ProHoster > Блог > Administracija > kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari
Pozdrav, dragi čitaoci habra! Ovo je korporativni blog kompanije T.S Solution. Mi smo sistem integrator i uglavnom smo specijalizovani za sigurnosna rješenja IT infrastrukture (Check Point, Fortinet) i sistemi za analizu mašinskih podataka (Splunk). Naš blog ćemo započeti kratkim uvodom u Check Point tehnologije.

Dugo smo razmišljali da li da napišemo ovaj članak, jer. nema ničeg novog u njemu što se ne može naći na internetu. Međutim, i pored tolikog obilja informacija, u radu sa klijentima i partnerima često čujemo ista pitanja. Stoga je odlučeno da se napiše neka vrsta uvoda u svijet Check Point tehnologija i otkrije suštinu arhitekture njihovih rješenja. I sve to u okviru jednog “malog” posta, da tako kažem, brze digresije. I trudićemo se da ne ulazimo u marketinške ratove, jer. mi nismo dobavljač, već samo sistem integrator (iako jako volimo Check Point) i samo prelazimo preko glavnih tačaka bez upoređivanja sa drugim proizvođačima (kao što su Palo Alto, Cisco, Fortinet, itd.). Članak se pokazao prilično obimnim, ali je odsjekao većinu pitanja u fazi upoznavanja s Check Pointom. Ako ste zainteresovani, dobrodošli pod mačku...

UTM/NGFW

Kada započnete razgovor o Check Pointu, prva stvar koju treba početi je objašnjenje šta su UTM, NGFW i po čemu se razlikuju. To ćemo učiniti vrlo sažeto kako objava ne bi ispala prevelika (možda ćemo u budućnosti malo detaljnije razmotriti ovo pitanje)

UTM - Unified Threat Management

Ukratko, suština UTM-a je konsolidacija nekoliko sigurnosnih alata u jednom rješenju. One. sve u jednoj kutiji ili neki all inclusive. Šta se podrazumijeva pod "višestrukim lijekovima"? Najčešća opcija je: Firewall, IPS, Proxy (filtriranje URL-a), Streaming Antivirus, Anti-Spam, VPN i tako dalje. Sve je to objedinjeno u okviru jednog UTM rješenja, koje je lakše u smislu integracije, konfiguracije, administracije i nadzora, a to se zauzvrat pozitivno odražava na ukupnu sigurnost mreže. Kada su se UTM rješenja prvi put pojavila, razmišljala su isključivo o malim kompanijama, jer. UTM-ovi nisu mogli podnijeti velike količine saobraćaja. Ovo je bilo iz dva razloga:

  1. Rukovanje paketima. Prve verzije UTM rješenja obrađivale su pakete sekvencijalno, po svakom “modulu”. Primer: prvo paket obrađuje firewall, zatim IPS, zatim ga proverava Anti-Virus i tako dalje. Naravno, takav mehanizam je uveo ozbiljna kašnjenja u saobraćaju i veliku potrošnju sistemskih resursa (procesor, memorija).
  2. Slab hardver. Kao što je gore pomenuto, sekvencijalna obrada paketa je trošila resurse i hardver tog vremena (1995-2005) jednostavno nije mogao da se nosi sa velikim prometom.

Ali napredak ne miruje. Od tada su se hardverski kapaciteti značajno povećali, a procesiranje paketa se promijenilo (mora se priznati da ga nemaju svi dobavljači) i počelo je omogućavati gotovo istovremenu analizu u nekoliko modula odjednom (ME, IPS, AntiVirus, itd.). Moderna UTM rješenja mogu "svariti" desetine, pa čak i stotine gigabita u načinu duboke analize, što ih čini mogućim za korištenje u segmentu velikih poduzeća ili čak podatkovnih centara.

Ispod je Gartnerov čuveni Magični kvadrant za UTM rješenja za avgust 2016:

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

Neću oštro komentarisati ovu sliku, samo ću reći da su lideri u gornjem desnom uglu.

