مرحبا أعزائي قراء هبر! هذه هي مدونة الشركة للشركة . نحن شركة تكامل للأنظمة ومتخصصون بشكل أساسي في حلول أمن البنية التحتية لتكنولوجيا المعلومات (, ) وأنظمة تحليل بيانات الآلة (). سنبدأ مدونتنا بمقدمة قصيرة لتقنيات Check Point.
فكرنا لفترة طويلة في كتابة هذه المقالة ، لأن. لا يوجد شيء جديد فيه لا يمكن العثور عليه على الإنترنت. ومع ذلك ، على الرغم من هذه الوفرة من المعلومات ، عند العمل مع العملاء والشركاء ، غالبًا ما نسمع نفس الأسئلة. لذلك ، تقرر كتابة نوع من المقدمة لعالم تقنيات Check Point وكشف جوهر بنية حلولها. وكل هذا في إطار تدوينة "صغيرة" واحدة ، إذا جاز التعبير ، استطرادية سريعة. وسنحاول ألا ندخل في حروب تسويقية ، لأن. نحن لسنا بائعًا ، ولكننا مجرد شركة تكامل للنظام (على الرغم من أننا نحب Check Point كثيرًا) وتجاوز النقاط الرئيسية دون مقارنتها بمصنّعين آخرين (مثل Palo Alto و Cisco و Fortinet وما إلى ذلك). اتضح أن المقالة ضخمة جدًا ، لكنها تقطع معظم الأسئلة في مرحلة التعرف على Check Point. إذا كنت مهتمًا ، فمرحباً بك تحت القطة ...
UTM / NGFW
عند بدء محادثة حول Check Point ، فإن أول شيء يجب أن تبدأ به هو شرح ماهية UTM و NGFW وكيف يختلفان. سنفعل ذلك بإيجاز شديد حتى لا يصبح المنشور كبيرًا جدًا (ربما في المستقبل سننظر في هذه المشكلة بمزيد من التفصيل)
UTM - إدارة التهديدات الموحدة
باختصار ، يتمثل جوهر UTM في دمج العديد من أدوات الأمان في حل واحد. أولئك. الكل في صندوق واحد أو بعضها شامل. ما هو المقصود ب "العلاجات المتعددة"؟ الخيار الأكثر شيوعًا هو: Firewall و IPS و Proxy (تصفية عناوين URL) و Streaming Antivirus و Anti-Spam و VPN وما إلى ذلك. يتم دمج كل هذا في حل UTM واحد ، وهو أسهل من حيث التكامل والتكوين والإدارة والمراقبة ، وهذا بدوره له تأثير إيجابي على الأمان العام للشبكة. عندما ظهرت حلول UTM لأول مرة ، تم اعتبارها حصريًا للشركات الصغيرة ، لأن. لا تستطيع UTMs التعامل مع كميات كبيرة من حركة المرور. كان هذا لسببين:
- طريقة معالجة الحزم. عالجت الإصدارات الأولى من حلول UTM الحزم بالتتابع ، بواسطة كل "وحدة نمطية". مثال: تتم معالجة الحزمة أولاً بواسطة جدار الحماية ، ثم بواسطة IPS ، ثم يتم فحصها بواسطة برنامج مكافحة الفيروسات وما إلى ذلك. وبطبيعة الحال ، أدت هذه الآلية إلى حدوث تأخيرات خطيرة في حركة المرور واستهلاك موارد النظام بشكل كبير (المعالج ، والذاكرة).
- أجهزة ضعيفة. كما ذكرنا سابقًا ، استهلكت معالجة الحزم المتسلسلة الموارد ولم تستطع الأجهزة في تلك الأوقات (1995-2005) ببساطة التعامل مع حركة المرور المرتفعة.
لكن التقدم لا يزال قائما. منذ ذلك الحين ، زادت قدرات الأجهزة بشكل كبير ، وتغيرت معالجة الحزم (يجب الاعتراف بأنه ليس لدى جميع البائعين ذلك) وبدأت في السماح بالتحليل المتزامن تقريبًا في عدة وحدات في وقت واحد (ME ، IPS ، AntiVirus ، إلخ). يمكن لحلول UTM الحديثة "هضم" عشرات وحتى مئات الجيجابت في وضع التحليل العميق ، مما يجعل من الممكن استخدامها في قطاع الأعمال الكبيرة أو حتى مراكز البيانات.
