puntu di cuntrollu. Chì ghjè, ciò chì hè manghjatu cù, o brevemente nantu à a cosa principale

Ciao, cari lettori di habr! Questu hè u blog corporativu di a cumpagnia Soluzione T.S. Semu un integratore di sistemi è specializzati principalmente in soluzioni di sicurezza di l'infrastruttura IT (Check Point, Fortinet) è sistemi di analisi di dati di macchina (Splunk). Cuminceremu u nostru blog cù una breve introduzione à e tecnulugia Check Point.

Avemu pensatu per un bellu pezzu per scrive stu articulu, perchè. ùn ci hè nunda di novu in questu chì ùn pò micca esse truvatu in Internet. Tuttavia, malgradu una tale abbundanza di informazioni, quandu u travagliu cù i clienti è i partenarii, avemu spessu intesu e stesse dumande. Per quessa, hè statu decisu di scrive un tipu d'intruduzioni à u mondu di i tecnulugii Check Point è revelà l'essenza di l'architettura di e so suluzioni. È tuttu questu in u quadru di un postu "picculu", per dì, una digressione rapida. E avemu da pruvà à ùn andà in guerri di marketing, perchè. Ùn simu micca un venditore, ma solu un integratore di sistema (ancu s'ellu ci piace assai Check Point) è solu passà nantu à i punti principali senza paragunà cù altri fabricatori (cum'è Palo Alto, Cisco, Fortinet, etc.). L'articulu hè statu abbastanza voluminoso, ma taglia a maiò parte di e dumande in u stadiu di familiarizazione cù Check Point. Sè site interessatu, allora benvenutu sottu u gattu ...

UTM/NGFW

Quandu principia una conversazione nantu à u Check Point, a prima cosa per principià hè una spiegazione di ciò chì UTM, NGFW sò è cumu si differenzi. Faremu questu assai cuncisu per chì u post ùn sia micca troppu grande (forse in u futuru cunsideremu stu prublema in un pocu più di dettu)

UTM - Gestione unificata di e minacce

In breve, l'essenza di UTM hè a cunsulidazione di parechji strumenti di sicurezza in una solu suluzione. Quelli. tuttu in una scatula o alcuni all inclusive. Cosa si intende per "rimedi multipli"? L'opzione più cumuna hè: Firewall, IPS, Proxy (filtrazione URL), Streaming Antivirus, Anti-Spam, VPN è cusì. Tuttu chistu hè cumminatu in una solu suluzione UTM, chì hè più faciule in quantu à l'integrazione, a cunfigurazione, l'amministrazione è u monitoraghju, è questu, à u turnu, hà un effettu pusitivu nantu à a sicurità generale di a reta. Quandu i suluzioni UTM apparsu prima, sò stati cunsiderati solu per i picculi imprese, perchè. I UTM ùn anu pussutu trattà grandi volumi di trafficu. Questu era per dui motivi:

1. Trattamentu di pacchetti. E prime versioni di e soluzioni UTM anu processatu i pacchetti in sequenza, per ogni "modulu". Esempiu: prima u pacchettu hè trattatu da u firewall, dopu da IPS, dopu hè verificatu da Anti-Virus è cusì. Naturalmente, un tali mecanismu hà introduttu ritardi di trafficu seriu è risorse di sistema assai cunsumate (prucessore, memoria).
2. Hardware debule. Cum'è l'esitatu sopra, l'elaborazione sequenziale di pacchetti hà manghjatu risorse è l'hardware di quelli tempi (1995-2005) simpricimenti ùn pudia micca affruntà un trafficu altu.

Ma u prugressu ùn si ferma. Da tandu, e capacità di hardware anu aumentatu significativamente, è u processu di pacchetti hà cambiatu (si deve esse ricunnisciutu chì micca tutti i venditori l'anu) è hà cuminciatu à permette l'analisi quasi simultanea in parechji moduli à una volta (ME, IPS, AntiVirus, etc.). I suluzioni UTM muderni ponu "digerisce" decine è ancu centinaie di gigabits in modu di analisi profonda, chì permette di usà in u segmentu di grandi imprese o ancu centri di dati.

Quì sottu hè u famosu Magic Quadrant di Gartner per e soluzioni UTM per Aostu 2016:

Ùn aghju micca cumentu fermamente nantu à sta stampa, diceraghju solu chì ci sò capi in l'angulu superiore dirittu.