NGFW - Firewall sljedeće generacije

Ime govori samo za sebe - firewall nove generacije. Ovaj koncept se pojavio mnogo kasnije od UTM-a. Glavna ideja NGFW-a je dubinska inspekcija paketa (DPI) koristeći ugrađeni IPS i kontrolu pristupa na nivou aplikacije (Application Control). U ovom slučaju, IPS je upravo ono što je potrebno za identifikaciju ove ili one aplikacije u streamu paketa, što vam omogućava da je dozvolite ili odbijete. Primjer: Možemo dozvoliti Skype-u da radi, ali spriječiti prijenos datoteka. Možemo zabraniti upotrebu Torrenta ili RDP-a. Podržane su i web aplikacije: Možete dozvoliti pristup VK.com, ali spriječiti igre, poruke ili gledanje video zapisa. U suštini, kvalitet NGFW ovisi o broju aplikacija koje može definirati. Mnogi vjeruju da je pojava koncepta NGFW bila uobičajen marketinški trik protiv kojeg je Palo Alto započeo svoj brzi rast.

Maj 2016 Gartner Magic Quadrant za NGFW:

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

UTM vs NGFW

Vrlo često pitanje, šta je bolje? Ovdje nema jedinstvenog odgovora i ne može biti. Pogotovo kada uzmete u obzir činjenicu da gotovo sva moderna UTM rješenja sadrže NGFW funkcionalnost, a većina NGFW-ova sadrži funkcije inherentne UTM-u (Antivirus, VPN, Anti-Bot, itd.). Kao i uvijek, „đavo je u detaljima“, pa prije svega morate odlučiti šta vam konkretno treba, odlučiti se o budžetu. Na osnovu ovih odluka može se odabrati nekoliko opcija. I sve treba nedvosmisleno testirati, ne vjerujući marketinškim materijalima.

Mi ćemo zauzvrat, u okviru nekoliko članaka, pokušati da vam kažemo o Check Pointu, kako ga možete isprobati i šta, u principu, možete isprobati (gotovo sve funkcionalnosti).

Tri entiteta kontrolne tačke

Kada radite sa Check Pointom, sigurno ćete naići na tri komponente ovog proizvoda:

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

  1. Security Gateway (SG) - sam sigurnosni gateway, koji se obično postavlja na perimetar mreže i obavlja funkcije firewall-a, streaming antivirusa, anti-bota, IPS-a itd.
  2. Server za upravljanje sigurnošću (SMS) - server za upravljanje gateway-om. Skoro sva podešavanja na gateway-u (SG) se izvode pomoću ovog servera. SMS takođe može da deluje kao Log server i da ih obrađuje pomoću ugrađenog sistema za analizu događaja i korelacije – Smart Event (slično SIEM-u za Check Point), ali o tome kasnije. SMS se koristi za centralno upravljanje višestrukim gateway-ima (broj gateway-a zavisi od SMS modela ili licence), ali ga morate koristiti čak i ako imate samo jedan gateway. Ovdje treba napomenuti da je Check Point bio jedan od prvih koji je koristio ovakav centralizirani sistem upravljanja, koji je prema Gartnerovim izvještajima već dugi niz godina prepoznat kao „zlatni standard“. Postoji čak i vic: "Da je Cisco imao normalan sistem kontrole, Check Point se nikada ne bi pojavio."
  3. Smart Console — klijentska konzola za povezivanje sa serverom za upravljanje (SMS). Obično se instalira na računar administratora. Preko ove konzole se vrše sve promjene na serveru za upravljanje, a nakon toga možete primijeniti postavke na sigurnosne gatewaye (Install Policy).

    kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

Operativni sistem Check Point

Govoreći o Check Point operativnom sistemu, tri se mogu pozvati odjednom: IPSO, SPLAT i GAIA.

  1. IPSO je operativni sistem kompanije Ipsilon Networks, koji je bio u vlasništvu Nokije. 2009. godine, Check Point je kupio ovaj posao. Više nije razvijeno.
  2. SPLAT - vlastiti razvoj Check Point-a, baziran na RedHat kernelu. Više nije razvijeno.
  3. gaia - aktuelni operativni sistem kompanije Check Point, koji je nastao kao rezultat spajanja IPSO-a i SPLAT-a, koji u sebi sadrži sve najbolje. Pojavio se 2012. godine i nastavlja se aktivno razvijati.

Govoreći o Gaii, treba reći da je trenutno najčešća verzija R77.30. Relativno nedavno se pojavila verzija R80, koja se značajno razlikuje od prethodne (i po funkcionalnosti i po kontroli). Temi njihovih razlika posvetit ćemo poseban post. Još jedna važna stvar je da trenutno samo verzija R77.10 ima FSTEC certifikat, a verzija R77.30 se certificira.

