ProHoster > блог > адміністраванне > Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным
Добры дзень, паважаныя чытачы хабра! Гэта карпаратыўны блог кампаніі TS Solution. Мы з'яўляемся сістэмным інтэгратарам і па большай частцы спецыялізуемся на рашэннях бяспекі ІТ-інфраструктуры (Пункт кантролю, Fortinet) і сістэмах аналізу машынных дадзеных (Splunk). Пачнём мы наш блог з невялікага ўвядзення ў тэхналогіі Check Point.

Мы доўга разважалі над тым, ці варта пісаць дадзены артыкул, т.я. у ёй няма нічога новага, чаго нельга было б знайсці ў сетцы Інтэрнэт. Аднак, нягледзячы на ​​??такое багацце інфармацыі пры працы з кліентамі і партнёрамі мы даволі часта чуем адны і тыя ж пытанні. Таму было вырашана напісаць нейкае ўвядзенне ў свет тэхналогій Check Point і расчыніць сутнасць архітэктуры іх рашэнняў. І ўсё гэта ў рамках аднаго "невялікага" паста, так бы мовіць хуткі экскурс. Прычым мы пастараемся не ўдавацца ў маркетынгавыя войны, т.я. мы не вендар, а проста сістэмны інтэгратар (хоць мы і вельмі каханы Check Point) і проста разгледзім асноўныя моманты без іх параўнання з іншымі вытворцамі (такіх як Palo Alto, Cisco, Fortinet і т.д.). Артыкул атрымаўся даволі аб'ёмнай, затое адсякае большую частку пытанняў на этапе азнаямлення з Check Point. Калі вам гэта цікава, то сардэчна запрашаем пад кат…

UTM/NGFW

Пачынаючы размову аб Check Point першае з чаго каштаваць пачаць, дык гэта з тлумачэння, што такое UTM, NGFW і чым яны адрозніваюцца. Зробім мы гэта вельмі лаканічна, каб пост не атрымаўся занадта вялікім (магчыма ў будучыні мы разгледзім гэтае пытанне крыху падрабязней)

UTM - Unified Threat Management

Калі коратка, то сутнасць UTM – кансалідацыя некалькіх сродкаў абароны ў адным рашэнні. Г.зн. усё ў адной скрынцы ці нейкі all inclusive. Што разумеецца пад "некалькі сродкаў абароны"? Самы распаўсюджаны варыянт гэта: Міжсеткавы экран, IPS, Proxy (URL фільтраванне), струменевы Antivirus, Anti-Spam, VPN і гэтак далей. Усё гэта аб'ядноўваецца ў рамках аднаго UTM рашэння, што прасцей з пункту гледжання інтэграцыі, наладкі, адміністравання і маніторынгу, а гэта ў сваю чаргу станоўча адбіваецца на агульнай абароненасці сеткі. Калі UTM рашэнні толькі з'явіліся, то іх разглядалі выключна для невялікіх кампаній, т.я. UTM не спраўляліся з вялізнымі аб'ёмамі трафіку. Гэта было па дзвюх прычынах:

  1. Спосаб апрацоўкі пакетаў. Першыя версіі UTM рашэнняў апрацоўвалі пакеты паслядоўна, кожным "модулем". Прыклад: спачатку пакет апрацоўваецца міжсеткавым экранам, затым IPS, потым яго правярае Антывірус і гэтак далей. Натуральна такі механізм уносіў сур'ёзныя затрымкі ў трафік і моцна расходаваў рэсурсы сістэмы (працэсар, памяць).
  2. Слабое "жалеза". Як было сказана вышэй, паслядоўная апрацоўка пакетаў моцна ад'ядала рэсурсы і "жалеза" тых часоў (1995-2005) проста не спраўлялася з вялікім трафікам.

