kontrolní bod. Co to je, s čím se to jí nebo stručně o tom hlavním

Dobrý den, milí čtenáři habr! Toto je firemní blog společnosti Řešení T.S. Jsme systémový integrátor a specializujeme se především na bezpečnostní řešení IT infrastruktury (Check Point, Fortinet) a systémy pro analýzu strojových dat (Splunk). Náš blog začneme krátkým úvodem do technologií Check Point.

Dlouho jsme přemýšleli, zda napsat tento článek, protože. není v něm nic nového, co by se nedalo najít na internetu. I přes takové množství informací však při práci s klienty a partnery často slýcháme stejné otázky. Proto bylo rozhodnuto napsat jakýsi úvod do světa technologií Check Point a odhalit podstatu architektury jejich řešení. A to vše v rámci jednoho „malého“ příspěvku, takříkajíc rychlé odbočení. A budeme se snažit nejít do marketingových válek, protože. nejsme prodejce, ale pouze systémový integrátor (ačkoliv máme Check Point velmi rádi) a pouze procházíme hlavní body, aniž bychom je srovnávali s jinými výrobci (jako je Palo Alto, Cisco, Fortinet atd.). Článek se ukázal být poměrně objemný, ale většinu otázek ve fázi seznamování s Check Pointem odřízne. Pokud máte zájem, pak vítejte pod kočkou…

UTM/NGFW

Když začínáte konverzaci o Check Point, první věcí, kterou je třeba začít, je vysvětlení toho, co jsou UTM, NGFW a jak se liší. Uděláme to velmi stručně, aby se příspěvek neukázal jako příliš velký (možná v budoucnu tuto otázku zvážíme trochu podrobněji)

UTM – Unified Threat Management

Stručně řečeno, podstatou UTM je konsolidace několika bezpečnostních nástrojů v jednom řešení. Tito. vše v jedné krabici nebo nějaké all inclusive. Co se rozumí „vícenásobnými opravnými prostředky“? Nejběžnější možností je: Firewall, IPS, Proxy (filtrování URL), Streaming Antivirus, Anti-Spam, VPN a tak dále. To vše se snoubí v rámci jednoho UTM řešení, které je jednodušší z hlediska integrace, konfigurace, administrace a monitorování, a to má zase pozitivní vliv na celkovou bezpečnost sítě. Když se UTM řešení poprvé objevila, byla zvažována výhradně pro malé společnosti, protože. UTM nedokázaly zvládnout velké objemy provozu. Bylo to ze dvou důvodů:

1. Manipulace s balíky. První verze UTM řešení zpracovávaly pakety postupně, po každém „modulu“. Příklad: nejprve je paket zpracován firewallem, poté IPS, poté je zkontrolován Anti-Virus a tak dále. Přirozeně, že takový mechanismus způsobil vážná dopravní zpoždění a značně spotřebovával systémové zdroje (procesor, paměť).
2. Slabý hardware. Jak již bylo zmíněno výše, sekvenční zpracování paketů spotřebovávalo zdroje a tehdejší hardware (1995-2005) si s vysokým provozem prostě nedokázal poradit.

Pokrok ale nestojí na místě. Od té doby se výrazně zvýšily hardwarové kapacity a změnilo se zpracování paketů (nutno přiznat, že ne všichni výrobci to mají) a začalo umožňovat téměř současnou analýzu ve více modulech najednou (ME, IPS, AntiVirus atd.). Moderní UTM řešení dokážou „strávit“ desítky i stovky gigabitů v režimu hluboké analýzy, což umožňuje jejich využití v segmentu velkých podniků nebo dokonce datových center.

Níže je slavný Magic Quadrant společnosti Gartner pro řešení UTM za srpen 2016:

Tento obrázek nebudu silně komentovat, jen řeknu, že v pravém horním rohu jsou vůdci.

