контролна точка. Какво е, с какво се яде или накратко за основното

Здравейте, скъпи читатели на habr! Това е корпоративният блог на компанията T.S решение. Ние сме системен интегратор и сме специализирани основно в решения за сигурност на ИТ инфраструктурата (Check Point, Fortinet) и системи за анализ на машинни данни (Splunk). Ще започнем нашия блог с кратко въведение в технологиите на Check Point.

Дълго мислихме дали да напишем тази статия, т.к. в него няма нищо ново, което да не може да се намери в интернет. Но въпреки такова изобилие от информация, когато работим с клиенти и партньори, често чуваме едни и същи въпроси. Затова беше решено да се напише някакво въведение в света на технологиите на Check Point и да се разкрие същността на архитектурата на техните решения. И всичко това в рамките на един „малък“ пост, така да се каже, едно бързо отклонение. И ще се опитаме да не влизаме в маркетингови войни, т.к. ние не сме доставчик, а просто системен интегратор (въпреки че много обичаме Check Point) и просто преминаваме през основните точки, без да ги сравняваме с други производители (като Palo Alto, Cisco, Fortinet и др.). Статията се оказа доста обемна, но отрязва повечето въпроси на етапа на запознаване с Check Point. Ако се интересувате, тогава добре дошли под котката...

UTM/NGFW

Когато започвате разговор за Check Point, първото нещо, с което трябва да започнете, е обяснение какво представляват UTM, NGFW и как се различават. Ще направим това много кратко, така че публикацията да не се окаже твърде голяма (може би в бъдеще ще разгледаме този въпрос малко по-подробно)

UTM - Унифицирано управление на заплахи

Накратко, същността на UTM е консолидирането на няколко инструмента за сигурност в едно решение. Тези. всичко в една кутия или някои ол инклузив. Какво се разбира под „множество лекарства“? Най-често срещаната опция е: защитна стена, IPS, прокси (URL филтриране), стрийминг антивирус, анти-спам, VPN и т.н. Всичко това е комбинирано в едно UTM решение, което е по-лесно от гледна точка на интеграция, конфигуриране, администриране и наблюдение, а това от своя страна има положителен ефект върху цялостната сигурност на мрежата. Когато UTM решенията се появиха за първи път, те бяха разглеждани изключително за малки компании, т.к. UTM не могат да се справят с големи обеми трафик. Това беше по две причини:

1. Начинът, по който се обработват пакетите. Първите версии на UTM решенията обработваха пакетите последователно, по всеки „модул“. Пример: първо пакетът се обработва от защитната стена, след това от IPS, след това се проверява от Anti-Virus и т.н. Естествено, подобен механизъм доведе до сериозни закъснения на трафика и силно потребление на системни ресурси (процесор, памет).
2. Слаб хардуер. Както бе споменато по-горе, последователната обработка на пакети изяде ресурси и хардуерът от онези времена (1995-2005) просто не можеше да се справи с високия трафик.

Но прогресът не стои неподвижен. Оттогава капацитетът на хардуера се увеличи значително и обработката на пакети се промени (трябва да се признае, че не всички доставчици я имат) и започна да позволява почти едновременен анализ в няколко модула наведнъж (ME, IPS, AntiVirus и др.). Съвременните UTM решения могат да „усвояват“ десетки и дори стотици гигабита в режим на дълбок анализ, което прави възможно използването им в сегмента на големи предприятия или дори центрове за данни.

По-долу е известният магически квадрант на Gartner за UTM решения за август 2016 г.:

Няма да коментирам силно тази снимка, само ще кажа, че в горния десен ъгъл има лидери.

NGFW - защитна стена от следващо поколение

Името говори само за себе си - следващо поколение защитна стена. Тази концепция се появи много по-късно от UTM. Основната идея на NGFW е дълбока проверка на пакети (DPI) с помощта на вграден IPS и контрол на достъпа на ниво приложение (Application Control). В този случай IPS е точно това, което е необходимо за идентифициране на това или онова приложение в потока от пакети, което ви позволява да го разрешите или откажете. Пример: Можем да позволим на Skype да работи, но да предотвратим прехвърлянето на файлове. Можем да забраним използването на Torrent или RDP. Поддържат се и уеб приложения: Можете да разрешите достъп до VK.com, но да забраните игри, съобщения или гледане на видеоклипове. По същество качеството на NGFW зависи от броя на приложенията, които може да дефинира. Мнозина смятат, че появата на концепцията за NGFW е обикновен маркетингов трик, срещу който Пало Алто започва своя бърз растеж.

Май 2016 г. Gartner Magic Quadrant за NGFW:

UTM срещу NGFW

Много често срещан въпрос, кое е по-добро? Тук няма еднозначен отговор и не може да има. Особено като вземете предвид факта, че почти всички съвременни UTM решения съдържат NGFW функционалност и повечето NGFW съдържат функции, присъщи на UTM (Antivirus, VPN, Anti-Bot и др.). Както винаги, „дяволът е в детайлите“, така че първо трябва да решите какво ви трябва конкретно, да вземете решение за бюджета. Въз основа на тези решения могат да бъдат избрани няколко опции. И всичко трябва да бъде недвусмислено тествано, без да се вярва на маркетинговите материали.