Але прагрэс не стаіць на месцы. З тых часоў значна павялічыліся апаратныя магутнасці, а апрацоўка пакетаў змянілася (трэба прызнаць, што далёка не ва ўсіх вендараў) і стала дазваляць практычна адначасовы аналіз адразу ў некалькіх модулях (МЭ, IPS, AntiVirus і т.д.). Сучасныя UTM рашэнні могуць "пераварваць" дзясяткі і нават сотні гігабіт у рэжыме глыбокага аналізу, што дае магчымасць выкарыстоўваць іх у сегменце буйнога бізнэсу ці нават датацэнтаў.

Ніжэй прадстаўлены знакаміты магічны квадрант Гартнера для UTM рашэнняў за жнівень 2016 года:

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Не буду моцна каментаваць дадзеную карцінку, проста скажу, што ў верхнім правым куце знаходзяцца лідэры.

NGFW – Next Generation Firewall

Назва гаворыць сама за сябе - міжсеткавы экран наступнага пакалення. Гэты канцэпт з'явіўся значна пазней, чым UTM. Галоўная ідэя NGFW – глыбокі аналіз пакетаў (DPI) c дапамогай убудаванага IPS і размежаванне доступу на ўзроўні прыкладанняў (Application Control). У дадзеным выпадку IPS як раз і патрэбен, каб у струмені пакетаў выяўляць тое ці іншае прыкладанне, што дазваляе дазволіць, або забараніць яго. Прыклад: Мы можам дазволіць працу Skype, але забараніць перадачу файлаў. Можам забараніць выкарыстоўваць Torrent ці RDP. Таксама падтрымліваюцца вэб-прыкладанні: Можна дазволіць доступ да VK.com, але забараніць гульні, паведамленні або прагляд відэа. У сутнасці, якасць NGFW залежыць ад колькасці прыкладанняў, якія ён можа вызначаць. Многія лічаць, што з'яўленне паняцця NGFW было звычайным маркетынгавым ходам на фоне якога пачала свой бурны рост кампанія Palo Alto.

Магічны квадрант Гартнера для NGFW за май 2016:

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

UTM vs NGFW

Вельмі частае пытанне, што ж лепш? Адназначнага адказу тут няма і не можа быць. Асабліва калі ўлічваць той факт, што амаль усе сучасныя UTM рашэнні ўтрымоўваюць функцыянал NGFW і большасць NGFW утрымоўваюць функцыі ўласцівыя UTM (Antivirus, VPN, Anti-Bot і т.д.). Як заўсёды "д'ябал крыецца ў дробязях", таму ў першую чаргу трэба вырашыць, што трэба канкрэтна Вам, вызначыцца з бюджэтам. На аснове гэтых рашэнняў можна абраць некалькі варыянтаў. І ўсё трэба адназначна тэставаць, не верачы маркетынгавым матэрыялам.

Мы ў сваю чаргу ў рамках некалькіх артыкулаў паспрабуем распавесці пра Check Point, як яго можна паспрабаваць і што ў прынцыпе можна паспрабаваць (практычна ўвесь функцыянал).

Тры сутнасці Check Point

Пры працы з Check Point вы абавязкова сутыкнецеся з трыма складнікамі гэтага прадукта:

