Hola, estimats lectors d'habr! Aquest és el bloc corporatiu de l'empresa . Som un integrador de sistemes i estem principalment especialitzats en solucions de seguretat d'infraestructura informàtica (, ) i sistemes d'anàlisi de dades de màquines (). Començarem el nostre bloc amb una breu introducció a les tecnologies Check Point.
Vam pensar durant molt de temps si escriure aquest article, perquè. no hi ha res de nou que no es pugui trobar a Internet. No obstant això, malgrat tanta abundància d'informació, quan treballem amb clients i socis, sovint sentim les mateixes preguntes. Per això, es va decidir escriure algun tipus d'introducció al món de les tecnologies Check Point i revelar l'essència de l'arquitectura de les seves solucions. I tot això en el marc d'un "petit" post, per dir-ho d'alguna manera, una digressió ràpida. I intentarem no entrar en guerres de màrqueting, perquè. no som un venedor, sinó només un integrador de sistemes (tot i que ens agrada molt Check Point) i només repassem els punts principals sense comparar-los amb altres fabricants (com Palo Alto, Cisco, Fortinet, etc.). L'article va resultar ser bastant voluminós, però talla la majoria de preguntes en l'etapa de familiarització amb Check Point. Si estàs interessat, benvingut sota el gat...
UTM/NGFW
Quan inicieu una conversa sobre Check Point, el primer que cal començar és una explicació de què són UTM i NGFW i en què es diferencien. Ho farem de manera molt concisa perquè la publicació no resulti massa gran (potser en el futur analitzarem aquest tema amb una mica més de detall)
UTM - Gestió unificada de les amenaces
En resum, l'essència d'UTM és la consolidació de diverses eines de seguretat en una solució. Aquells. tot en una caixa o alguns amb tot inclòs. Què s'entén per "remeis múltiples"? L'opció més habitual és: Firewall, IPS, Proxy (filtratge d'URL), Streaming Antivirus, Anti-Spam, VPN, etc. Tot això es combina dins d'una solució UTM, que és més fàcil en termes d'integració, configuració, administració i supervisió, i això, al seu torn, té un efecte positiu en la seguretat global de la xarxa. Quan van aparèixer per primera vegada les solucions UTM, es van considerar exclusivament per a petites empreses, perquè. Els UTM no podien gestionar grans volums de trànsit. Això va ser per dos motius:
- Manipulació de paquets. Les primeres versions de solucions UTM processaven paquets seqüencialment, per cada "mòdul". Exemple: primer el paquet és processat pel tallafoc, després per IPS, després és comprovat per Anti-Virus i així successivament. Naturalment, aquest mecanisme va introduir retards de trànsit greus i un gran consum de recursos del sistema (processador, memòria).
- Maquinari feble. Com s'ha esmentat anteriorment, el processament seqüencial de paquets consumia recursos i el maquinari d'aquells temps (1995-2005) simplement no podia fer front a un trànsit elevat.
Però el progrés no s'atura. Des d'aleshores, les capacitats del maquinari han augmentat notablement, i el processament de paquets ha canviat (cal reconèixer que no tots els venedors en tenen) i es va començar a permetre l'anàlisi quasi simultània en diversos mòduls alhora (ME, IPS, AntiVirus, etc.). Les solucions UTM modernes poden "digerir" desenes i fins i tot centenars de gigabits en mode d'anàlisi profunda, cosa que permet utilitzar-les en el segment de grans empreses o fins i tot centres de dades.
A continuació es mostra el famós Quadrant Màgic de Gartner per a solucions UTM per a l'agost de 2016:
No comentaré amb força aquesta imatge, només diré que hi ha líders a l'angle superior dret.
