Deploiement du pare feu checkpoint gaia r77

EXPOSE SECURITE DES RESEAUX AVANCEES
SUR: CHECKPOINT
PRÉSENTÉS PAR : PROFESSEUR M. YOUSSEF KHLIL
 ABDOU WORE NGOM
 FALLOU NIANG
 MAME CHEIKH IBRA NIANG
 SERIGNE BALLA THIAM
MASTER 2 RESEAUX ET SYSTEMES INFORMATIQUES
ANNÉE ACADEMIQUE 2016-2017
1

PLAN
Introduction
Presentation de Checkpoint
• L’entreprise checkPoint
• Les produits de CheckPoint
• fonctionnalités de CheckPoint
Installation et Configuration de CheckPoint
• Installation de CheckPoint R77 GAIA
• Configuration de CheckPoint
• Installation de SmartConsole
• Définition des règles de pare-feu
• Configuration du VPN Nommade
Conclusion
2

INTRODUCTION
Check Point Software Technologies est un fournisseur mondial de solutions de
Sécurité du système d'information. Check Point est un pionnier des pare-feu
avec FireWall-1 et sa technologie brevetée « stateful inspection ». Aujourd'hui,
la société développe, commercialise et supporte une large gamme de logiciels
qui couvrent tous les aspects de la sécurité des technologies de l'information, y
compris la sécurité réseaux, la sécurité des postes clients, la sécurité des
données et la gestion de la sécurité. Fondée en 1993 à Ramat-Gan en Israel,
Check Point compte aujourd'hui environ 3 400 employés dans le monde.
3

PRESENTATION DE CHECKPOINT
 L’entreprise checkPoint
Check Point a été créé en 1993, par Gil Shwed, l'actuel CEO, à l'âge de 25 ans, avec deux de ses amis,
Marius Nacht (actuel vice-président) et Shlomo Kramer (qui a quitté Check Point et creé Imperva en 2003).
Le financement initial de 600 000 $ a été fourni par le groupe BRM, un fonds de capital-risque).La
première percée commerciale est venue en 1994 lorsque Check Point a signé un accord OEM avec Sun
Microsystems, suivie par un accord de distribution avec HP en 1995. La même année, un siège social aux
États-Unis a été établi à Redwood City, en Californie. En février 1996, la société a été nommée leader
mondial du marché de pare-feu par IDC, avec une part de marché de 40%. En juin 1996, Check Point a
réuni 67 millions de dollars sur son offre initiale au NASDAQ. En 1998, Check Point a établi un partenariat
avec Nokia, ce qui a permis d’intégrer le logiciel de Check Point dans les ordinateurs du fabriquant. En
2000 la société est devenue le premier fournisseur mondial de solutions VPN (en termes de part de
marché). Durant les années 2000, Check Point a commencé l'acquisition de sociétés de sécurité
informatique aboutissant à l'acquisition de l'unité de sécurité réseau de Nokia en 2009, un peu plus de 10
ans après le premier partenariat avec cette entreprise.
4

Les produits de CheckPoint
Les produits de Check Point sont répartis dans les catégories suivantes :
• Passerelles de sécurité : avec des services de sécurité tels que l'IPS, le contrôle applicatif, le filtrage d'URLs,
l'anti-virus, l'anti-bot, la protection contre les attaques "zéro-day" (Sandblast), le DLP, la mobilité, le VPN IPSEC et
SSL.
• Protection des postes et des données : Check Point Endpoint Security est un agent de sécurité qui combine pare-
feu, anti-virus, chiffrement complet du disque, chiffrement des médias, protection des périphériques, protection
des documents, contrôle d'accès réseau (NAC), contrôle applicatif, filtrage d'URLs, et VPN (réseau privé virtuel).
• Protection des mobiles : L'offre Mobile Threat Prevention (MTP) repose sur une analyse avancée de l’application
pour détecter les menaces connues et inconnues dans un mode virtualisé d’une sandbox, propose la surveillance
l’activité du réseau pour un comportement suspect ou malveillant, et enfin, évalue les configurations au niveau de
l’OS afin de réduire la surface d’attaque.
• Gestion de la sécurité : permet aux administrateurs de gérer la sécurité globale de l'entreprise au travers d'une
interface graphique, en ligne de commande ou via des APIs. Des outils de supervision, de rapport d'activité,
d'alertes ou encore de corrélation d’événements sont intégrés dans la console.
5