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

  1. Security Gateway (SG) - уласна сам шлюз бяспекі, які як правіла ставіцца на перыметр сеткі і выконвае функцыі міжсеткавага экрана, струменевага антывіруса, антыбота, IPS і г.д.
  2. Security Management Server (SMS) - сервер кіравання шлюзамі. Практычна ўсе налады на шлюзе (SG) выконваюцца з дапамогай дадзенага сервера. SMS таксама можа выступаць у якасці Лог-сервера і апрацоўваць іх убудаванай сістэмай аналізу і карэляцыі падзей – Smart Event (падабенства SIEM для Check Point), але пра гэта крыху пазней. SMS выкарыстоўваецца для цэнтралізаванага кіравання некалькімі шлюзамі (колькасць шлюзаў залежыць ад мадэлі SMS, альбо ад ліцэнзіі), аднак вы абавязаны яго выкарыстоўваць, нават калі ў вас усяго адзін шлюз. Тут варта адзначыць, што Check Point адны з першых сталі ўжываць падобную цэнтралізаваную сістэму кіравання, якая ўжо шмат гадоў запар прызнаецца залатым стандартам па справаздачах Gartner. Ёсць нават жарт: "Калі ў бы Cisco была нармальная сістэма кіравання, то Check Point бы ніколі не з'явіўся".
  3. Smart Console - кліенцкая кансоль для падлучэння да сервера кіравання (SMS). Як правіла усталёўваецца на кампутар адміністратара. Праз гэтую кансоль ажыццяўляюцца ўсе змены на серверы кіравання, а ўжо пасля гэтага можна ўжыць налады да шлюзаў бяспекі (Install Policy).

    Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Аперацыйная сістэма Check Point

Гаворачы аб аперацыйнай сістэме Check Point можна ўспомніць адразу тры: IPSO, SPLAT і GAIA.

  1. IPSO – аперацыйная сістэма кампаніі Ipsilon Networks, якая належала кампаніі Nokia. У 2009 году Check Point купіла гэты бізнэс. Больш не разьвіваецца.
  2. ШПЛАТ – уласная распрацоўка Check Point, заснаваная на ядры RedHat. Больш не разьвіваецца.
  3. Гайя - Актуальная аперацыйная сістэма ад Check Point, якая з'явілася ў выніку зліцця IPSO і SPLAT, увабраўшы ў сябе ўсё самае лепшае. Зьявілася ў 2012 годзе і працягвае актыўна разьвівацца.

Гаворачы аб Gaia варта сказаць, што на бягучы момант самая распаўсюджаная версія гэта R77.30. Адносна нядаўна з'явілася версія R80, якая істотна адрозніваецца ад папярэдняй (як у плане функцыянальнасці, так і кіраванні). Тэме іх адрозненняў мы прысвяцім асобную пасаду. Яшчэ адзін важны момант - на бягучы момант сертыфікат ФСТЭК мае толькі версія R77.10 і ідзе сертыфікацыя версіі R77.30.

Варыянты выканання (Check Point Appliance, Virtual machine, OpenSerever)

Тут няма нічога дзіўнага, як і шматлікія вендары Check Point мае некалькі варыянтаў прадукта:

  1. прыбор - праграмна-апаратная прылада, г.зн. свая "жалезка". Мадэляў вельмі шмат, якія адрозніваюцца па прадукцыйнасці, функцыянале і выкананні (ёсць варыянты для прамысловых сетак).

    Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

  2. віртуальная машына - Віртуальная машына Check Point з АС Gaia. Падтрымліваюцца гіпервізары ESXi, Hyper-V, KVM. Ліцэнзуюцца па кол-у ядраў працэсара.
  3. OpenServer - усталёўка Gaia непасрэдна на сервер у якасці асноўнай аперацыйнай сістэмы (так званы “Bare metal”). Падтрымліваецца толькі пэўнае "жалеза". Ёсць рэкамендацыі па гэтым жалезе, якія трэба выконваць, інакш могуць узнікнуць праблемы з драйверамі і тых. падтрымка вам можа адмовіць у абслугоўванні.

Варыянты ўкаранення (Distributed або Standalone)

Крыху вышэй мы ўжо абмеркавалі, што такое шлюз (SG) і сервер кіравання (SMS). Цяпер абмяркуем варыянты іх укаранення. Ёсць два асноўных спосабу:

  1. Standalone (SG+SMS) - варыянт, калі і шлюз і сервер кіравання ўсталёўваюцца ў рамках адной прылады (ці віртуальнай машыны).

    Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

    Такі варыянт падыходзіць калі ў вас усяго адзін шлюз, які слаба нагружаны карыстацкім трафікам. Гэты варыянт найболей эканамічны, т.к. няма неабходнасці купляць сервер кіравання (SMS). Аднак пры сур'ёзнай нагрузцы шлюза вы можаце атрымаць "тармозіць" сістэму кіравання. Таму перад выбарам Standalone рашэнні лепш за ўсё пракансультавацца ці нават пратэставаць дадзены варыянт.

  2. размеркаваны - сервер кіравання усталёўваецца асобна ад шлюза.

    Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

    Аптымальны варыянт у плане зручнасці і прадукцыйнасці. Выкарыстоўваецца калі неабходна кіраваць адразу некалькімі шлюзамі, напрыклад цэнтральным і філіяльнымі. У гэтым выпадку патрабуецца купля сервера кіравання (SMS), які таксама можа быць у выглядзе appliance (жалязякі) або віртуальнай машыны.

Як я ўжо казаў крыху вышэй, у Check Point ёсць уласная SIEM сістэма – Smart Event. Выкарыстоўваць яе вы зможаце толькі ў выпадку Distributed усталёўкі.

Рэжымы працы (Bridge, Routed)
Шлюз бяспекі (SG) можа працаваць у двух асноўных рэжымах:

  • Пракладзены - Самы распаўсюджаны варыянт. У гэтым выпадку шлюз выкарыстоўваецца як L3 прылада і маршрутызуе трафік праз сябе, г.зн. Check Point з'яўляецца шлюзам па змаўчанні для абароненай сеткі.
  • Мост - празрысты рэжым. У гэтым выпадку шлюз усталёўваецца як звычайны "мост" і прапускае праз сябе трафік на другім узроўні (OSI). Такі варыянт звычайна прымяняецца, калі няма магчымасці (або жадання) змяніць ужо існуючую інфраструктуру. Вам практычна не прыйдзецца мяняць тапалогію сеткі і не трэба задумвацца аб змене IP - адрасацыі.

Хацелася б адзначыць, што ў Bridge рэжыме ёсць некаторыя абмежаванні па функцыянале, таму мы як інтэгратар раім усім сваім кліентам выкарыстоўваць менавіта Routed рэжым, вядома калі гэта магчыма.

Праграмныя блейды (Check Point Software Blades)

Мы дабраліся ці ледзь не да самай галоўнай тэмы Check Point, якая выклікае больш за ўсё пытанняў у кліентаў. Што такое гэтыя "праграмныя блейды"? Пад блейдамі маюцца на ўвазе пэўныя функцыі Check Point.

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Дадзеныя функцыі могуць уключацца ці выключацца ў залежнасці ад патрэб. Пры гэтым ёсць блейды якія актывуюцца выключна на шлюзе (Network Security) і толькі на серверы кіравання (Management). На малюначках ніжэй прыведзены прыклады для абодвух выпадкаў:

1) Для Network Security (функцыянал шлюза)

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Апішам сцісла, т.к. кожны блейд заслугоўвае асобнага артыкула.

  • Firewall - функцыянал міжсеткавага экрана;
  • IPSec VPN - пабудова прыватныя віртуальных сетак;
  • Mobile Access – выдалены доступ з мабільных прылад;
  • IPS - сістэма прадухілення ўварванняў;
  • Anti-Bot – абарона ад ботнет сетак;
  • AntiVirus - струменевы антывірус;
  • AntiSpam & Email Security - абарона карпаратыўнай пошты;
  • Identity Awareness – інтэграцыя са службай Active Directory;
  • Monitoring - маніторынг практычна ўсіх параметраў шлюза (load, bandwidth, VPN статус і г.д.)
  • Application Control - міжсеткавы экран ўзроўню прыкладанняў (функцыянал NGFW);
  • URL Filtering - бяспека Web (+функцыянал proxy);
  • Data Loss Prevention - абарона ад уцечак інфармацыі (DLP);
  • Threat Emulation – тэхналогія пясочніц (SandBox);
  • Threat Extraction - тэхналогія ачысткі файлаў;
  • QoS - прыярытэзацыя трафіку.