NGFW - Firewall di prossima generazione

U nome parla per sè stessu - firewall di a prossima generazione. Stu cuncettu apparsu assai più tardi chì UTM. L'idea principale di NGFW hè l'ispezione profonda di pacchetti (DPI) cù IPS integrati è u cuntrollu di l'accessu à u livellu di l'applicazione (Application Control). In questu casu, IPS hè solu ciò chì hè necessariu per identificà questa o quella applicazione in u flussu di pacchetti, chì permette di permette o nigà. Esempiu: Pudemu permette à Skype per travaglià, ma impediscenu trasferimenti di schedari. Pudemu pruibisce l'usu di Torrent o RDP. L'applicazioni Web sò ancu supportate: pudete permette l'accessu à VK.com, ma impediscenu i ghjoculi, i missaghji, o fighjà video. Essenzialmente, a qualità di un NGFW dipende da u numeru di applicazioni chì pò definisce. Parechje crèdenu chì l'emergenza di u cuncettu di NGFW era una strata cumuna di cummercializazione contru à quale Palo Alto hà iniziatu a so rapida crescita.

Maghju 2016 Gartner Magic Quadrant per NGFW:

UTM vs NGFW

Una quistione assai cumuna, chì hè megliu? Ùn ci hè micca una sola risposta quì è ùn pò esse. In particulare quandu avete cunsideratu u fattu chì quasi tutte e soluzioni UTM muderne cuntenenu funziunalità NGFW è a maiò parte di NGFW cuntenenu funzioni inerenti in UTM (Antivirus, VPN, Anti-Bot, etc.). Cum'è sempre, "u diavulu hè in i dettagli", cusì prima di tuttu, avete bisognu di decide ciò chì avete bisognu specificamente, decide di u budget. Basatu nantu à sti decisioni, parechje scelte ponu esse sceltu. È tuttu deve esse pruvatu senza ambiguità, senza crede in materiali di marketing.

Avemu, à u turnu, in u quadru di parechji articuli, pruvaremu di parlà di u Check Point, cumu pudete pruvà è ciò chì, in principiu, pudete pruvà (quasi tutte e funziunalità).

Trè Entità Check Point

Quandu u travagliu cù Check Point, truverete sicuramente trè cumpunenti di stu pruduttu:

1. Gateway di Sicurezza (SG) - u gateway di sicurità stessu, chì hè generalmente situatu nantu à u perimetru di a rete è eseguisce e funzioni di un firewall, streaming antivirus, anti-bot, IPS, etc.
2. Servitore di Gestione di Sicurezza (SMS) - servitore di gestione di gateway. Quasi tutti i paràmetri nantu à u gateway (SG) sò realizati cù stu servitore. L'SMS pò ancu agisce cum'è un Servitore di Log è li processanu cù l'analisi di l'avvenimenti integrati è u sistema di correlazione - Smart Event (simile à SIEM per Check Point), ma più nantu à questu dopu. L'SMS hè utilizatu per gestisce in modu cintrali parechje gateway (u numeru di gateway dipende da u mudellu o licenza SMS), ma duvete aduprà ancu s'ellu avete una sola gateway. Ci vole à nutà quì chì Check Point hè statu unu di i primi à utilizà un sistema di gestione centralizatu cusì, chì hè statu ricunnisciutu cum'è u "standard d'oru" secondu i rapporti di Gartner per parechji anni in una fila. Ci hè ancu un scherzu: "Se Cisco avia un sistema di cuntrollu normale, allora Check Point ùn saria mai apparsu".
3. Console intelligente - cunsola cliente per cunnette à u servitore di gestione (SMS). Di solitu installatu nantu à l'urdinatore di l'amministratore. Per mezu di sta cunsola, tutti i cambiamenti sò fatti nantu à u servitore di gestione, è dopu pudete applicà i paràmetri à e porte di sicurezza (Politica d'installazione).

   

Sistema upirativu Check Point

Parlendu di u sistema operatore Check Point, trè ponu esse ricurdati in una volta: IPSO, SPLAT è GAIA.

1. IPSO hè u sistema upirativu di Ipsilon Networks, chì era pussidutu da Nokia. In u 2009, Check Point hà compru stu affari. Ùn hè più sviluppatu.
2. SPLAT - sviluppu propiu di Check Point, basatu annantu à u kernel RedHat. Ùn hè più sviluppatu.
3. Gaia - u sistema operatore attuale da Check Point, chì hè apparsu com'è u risultatu di a fusione di IPSO è SPLAT, incorporendu tutti i megliu. Apparsu in 2012 è cuntinueghja à sviluppà attivamente.