يوجد أدناه Magic Quadrant الشهير من Gartner لحلول UTM لشهر أغسطس 2016:
لن أعلق بشدة على هذه الصورة ، سأقول فقط أن هناك قادة في الزاوية اليمنى العليا.
NGFW - الجيل التالي من جدار الحماية
الاسم يتحدث عن نفسه - الجيل القادم من جدار الحماية. ظهر هذا المفهوم في وقت متأخر جدًا عن UTM. الفكرة الرئيسية لـ NGFW هي الفحص العميق للحزم (DPI) باستخدام IPS المدمج والتحكم في الوصول على مستوى التطبيق (التحكم في التطبيق). في هذه الحالة ، فإن IPS هو فقط ما هو مطلوب لتحديد هذا التطبيق أو ذاك في دفق الحزمة ، والذي يسمح لك بالسماح به أو رفضه. مثال: يمكننا السماح لـ Skype بالعمل مع منع نقل الملفات. يمكننا حظر استخدام Torrent أو RDP. تطبيقات الويب مدعومة أيضًا: يمكنك السماح بالوصول إلى VK.com ، ولكن مع منع الألعاب أو الرسائل أو مشاهدة مقاطع الفيديو. تعتمد جودة NGFW بشكل أساسي على عدد التطبيقات التي يمكن أن تحددها. يعتقد الكثيرون أن ظهور مفهوم NGFW كان حيلة تسويقية شائعة بدأت بالو ألتو نموها السريع.
مايو 2016 تقرير Gartner Magic Quadrant لـ NGFW:
UTM مقابل NGFW
سؤال شائع جدًا ، أيهما أفضل؟ لا توجد إجابة واحدة هنا ولا يمكن أن تكون. خاصة عندما تفكر في حقيقة أن جميع حلول UTM الحديثة تقريبًا تحتوي على وظائف NGFW وأن معظم NGFWs تحتوي على وظائف متأصلة في UTM (Antivirus و VPN و Anti-Bot وما إلى ذلك). كما هو الحال دائمًا ، "الشيطان يكمن في التفاصيل" ، لذا عليك أولاً تحديد ما تحتاجه تحديدًا ، وتحديد الميزانية. بناءً على هذه القرارات ، يمكن تحديد عدة خيارات. وكل شيء يحتاج إلى اختبار لا لبس فيه ، وعدم تصديق المواد التسويقية.
سنحاول بدورنا ، في إطار العديد من المقالات ، إخبارك عن Check Point ، وكيف يمكنك تجربتها وماذا ، من حيث المبدأ ، يمكنك تجربته (جميع الوظائف تقريبًا).
ثلاث كيانات نقطة تفتيش
عند العمل مع Check Point ، ستصادف بالتأكيد ثلاثة مكونات لهذا المنتج:
- بوابة الأمن (SG) - بوابة الأمان نفسها ، والتي يتم وضعها عادةً على محيط الشبكة وتؤدي وظائف جدار الحماية ، ومكافحة الفيروسات المتدفقة ، ومكافحة الروبوتات ، و IPS ، وما إلى ذلك.
- خادم إدارة الأمن (SMS) - خادم إدارة البوابة. يتم تنفيذ جميع الإعدادات الموجودة على البوابة (SG) تقريبًا باستخدام هذا الخادم. يمكن أن تعمل الرسائل القصيرة أيضًا كخادم سجل ومعالجتها باستخدام نظام تحليل الأحداث والارتباط المدمج - حدث ذكي (على غرار SIEM for Check Point) ، ولكن المزيد عن ذلك لاحقًا. تُستخدم الرسائل القصيرة (SMS) لإدارة عدة بوابات مركزية (يعتمد عدد البوابات على طراز SMS أو الترخيص) ، ولكن يجب عليك استخدامها حتى إذا كان لديك بوابة واحدة فقط. وتجدر الإشارة هنا إلى أن Check Point كانت من أوائل الشركات التي استخدمت مثل هذا النظام الإداري المركزي ، والذي تم الاعتراف به على أنه "المعيار الذهبي" وفقًا لتقارير Gartner لسنوات عديدة متتالية. حتى أن هناك مزحة: "إذا كان لدى Cisco نظام تحكم عادي ، فلن تظهر Check Point أبدًا."