NGFW - Firewall nové generace

Název mluví sám za sebe – firewall nové generace. Tento koncept se objevil mnohem později než UTM. Hlavní myšlenkou NGFW je hloubková kontrola paketů (DPI) pomocí vestavěného IPS a řízení přístupu na aplikační úrovni (Application Control). V tomto případě je IPS právě to, co je potřeba k identifikaci té či oné aplikace v toku paketů, což vám umožňuje povolit nebo zakázat. Příklad: Můžeme umožnit Skype fungovat, ale zabránit přenosu souborů. Můžeme zakázat používání Torrentu nebo RDP. Podporovány jsou také webové aplikace: Můžete povolit přístup na VK.com, ale zabránit hrám, zprávám nebo sledování videí. Kvalita NGFW v podstatě závisí na počtu aplikací, které může definovat. Mnozí věří, že vznik konceptu NGFW byl běžným marketingovým trikem, proti kterému Palo Alto zahájil svůj rychlý růst.

Květen 2016 Gartner Magic Quadrant pro NGFW:

UTM vs NGFW

Velmi častá otázka, co je lepší? Jednoznačná odpověď zde neexistuje a nemůže být. Zvláště když vezmete v úvahu skutečnost, že téměř všechna moderní řešení UTM obsahují funkcionalitu NGFW a většina NGFW obsahuje funkce vlastní UTM (Antivirus, VPN, Anti-Bot atd.). Jako vždy „ďábel je v detailech“, takže se nejprve musíte rozhodnout, co konkrétně potřebujete, rozhodnout se o rozpočtu. Na základě těchto rozhodnutí lze vybrat několik možností. A vše je potřeba jednoznačně otestovat, nevěřit marketingovým materiálům.

My se vám zase v rámci několika článků pokusíme povědět o Check Pointu, jak ho můžete vyzkoušet a co v zásadě můžete vyzkoušet (téměř všechny funkce).

Tři entity kontrolního bodu

Při práci s Check Pointem určitě narazíte na tři složky tohoto produktu:

1. Bezpečnostní brána (SG) - samotná bezpečnostní brána, která je obvykle umístěna na perimetru sítě a plní funkce firewallu, streamovacího antiviru, anti-bota, IPS atd.
2. Server pro správu zabezpečení (SMS) - server pro správu brány. Téměř všechna nastavení na bráně (SG) se provádějí pomocí tohoto serveru. SMS mohou také fungovat jako Log Server a zpracovávat je pomocí vestavěného systému analýzy a korelace událostí – Smart Event (obdoba SIEM pro Check Point), ale o tom později. SMS slouží k centrální správě více bran (počet bran závisí na modelu SMS nebo licenci), ale musíte ji používat, i když máte pouze jednu bránu. Zde je třeba poznamenat, že Check Point byl jedním z prvních, kdo použil takový systém centralizované správy, který byl podle zpráv společnosti Gartner již mnoho let po sobě uznáván jako „zlatý standard“. Existuje dokonce vtip: „Kdyby Cisco mělo normální řídicí systém, pak by se Check Point nikdy neobjevil.
3. Smart Console — klientská konzole pro připojení k management serveru (SMS). Obvykle se instaluje na počítači správce. Prostřednictvím této konzoly se všechny změny provádějí na serveru pro správu a poté můžete použít nastavení na bezpečnostní brány (Install Policy).

   

Operační systém Check Point

Když už mluvíme o operačním systému Check Point, lze si vybavit tři najednou: IPSO, SPLAT a GAIA.

1. IPSO je operační systém společnosti Ipsilon Networks, kterou vlastnila Nokia. V roce 2009 Check Point koupil tento podnik. Již se nevyvíjí.
2. SPLAT - vlastní vývoj Check Point, založeného na jádře RedHat. Již se nevyvíjí.
3. Gaia - aktuální operační systém od Check Point, který se objevil jako výsledek sloučení IPSO a SPLAT, zahrnující vše nejlepší. Objevil se v roce 2012 a nadále se aktivně vyvíjí.