Parlendu di Gaia, deve esse dettu chì in u mumentu a versione più cumuna hè R77.30. Relativamente pocu tempu, hè apparsu a versione R80, chì difiere significativamente da a precedente (in termini di funziunalità è di cuntrollu). Dedicaremu un postu separatu à u tema di e so differenzi. Un altru puntu impurtante hè chì à u mumentu solu a versione R77.10 hà u certificatu FSTEC è a versione R77.30 hè certificata.

Opzioni (Appliance Check Point, Macchina virtuale, OpenServer)

Ùn ci hè nunda di sorpresa quì, postu chì parechji venditori di Check Point anu parechje opzioni di produttu:

1. ricarca - hardware è software, i.e. propiu "pezzu di ferru". Ci hè una mansa di mudelli chì sò diffirenti in u rendiment, a funziunalità è u disignu (ci sò opzioni per e rete industriale).

   

2. Máquina Virtual - Check Point virtual machine cù Gaia OS. Ipervisori ESXi, Hyper-V, KVM sò supportati. Licenziatu da u numeru di core di processore.
3. openserver - Installazione di Gaia direttamente nantu à u servitore cum'è u sistema operatore principale (u cusì chjamatu "Bare metal"). Solu un certu hardware hè supportatu. Ci sò cunsiglii per questu hardware chì deve esse seguitu, altrimenti pò esse prublemi cù i cunduttori è quelli. u sustegnu pò ricusà u serviziu à voi.

Opzioni di implementazione (Distribuitu o Standalone)

Un pocu più altu, avemu digià discututu ciò chì sò un gateway (SG) è un servitore di gestione (SMS). Avà discutemu l'opzioni per a so implementazione. Ci sò dui modi principali:

1. Standalone (SG + SMS) - una opzione quandu u gateway è u servitore di gestione sò stallati in u stessu dispositivu (o macchina virtuale).

   
   
   Questa opzione hè adattata quandu avete una sola porta d'ingressu, chì hè ligeramente caricata cù u trafficu di l'utilizatori. Questa opzione hè a più economica, perchè. ùn hè micca bisognu di cumprà un servitore di gestione (SMS). Tuttavia, se a porta hè assai caricata, pudete finisce cù un sistema di cuntrollu lento. Dunque, prima di sceglie una suluzione Standalone, hè megliu cunsultà o ancu pruvà sta opzione.

2. Distribuitu - u servitore di gestione hè stallatu separatamente da u gateway.

   
   
   A megliu opzione in termini di comodità è prestazioni. Hè adupratu quandu hè necessariu di gestisce parechje porte à una volta, per esempiu, cintrali è rami. In questu casu, avete bisognu di cumprà un servitore di gestione (SMS), chì pò ancu esse in a forma di un appliance (pezzu di ferru) o una macchina virtuale.

Cumu l'aghju dettu sopra, Check Point hà u so propiu sistema SIEM - Smart Event. Pudete aduprà solu in casu di installazione Distributed.

Modi operativi (Bridge, Routed)
U Gateway di Sicurezza (SG) pò operà in dui modi basi:

• Routatu - l'opzione più cumuna. In questu casu, u gateway hè utilizatu cum'è un dispositivu L3 è indirizza u trafficu per ellu stessu, i.e. Check Point hè u gateway predeterminatu per a reta prutetta.
• Bridge - modalità trasparente. In questu casu, u gateway hè stallatu cum'è un "ponte" normale è passa u trafficu attraversu à a seconda capa (OSI). Questa opzione hè generalmente aduprata quandu ùn ci hè micca pussibilità (o desideriu) di cambià l'infrastruttura esistente. Praticamente ùn avete micca bisognu di cambià a topologia di a rete è ùn avete micca bisognu di pensà à cambià l'indirizzu IP.

Vogliu nutà chì ci sò qualchi limitazioni funziunali in u modu Ponte, dunque, cum'è un integrator, avemu cunsigliatu tutti i nostri clienti à aduprà u modu Routed, sicuru, s'è pussibule.

Software Blades (Check Point Software Blades)

Avemu ghjuntu quasi à u tema più impurtante di u Check Point, chì suscita a maiò parte di e dumande da i clienti. Chì sò questi "lame di software"? Blades si riferiscenu à certe funzioni di Check Point.

Queste funzioni ponu esse attivate o disattivate sicondu i vostri bisogni. À u listessu tempu, ci sò lame chì sò attivati ​​solu nantu à u gateway (Network Security) è solu in u servitore di gestione (Management). I ritratti sottu mostranu esempi per i dui casi:

1) Per a Sicurezza di a Rete (funzionalità di gateway)

Descrivimu brevemente, perchè ogni lama merita un articulu separatu.