- وحدة تحكم ذكية - وحدة تحكم العميل للاتصال بخادم الإدارة (SMS). عادةً ما يتم تثبيته على كمبيوتر المسؤول. من خلال وحدة التحكم هذه ، يتم إجراء جميع التغييرات على خادم الإدارة ، وبعد ذلك يمكنك تطبيق الإعدادات على بوابات الأمان (سياسة التثبيت).
نظام التشغيل Check Point
عند الحديث عن نظام التشغيل Check Point ، يمكن استدعاء ثلاثة منها في وقت واحد: IPSO و SPLAT و GAIA.
- IPSO هو نظام التشغيل الخاص بشبكات Ipsilon Networks التي كانت مملوكة لشركة Nokia. في عام 2009 ، اشترت Check Point هذه الشركة. لم تعد متطورة.
- سبلات - التطوير الخاص لـ Check Point ، بناءً على نواة RedHat. لم تعد متطورة.
- غايا - نظام التشغيل الحالي من Check Point ، والذي ظهر نتيجة اندماج IPSO و SPLAT ، متضمنًا كل خير. ظهرت في عام 2012 وتستمر في التطور بنشاط.
عند الحديث عن Gaia ، يجب القول أن الإصدار الأكثر شيوعًا في الوقت الحالي هو R77.30. في الآونة الأخيرة نسبيًا ، ظهر إصدار R80 ، والذي يختلف اختلافًا كبيرًا عن الإصدار السابق (من حيث الوظيفة والتحكم). سنخصص منشورًا منفصلاً لموضوع اختلافاتهم. نقطة أخرى مهمة هي أن الإصدار R77.10 فقط في الوقت الحالي لديه شهادة FSTEC ويتم اعتماد الإصدار R77.30.
الخيارات (Check Point Appliance ، Virtual Machine ، OpenServer)
ليس هناك ما يثير الدهشة هنا ، حيث أن العديد من بائعي Check Point لديهم العديد من خيارات المنتجات:
- جهاز - الأجهزة والبرامج ، أي تملك "قطعة من الحديد". هناك الكثير من النماذج التي تختلف في الأداء والوظائف والتصميم (هناك خيارات للشبكات الصناعية).
- آلة افتراضية - تحقق من الجهاز الظاهري لـ Gaia OS. يتم دعم Hypervisors ESXi و Hyper-V و KVM. مرخصة من قبل عدد نوى المعالج.
- خادم مفتوح - تثبيت Gaia مباشرة على الخادم باعتباره نظام التشغيل الرئيسي (ما يسمى بـ "Bare metal"). يتم دعم أجهزة معينة فقط. هناك توصيات لهذا الجهاز يجب اتباعها ، وإلا فقد تكون هناك مشاكل مع السائقين وتلك. قد يرفض الدعم الخدمة لك.
خيارات التنفيذ (موزعة أو قائمة بذاتها)
أعلى قليلاً ، لقد ناقشنا بالفعل ماهية البوابة (SG) وخادم الإدارة (SMS). الآن دعونا نناقش خيارات تنفيذها. هناك طريقتان رئيسيتان:
- مستقل (SG + SMS) - خيار عند تثبيت كل من البوابة وخادم الإدارة داخل نفس الجهاز (أو الجهاز الظاهري).
يكون هذا الخيار مناسبًا عندما يكون لديك بوابة واحدة فقط ، والتي يتم تحميلها بشكل خفيف بحركة مرور المستخدم. هذا الخيار هو الأكثر اقتصادا ، لأنه. لا حاجة لشراء خادم إدارة (SMS). ومع ذلك ، إذا كانت البوابة محملة بكثافة ، فقد ينتهي بك الأمر بنظام تحكم بطيء. لذلك ، قبل اختيار حل مستقل ، من الأفضل استشارة هذا الخيار أو حتى اختباره. - وزعت - يتم تثبيت خادم الإدارة بشكل منفصل عن البوابة.
