kontrolepunt. Wat is dit, waarmee word dit geëet, of kortliks oor die belangrikste ding

Hallo, liewe lesers van habr! Dit is die korporatiewe blog van die maatskappy T.S Oplossing. Ons is 'n stelselintegreerder en spesialiseer hoofsaaklik in IT-infrastruktuur sekuriteitsoplossings (Check Point, Fortinet) en masjiendata-analisestelsels (Splunk). Ons sal ons blog begin met 'n kort inleiding tot Check Point-tegnologie.

Ons het lank gedink of ons hierdie artikel moet skryf, want. daar is niks nuuts daarin wat nie op die internet gevind kan word nie. Ten spyte van so 'n oorvloed van inligting, hoor ons egter dikwels dieselfde vrae wanneer ons met kliënte en vennote werk. Daarom is besluit om 'n soort inleiding tot die wêreld van Check Point-tegnologie te skryf en die essensie van die argitektuur van hul oplossings te openbaar. En dit alles binne die raamwerk van een "klein" plasing, so te sê, 'n vinnige afwyking. En ons sal probeer om nie in bemarkingsoorloë te gaan nie, want. ons is nie 'n verkoper nie, maar net 'n stelselintegreerder (hoewel ons baie lief is vir Check Point) en gaan net oor die hoofpunte sonder om dit met ander vervaardigers te vergelyk (soos Palo Alto, Cisco, Fortinet, ens.). Die artikel was nogal omvangryk, maar dit sny die meeste vrae af in die stadium van vertroudheid met Check Point. As jy belangstel, dan welkom onder die kat...

UTM/NGFW

Wanneer 'n gesprek oor Check Point begin word, is die eerste ding om mee te begin 'n verduideliking van wat UTM, NGFW is en hoe hulle verskil. Ons sal dit baie bondig doen sodat die pos nie te groot blyk te wees nie (miskien sal ons in die toekoms hierdie kwessie in 'n bietjie meer detail oorweeg)

UTM - Unified Threat Management

Kortom, die essensie van UTM is die konsolidasie van verskeie sekuriteitsinstrumente in een oplossing. Dié. alles in een boks of sommige alles ingesluit. Wat word bedoel met "veelvuldige middels"? Die mees algemene opsie is: Firewall, IPS, Proxy (URL-filtrering), Streaming Antivirus, Anti-Spam, VPN ensovoorts. Dit alles word binne een UTM-oplossing gekombineer, wat makliker is in terme van integrasie, konfigurasie, administrasie en monitering, en dit het op sy beurt 'n positiewe uitwerking op die algehele sekuriteit van die netwerk. Toe UTM-oplossings die eerste keer verskyn het, is hulle uitsluitlik vir klein maatskappye oorweeg, want. UTM'e kon nie groot volumes verkeer hanteer nie. Dit was om twee redes:

1. Die manier waarop pakkies verwerk word. Die eerste weergawes van UTM-oplossings het pakkies opeenvolgend deur elke "module" verwerk. Voorbeeld: eers word die pakkie deur die firewall verwerk, dan deur IPS, dan word dit deur Anti-Virus nagegaan, ensovoorts. Natuurlik het so 'n meganisme ernstige verkeersvertragings en swaar verbruikte stelselhulpbronne (verwerker, geheue) ingebring.
2. Swak hardeware. Soos hierbo genoem, het opeenvolgende pakkieverwerking hulpbronne opgevreet en die hardeware van daardie tye (1995-2005) kon eenvoudig nie die hoë verkeer hanteer nie.

Maar vooruitgang staan ​​nie stil nie. Sedertdien het hardeware-kapasiteit aansienlik toegeneem, en pakkieverwerking het verander (dit moet erken word dat nie alle verskaffers dit het nie) en het byna gelyktydige ontleding in verskeie modules gelyktydig begin toelaat (ME, IPS, AntiVirus, ens.). Moderne UTM-oplossings kan tientalle en selfs honderde gigabits in diep analise-modus “verteer”, wat dit moontlik maak om dit in die segment van groot besighede of selfs datasentrums te gebruik.

Hieronder is Gartner se bekende Magic Quadrant vir UTM-oplossings vir Augustus 2016:

Ek sal nie sterk kommentaar lewer op hierdie prentjie nie, ek sal net sê dat daar leiers in die regter boonste hoek is.