Opcije (Check Point uređaj, virtuelna mašina, OpenServer)

Ovdje nema ništa iznenađujuće, jer mnogi dobavljači Check Pointa imaju nekoliko opcija proizvoda:

  1. uređaj - hardverski i softverski uređaj, tj. sopstveni "komad gvožđa". Postoji mnogo modela koji se razlikuju po performansama, funkcionalnosti i dizajnu (postoje opcije za industrijske mreže).

    kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

  2. Virtuelna mašina - Check Point virtuelna mašina sa Gaia OS. Podržani su hipervizori ESXi, Hyper-V, KVM. Licencirano prema broju procesorskih jezgara.
  3. openserver - Instaliranje Gaie direktno na server kao glavni operativni sistem (tzv. "Bare metal"). Podržan je samo određeni hardver. Postoje preporuke za ovaj hardver koje se moraju poštovati, inače može doći do problema sa drajverima i njima. podrška vam može odbiti uslugu.

Opcije implementacije (Distribuirano ili samostalno)

Malo više, već smo raspravljali o tome šta su gateway (SG) i server za upravljanje (SMS). Sada razgovarajmo o opcijama za njihovu implementaciju. Postoje dva glavna načina:

  1. Samostalno (SG+SMS) - opcija kada su i gateway i server za upravljanje instalirani unutar istog uređaja (ili virtuelne mašine).

    kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

    Ova opcija je prikladna kada imate samo jedan gateway, koji je malo opterećen korisničkim prometom. Ova opcija je najekonomičnija, jer. nema potrebe za kupovinom servera za upravljanje (SMS). Međutim, ako je gateway jako opterećen, možete završiti sa sporim kontrolnim sistemom. Stoga, prije nego što odaberete samostalno rješenje, najbolje je konzultirati ili čak testirati ovu opciju.

  2. Distribuirani — upravljački server se instalira odvojeno od mrežnog prolaza.

    kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

    Najbolja opcija u smislu praktičnosti i performansi. Koristi se kada je potrebno upravljati s nekoliko pristupnika odjednom, na primjer, centralnim i ograncima. U tom slučaju morate kupiti upravljački server (SMS), koji također može biti u obliku uređaja (komad željeza) ili virtualne mašine.

Kao što sam već rekao, Check Point ima sopstveni SIEM sistem - Smart Event. Možete ga koristiti samo u slučaju Distribuirane instalacije.

Načini rada (most, rutirani)
Security Gateway (SG) može raditi u dva osnovna načina:

  • Usmjereni - najčešća opcija. U ovom slučaju, gateway se koristi kao L3 uređaj i usmjerava promet kroz sebe, tj. Check Point je podrazumevani gateway za zaštićenu mrežu.
  • most - transparentan način rada. U ovom slučaju, gateway je instaliran kao normalan “most” i kroz njega prolazi saobraćaj na drugom sloju (OSI). Ova opcija se obično koristi kada ne postoji mogućnost (ili želja) za promjenom postojeće infrastrukture. Praktično ne morate mijenjati topologiju mreže i ne morate razmišljati o promjeni IP adresiranja.

Želio bih napomenuti da postoje neka funkcionalna ograničenja u Bridge modu, stoga, kao integrator, savjetujemo svim našim klijentima da koriste Routed mod, naravno, ako je moguće.

Software Blades (Check Point Software Blades)

Stigli smo skoro do najvažnije Check Point teme, koja izaziva najviše pitanja kod kupaca. Šta su to “softverski blejdovi”? Oštrice se odnose na određene funkcije Check Point-a.

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

Ove funkcije se mogu uključiti ili isključiti ovisno o vašim potrebama. Istovremeno, postoje blejdovi koji se aktiviraju isključivo na gateway-u (Network Security) i samo na serveru za upravljanje (Management). Slike ispod prikazuju primjere za oba slučaja:

1) Za mrežnu sigurnost (funkcionalnost gatewaya)

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

Opišimo ukratko, jer svaka oštrica zaslužuje poseban članak.

