlace de seguridad.
Estas mejoras dan mejores IPS protección y rendimiento.
comunidades de usuarios
Nos animamos a aprender, compartir e inspirarse utilizando nuestra plataforma Checkmates
http://community.checkpoint.com .
Clonación del Perfil .................................................. .................................................. .... 12 Configuración del perfil ..................................................
1. Navegar a Las políticas de seguridad pestaña en el panel izquierdo y, a continuación, haga clic Política de prevención de la amenaza.
protecciones es prevenir, pero las protecciones modo de puesta en escena se ejecute en modo Detectar.
Configurar nuevas protecciones que se agregan a la perfil para ejecutar en el modo de Prevent (durante puesta en escena, estas protecciones se
configuran de detectar).
1. Vaya a la Las políticas de seguridad pestaña en el panel izquierdo y haga clic Política de prevención de la amenaza.
Las protecciones recién descargados se establecen en Activo - De acuerdo con la configuración del perfil.
correo.
De manera predeterminada, al configurar los protocolos POP3 / IMAP Seguridad poniendo en Las políticas de seguridad > Configuración de Inspección > POP3
/ IMAP de Seguridad, que se aplican a todos los hosts que se definen como servidores de correo de acuerdo con la configuración de acción de cada perfil de IPS.
También puede limitar el alcance de esta protección sólo a los servidores de correo especificadas.
Para especificar los hosts obtienen los parámetros de protección de POP3 / IMAP:
3. En los resultados de búsqueda que aparecen, haga doble clic POP3 / IMAP Seguridad.
6. En el Ámbito de protección área, haga clic Aplicar a los servidores de correo seleccionadas.
los Seleccione Servidores ventana se abre y todos los servidores de correo se selecciona de forma predeterminada.
8. Cambiar la selección de los servidores en los que no se deben hacer cumplir POP3 e IMAP protecciones:
• Para agregar servidores a esta lista - Haga clic Añadir, seleccione los servidores y haga clic OKAY.
• Para editar la configuración del servidor - Seleccione un servidor, haga clic Editar, Editar configuración en la ventana de configuración
Las opciones de inspección POP3 / IMAP de seguridad tienen una lista de comandos que reconoce a IPS e inspecciona. Las definiciones de los
comandos POP3 se aplican a todos los perfiles de IPS. En el Detalles protecciones - POP3 / IMAP configuración de Seguridad ventana, se
puede editar la lista de comandos POP3 que se aplican a todos los perfiles o editar la lista de comandos POP3 que se aplican a los perfiles
específicos.
Para editar la lista de comandos POP3 que se aplica a todos los perfiles:
1. En el Detalles de la protección - POP3 / IMAP configuración de Seguridad ventana, haga clic Editar para el POP3
Definiciones Comandos.
• Para añadir un nuevo comando - Haga clic Añadir e introduzca el nuevo comando.
• Para eliminar un comando - Seleccionar el comando, haga clic Eliminar y en la ventana que se abre, haga clic si para confirmar.
3. En la lista de comandos POP3 conocidos, desactive cualquier comando que no desee bloqueado.
4. Cuando termine de editar los protocolos POP3 / IMAP configuración de seguridad, haga clic Okay para guardarlos y salir del
Algunos ajustes de inspección que son demasiado severa pueden tener un impacto negativo en la conectividad desde y hacia servidores web válidos.
• El formato HTTP tamaños de protección longitudes restringe URL, longitudes de cabecera o el número de cabeceras. Esta es una buena
práctica, ya que estos elementos pueden ser utilizados para realizar un ataque de denegación de servicio en un servidor Web.
• El ASCII Sólo Solicitud de protección puede bloquear la conectividad a las páginas Web que tienen caracteres no ASCII en direcciones URL.
Esta es una buena práctica porque los encabezados no ASCII o campos de formulario vulnerabilidades abiertas a ciertos ataques, como la
inyección de código.
• La protección métodos HTTP puede bloquear ciertos métodos HTTP, que se sabe que no es seguro, ya que pueden ser utilizados para
explotar vulnerabilidades en un servidor Web.
• Inyección de SQL: Esta protección se ejecuta una exploración en el tráfico a una lista definida por el usuario de los servidores web
especificados. La protección está activa sólo cuando los objetos de red para estos servidores se crean correctamente. No aplicar las
protecciones para la inyección de SQL a todo el tráfico HTTP o innecesarios falsos positivos interrumpirá el tráfico de red.
• HTTP general / CIFS Gusano del colector y el rechazo de cabecera: Estas protecciones permiten añadir y editar expresiones
regulares para que el firewall puede bloquear las peticiones HTTP especificados. Check Point aconseja a los clientes añadir un
patrón de estas protecciones como acción inmediata preventivo contra una nueva amenaza.