NGFW - Next Generation Firewall

Die naam spreek vanself - die volgende generasie firewall. Hierdie konsep het baie later as UTM verskyn. Die hoofgedagte van NGFW is deep packet inspection (DPI) met behulp van ingeboude IPS en toegangsbeheer op toepassingsvlak (Application Control). In hierdie geval is IPS net wat nodig is om hierdie of daardie toepassing in die pakkiestroom te identifiseer, wat jou toelaat om dit toe te laat of te weier. Voorbeeld: Ons kan Skype toelaat om te werk, maar lêeroordragte verhoed. Ons kan die gebruik van Torrent of RDP verbied. Webtoepassings word ook ondersteun: Jy kan toegang tot VK.com toelaat, maar speletjies, boodskappe of kyk na video's verhoed. In wese hang die kwaliteit van 'n NGFW af van die aantal toepassings wat dit kan definieer. Baie glo dat die opkoms van die konsep van NGFW 'n algemene bemarkingsfoefie was waarteen Palo Alto sy vinnige groei begin het.

Mei 2016 Gartner Magic Quadrant vir NGFW:

UTM vs NGFW

'N Baie algemene vraag, wat is beter? Daar is geen enkele antwoord hier nie en kan nie wees nie. Veral as u die feit in ag neem dat byna alle moderne UTM-oplossings NGFW-funksionaliteit bevat en die meeste NGFW's bevat funksies inherent aan UTM (Antivirus, VPN, Anti-Bot, ens.). Soos altyd, "die duiwel is in die besonderhede", so eerstens moet jy besluit wat jy spesifiek nodig het, besluit oor die begroting. Op grond van hierdie besluite kan verskeie opsies gekies word. En alles moet ondubbelsinnig getoets word, sonder om bemarkingsmateriaal te glo.

Ons sal op hul beurt, binne die raamwerk van verskeie artikels, probeer om jou te vertel van Check Point, hoe jy dit kan probeer en wat jy in beginsel kan probeer (byna al die funksionaliteit).

Drie Check Point-entiteite

Wanneer jy met Check Point werk, sal jy beslis drie komponente van hierdie produk teëkom:

1. Sekuriteitspoort (SG) - die sekuriteitspoort self, wat gewoonlik op die netwerkomtrek geplaas word en die funksies van 'n firewall, streaming antivirus, anti-bot, IPS, ens.
2. Sekuriteitsbestuurbediener (SMS) - poortbestuurbediener. Byna alle instellings op die gateway (SG) word met hierdie bediener uitgevoer. SMS kan ook as 'n logbediener optree en dit verwerk met die ingeboude gebeurtenisanalise en korrelasiestelsel - Smart Event (soortgelyk aan SIEM vir Check Point), maar later meer daaroor. SMS word gebruik om verskeie poorte sentraal te bestuur (die aantal poorte hang af van die SMS-model of lisensie), maar jy moet dit gebruik selfs al het jy net een poort. Daar moet hier kennis geneem word dat Check Point een van die eerstes was wat so 'n gesentraliseerde bestuurstelsel gebruik het, wat volgens Gartner-verslae vir baie jare agtereenvolgens as die "goue standaard" erken is. Daar is selfs 'n grap: "As Cisco 'n normale beheerstelsel gehad het, sou Check Point nooit verskyn het nie."
3. Slim konsole - kliëntkonsole om aan die bestuurbediener (SMS) te koppel. Gewoonlik op die administrateur se rekenaar geïnstalleer. Deur hierdie konsole word alle veranderinge op die bestuurbediener aangebring, en daarna kan u die instellings op die sekuriteitspoorte toepas (Installeerbeleid).

   

Check Point-bedryfstelsel

Praat oor die Check Point-bedryfstelsel, drie kan gelyktydig herroep word: IPSO, SPLAT en GAIA.

1. IPSO is die bedryfstelsel van Ipsilon Networks, wat deur Nokia besit is. In 2009 het Check Point dié besigheid gekoop. Nie meer ontwikkel nie.
2. SPLAT - eie ontwikkeling van Check Point, gebaseer op die RedHat-kern. Nie meer ontwikkel nie.
3. Gaia - die huidige bedryfstelsel van Check Point, wat verskyn het as gevolg van die samesmelting van IPSO en SPLAT, wat al die beste insluit. Het in 2012 verskyn en ontwikkel steeds aktief.

Van Gaia gepraat, daar moet gesê word dat die mees algemene weergawe tans R77.30 is. Betreklik onlangs het die R80-weergawe verskyn, wat aansienlik van die vorige een verskil (sowel wat funksionaliteit as beheer betref). Ons sal 'n aparte pos aan die onderwerp van hul verskille wy. Nog 'n belangrike punt is dat op die oomblik slegs weergawe R77.10 die FSTEC-sertifikaat het en weergawe R77.30 word gesertifiseer.