الخيار الأفضل من حيث الراحة والأداء. يتم استخدامه عندما يكون من الضروري إدارة عدة بوابات في وقت واحد ، على سبيل المثال ، المركزية والفرعية. في هذه الحالة ، تحتاج إلى شراء خادم إدارة (SMS) ، والذي يمكن أن يكون أيضًا في شكل جهاز (قطعة حديد) أو جهاز افتراضي.
كما قلت أعلاه ، لدى Check Point نظام SIEM الخاص بها - Smart Event. يمكنك استخدامه فقط في حالة التثبيت الموزع.
أوضاع التشغيل (جسر ، موجه)
يمكن أن تعمل بوابة الأمان (SG) في وضعين أساسيين:
- موجّه - الخيار الأكثر شيوعًا. في هذه الحالة ، يتم استخدام البوابة كجهاز L3 وتوجه حركة المرور عبر نفسها ، أي Check Point هي البوابة الافتراضية للشبكة المحمية.
- جسر - وضع شفاف. في هذه الحالة ، يتم تثبيت البوابة "كجسر" عادي وتمرير حركة المرور عبرها في الطبقة الثانية (OSI). يستخدم هذا الخيار عادة عندما لا تكون هناك إمكانية (أو رغبة) لتغيير البنية التحتية الحالية. لا يتعين عليك عمليًا تغيير هيكل الشبكة ولا يتعين عليك التفكير في تغيير عنوان IP.
أود أن أشير إلى أن هناك بعض القيود الوظيفية في وضع Bridge ، لذلك ، بصفتنا مُتكاملًا ، ننصح جميع عملائنا باستخدام الوضع الموجه ، بالطبع ، إن أمكن.
شفرات البرامج (Check Point Software Blades)
لقد وصلنا تقريبًا إلى أهم موضوع Check Point ، والذي يثير معظم الأسئلة من العملاء. ما هي هذه "شفرات البرامج"؟ تشير الشفرات إلى بعض وظائف Check Point.
يمكن تشغيل هذه الميزات أو إيقاف تشغيلها حسب احتياجاتك. في الوقت نفسه ، هناك شفرات يتم تنشيطها حصريًا على البوابة (أمان الشبكة) وفقط على خادم الإدارة (الإدارة). توضح الصور أدناه أمثلة لكلتا الحالتين:
1) لأمن الشبكة (وظائف البوابة)
دعونا نصف بإيجاز ، لأن كل شفرة تستحق مقالة منفصلة.
- جدار الحماية - وظيفة جدار الحماية ؛
- IPSec VPN - بناء شبكات افتراضية خاصة ؛
- الوصول المحمول - الوصول عن بعد من الأجهزة المحمولة ؛
- IPS - نظام منع التطفل ؛
- Anti-Bot - الحماية ضد شبكات الروبوتات ؛
- مكافحة الفيروسات - مكافحة الفيروسات المتدفقة ؛
- مكافحة البريد الإلكتروني العشوائي وأمن البريد الإلكتروني - حماية بريد الشركة ؛
- الوعي بالهوية - التكامل مع خدمة Active Directory ؛
- المراقبة - مراقبة جميع معلمات البوابة تقريبًا (التحميل وعرض النطاق الترددي وحالة VPN وما إلى ذلك)
- التحكم في التطبيق - جدار الحماية على مستوى التطبيق (وظيفة NGFW) ؛
- تصفية عناوين URL - أمان الويب (+ وظيفة الوكيل) ؛
- منع فقدان البيانات - حماية تسرب المعلومات (DLP) ؛
- محاكاة التهديد - تقنية Sandbox (SandBox) ؛
- استخراج التهديد - تقنية تنظيف الملفات ؛
- QoS - تحديد أولويات حركة المرور.
في بضع مقالات فقط ، سنلقي نظرة فاحصة على شفرات محاكاة التهديد واستخراج التهديد ، وأنا متأكد من أنها ستكون ممتعة.