• Les fonctionnalités offertes par checkpoint
PARE-FEU
• Checkpoint est avant tout un pare-feu. Il permet donc de créer des règles de sécurité, mais aussi
définir des zones de sécurité.
• Les réseaux utilisent différentes zones de sécurité pour protéger des ressources très importantes et
se défendre contre les logiciels malveillants. Créez des règles qui permettent uniquement le trafic
applicable dans et hors d'une zone de sécurité. Assurez-vous qu'il existe des règles différentes
dans la Base de règles du pare-feu qui définissent le trafic vers et depuis les zones de sécurité. Ce
sont les éléments clés qui définissent les zones de sécurité:
Réseau externe - Données sécurisées, comme Internet
Réseau interne - Données d'entreprise qui ne sont utilisées que par des utilisateurs authentiques et de confiance
Périmètre - La bordure entre les réseaux interne et externe.
DMZ - Les serveurs de la société auxquels on peut accéder à partir de sources peu sûres, comme Internet
6

les types de VPN : Chiffrement IPSEC et SSL pris en compte
VPN SITE-TO-SITE :
VPN NOMMADE :
Contrôle applicatif et filtrage des URLs
La navigation sur Internet n'est pas facilement définie dans les catégories autorisées et interdites. De nombreux sites Web et applications
peuvent être utilisés pour des raisons commerciales légitimes. Les règles qui contrôlent l'accès à Internet doivent être flexibles et
granulaires. La base de règles de filtrage d'URL et de contrôle d'application utilise ces champs pour créer une politique de sécurité forte
et flexible:
 Applications/Sites
 Action
 Utilisez le champ Applications / Sites pour définir les applications Web et les sites inclus dans la règle. Ce champ peut utiliser une ou
plusieurs de ces options:
 Applications et Sites WEB
 Widgets Internet
 Catégories par défaut de trafic Internet
 Groupe personnalisé ou catégorie que vous créez 7

IPS
• Un pare-feu Check Point peut bloquer le trafic en fonction des informations source, de destination et de port. Vous pouvez
augmenter la sécurité du réseau avec la Lame de logiciels IPS et analyser le trafic pour les risques possibles. Le moteur
de détection IPS possède plusieurs couches de défense, détecte et empêche contre les menaces connues et protège
souvent contre d'autres. Par exemple, IPS protège contre les téléchargements par lecteur, où un utilisateur peut accéder à
un site Web légitime et, sans le savoir, télécharger un logiciel malveillant. Le logiciel malveillant peut exploiter une
vulnérabilité du navigateur qui lui permet de créer une réponse HTTP spéciale qui envoie les logiciels malveillants au
client. Le pare-feu permet le trafic HTTP à partir du site Web et l'ordinateur est à risque pour ce logiciel malveillant. IPS
protège l'ordinateur, il peut identifier et ensuite bloquer la connexion de téléchargement via la connexion.
• GEO Protection
• Geo Protection vous permet de contrôler le trafic réseau pour certains pays. Une base de données IP-to-country relie les
adresses IP des paquets aux pays. Configurez un ensemble de stratégies pour chaque profil pour bloquer ou autoriser le
trafic pour un ou plusieurs pays. Configurez une politique différente qui s'applique aux autres pays. Les adresses IP
privées sont autorisées à moins que l'autre côté de la connexion ne soit bloqué explicitement. Les connexions de contrôle
Check Point (telles qu'entre Security Gateways et Security Management Server) sont toujours autorisées, indépendamment
de la politique Geo Protection.
8

Prévention des menaces
• Protéger les réseaux des Bots
Un bot est un logiciel malveillant qui peut infecter votre ordinateur. Il existe de nombreuses méthodes
d'infection, par exemple:
Ouverture de pièces jointes qui exploitent une vulnérabilité
Accès à un site Web qui entraîne un téléchargement malveillant
• Identification des ordinateurs infectés par le bot
La lame de logiciel Anti-Bot utilise ces procédures pour identifier les ordinateurs infectés par le robot:
Identifiez les adressesutilisées par les criminels pour contrôler les bots
Identifiez les modèles de communication utilisés par chaque famille de botnet
Identifier le comportement du bot
10