Opsies (Check Point Appliance, Virtuele masjien, OpenServer)

Daar is niks verbasend hier nie, aangesien baie Check Point-verkopers verskeie produkopsies het:

1. toestel - hardeware en sagteware toestel, d.w.s. eie "stuk yster". Daar is baie modelle wat verskil in werkverrigting, funksionaliteit en ontwerp (daar is opsies vir industriële netwerke).

   

2. Virtuele masjien - Check Point virtuele masjien met Gaia OS. Hypervisors ESXi, Hyper-V, KVM word ondersteun. Gelisensieer deur die aantal verwerkerkerne.
3. oopbediener - Die installering van Gaia direk op die bediener as die hoofbedryfstelsel (die sogenaamde "Bare metal"). Slegs sekere hardeware word ondersteun. Daar is aanbevelings vir hierdie hardeware wat gevolg moet word, anders kan daar probleme met drywers en dié wees. ondersteuning kan diens aan jou weier.

Implementeringsopsies (verspreid of selfstandig)

'n Bietjie hoër, ons het reeds bespreek wat 'n gateway (SG) en 'n bestuursbediener (SMS) is. Kom ons bespreek nou opsies vir die implementering daarvan. Daar is twee hoof maniere:

1. Selfstandig (SG+SMS) - 'n opsie wanneer beide die poort en die bestuursbediener binne dieselfde toestel (of virtuele masjien) geïnstalleer is.

   
   
   Hierdie opsie is geskik wanneer jy net een poort het, wat ligweg gelaai is met gebruikersverkeer. Hierdie opsie is die mees ekonomiese, want. nie nodig om 'n bestuursbediener (SMS) te koop nie. As die poort egter swaar gelaai is, kan jy met 'n stadige beheerstelsel eindig. Daarom, voordat u 'n alleenstaande oplossing kies, is dit die beste om hierdie opsie te raadpleeg of selfs te toets.

2. versprei — die bestuursbediener word apart van die poort geïnstalleer.

   
   
   Die beste opsie in terme van gerief en prestasie. Dit word gebruik wanneer dit nodig is om verskeie poorte gelyktydig te bestuur, byvoorbeeld sentrale en tak. In hierdie geval moet jy 'n bestuursbediener (SMS) koop, wat ook in die vorm van 'n toestel (stuk yster) of 'n virtuele masjien kan wees.

Soos ek net hierbo gesê het, het Check Point sy eie SIEM-stelsel - Smart Event. U kan dit slegs gebruik in die geval van verspreide installasie.

Bedryfmodusse (Brug, Gereet)
Die Security Gateway (SG) kan in twee basiese modusse werk:

• verslaan - die mees algemene opsie. In hierdie geval word die poort as 'n L3-toestel gebruik en roeteer verkeer deur homself, m.a.w. Check Point is die verstekpoort vir die beskermde netwerk.
• Bridge - deursigtige modus. In hierdie geval word die poort as 'n normale "brug" geïnstalleer en stuur verkeer daardeur by die tweede laag (OSI). Hierdie opsie word gewoonlik gebruik wanneer daar geen moontlikheid (of begeerte) is om die bestaande infrastruktuur te verander nie. U hoef feitlik nie die netwerktopologie te verander nie en hoef nie daaraan te dink om IP-adressering te verander nie.

Ek wil graag daarop let dat daar 'n paar funksionele beperkings in die Brug-modus is, daarom raai ons as 'n integreerder al ons kliënte aan om natuurlik, indien moontlik, die Roete-modus te gebruik.

Sagteware lemme (Check Point sagteware lemme)

Ons het amper by die belangrikste Check Point-onderwerp uitgekom, wat die meeste vrae by kliënte laat ontstaan. Wat is hierdie "sagteware lemme"? Lemme verwys na sekere Check Point-funksies.

Hierdie kenmerke kan aangeskakel of afgeskakel word, afhangende van jou behoeftes. Terselfdertyd is daar lemme wat uitsluitlik op die poort (Network Security) en slegs op die bestuursbediener (Bestuur) geaktiveer word. Die prente hieronder toon voorbeelde vir beide gevalle:

1) Vir netwerk sekuriteit (poortfunksie)

Kom ons beskryf kortliks, want elke lem verdien 'n aparte artikel.