• Firewall - funziunalità firewall;
• IPSec VPN - custruzzione di rete virtuale privata;
• Accessu Mobile - accessu remoto da i dispositi mobile;
• IPS - sistema di prevenzione di intrusioni;
• Anti-Bot - prutezzione contra e rete botnet;
• AntiVirus - streaming antivirus;
• AntiSpam & Email Security - prutezzione di mail corporativu;
• Sensibilizazione di l'identità - integrazione cù u serviziu Active Directory;
• Monitoraghju - monitoraghju di quasi tutti i paràmetri di a porta (carica, larghezza di banda, status VPN, etc.)
• Cuntrolla di l'applicazioni - firewall à livellu di l'applicazione (funzionalità NGFW);
• Filtru URL - Sicurezza Web (+ funziunalità proxy);
• Prevenzione di perdita di dati - prutezzione di fuga di informazioni (DLP);
• Threat Emulation - tecnulugia sandbox (SandBox);
• Threat Extraction - tecnulugia di pulizia di schedari;
• QoS - priorità di trafficu.

In solu uni pochi articuli, daremu un ochju più vicinu à e lame di Emulazione di Minaccia è Estrazione di Minaccia, sò sicuru chì serà interessante.

2) Per a gestione (funzionalità di u servitore di gestione)

• Network Policy Management - gestione di pulitica centralizzata;
• Endpoint Policy Management - gestione centralizzata di l'agenti Check Point (sì, Check Point produce suluzioni micca solu per a prutezzione di a rete, ma ancu per a prutezzione di stazioni di travagliu (PC) è smartphones);
• Logging & Status - cullizzioni centralizata è trasfurmazioni di logs;
• Management Portal - gestione di sicurità da u navigatore;
• Workflow - cuntrollu di i cambiamenti pulitichi, auditu di cambiamenti, etc.;
• User Directory - integrazione cù LDAP;
• Provisioning - automatizazione di a gestione di u gateway;
• Smart Reporter - sistema di rapportu;
• Smart Event - analisi è correlazione di avvenimenti (SIEM);
• Conformità - verificazione automatica di i paràmetri è emissione di raccomandazioni.

Ùn avemu micca avà cunsiderà i prublemi di licenze in dettagliu, per ùn gonfià l'articulu è cunfundisce u lettore. Hè assai prubabile di piglià in un postu separatu.

L'architettura blade permette di utilizà solu e funzioni chì avete veramente bisognu, chì afecta u budget di a suluzione è u rendiment generale di u dispusitivu. Hè logicu chì più lame attivate, u menu trafficu pò esse "cacciatu". Hè per quessa chì a seguente tabella di rendiment hè attaccata à ogni mudellu Check Point (per esempiu, avemu pigliatu e caratteristiche di u mudellu 5400):

Comu pudete vede, ci sò duie categurie di teste quì: nantu à u trafficu sinteticu è nantu à u veru - mistu. In generale, u Check Point hè solu obligatu à publicà e teste sintetiche, perchè. certi venditori utilizanu tali teste cum'è benchmarks senza esaminà a prestazione di e so suluzioni nantu à u trafficu reale (o oculte deliberatamente tali dati per via di a so insatisfactoriness).

In ogni tipu di teste, pudete vede parechje opzioni:

1. prova solu per Firewall;
2. Firewall + prova IPS;
3. Firewall + IPS + NGFW (Application control) prova;
4. Firewall+Control di l'applicazione+Filtru URL+IPS+Antivirus+Anti-Bot+Test SandBlast (sandbox)

Fighjate attentamente à sti paràmetri quandu sceglie a vostra suluzione, o cuntattu per cunsultazione.

Pensu chì questu hè a fine di l'articulu introduttivu nantu à e tecnulugia di Check Point. In seguitu, guardemu cumu pudete pruvà Check Point è cumu trattà cù e minacce di sicurezza di l'infurmazioni muderni (virus, phishing, ransomware, zero-day).

PS Un puntu impurtante. Malgradu l'origine straniera (israeliana), a suluzione hè certificata in a Federazione Russa da l'autorità di surviglianza, chì legalizza automaticamente a so prisenza in l'istituzioni statali (cumentu da Denyemall).

Solu l'utilizatori registrati ponu participà à l'indagine. Firmà lu, per piacè.

Chì strumenti UTM / NGFW utilizate?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• guarda guardia

• ghjinèparu

• UserGate

• ispettore di trafficu

• Rubicone

• Ideco

• suluzione open source

• Altru

134 utilizatori anu vutatu. 78 utilizatori si sò astenuti.

Source: www.habr.com