• Protection des réseaux contre les virus
• L'Anti-Virus Software Blade inspecte les connexions à Internet et analyse les transferts de fichiers et les
téléchargements vers le réseau interne pour trouver et prévenir les attaques de logiciels malveillants. Il offre
également une protection préalable à l'infection contre les logiciels malveillants externes et les serveurs malveillants.
ANTI SPAM
• Les employés perdent de plus en plus de temps pour trier les courriels en vrac communément appelés spam. La
quantité de ressources (espace disque, bande passante réseau, CPU) consacrée à la gestion du spam augmente
également d'année en année. En outre, les courriels indésirables continuent de croître et peuvent constituer une
menace de sécurité inattendue pour les réseaux. Les cybercriminels peuvent utiliser des courriels pour laisser des virus
et des logiciels malveillants dans votre réseau. La lame du logiciel Anti-Spam et Mail offre aux administrateurs
système un outil central et simple pour éliminer la plupart des spams qui atteignent leurs réseaux
11

Prévention de la perte de données (Data Loss Prevention)
• Ce sont les fonctionnalités utilisées par Data Data Loss Prevention Blade:
UserCheck : Permet aux utilisateurs de gérer les incidents de perte de données avec une notification automatique des
utilisateurs et l'unique
Ask User mode. Chaque personne de votre organisation apprend les meilleures pratiques pour éviter de futures fuites
accidentelles. Ce sont la majorité des incidents DLP et ils peuvent être gérés rapidement avec le Portail DLP Self Incident
Handling ou le client UserCheck.
MultiSpect : Précision inégalée pour identifier et prévenir les incidents. DLP utilise une corrélation multiparamétrique avec
différents types de données personnalisables et avec CPcode.
Out of the Box Security : Un ensemble riche de types de données définis reconnaît les formes, les modèles et les données
sensibles. DLP dispose d'une bonne politique à jour pour s'assurer que les données restent dans le réseau interne.
12

• Data Owner Auditin :
Les propriétaires de données sont les utilisateurs de l'organisation qui contrôlent les informations et
les fichiers de leur domaine ou de leur département. Ils reçoivent des notifications automatiques en
temps opportun et des rapports qui montrent comment leurs données sont déplacées. Sans contrôle du
propriétaire des données, les administrateurs système peuvent souvent être placés dans une position
gênante entre les gestionnaires et les employés.
• CPCODE :
DLP prend en charge l'identification de données entièrement personnalisée à l'aide de CPcode. Vous
pouvez définir comment les données de courrier électronique correspondent aux règles et aux règles
de DLP.
13

Avec le threatcloud, les cyberattaques sont montré en direct sur le lien
https://threatmap.checkpoint.com/ThreatPortal/livemap.html
14

INSTALLATION ET CONFIFURATION DE CHECKPOINT
Installation de CheckPoint R77 GAIA : Topologie
15

• L’installation de CheckPoint se fera sur VMWARE avec les paramètres suivants
• Nous avons trois cartes réseaux pour relier le serveur au LAN, au DMZ et a
INTERNET 16

Il faut monter le CD et démarrer la machine
17

Choisir la langue et définir le partitionnement
18

Définir le mot de passe pour le compte admin et fixer l’adresse IP
19

Confirmer et passer à l’installation. À la fin, redemmarez
20

• Configuration de CheckPoint
Pour configurer CheckPoint, allez sur le navigateur et tapez l’adresse du serveur
: https://192.168.20.1
21

Suivre les étapes de la configuration
22

23

24

25

26
Une fois la configuration terminée, se connecter à nouveau par
l’intermédiaire du navigateur

Voici l’interface Web de gestion de CheckPoint
27

• Sur network interface, on peut modifier les parametres des cartes réseaux
Pour modifier une carte réseau, cliquer sur la carte puis ur edit
28

Nous allons configurer nos deux autres cartes réseau
29

• On peut voir que le statut des liens a changé
30

• Nous allons installer le logiciel smartconsole pour exploiter les fonctionnalités
qu’offrent CheckPoint
• Pour cela, revenez sur le menu principal ‘overview’ et cliquer sur le bouton
download now
• Le logiciel sera telechargé depuis le serveur CheckPoint. Ensuite installez le.
• NB: nous avons installé le logiciel sur une machine physique 31

• Un pack de logiciels est installé
Pour le moment, on chosit le
SmartDashboard R77
32

Ce qui nous amène à cet environnement
33

• Nous allons ajouter les autres cartes réseaux. Pour cela double cliquer sur
l’adresse IP du serveur CheckPoint et allez sur la section topology
• Choisir get interfaces with topology et accept
34