  • Firewall - funkcionalnost zaštitnog zida;
  • IPSec VPN - izgradnja privatnih virtuelnih mreža;
  • Mobilni pristup - daljinski pristup sa mobilnih uređaja;
  • IPS - sistem za sprečavanje upada;
  • Anti-Bot - zaštita od botnet mreža;
  • AntiVirus - streaming antivirus;
  • AntiSpam & Email Security - zaštita korporativne pošte;
  • Identity Awareness - integracija sa uslugom Active Directory;
  • Monitoring - praćenje gotovo svih parametara gatewaya (opterećenje, propusni opseg, VPN status, itd.)
  • Kontrola aplikacija - zaštitni zid na nivou aplikacije (NGFW funkcionalnost);
  • Filtriranje URL-a - Web sigurnost (+proxy funkcionalnost);
  • Prevencija gubitka podataka - zaštita od curenja informacija (DLP);
  • Threat Emulation - sandbox tehnologija (SandBox);
  • Threat Extraction - tehnologija čišćenja datoteka;
  • QoS - prioritet saobraćaja.

U samo nekoliko članaka pobliže ćemo pogledati Threat Emulation i Threat Extraction blade, siguran sam da će biti zanimljivo.

2) Za menadžment (funkcionalnost servera za upravljanje)

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

  • Upravljanje mrežnom politikom - centralizovano upravljanje politikama;
  • Endpoint Policy Management - centralizovano upravljanje Check Point agentima (da, Check Point proizvodi rešenja ne samo za zaštitu mreže, već i za zaštitu radnih stanica (PC) i pametnih telefona);
  • Logging & Status - centralizirano prikupljanje i obrada trupaca;
  • Management Portal - upravljanje sigurnošću iz pretraživača;
  • Tok rada - kontrola promjena politike, revizija promjena, itd.;
  • Korisnički imenik - integracija sa LDAP-om;
  • Obezbeđivanje - automatizacija upravljanja gateway-om;
  • Smart Reporter - sistem izvještavanja;
  • Smart Event - analiza i korelacija događaja (SIEM);
  • Usklađenost - automatska provjera postavki i izdavanje preporuka.

Nećemo sada detaljno razmatrati pitanja licenciranja, kako ne bismo naduvali članak i zbunili čitaoca. Najvjerovatnije ćemo to iznijeti u posebnom postu.

Blade arhitektura vam omogućava da koristite samo funkcije koje su vam zaista potrebne, što utiče na budžet rješenja i ukupne performanse uređaja. Logično je da što više oštrica aktivirate, to se manje saobraćaja može „otjerati“. Zbog toga je sljedeća tabela performansi priložena svakom Check Point modelu (na primjer, uzeli smo karakteristike modela 5400):

kontrolni punkt. Šta je, sa čime se jede ili ukratko o glavnoj stvari

Kao što vidite, ovdje postoje dvije kategorije testova: na sintetičkom prometu i na stvarnom - mješovitom. Uopšteno govoreći, Check Point je jednostavno primoran da objavljuje sintetičke testove, jer. neki dobavljači koriste takve testove kao benčmarke bez ispitivanja performansi svojih rješenja u stvarnom prometu (ili namjerno skrivaju takve podatke zbog njihove nezadovoljavajuće).

U svakoj vrsti testa možete uočiti nekoliko opcija:

  1. test samo za Firewall;
  2. Firewall + IPS test;
  3. Firewall+IPS+NGFW (kontrola aplikacije) test;
  4. Vatrozid+Kontrola aplikacije+URL filtriranje+IPS+Antivirus+Anti-Bot+SandBlast test (sandbox)

Pažljivo pogledajte ove parametre kada birate svoje rješenje ili kontaktirajte za konsultacije.

Mislim da je ovo kraj uvodnog članka o Check Point tehnologijama. Zatim ćemo pogledati kako možete testirati Check Point i kako se nositi s modernim prijetnjama sigurnosti informacija (virusi, phishing, ransomware, zero-day).

PS Važna stvar. Uprkos stranom (izraelskom) porijeklu, rješenje je u Ruskoj Federaciji certificirano od strane nadzornih organa, čime se automatski legalizira njihovo prisustvo u državnim institucijama (komentar Denyemall).

Samo registrovani korisnici mogu učestvovati u anketi. Prijavite semolim.

Koje UTM/NGFW alate koristite?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • stražar

  • kleka

  • UserGate

  • saobraćajni inspektor

  • Rubicon

  • Ideco

  • rješenje otvorenog koda

  • Ostalo

Glasalo je 134 korisnika. Uzdržano je bilo 78 korisnika.

izvor: www.habr.com

Dodajte komentar