Když už jsme u Gaia, je třeba říci, že v tuto chvíli je nejrozšířenější verze R77.30. Poměrně nedávno se objevila verze R80, která se od té předchozí výrazně liší (jak funkčností, tak ovládáním). Tématu jejich rozdílů budeme věnovat samostatný příspěvek. Dalším důležitým bodem je, že v současné době má pouze verze R77.10 certifikát FSTEC a verze R77.30 je certifikována.

Možnosti (Check Point Appliance, Virtual Machine, OpenServer)

Zde není nic překvapivého, protože mnoho prodejců Check Point má několik možností produktů:

1. Spotřebič - hardwarové a softwarové zařízení, tzn. vlastní "kus železa". Existuje spousta modelů, které se liší výkonem, funkčností a designem (existují možnosti pro průmyslové sítě).

   

2. Virtuální stroj - Virtuální stroj Check Point s operačním systémem Gaia. Podporovány jsou hypervizory ESXi, Hyper-V, KVM. Licencováno podle počtu procesorových jader.
3. Openserver - Instalace Gaia přímo na server jako hlavního operačního systému (tzv. "Bare metal"). Podporován je pouze určitý hardware. Existují doporučení pro tento hardware, která je třeba dodržovat, jinak mohou nastat problémy s ovladači a tak dále. podpora vám může odmítnout službu.

Možnosti implementace (distribuované nebo samostatné)

O něco výše jsme již diskutovali o tom, co je brána (SG) a server pro správu (SMS). Nyní pojďme diskutovat o možnostech jejich implementace. Existují dva hlavní způsoby:

1. Samostatný (SG+SMS) - možnost, když jsou brána i server pro správu nainstalovány na stejném zařízení (nebo virtuálním počítači).

   
   
   Tato možnost je vhodná, když máte pouze jednu bránu, která je lehce zatížena uživatelským provozem. Tato možnost je nejekonomičtější, protože. není třeba kupovat server pro správu (SMS). Pokud je však brána silně zatížena, můžete skončit s pomalým řídicím systémem. Před výběrem Samostatného řešení je proto nejlepší tuto možnost konzultovat nebo dokonce vyzkoušet.

2. Distribuováno — server pro správu je nainstalován odděleně od brány.

   
   
   Nejlepší volba z hlediska pohodlí a výkonu. Používá se, když je potřeba spravovat několik bran najednou, například centrální a pobočkové. V tomto případě je nutné zakoupit management server (SMS), který může být také ve formě zařízení (kus železa) nebo virtuálního stroje.

Jak jsem řekl výše, Check Point má svůj vlastní SIEM systém – Smart Event. Můžete jej použít pouze v případě distribuované instalace.

Provozní režimy (Bridge, Routed)
Bezpečnostní brána (SG) může pracovat ve dvou základních režimech:

• Směrováno - nejběžnější možnost. V tomto případě se brána používá jako zařízení L3 a směruje provoz přes sebe, tzn. Check Point je výchozí brána pro chráněnou síť.
• Bridge - transparentní režim. V tomto případě je brána instalována jako normální „most“ a prochází přes ni provoz na druhé vrstvě (OSI). Tato možnost se obvykle používá, když neexistuje žádná možnost (nebo přání) změnit stávající infrastrukturu. Prakticky nemusíte měnit topologii sítě a nemusíte přemýšlet o změně IP adresování.

Chtěl bych poznamenat, že v režimu Bridge existují určitá funkční omezení, proto jako integrátor všem našim klientům doporučujeme používat režim Routed, pokud je to možné.

Softwarové čepele (softwarové čepele Check Point)

Dostali jsme se téměř k nejdůležitějšímu tématu Check Point, které vyvolává u zákazníků nejvíce otázek. Co jsou tyto „softwarové čepele“? Čepele odkazují na určité funkce Check Point.

Tyto funkce lze zapnout nebo vypnout v závislosti na vašich potřebách. Zároveň existují blade servery, které se aktivují výhradně na bráně (Network Security) a pouze na management serveru (Management). Níže uvedené obrázky ukazují příklady pro oba případy:

1) Pro zabezpečení sítě (funkce brány)

Stručně popišme, protože každá čepel si zaslouží samostatný článek.