NGFW - Tallafocs de nova generació
El nom parla per si mateix: tallafocs de nova generació. Aquest concepte va aparèixer molt més tard que UTM. La idea principal de NGFW és la inspecció profunda de paquets (DPI) mitjançant IPS integrat i control d'accés a nivell d'aplicació (Control d'aplicacions). En aquest cas, IPS és just el que es necessita per identificar aquesta o aquella aplicació en el flux de paquets, que permet permetre-la o denegar-la. Exemple: podem permetre que Skype funcioni, però evitem les transferències de fitxers. Podem prohibir l'ús de Torrent o RDP. També s'admeten aplicacions web: podeu permetre l'accés a VK.com, però evitar jocs, missatges o veure vídeos. Bàsicament, la qualitat d'un NGFW depèn del nombre d'aplicacions que pugui definir. Molts creuen que l'aparició del concepte de NGFW va ser una estratagema de màrqueting comuna contra la qual Palo Alto va començar el seu ràpid creixement.
Quadrant màgic de Gartner de maig de 2016 per a NGFW:
UTM vs NGFW
Una pregunta molt freqüent, quina és millor? No hi ha una única resposta aquí i no pot ser-ho. Sobretot si teniu en compte el fet que gairebé totes les solucions UTM modernes contenen funcionalitat NGFW i la majoria de NGFW contenen funcions inherents a UTM (Antivirus, VPN, Anti-Bot, etc.). Com sempre, "el diable està en els detalls", així que primer de tot has de decidir què necessites concretament, decidir el pressupost. A partir d'aquestes decisions, es poden seleccionar diverses opcions. I tot s'ha de provar sense ambigüitats, sense creure en els materials de màrqueting.
Nosaltres, al seu torn, en el marc de diversos articles, intentarem explicar-vos sobre Check Point, com podeu provar-lo i què, en principi, podeu provar (gairebé totes les funcionalitats).
Tres entitats Check Point
Quan treballeu amb Check Point, segur que trobareu tres components d'aquest producte:
- Passarel·la de seguretat (SG) - la mateixa passarel·la de seguretat, que normalment es col·loca al perímetre de la xarxa i realitza les funcions de tallafoc, antivirus de streaming, anti-bot, IPS, etc.
- Servidor de gestió de seguretat (SMS) - Servidor de gestió de passarel·les. Gairebé tots els paràmetres de la passarel·la (SG) es realitzen mitjançant aquest servidor. L'SMS també pot actuar com a servidor de registre i processar-los amb el sistema d'anàlisi i correlació d'esdeveniments integrat: Smart Event (semblant a SIEM per Check Point), però més endavant. L'SMS s'utilitza per gestionar de manera centralitzada diverses passarel·les (el nombre de passarel·les depèn del model o llicència d'SMS), però l'heu d'utilitzar encara que només tingueu una passarel·la. Cal assenyalar aquí que Check Point va ser un dels primers a utilitzar aquest sistema de gestió centralitzat, que ha estat reconegut com el "estàndard d'or" segons els informes de Gartner durant molts anys consecutius. Fins i tot hi ha una broma: "Si Cisco tingués un sistema de control normal, llavors Check Point no hauria aparegut mai".
- Consola intel·ligent — consola de client per connectar-se al servidor de gestió (SMS). Normalment s'instal·la a l'ordinador de l'administrador. Mitjançant aquesta consola, tots els canvis es realitzen al servidor de gestió, i després podeu aplicar la configuració a les passarel·les de seguretat (Política d'instal·lació).
Sistema operatiu Check Point
Parlant del sistema operatiu Check Point, se'n poden recordar tres alhora: IPSO, SPLAT i GAIA.
- IPSO és el sistema operatiu d'Ipsilon Networks, propietat de Nokia. L'any 2009, Check Point va comprar aquest negoci. Ja no es desenvolupa.
- SPLAT - Desenvolupament propi de Check Point, basat en el nucli RedHat. Ja no es desenvolupa.
- Gaia - el sistema operatiu actual de Check Point, que va sorgir arran de la fusió d'IPSO i SPLAT, incorporant tot el millor. Va aparèixer el 2012 i continua desenvolupant-se activament.
Parlant de Gaia, cal dir que de moment la versió més habitual és R77.30. Fa relativament poc temps ha aparegut la versió R80, que difereix significativament de l'anterior (tant pel que fa a la funcionalitat com al control). Dedicarem una entrada a part al tema de les seves diferències. Un altre punt important és que de moment només la versió R77.10 té el certificat FSTEC i la versió R77.30 s'està certificant.