Ние от своя страна, в рамките на няколко статии, ще се опитаме да ви разкажем за Check Point, как можете да го изпробвате и какво по принцип можете да опитате (почти цялата функционалност).

Три контролни точки

Когато работите с Check Point, определено ще срещнете три компонента на този продукт:

1. Шлюз за сигурност (SG) - самият шлюз за сигурност, който обикновено се поставя на периметъра на мрежата и изпълнява функциите на защитна стена, стрийминг антивирус, антибот, IPS и др.
2. Сървър за управление на сигурността (SMS) - сървър за управление на шлюза. Почти всички настройки на шлюза (SG) се извършват с помощта на този сървър. SMS също може да действа като Log Server и да ги обработва с вградената система за анализ и корелация на събития - Smart Event (подобно на SIEM за Check Point), но повече за това по-късно. SMS се използва за централно управление на множество шлюзове (броят на шлюзовете зависи от модела на SMS или лиценза), но трябва да го използвате дори ако имате само един шлюз. Тук трябва да се отбележи, че Check Point е една от първите, които използват такава централизирана система за управление, която е призната за „златен стандарт“ според докладите на Gartner в продължение на много години подред. Има дори шега: "Ако Cisco имаше нормална система за управление, тогава Check Point никога нямаше да се появи."
3. Смарт конзола — клиентска конзола за свързване към сървъра за управление (SMS). Обикновено се инсталира на компютъра на администратора. Чрез тази конзола се правят всички промени на сървъра за управление и след това можете да приложите настройките към защитните шлюзове (Install Policy).

   

Операционна система Check Point

Говорейки за операционната система Check Point, три могат да бъдат припомнени наведнъж: IPSO, SPLAT и GAIA.

1. IPSO е операционната система на Ipsilon Networks, която беше собственост на Nokia. През 2009 г. Check Point купи този бизнес. Вече не се развива.
2. СПЛАТ - собствена разработка на Check Point, базирана на ядрото RedHat. Вече не се развива.
3. Gaia - текущата операционна система от Check Point, която се появи в резултат на сливането на IPSO и SPLAT, включваща всичко най-добро. Появи се през 2012 г. и продължава да се развива активно.

Говорейки за Gaia, трябва да се каже, че в момента най-разпространената версия е R77.30. Сравнително наскоро се появи версията R80, която се различава значително от предишната (както по отношение на функционалността, така и по отношение на контрола). Ще посветим отделна публикация на темата за техните различия. Друг важен момент е, че в момента само версия R77.10 има FSTEC сертификат, а версия R77.30 се сертифицира.

Опции (Check Point Appliance, Virtual machine, OpenServer)

Тук няма нищо изненадващо, тъй като много доставчици на Check Point имат няколко опции за продукти:

1. приспособление - хардуерно и софтуерно устройство, т.е. собствено "парче желязо". Има много модели, които се различават по производителност, функционалност и дизайн (има опции за индустриални мрежи).

   

2. Виртуална машина - Виртуална машина Check Point с Gaia OS. Поддържат се хипервизори ESXi, Hyper-V, KVM. Лицензиран според броя на процесорните ядра.
3. Отворен сървър - Инсталиране на Gaia директно на сървъра като основна операционна система (т.нар. "Bare metal"). Поддържа се само определен хардуер. Има препоръки за този хардуер, които трябва да се спазват, в противен случай може да има проблеми с драйверите и тези. поддръжката може да ви откаже обслужване.

Опции за внедряване (разпространени или самостоятелни)

Малко по-високо, вече обсъдихме какво представляват шлюз (SG) и сървър за управление (SMS). Сега нека обсъдим вариантите за тяхното прилагане. Има два основни начина:

1. Самостоятелен (SG+SMS) - опция, когато и шлюзът, и сървърът за управление са инсталирани на едно и също устройство (или виртуална машина).

   
   
   Тази опция е подходяща, когато имате само един шлюз, който е слабо натоварен с потребителски трафик. Този вариант е най-икономичният, т.к. няма нужда да купувате сървър за управление (SMS). Въпреки това, ако шлюзът е силно натоварен, може да се окажете с бавна система за управление. Ето защо, преди да изберете самостоятелно решение, най-добре е да се консултирате или дори да тествате тази опция.

2. Разпределени — сървърът за управление е инсталиран отделно от шлюза.

   
   
   Най-добрият вариант по отношение на удобство и производителност. Използва се, когато е необходимо да се управляват няколко шлюза наведнъж, например централни и клонови. В този случай трябва да закупите сървър за управление (SMS), който може да бъде и под формата на уред (желязо) или виртуална машина.

Както казах малко по-горе, Check Point има собствена SIEM система - Smart Event. Можете да го използвате само в случай на разпределена инсталация.

