1©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Roman Dario Perez | Professional Services Consultant LATAM

roperez@checkpoint.com

AFFINITY WITH CHECK POINT FIREWALLS

mailto:roperez@checkpoint.com

2©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SECUREXL

COREXL

SECUREXL Y COREXL

TEMPLATES DROP/NAT/VPN

RULEBASE Y LOGGING

VPN

PERFILES DE THREAT PREVENTION

FRAGMENTACIÓN

AGENDA

3©2020 Check Point Software Technologies Ltd.

External Atacker

[Internal Use] for Check Point employees

Zona de ServidoresInvitados

Gestión Usuarios corporativos

4©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SECUREXL

5©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Cuando un paquete llega hacia el Security Gateway, valida si la conexión es existente. Es decir la compara con su tabla de conexiones.

• Una vez que exista se valida que la conexión exista, se procede a hacer un forwarding de la comunicación en ambos sentidos.

• En versiones previas a R80.10, la decisión del forwarding para una nueva conexión (F2F) era realizada por el dispatcher.

• A partir de R80.20 muchas de las funciones han sido delegadas al CoreXL.

Network Interface Network Interface

SecureXL

Firewall_Worker

Rule base

Direction Source IP S. Port Dest. IP D. Port Protocol

In S D 80 TCP

4.4.4.4 6677 7.7.7.7 80 TCP

7.7.7.7 80 4.4.4.4 6677 TCP

SYN/ACK

ACK

Connections Table

SYN

¿Cómo funciona el mecanismo de SecureXL basado en el 3-Way-Handshake?

6©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

COREXL

7©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• La tecnología de CoreXL, permite utilizar múltiples instancias de Firewall (Firewall Worker fw_worker) en múltiples CPU. Es decir, un firewall independiente por cada CPU, asignado a dicho proceso.

• Secure Network Distributor (SND) es el sub-proceso de CoreXL encargado de distribuir los paquetes a través de múltiples CPU, el cual conserva un registro del CPU que está encargado de cierto paquete para poder re-enviar los paquetes consecutivos y no enviarlos hacia otros CPU y evitar así posible ruteo asimétrico.

• Los firewall workers están encargados de realizar la inspección profunda de los paquetes.

• Streaming

• Protocol Parsing

• CMI

• Protections

CoreXL

SecureNetwork

Distributor

SecureNetwork

Distributor

Network Interface

fw_worker

fw_worker

fw_worker

fw_worker

Streaming

Protocol Parsers

Context Management Infrastructure

Protections

Network Interface

CPU cores

8©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

SECUREXL Y

COREXL

9©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Al llegar un nuevo paquete, este llega a través de la interfaz, quien envía el paquete hacia el SND quien a su vez asigna un CPU para llevar a cabo la inspección pertinente.

Asignación de paquetes (Dispatching)

SecureNetwork

Distributor

SecureNetwork

Distributor

fw_worker

fw_worker

fw_worker

fw_worker

Buffer – encolamiento simple

Network Interface

PKTPKTPKT

10©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• ¿Qué pasaría si los paquetes llegan a la interfaz más rápido de lo que está se libera?

• ¿Qué pasaría si el buffer de la interfaz se satura?

Asignación de paquetes (Dispatching)

SecureNetwork

Distributor

SecureNetwork

Distributor

fw_worker

fw_worker

fw_worker

fw_worker

Buffer – encolamiento simple

Network Interface

PKTPKTPKT PKT PKT PKT

11©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Incrementar los recursos de computo para las interfaces sk98348

• Habilitar el dynamic dispatcher sk105261 habilitado por defecto en R80.20

• Habilitar el multiqueue 2.6 kernel hasta 5 interfaces cmpq, sk98348 3.10 kernel soportado todas las interfaces, habilitado por default mq_mng sk153373

• Incrementar el buffer de kernel para la interfaces, por default R80.10 y previos 1024, por default en R80.20 2048. sk61143

¿Qué hacer en caso de drops en las interfaces?

SecureNetwork

Distributor

SecureNetwork

Distributor

fw_worker

fw_worker

fw_worker

fw_worker

Buffer – encolamiento simple

Network Interface

PKTPKTPKT PKT PKT PKT

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk98348&partition=General&product=Securityhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105261&partition=Basic&product=CoreXLhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk98348&partition=General&product=Securityhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk153373&partition=Basic&product=Securityhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk61143&partition=Expert&product=CoreXL

12©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Acelerar la mayor cantidad de tráfico posible

• #fwaccel stat, para conocer donde se detienen los templates de aceleración. #fwaccel stats –s para conocer el porcentaje de aceleración.

• Habilitar el priority queue sk105762 habilitado por defecto en R80.40/Revisar el balance de los CPU.

• Revisar que los CPU de CoreXL y SecureXL no colisionen sk98737 y sk98348.

La saturación se presenta ahora en los firewall workers¿Qué hacer?

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105762&partition=Basic&product=Security

13©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

TEMPLATES DE

ACELERACIÓN.

DROP/NAT/VPN

14©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Se requiere que la política no cuente con protocolos y/o objetos que deshabiliten los templates de aceleración. Sk32578 en el caso de los clúster en la modalidad de Load Sharing, la funcionalidad de Sticky Decision Function (SDF) está habilitada, la aceleración se apaga, en caso de tener habilitado MOB, se requiere deshabilitar el MOB para poder deshabilitar el SDF.