Opcions (Check Point Appliance, màquina virtual, OpenServer)
No hi ha res d'estranyar aquí, ja que molts venedors de Check Point tenen diverses opcions de producte:
- aparell - dispositiu de maquinari i programari, és a dir. pròpia "peça de ferro". Hi ha molts models que es diferencien en rendiment, funcionalitat i disseny (hi ha opcions per a xarxes industrials).
- Màquina virtual - Màquina virtual Check Point amb Gaia OS. S'admeten els hipervisors ESXi, Hyper-V, KVM. Llicència segons el nombre de nuclis de processador.
- servidor obert - Instal·lació de Gaia directament al servidor com a sistema operatiu principal (l'anomenat "Barre metal"). Només s'admet cert maquinari. Hi ha recomanacions per a aquest maquinari que cal seguir, en cas contrari pot haver-hi problemes amb els controladors i aquests. El suport pot rebutjar el servei.
Opcions d'implementació (distribuïts o autònoms)
Una mica més amunt, ja hem comentat què són una passarel·la (SG) i un servidor de gestió (SMS). Ara discutim les opcions per a la seva implementació. Hi ha dues maneres principals:
- Autònom (SG+SMS) - una opció quan tant la passarel·la com el servidor de gestió estan instal·lats dins del mateix dispositiu (o màquina virtual).
Aquesta opció és adequada quan només teniu una passarel·la, que està lleugerament carregada de trànsit d'usuaris. Aquesta opció és la més econòmica, perquè. no cal comprar un servidor de gestió (SMS). Tanmateix, si la passarel·la està molt carregada, és possible que acabeu amb un sistema de control lent. Per tant, abans d'escollir una solució autònoma, el millor és consultar o fins i tot provar aquesta opció. - Distribuït — el servidor de gestió s'instal·la per separat de la passarel·la.
La millor opció en termes de comoditat i rendiment. S'utilitza quan cal gestionar diverses passarel·les alhora, per exemple, centrals i sucursals. En aquest cas, cal adquirir un servidor de gestió (SMS), que també pot tenir la forma d'un aparell (peça de ferro) o una màquina virtual.
Com he dit abans, Check Point té el seu propi sistema SIEM - Smart Event. Només el podeu utilitzar en cas d'instal·lació distribuïda.
Modes de funcionament (pont, encaminat)
La passarel·la de seguretat (SG) pot funcionar de dues maneres bàsiques:
- Ruta - L'opció més habitual. En aquest cas, la passarel·la s'utilitza com a dispositiu L3 i encamina el trànsit per ella mateixa, és a dir. Check Point és la passarel·la predeterminada per a la xarxa protegida.
- Bridge - Mode transparent. En aquest cas, la passarel·la s'instal·la com un "pont" normal i hi passa el trànsit a la segona capa (OSI). Aquesta opció s'acostuma a utilitzar quan no hi ha possibilitat (o desig) de canviar la infraestructura existent. Pràcticament no cal canviar la topologia de la xarxa ni pensar en canviar l'adreça IP.
M'agradaria assenyalar que hi ha algunes limitacions funcionals en el mode Bridge, per tant, com a integrador, aconsellem a tots els nostres clients que utilitzin el mode Enrutat, és clar, si és possible.
Blades de programari (Blades de programari Check Point)
Hem arribat gairebé al tema de Check Point més important, que planteja la majoria de preguntes dels clients. Quines són aquestes "palpes de programari"? Les fulles fan referència a determinades funcions de Check Point.
Aquestes funcions es poden activar o desactivar segons les vostres necessitats. Al mateix temps, hi ha blades que s'activen exclusivament a la passarel·la (Network Security) i només al servidor de gestió (Management). Les imatges següents mostren exemples per als dos casos:
1) Per a la seguretat de la xarxa (funcionalitat de passarel·la)
Descrivim breument, perquè cada fulla mereix un article a part.