Літаральна праз некалькі артыкулаў мы падрабязна разгледзім блейды Threat Emulation і Threat Extraction, упэўнены што будзе цікава.

2) Для Management (функцыянал сервера кіравання)

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

  • Network Policy Management - цэнтралізаванае кіраванне палітыкамі;
  • Endpoint Policy Management - цэнтралізаванае кіраванне агентамі Check Point (так, Check Point вырабляе рашэнні не толькі для сеткавай абароны, але і для абароны працоўных станцый (ПК) і смартфонаў);
  • Logging & Status - цэнтралізаваны збор і апрацоўка логаў;
  • Management Portal - кіраванне бяспекай з браўзэра;
  • Workflow - кантроль над зменай палітык, аўдыт змен і г.д.;
  • User Directory - інтэграцыя з LDAP;
  • Provisioning - аўтаматызацыя кіравання шлюзамі;
  • Smart Reporter - сістэма справаздачнасці;
  • Smart Event - аналіз і карэляцыя падзей (SIEM);
  • Compliance - аўтаматычная праверка налад і выдача рэкамендацый.

Мы не будзем зараз падрабязна разглядаць пытанні ліцэнзавання, каб не раздзімаць артыкул і не заблытаць чытача. Хутчэй за ўсё мы вынесем гэта ў асобную пасаду.

Архітэктура блейдаў дазваляе выкарыстоўваць толькі сапраўды патрэбныя функцыі, што адбіваецца на бюджэце рашэння і агульнай прадукцыйнасці прылады. Лагічна, што чым больш блейдаў вы актывуеце, тым менш трафіку можна "прагнаць". Менавіта таму да кожнай мадэлі Check Point прыкладаецца наступная табліца прадукцыйнасці (для прыкладу ўзялі характарыстыкі мадэлі 5400):

Check Point. Што гэта, з чым яго ядуць ці сцісла аб галоўным

Як бачыце тут прыводзяцца дзве катэгорыі тэстаў: на сінтэтычным трафіку і на рэальным - змяшаным. Наогул кажучы, Check Point проста змушаны публікаваць сінтэтычныя тэсты, т.к. некаторыя вендары выкарыстоўваюць падобныя тэсты як эталонныя, не даследуючы прадукцыйнасць сваіх рашэнняў на рэальным трафіку (або наўмысна хаваюць падобныя дадзеныя з прычыны іх нездавальняльнасці).

У кожным тыпе цеста можна заўважыць некалькі варыянтаў:

  1. тэст толькі для Firewall;
  2. тэст Firewall+IPS;
  3. тэст Firewall+IPS+NGFW (Application control);
  4. тэст Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (пясочніца)

Уважліва глядзіце на гэтыя параметры пры выбары свайго рашэння, альбо звернецеся за кансультацыяй.

Думаю на гэтым можна скончыць уступны артыкул, прысвечаны тэхналогіям Check Point. Далей мы разгледзім, як можна пратэставаць Check Point і як змагацца з сучаснымі пагрозамі інфармацыйнай бяспекі (вірусы, фішынг, шыфравальшчыкі, zero-day).

PS Важны момант. Нягледзячы на ​​замежнае (ізраільскае) паходжанне, рашэнне мае сертыфікацыю ў РФ у наглядных органах, што аўтаматам легалізуе іх наяўнасць у дзярж.установах (каментар by Denyemall).

Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. Увайдзіце, Калі ласка.

А якія UTM/NGFW сродкі карыстаецеся вы?

  • Пункт кантролю

  • Cisco Firepower

  • Fortinet

  • Апала-Альта

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Ядловец

  • UserGate

  • Traffic inspector

  • рубікон

  • Ideco

  • OpenSource рашэнне

  • Іншая

Прагаласавалі 134 карыстальніка. Устрымаліся 78 карыстальнікаў.

Крыніца: habr.com

Дадаць каментар