• Habilitar el drop templates sk67861 en caso de saturación de recursos y no poder aplicar políticas de seguridad, se puede realizar directo en el gateway on-fly

• #fw ctl set int fwkern_optimize_drops_support 1

• Habilitar los templates de NAT sk71200 requiere reinicio R80.10 y previos. Habilitado por defecto en R80.20

• Habilitar la aceleración de VPN R80.20 JHFA 47 en adelante. Sk148872 integrado en R80.30 y superior.

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk32578https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk67861https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk71200&partition=Basic&product=SecureXLhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk148872&partition=Advanced&product=IPSec

15©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

RULEBASE Y

LOGGING

16©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Revisar en el Smartview monitor las reglas con mayor uso para colocarlas “on-top-as-possible”.

• Revisar el #fw ctl zdebug + drop, crear un regla “on-top-as-possible” para dropeo, en el caso de alta saturación y/o ataques hacer uso del Suspicious Activiy Module SAM.

• Los protocolos de DNS, se recomienda no realizar log.

• Los protocolos de NBT, TCP-445, Bootp, generar un alto volumen de tráfico pero son necesarios, se recomienda generar reglas “on-top-as-possible” con el tráfico especifico permitido, seguido de una regla con los protocolos en reject.

• Las reglas de Stealth y CleanUP, deben llevar comentarios y LOG, como best practice.

• Para el Application control y URL Filtering generar reglas “on-top-as-possible” con los “Nework Protocols” Accept sin log. Migrar las políticas de Order Layer a Inline Layers para un mejor performance.

• Deshabilitar las reglas implícitas.

• Hacer uso de políticas basadas en Geo-localización, ya sea por Geo-Protection (global) o por updatable objects (granular)

RULEBASE Y LOGGING

17©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

VPN

18©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• El descifrado de la VPN ocurre a nivel SND sk105119.

• La fragmentación es uno de los issue más comunes, donde aún al realizar un tcpdump no se observa que llegue la comunicación entre los peers (timeout /no response from peer) sk75100.

• MSS Clamp mayores, requieres habilitar el MSS Clamping.

• TCP MSS value = [ MTU value on interface - IP Header Length - TCP Header Length ]

• En versiones R77.30 y anteriores los procesos de VPN y Voz eran procesados por el ultimo procesador disponible (sólo 1) en R80.10 se inicia el soporte a VPN MultiCore habilitado por defecto sk118097.

• Elementos que no pueden ser acelerados por la VPN Fragmentaciones, compresión, protocolos HMAC, L2TP, contadores Monitoring Blades, otros Blades sk105119.

• Soporte a algoritmos AES-NI R77.30 o superior en ediciones de 64-bits sk105119.

• Porcentaje de aceleración por algoritmo. sk73980

VPN PERFORMANCE

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105119&partition=Basic&product=IPSechttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk75100&partition=Advanced&product=SecureXLhttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk118097https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105119&partition=Basic&product=IPSechttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk105119&partition=Basic&product=IPSechttps://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk73980

19©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

PERFILES DE THREAT

PREVENTION

20©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• Al ingresar #fwaccel stats –s, se observa que el tráfico 89% del tráfico está pasando como parcialmente acelerado. Esto se debe a que la política de Threat Prevention está inspeccionando todo el tráfico (any to any), se recomienda definir un flujo de inspección.

• Los perfiles de Threat Prevention en el scope de AV y TE, generalmente se encuentran en inspect incoming and outgoing traffic, cambiar a Incoming from external.

• Definir DNS Servers como objeto.

• Generar una excepción (inactive) para protocolos que no pueden inspeccionarse (SSL, en caso de no tener HTTPS Inspection habilitado)

• Deshabilitar

• Enable Deep inspection scanning.

• Enable Archive scanning.

• Firmas de IPS obsoletas, por ejemplo de 2015 hacia atrás.

21©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

FRAGMENTACIÓN

22©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

• La fragmentación de paquetes, impacta en gran medida a los recursos de los dispositivos de red.

• Puede existir fragmentación por los siguientes:

• Buffer de kernel lleno.

• Paquetes muy grandes.

• Paquetes con MTU mayor a 1476 (24 bits de encabezado).

• Los CPU’s están saturados debido a inspección innecesaria.

• Revisar si se tiene fragmentación de paquetes, ya sea por saturación de cpu, por inspección o por MTU.

• tcpdump -ni eth0 "ip[6:2] & 0x1fff!=0“ sk65852.

• Incrementar el MTU en las interface si es necesario, para conocer el MTU

indicado ping -M want -s 3000 sk65852.

• IPS sk113992.

PAQUETE FRAGMENTADOS

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65852&partition=Expert&product=VSX,https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65852&partition=Expert&product=VSX,https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk113992&partition=Advanced&product=Security

23©2020 Check Point Software Technologies Ltd. [Internal Use] for Check Point employees

Comparativa

• Antes • Después

24©2020 Check Point Software Technologies Ltd.

THANK YOU

[Internal Use] for Check Point employees

Roman Dario Perez | Professional Services Consultant LATAM

roperez@checkpoint.com

mailto:roperez@checkpoint.com