• On va déclarer nos réseaux à savoir le LAN, DMZ et INTERNET, mais aussi un
réseau qui sera reservé au Clients distants
• Sur desktop et Network Objects, dans la section Network, clic droit
• On fait de même pour les autres
35

• Définition des règles sur le pare-feu
36

CONFIGURATION DU VPN NOMMADE
• Il faut activer IPSEC VPN et Mobile Acces en selectionnant Mobile Acces puis
cliquer sur add gateway
• Ensuite sur l’onglet VPN Client
Définissez la méthode d’authentification
Choisir l’interface à utiliser pour
le tunnel VPN 38

• Il faudra aussi configurer la section office mode, pour determiner quelles
configuration IP attribuer aux clients nommades lors de leur connexion
• Sur Mobile Acces, Office Mode, on peut choisir une configuration manuelle en
selectionnant le réseau Remote_network que nous avons déclarés avec me
réseau 10.0.0.0/8
• Il est aussi possible d’utiliser un serveur DHCP
39

• On doit créer un groupe d’utilisateurs qui vont etre autorisé à se connecter par VPN
Nommade
• Dans l’onglet desktop, allez sur users and administrators
Ensuite sur User, faites clic droit new user
Définir l’authentification
40

• Il faudra ensuite créer une communauté VPN ou utiliser celle créé par défaut
(RemoteAccess) et la personnaliser. Aller sur Desktop, puis VPN Communitities
• Double cliquez sur RemoteAccess pour personnaliser, choisir
la passerelle qui va participer
• Choisir le groupe qui va se connecter à distance
41

• Sur Mobile Access, on peut voir que sur notre passerelle de sécurité, est autorsié
l’accès à distance par VPN avec comme authentification user & password
42

• On va configurer les règles du pare-feu pour autoriser le trafic VPN
• C’est la règle 3 qui permet au groupe Nommades d’utiliser la communauté VPN
RemoteAccess pour avoir accès aus service DNS HTTP et HTTPS vers le DMZ
• Ensuite, on va installer les règles en cliqant sur install policy tou en hau
43

• À la fin de l’installation des règles, on clique sur Close
• À ce stade la configuration est terminée au niveau du serveur. Nous allons
installer le CheckPoint VPN-1
44

• Lancer l’installation en double cliquant sur le setup
45

• À la fin cliquer sur terminer et redemarrer
46

• Une fois le client redémarré, nous allons nous connecter en créant un site
• On donne l’adresse IP, le nom et on spécifie la méthode d’authentification
47

• On donne le nom d’utilisateur, le mot de passe et le type de connectivité
• Ensuite le certficat va etre recupéré
48

• Une fois le certificat recupéré, la création du site est terminée
• On peut se connecter donc
49

On donne le mot de passe et on clique sur connecter
On voit que la connection a été établie
50

Sur SmartView Monitor, on peut voir qu’un tunnel est actif
51

• Sur l’interface d’administration WEB, on peut voir que le pare-feu et les
tunnels IPSEC sont fonctionnels
52

• Sur le pare-feu on peut voir les activités du réseau
• En cliquant sur track Logs, on peut voir les logs 53

On peut voir les logs VPN
De même que les logs de connexion distantes
54

CONCLUSION
• Check Point Endpoint Security ™ est le premier agent unique de sécurisation
complet du poste de travail qui combine les meilleurs composants de pare-
feu, contrôle d'accès réseau, contrôle de programmes, antivirus, antispyware,
sécurisation des données et accès à distance. Il protège les PC et évite d'avoir
à déployer et administrer plusieurs agents, réduisant ainsi le coût total de la
possession. Check Point Endpoint Security est la seule solution qui intègre à la
fois la sécurisation des données, pour éviter les vols et les pertes de données,
et un client VPN, pour sécuriser les communications à distance.
55

Deploiement du pare feu checkpoint gaia r77

Deploiement du pare feu checkpoint gaia r77

Recommandé

Contenu connexe

Tendances

Tendances(20)

Similaire à Deploiement du pare feu checkpoint gaia r77

Similaire à Deploiement du pare feu checkpoint gaia r77(20)

Plus de Mame Cheikh Ibra Niang

Plus de Mame Cheikh Ibra Niang(6)

Deploiement du pare feu checkpoint gaia r77