Aunque la aplicación de estas restricciones (activando estas protecciones) en la práctica es buena en general, pueden potencialmente bloquean sitios
válidos o aplicaciones importantes. La aplicación de estas medidas de protección a los servidores Web específicos puede resolver los problemas de
conectividad y puede mejorar el rendimiento de la CPU. Esta exclusión de un servidor web de una protección especial es global para todos los perfiles.
1. Navegar a Las políticas de seguridad > ajustes de inspección para ver la zona de protección.
2. Para aplicar la protección únicamente a un conjunto definido de servidores Web, seleccione Aplicar a web seleccionada
servidores.
4. Para excluir un servidor Web de la protección, desactive la casilla de verificación del servidor.
5. Para añadir un objeto de puerta de entrada a la lista de servidores Web, haga clic Añadir. Desde el Establecer como anfitriones Web
servidores ventana, seleccione los hosts que desee y haga clic OKAY.
6. Para editar un servidor Web, seleccione el servidor Web en la lista y haga clic Editar.
Se abre la ventana de Punto de acogida controlen, mostrando la categoría Servidor Web, que se añade a un host que se define como un
servidor Web.
Puede configurar el equilibrio conectividad de seguridad para cada tipo de protección de Web Intelligence en la ventana de la
protección, pero la aplicación de estas configuraciones siempre depende de si están activadas por el perfil IPS del servidor Web.
Excluyendo Protecciones
El perfil puede incluir protecciones a IPS que no son necesarias para la red. Puede excluir estos IPS protecciones y mejorar el
rendimiento de la red. Por ejemplo, si una organización no utiliza los servicios de VoIP, excluir la protección de IPS para el
tráfico VoIP.
• Tipo
• Vendedor
• Producto
• amenaza años
• tipo de protección
• efecto de la vulnerabilidad
• Tipo de archivo
• protocolo de protección
Puede excluir un grupo de protección utilizando las etiquetas relevantes. Usted puede hacer que sea como parte de la definición del perfil o
1. En el panel izquierdo, navegar Las políticas de seguridad y haga clic Política de prevención de la amenaza.
3. De los filtros de la derecha, seleccione las etiquetas cuya protección desea excluir.
4. Seleccionar las protecciones a la izquierda y desactivar las protecciones.
5. Instalar la política.
Para excluir la protección por etiqueta utilizando definiciones de perfiles de prevención de amenazas:
5. Instalar la política.
Perfiles separados
La afinación de rendimiento inicial se centra en un único perfil IPS que está optimizado para muchas situaciones. Sin embargo, se
recomienda crear una política diferente por cada segmento de la red y la pasarela de acuerdo con los activos protegidos y perfiles
• Puertas de enlace en el perímetro con frecuencia utilizan un perfil diferente de puertas de enlace que los centros de datos de protección contra
• Diferentes segmentos de red protegen diferentes tipos de protocolos, cliente / servidor, aplicaciones, etc.
En esta sección:
Visión general
Las siguientes secciones muestran diferentes métodos para reducir IPS protecciones impacto en el rendimiento y para mejorar el rendimiento de puerta
de enlace.
Nota - El impacto en el rendimiento de una protección es casi la misma para prevenir y detectar modos. Prevenir el modo en
ocasiones cae tráfico y no inspecciona la misma.
Utilice el comando aplicable en modo experto para recopilar estadísticas el impacto sobre el rendimiento de las
Utilice la herramienta Analizador de IPS y recopilar información acerca de las IPS Protecciones:
• Para obtener información sobre cómo medir el tiempo de CPU consumido por las protecciones de IPS, consulte sk43733
http://supportcontent.checkpoint.com/solutions?id=sk43733 .
http://supportcontent.checkpoint.com/solutions?id=sk110737 .
La herramienta Analizador procesa la salida estadística y produce un informe HTML clara basada en esa salida. El informe indica que
IPS protecciones están causando carga crítica, alta o media en la puerta de enlace. Le recomendamos que desactive las protecciones
de rendimiento crítico o añadir excepciones según sea necesario. Puede comunicarse con el Centro de soporte Check Point
http://supportcenter.checkpoint.com ( https://supportcenter.checkpoint.com ) Para informar de estas protecciones.
El efecto sobre el rendimiento de la red puede ser mitigado por encolado aparato correcto. Los clientes que deseen hacer que las
conexiones no se caen debido a la alta utilización, sino más bien para excluirlos de la inspección, se puede configurar la puerta de
entrada de derivación IPS inspección cuando hay una carga pesada en el servidor o aparato.
Nota - Al activar este modo tendrá un impacto efectividad de la seguridad en el sistema y no es en absoluto recomendable desde el punto de vista
de la seguridad. el tamaño correcto del aparato se debe utilizar para garantizar la eficacia de alta seguridad de la solución de Check Point la
prevención de amenazas.
3. Seleccione Bypass IPS inspección cuando la puerta de enlace está bajo carga pesada.
• Baja - 50%
• Alta - 75%
6. Hacer clic OKAY.