2) للإدارة (وظائف خادم الإدارة)
- إدارة سياسة الشبكة - إدارة سياسة مركزية ؛
- إدارة سياسة نقطة النهاية - إدارة مركزية لوكلاء Check Point (نعم ، تقدم Check Point حلولًا ليس فقط لحماية الشبكة ، ولكن أيضًا لحماية محطات العمل (أجهزة الكمبيوتر) والهواتف الذكية) ؛
- التسجيل والحالة - التجميع المركزي ومعالجة السجلات ؛
- بوابة الإدارة - إدارة الأمن من المتصفح ؛
- سير العمل - التحكم في تغييرات السياسة ، ومراجعة التغييرات ، وما إلى ذلك ؛
- دليل المستخدم - التكامل مع LDAP ؛
- التزويد - أتمتة إدارة البوابة ؛
- المراسل الذكي - نظام الإبلاغ ؛
- الحدث الذكي - تحليل الأحداث وربطها (SIEM) ؛
- الامتثال - الفحص التلقائي للإعدادات وإصدار التوصيات.
لن نفكر الآن في قضايا الترخيص بالتفصيل ، حتى لا تضخم المقالة وتشوش على القارئ. على الأرجح سنقوم بإخراجها في منشور منفصل.
تسمح لك بنية الشفرة باستخدام الوظائف التي تحتاجها حقًا فقط ، مما يؤثر على ميزانية الحل والأداء العام للجهاز. من المنطقي أنه كلما زاد عدد الشفرات التي تقوم بتنشيطها ، يمكن "إبعاد" حركة المرور. هذا هو سبب إرفاق جدول الأداء التالي بكل نموذج Check Point (على سبيل المثال ، أخذنا خصائص نموذج 5400):
كما ترون ، هناك فئتان من الاختبارات هنا: على حركة المرور الاصطناعية وعلى اختبار حقيقي - مختلط. بشكل عام ، تُجبر Check Point ببساطة على نشر الاختبارات التركيبية ، لأن. يستخدم بعض البائعين مثل هذه الاختبارات كمعايير دون فحص أداء حلولهم على حركة المرور الحقيقية (أو إخفاء هذه البيانات عمدًا بسبب عدم رضاهم).
في كل نوع من الاختبارات ، يمكنك ملاحظة عدة خيارات:
- اختبار جدار الحماية فقط ؛
- اختبار جدار الحماية + IPS ؛
- اختبار جدار الحماية + IPS + NGFW (التحكم في التطبيق) ؛
- جدار الحماية + التحكم في التطبيق + تصفية عناوين URL + IPS + مكافحة الفيروسات + مكافحة الروبوت + اختبار SandBlast (وضع الحماية)
انظر بعناية إلى هذه المعلمات عند اختيار الحل الخاص بك ، أو الاتصال بـ .
أعتقد أن هذه هي نهاية المقالة التمهيدية حول تقنيات Check Point. بعد ذلك ، سننظر في كيفية اختبار Check Point وكيفية التعامل مع تهديدات أمن المعلومات الحديثة (الفيروسات ، التصيد الاحتيالي ، برامج الفدية ، زيرو داي).
ملاحظة مهمة. على الرغم من الأصل الأجنبي (الإسرائيلي) ، فإن الحل معتمد في الاتحاد الروسي من قبل السلطات الإشرافية ، والتي تقنّن وجودهم تلقائيًا في مؤسسات الدولة (تعليق بواسطة ).
يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. ، من فضلك.
ما هي أدوات UTM / NGFW التي تستخدمها؟
-
نقطة تفتيش
-
قوة النار سيسكو
-
فورتينت
-
بالو ألتو
-
سوفوس
-
ديل سونيك وول
-
هواوى
-
WatchGuard
-
شجر العرعر
-
UserGate
-
مفتش المرور
-
روبيكون
-
إيديكو
-
حل مفتوح المصدر
-
آخر
صوّت 134 مستخدمًا. امتنع 78 مستخدما عن التصويت.
المصدر: www.habr.com