©2019 Check Point Software Technologies Ltd. All rights reserved | P. 1

Instalación del servidor de Endpoint R80.20 y clientes

Marina Parrado Rollán Security Engineer, Iberia Mayo 2019

Índice Instalación del servidor de Endpoint R80.20 y clientes .......................................................... 1

Introducción .............................................................................................................................................. 1 Instalación de la imagen y First Time Configuration Wizard .................................................................... 2 Descargar SmartConsole ......................................................................................................................... 9 Instalación de licencias .......................................................................................................................... 10 Instalación de Hotfixes necesarios ......................................................................................................... 13 Instalación de clientes de Endpoint ........................................................................................................ 15

Introducción

Endpoint es la solución de Check Point para securizar el puesto de trabajo. Junto a funcionalidades anteriores, como las de firewall y antimalware local, presenta capacidades de nueva generación para proteger frente amenazas ransomware, phishing o ataques de día cero. En esta guía, instalaremos tanto la máquina que gestionará Endpoint en la versión de R80.20, como los clientes en PC, en la última versión actualmente, E80.96. Los requisitos mínimos de R80.20 sobre Open Server son los siguientes:

2 cores

6 GB de RAM

500 GB de disco

Procesador Intel Pentium IV, 2.6 GHz o equivalente Podemos virtualizar la máquina sobre:

Red Hat Enterprise Linux

VMWare ESXi 5.x o 6.x

Microsoft Hyper-V, sobre Windows 2012 R2 2016 64-b, en el Hardware soportado (puedes consultarlo aquí).

Instalaremos también SmartConsole, el cliente pesado para modificar la gestión. Para ello necesitamos un PC con Windows 10 (cualquier edición), Windows 8.1 (Pro) o Windows 7 (SP1, Ultimate, Professional o Enterprise); o bien Windows Server 2016, 2012, 2008 (SP2), o 2008 R2 (SP1) con los siguientes requisitos:

Procesador Intel Pentium E2140 o equivalente de 2GHz.

4 GB de memoria

2 GB de disco

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 2

Adaptador de vídeo con resolución mínima de 1024 x 768

Instalación de la imagen y First Time Configuration Wizard

Instalaremos la última versión de R80.20 disponible aquí (sk122485). Paso por paso:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 3

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 4

Tras la instalación, nos pedirá reiniciar la máquina.

Después del reinicio, deberemos realizar el First Time Configuration Wizard:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 5

Nos conectamos mediante un browser a nuestra máquina. Es importante que sea a través de https. En nuestro caso, https://192.168.70.253, y realizamos los siguientes pasos:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 6

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 7

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 8

Espera a que termine de realizarse la configuración

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 9

Descargar SmartConsole

Nos conectamos mediante un browser a nuestra máquina. Es importante que sea a través de https. En nuestro caso, https://192.168.70.253. Descargamos SmartConsole desde la página.

E instalamos SmartConsole

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 10

Instalación de licencias

Has de crear dos licencias de evaluación:

Una All-in-one

Otra específica de Endpoint Desde el user center:

Y rellena la información requerida. Cuando la licencia se cree, descárgala.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 11

Repetimos el proceso, esta vez con “Other evaluation option”, seleccionando la de “Endpoint Security and SandBlast Agent”.

Rellena la información requerida. Cuando se cree, búscala en Product Center, baja la pestaña de Evaluations.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 12

Ahora deberemos completar información. Al final, tendremos dos archivos de licencia centrales. El primero, el de VPN, debe ir asociado a la Management que gestiona los Gateways que funcionarán como terminadores de VPN. El otro debe ir asociado a la gestora de Endpoint.

Descarga ambas haciendo click en Get License File.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 13

Una vez descargadas, debemos instalarlas. Para ello, debemos usar SmartConsole.