• Firewall - funkčnost firewallu;
• IPSec VPN - budování privátních virtuálních sítí;
• Mobile Access - vzdálený přístup z mobilních zařízení;
• IPS - systém prevence narušení;
• Anti-Bot - ochrana proti botnetovým sítím;
• AntiVirus - streamovací antivirus;
• AntiSpam & Email Security - ochrana firemní pošty;
• Identity Awareness - integrace se službou Active Directory;
• Monitoring - monitorování téměř všech parametrů brány (vytížení, šířka pásma, stav VPN atd.)
• Application Control - firewall na aplikační úrovni (funkce NGFW);
• URL Filtering - Webová bezpečnost (+proxy funkčnost);
• Data Loss Prevention - ochrana před únikem informací (DLP);
• Threat Emulation - technologie sandbox (SandBox);
• Threat Extraction - technologie čištění souborů;
• QoS - prioritizace provozu.

Hned v pár článcích se blíže podíváme na čepele Threat Emulation a Threat Extraction, určitě to bude zajímavé.

2) Pro management (funkce serveru pro správu)

• Network Policy Management – ​​centralizovaná správa politik;
• Endpoint Policy Management - centralizovaná správa agentů Check Point (ano, Check Point vyrábí řešení nejen pro ochranu sítě, ale také pro ochranu pracovních stanic (PC) a smartphonů);
• Logging & Status - centralizovaný sběr a zpracování logů;
• Management Portal - správa zabezpečení z prohlížeče;
• Workflow - kontrola nad změnami politik, audit změn atd.;
• Uživatelský adresář - integrace s LDAP;
• Provisioning - automatizace správy brány;
• Smart Reporter - systém hlášení;
• Smart Event - analýza a korelace událostí (SIEM);
• Compliance - automatická kontrola nastavení a vydávání doporučení.

Nebudeme se nyní podrobně zabývat licenčními problémy, abychom článek nenafoukli a nezmátli čtenáře. S největší pravděpodobností to rozebereme v samostatném příspěvku.

Blade architektura umožňuje používat pouze ty funkce, které skutečně potřebujete, což ovlivňuje rozpočet řešení a celkový výkon zařízení. Je logické, že čím více lopatek aktivujete, tím méně provozu lze „zahnat“. Proto je ke každému modelu Check Point připojena následující tabulka výkonu (například jsme převzali charakteristiky modelu 5400):

Jak vidíte, existují zde dvě kategorie testů: na syntetickém provozu a na reálném – smíšeném. Obecně řečeno, Check Point je prostě nucen publikovat syntetické testy, protože. někteří prodejci používají takové testy jako benchmarky, aniž by zkoumali výkon svých řešení na reálném provozu (nebo taková data záměrně skrývají kvůli jejich nevyhovění).

V každém typu testu si můžete všimnout několika možností:

1. test pouze pro Firewall;
2. Firewall + test IPS;
3. Test brány firewall+IPS+NGFW (ovládání aplikací);
4. Firewall+Ovládání aplikací+Filtrování URL+IPS+Antivirus+Anti-Bot+Test SandBlast (sandbox)

Pečlivě sledujte tyto parametry při výběru vašeho řešení, případně se obraťte na konzultace.

Myslím, že tímto končí úvodní článek o technologiích Check Point. Dále se podíváme na to, jak můžete testovat Check Point a jak se vypořádat s moderními hrozbami bezpečnosti informací (viry, phishing, ransomware, zero-day).

PS Důležitý bod. I přes zahraniční (izraelský) původ je řešení certifikováno v Ruské federaci dozorovými orgány, což automaticky legalizuje jejich přítomnost ve státních institucích (komentář od Denyemall).

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Jaké nástroje UTM/NGFW používáte?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Jalovec

• UserGate

• dopravní inspektor

• Rubikon

• Ideco

• open source řešení

• Další

Hlasovalo 134 uživatelů. 78 uživatelů se zdrželo hlasování.

Zdroj: www.habr.com