Режими на работа (мост, маршрутизиран)
Защитният шлюз (SG) може да работи в два основни режима:

• отправено - най-често срещаният вариант. В този случай шлюзът се използва като L3 устройство и маршрутизира трафика през себе си, т.е. Check Point е шлюзът по подразбиране за защитената мрежа.
• Мост - прозрачен режим. В този случай шлюзът е инсталиран като нормален „мост“ и пропуска трафик през него на втория слой (OSI). Тази опция обикновено се използва, когато няма възможност (или желание) за промяна на съществуващата инфраструктура. На практика не е необходимо да променяте мрежовата топология и не трябва да мислите за промяна на IP адресирането.

Бих искал да отбележа, че има някои функционални ограничения в режима Bridge, затова, като интегратор, съветваме всички наши клиенти да използват режима Routed, разбира се, ако е възможно.

Софтуерни блейдове (софтуерни блейдове на Check Point)

Стигнахме почти до най-важната тема на Check Point, която предизвиква най-много въпроси у клиентите. Какви са тези „софтуерни остриета“? Остриетата се отнасят за определени функции на Check Point.

Тези функции могат да бъдат включени или изключени в зависимост от вашите нужди. В същото време има блейдове, които се активират изключително на шлюза (Мрежова сигурност) и само на сървъра за управление (Управление). Снимките по-долу показват примери и за двата случая:

1) За мрежова сигурност (функционалност на портала)

Нека опишем накратко, т.к всяко острие заслужава отделна статия.

• Защитна стена - функционалност на защитната стена;
• IPSec VPN - изграждане на частни виртуални мрежи;
• Mobile Access - отдалечен достъп от мобилни устройства;
• IPS - система за предотвратяване на проникване;
• Anti-Bot - защита срещу ботнет мрежи;
• AntiVirus - стрийминг антивирус;
• AntiSpam & Email Security - защита на корпоративната поща;
• Identity Awareness – интеграция с услугата Active Directory;
• Мониторинг - мониторинг на почти всички параметри на шлюза (натоварване, честотна лента, състояние на VPN и др.)
• Application Control - защитна стена на ниво приложение (NGFW функционалност);
• URL филтриране - Уеб сигурност (+прокси функционалност);
• Data Loss Prevention – защита от изтичане на информация (DLP);
• Threat Emulation – технология пясъчник (SandBox);
• Threat Extraction - технология за почистване на файлове;
• QoS - приоритизиране на трафика.

Само в няколко статии ще разгледаме по-подробно блейдовете Threat Emulation и Threat Extraction, сигурен съм, че ще бъде интересно.

2) За управление (функционалност на сървъра за управление)

• Network Policy Management – ​​централизирано управление на политиките;
• Endpoint Policy Management - централизирано управление на агентите на Check Point (да, Check Point произвежда решения не само за мрежова защита, но и за защита на работни станции (компютри) и смартфони);
• Logging & Status - централизирано събиране и обработка на логове;
• Management Portal - управление на сигурността от браузъра;
• Работен процес – контрол върху промените в политиката, одит на промените и др.;
• User Directory – интеграция с LDAP;
• Провизия - автоматизация на управлението на шлюза;
• Smart Reporter - система за отчетност;
• Smart Event - анализ и корелация на събития (SIEM);
• Съответствие - автоматична проверка на настройките и издаване на препоръки.

Сега няма да разглеждаме подробно въпросите за лицензирането, за да не раздуваме статията и да не объркаме читателя. Най-вероятно ще го извадим в отделна публикация.

Блейд архитектурата ви позволява да използвате само функциите, от които наистина се нуждаете, което се отразява на бюджета на решението и цялостната производителност на устройството. Логично е, че колкото повече блейдове активирате, толкова по-малко трафик може да бъде „прогонен“. Ето защо следната таблица на производителността е приложена към всеки модел на Check Point (например взехме характеристиките на модела 5400):

Както можете да видите, тук има две категории тестове: върху синтетичен трафик и върху реален - смесен. Най-общо казано, Check Point просто е принуден да публикува синтетични тестове, т.к. някои доставчици използват такива тестове като бенчмаркове, без да изследват ефективността на техните решения при реален трафик (или умишлено скриват такива данни поради тяхната незадоволителна).

Във всеки тип тест можете да забележите няколко опции:

1. тест само за защитна стена;
2. Firewall + IPS тест;
3. Firewall+IPS+NGFW (Application control) тест;
4. Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast test (sandbox)

Внимателно разгледайте тези параметри, когато избирате вашето решение, или се свържете с консултация.

Мисля, че това е краят на уводната статия за технологиите на Check Point. След това ще разгледаме как можете да тествате Check Point и как да се справите със съвременните заплахи за информационната сигурност (вируси, фишинг, ransomware, zero-day).

PS Важен момент. Въпреки чуждестранния (израелски) произход, решението е сертифицирано в Руската федерация от надзорните органи, което автоматично легализира присъствието им в държавни институции (коментар на Дениемол).

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Какви UTM/NGFW инструменти използвате?

• Check Point

• Cisco Firepower

• Fortinet

• Пало Алто

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Обикновена хвойна

• UserGate

• пътен инспектор

• Рубикон

• Идеко

• решение с отворен код

• Друг

134 потребители гласуваха. 78 потребители се въздържаха.

Източник: www.habr.com