Añadimos las de Endpoint y la de All-in-one. La licencia de VPN debemos añadírsela al SmartCenter que gestione los gateways que sean terminadores de VPN. Añadimos también el contrato, con nuestras credenciales de User Center:

Instalación de Hotfixes necesarios

En este apartado, vamos a instalar los hotfixes necesarios para que nuestra Management funcione correctamente gestionando Endpoint. Previamente, necesitamos descargar:

El hotfix que permite la descarga de firmas de malware: sk127074

El ultimo jumbo hotfix acumulator disponible para R80.20: sk137592 Primero, vamos a añadir a nuestra gestora la funcionalidad de Endpoint. Para ello, usaremos el cliente de SmartConsole y añadiremos el blade de Endpoint Management.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 14

Después de esto, hay que instalar los cambios en la gestora con un Install Database.

Vamos ahora a instalar los Hotfixes para permitir las actualizaciones de Endpoint. Lo haremos desde un navegador, usando CPUSE. Importante: después de instalar el Endpoint, el puerto cambia a 4434.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 15

Importamos el paquete que acabamos de descargar:

Y lo instalamos:

Una vez esté instalado, importamos e instalamos el último hotfix también, de la misma manera que el anterior, aunque este exigirá un reinicio.

Instalación de clientes de Endpoint

Descargamos los clientes de Endpoint, de aquí: Descarga Endpoint Clients E80.96.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 16

Una vez descargados, debemos descomprimir la carpeta y la importamos todos los clientes de la carpeta:

Mientras esperamos a que se importe el paquete, crearemos los grupos virtuales en los que aplicaremos las políticas. Cada cambio que hagamos en los grupos, se aplicarán sin necesidad de hacer una instalación de políticas. Es importante que el grupo sea del tipo “Computer Group”.

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 17

En la siguiente ventana, aceptad sin seleccionar ningún grupo. En este grupo inicial, que contará con los blades básicos de Endpoint, incluiremos todos los PCs que se instalen Endpoint por primera vez. Después de que está instalado, podremos mover el PC a otro grupo que incluya los blades que necesitemos. Para esto último, además de este grupo inicial, para este ejemplo, hemos creado dos grupos más. En uno incluiremos el paquete de SBA, y en otro todas las funcionalidades excepto URL filtering.

Ahora vamos a crear las reglas de instalación de cada uno de estos grupos:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 18

En este grupo dejaremos los blades de Firewall, Application Control, Compliance y VPN.

Una vez creada esta regla, hemos creado también las otras reglas para los otros grupos virtuales del ejemplo. El resultado es el siguiente:

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 19

Guardamos la configuración e instalamos.

Vamos a descargar el cliente:

Pasamos este .msi a los PCs. Recomendación: Desactivar el Firewall de Windows. Nota para PCs con Windows 7: Antes de continuar la instalación de Endpoint, necesitaremos que estos PCs tengan instalados un KB de Windows tal y como indica el sk111672. El kb en concreto es

©2019 Check Point Software Technologies Ltd. All rights reserved | P. 20

KB3033929. Aseguraos de que os estáis descargando el KB adecuado para el sistema operativo que tengáis, ya que por defecto se descarga el de x86. Instalamos el .msi en los PCs. Cuando el PC detecte conectividad con la gestora, el cliente de Endpoint tendrá este aspecto:

Tras esto, informará de que ha detectado la necesidad de descargar un paquete de Endpoint. Después se reiniciará. Ahora, abrimos el cliente de SmartEndpoint y podemos observar que en la pestaña de Users and Computers, bajo el grupo virtual de “Initial Group”, tenemos un PC, este que acabamos de instalar. Para cambiarlo de este grupo a otro que incluya más blades, haz click con el botón derecho, en la opción “Move to virtual group…”. En nuestro caso, lo moveremos al grupo “Basic+SBA”. Nota: Los cambios que impliquen añadir o eliminar una funcionalidad exigen un reinicio del PC. Los cambios de política de esas funcionalidades, no. Una vez el PC detecte los cambios, los descargará y nos pedirá permiso para reiniciar el PC. Cuando se reinicie, el PC tendrá las funcionalidades del grupo nuevo.