- Tallafoc - funcionalitat del tallafoc;
- VPN IPSec: creació de xarxes virtuals privades;
- Accés mòbil: accés remot des de dispositius mòbils;
- IPS - sistema de prevenció d'intrusions;
- Anti-Bot: protecció contra xarxes de botnets;
- AntiVirus - antivirus en streaming;
- AntiSpam i seguretat del correu electrònic: protecció del correu corporatiu;
- Coneixement de la identitat: integració amb el servei Active Directory;
- Supervisió: seguiment de gairebé tots els paràmetres de la passarel·la (càrrega, amplada de banda, estat de VPN, etc.)
- Control d'aplicacions: tallafoc a nivell d'aplicació (funcionalitat NGFW);
- Filtratge d'URL - Seguretat web (+funcionalitat de proxy);
- Prevenció de pèrdues de dades: protecció contra fuites d'informació (DLP);
- Emulació d'amenaces: tecnologia sandbox (SandBox);
- Threat Extraction: tecnologia de neteja de fitxers;
- QoS: priorització del trànsit.
En només uns quants articles, veurem més de prop les fulles d'emulació d'amenaces i d'extracció d'amenaces, segur que serà interessant.
2) Per a la gestió (funcionalitat del servidor de gestió)
- Gestió de polítiques de xarxa: gestió centralitzada de polítiques;
- Gestió de polítiques de punt final: gestió centralitzada dels agents de Check Point (sí, Check Point produeix solucions no només per a la protecció de la xarxa, sinó també per protegir les estacions de treball (ordinadors) i els telèfons intel·ligents);
- Logging & Status: recollida i processament centralitzat de registres;
- Portal de gestió: gestió de seguretat des del navegador;
- Flux de treball: control dels canvis de política, auditoria de canvis, etc.;
- Directori d'usuaris: integració amb LDAP;
- Aprovisionament: automatització de la gestió de passarel·les;
- Smart Reporter - sistema d'informes;
- Smart Event - anàlisi i correlació d'esdeveniments (SIEM);
- Compliment: comprovació automàtica de la configuració i emissió de recomanacions.
Ara no considerarem en detall els problemes de llicència, per no inflar l'article i confondre el lector. El més probable és que ho traurem en una publicació a part.
L'arquitectura blade us permet utilitzar només les funcions que realment necessiteu, cosa que afecta el pressupost de la solució i el rendiment global del dispositiu. És lògic que com més blades activeu, menys trànsit es pot "allunyar". És per això que s'adjunta la següent taula de rendiment a cada model Check Point (per exemple, vam agafar les característiques del model 5400):
Com podeu veure, aquí hi ha dues categories de proves: sobre trànsit sintètic i sobre real - mixt. En termes generals, Check Point es veu simplement obligat a publicar proves sintètiques, perquè. alguns venedors utilitzen aquestes proves com a punts de referència sense examinar el rendiment de les seves solucions en el trànsit real (o oculten deliberadament aquestes dades a causa de la seva insatisfacció).
En cada tipus de prova, podeu observar diverses opcions:
- prova només per al tallafoc;
- Tallafocs + prova IPS;
- Prova de tallafoc+IPS+NGFW (control d'aplicacions);
- Tallafoc+Control d'aplicacions+Filtratge d'URL+IPS+Antivirus+Anti-Bot+Prova SandBlast (sandbox)
Mireu detingudament aquests paràmetres a l'hora de triar la vostra solució o contacteu-hi .
Crec que aquest és el final de l'article introductori sobre les tecnologies de Check Point. A continuació, veurem com podeu provar Check Point i com fer front a les amenaces modernes de seguretat de la informació (virus, phishing, ransomware, zero-day).
PS Un punt important. Malgrat l'origen estranger (israelià), la solució està certificada a la Federació Russa per les autoritats de supervisió, que legalitza automàticament la seva presència a les institucions estatals (comentari de ).
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Quines eines UTM/NGFW fas servir?
-
Check Point
-
Potència de foc de Cisco
-
Fortinet
-
Palo Alto
-
Sophos
-
Dell SonicWALL
-
Huawei
-
guàrdia de rellotge
-
Ginebre
-
UserGate
-
inspector de trànsit
-
Rubicó
-
Ideco
-
solució de codi obert
-
Un altre
Han votat 134 usuaris. 78 usuaris es van abstenir.
Font: www.habr.com