• Firewall - firewall funksionaliteit;
• IPSec VPN - die bou van private virtuele netwerke;
• Mobiele toegang - afstandtoegang vanaf mobiele toestelle;
• IPS - inbraakvoorkomingstelsel;
• Anti-Bot - beskerming teen botnet netwerke;
• AntiVirus - stroom antivirus;
• AntiSpam & Email Security - beskerming van korporatiewe pos;
• Identiteitsbewustheid - integrasie met die Active Directory-diens;
• Monitering - monitering van byna alle poortparameters (lading, bandwydte, VPN-status, ens.)
• Toepassingsbeheer - toepassingsvlak firewall (NGFW-funksionaliteit);
• URL-filtrering - Websekuriteit (+instaanbedienerfunksie);
• Voorkoming van dataverlies - beskerming van inligtinglek (DLP);
• Threat Emulation - sandbox tegnologie (SandBox);
• Bedreiging onttrekking - lêer skoonmaak tegnologie;
• QoS - verkeersprioritisering.

In net 'n paar artikels, sal ons 'n nader kyk na die bedreiging emulasie en bedreiging onttrekking lemme, ek is seker dit sal interessant wees.

2) Vir Bestuur (bestuur bediener funksionaliteit)

• Netwerkbeleidbestuur - gesentraliseerde beleidbestuur;
• Eindpuntbeleidbestuur - gesentraliseerde bestuur van Check Point-agente (ja, Check Point produseer oplossings nie net vir netwerkbeskerming nie, maar ook vir die beskerming van werkstasies (rekenaars) en slimfone);
• Logging & Status - gesentraliseerde versameling en verwerking van logs;
• Bestuursportaal - sekuriteitsbestuur vanaf die blaaier;
• Werkvloei - beheer oor beleidsveranderinge, oudit van veranderinge, ens.;
• Gebruikersgids - integrasie met LDAP;
• Voorsiening - outomatisering van poortbestuur;
• Smart Reporter - verslagdoeningstelsel;
• Slim gebeurtenis - analise en korrelasie van gebeure (SIEM);
• Voldoening - outomatiese kontrolering van instellings en uitreiking van aanbevelings.

Ons sal nie nou lisensiekwessies in detail oorweeg nie, om nie die artikel op te blaas en die leser te verwar nie. Heel waarskynlik sal ons dit in 'n aparte pos uithaal.

Die lem-argitektuur laat jou toe om net die funksies te gebruik wat jy regtig nodig het, wat die begroting van die oplossing en die algehele werkverrigting van die toestel beïnvloed. Dit is logies dat hoe meer lemme jy aktiveer, hoe minder verkeer kan “weggedryf word”. Daarom is die volgende prestasietabel aan elke Check Point-model aangeheg (ons het byvoorbeeld die kenmerke van die 5400-model geneem):

Soos u kan sien, is daar twee kategorieë toetse hier: op sintetiese verkeer en op werklike - gemeng. Oor die algemeen word Check Point eenvoudig gedwing om sintetiese toetse te publiseer, want. sommige verskaffers gebruik sulke toetse as maatstawwe sonder om die werkverrigting van hul oplossings op werklike verkeer te ondersoek (of doelbewus sulke data weg te steek weens hul onbevredigendheid).

In elke tipe toets kan jy verskeie opsies sien:

1. toets slegs vir Firewall;
2. Firewall + IPS-toets;
3. Firewall+IPS+NGFW (Toepassingsbeheer) toets;
4. Firewall+Toepassingbeheer+URL-filtrering+IPS+Antivirus+Anti-Bot+Sandblaastoets (sandbak)

Kyk noukeurig na hierdie parameters wanneer jy jou oplossing kies, of kontak vir konsultasie.

Ek dink dit is die einde van die inleidende artikel oor Check Point-tegnologie. Vervolgens gaan ons kyk hoe jy Check Point kan toets en hoe om moderne inligtingsekuriteitsbedreigings (virusse, uitvissing, losprysware, zero-day) te hanteer.

NS 'n Belangrike punt. Ten spyte van die buitelandse (Israeliese) oorsprong, word die oplossing in die Russiese Federasie gesertifiseer deur toesighoudende owerhede, wat hul teenwoordigheid in staatsinstellings outomaties wettig (opmerking deur Denyemall).

Slegs geregistreerde gebruikers kan aan die opname deelneem. Meld aan, asseblief.

Watter UTM/NGFW-nutsmiddels gebruik jy?

• Check Point

• Cisco Vuurkrag

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• wag wag

• Juniper

• Gebruikerspoort

• verkeersinspekteur

• Rubicon

• Ideco

• oopbron oplossing

• Ander

134 gebruikers het gestem. 78 gebruikers het buite stemming gebly.

Bron: will.com