ProHoster > Blog > administration > kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste
Hej, kære læsere af habr! Dette er virksomhedens blog T.S Løsning. Vi er systemintegrator og har hovedsageligt specialiseret os i it-infrastruktursikkerhedsløsninger (Check Point, Fortinet) og maskindataanalysesystemer (splunk). Vi starter vores blog med en kort introduktion til Check Point-teknologier.

Vi tænkte længe på, om vi skulle skrive denne artikel, pga. der er intet nyt i det, som ikke kan findes på internettet. Men på trods af en sådan overflod af information, når vi arbejder med kunder og partnere, hører vi ofte de samme spørgsmål. Derfor blev det besluttet at skrive en form for introduktion til verden af ​​Check Point-teknologier og afsløre essensen af ​​arkitekturen i deres løsninger. Og alt dette inden for rammerne af ét "lille" indlæg, så at sige, en hurtig digression. Og vi vil forsøge ikke at gå ind i marketingkrige, fordi. vi er ikke en leverandør, men blot en systemintegrator (selvom vi elsker Check Point meget) og gennemgår blot hovedpunkterne uden at sammenligne dem med andre producenter (såsom Palo Alto, Cisco, Fortinet osv.). Artiklen viste sig at være ret omfangsrig, men den afskærer de fleste spørgsmål på stadiet af fortrolighed med Check Point. Hvis du er interesseret, så velkommen under katten...

UTM/NGFW

Når du starter en samtale om Check Point, er den første ting at starte med en forklaring på, hvad UTM, NGFW er, og hvordan de adskiller sig. Vi vil gøre dette meget kortfattet, så indlægget ikke viser sig at være for stort (måske i fremtiden vil vi overveje dette spørgsmål lidt mere detaljeret)

UTM - Unified Threat Management

Kort sagt er essensen af ​​UTM konsolideringen af ​​flere sikkerhedsværktøjer i én løsning. De der. alt i én boks eller noget alt inklusive. Hvad menes der med "flere midler"? Den mest almindelige mulighed er: Firewall, IPS, Proxy (URL-filtrering), Streaming Antivirus, Anti-Spam, VPN og så videre. Alt dette er samlet i én UTM-løsning, hvilket er nemmere i forhold til integration, konfiguration, administration og overvågning, og det har igen en positiv effekt på den samlede sikkerhed i netværket. Da UTM-løsninger først dukkede op, blev de udelukkende overvejet til små virksomheder, pga. UTM'er kunne ikke håndtere store mængder trafik. Dette var af to grunde:

  1. Pakkehåndtering. De første versioner af UTM-løsninger behandlede pakker sekventielt efter hvert "modul". Eksempel: først behandles pakken af ​​firewallen, derefter af IPS, derefter kontrolleres den af ​​Anti-Virus og så videre. Naturligvis introducerede en sådan mekanisme alvorlige trafikforsinkelser og stærkt forbrugte systemressourcer (processor, hukommelse).
  2. Svag hardware. Som nævnt ovenfor tærede sekventiel pakkebehandling ressourcer op, og datidens hardware (1995-2005) kunne simpelthen ikke klare høj trafik.

Men fremskridtet står ikke stille. Siden da er hardwarekapaciteten øget markant, og pakkebehandlingen har ændret sig (det må indrømmes, at ikke alle leverandører har det) og begyndte at tillade næsten samtidig analyse i flere moduler på én gang (ME, IPS, AntiVirus osv.). Moderne UTM-løsninger kan "fordøje" titusinder og endda hundredvis af gigabits i dyb analysetilstand, hvilket gør det muligt at bruge dem i segmentet af store virksomheder eller endda datacentre.

Nedenfor er Gartners berømte Magic Quadrant for UTM-løsninger for august 2016:

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

Jeg vil ikke kommentere kraftigt på dette billede, jeg vil blot sige, at der er ledere i øverste højre hjørne.

NGFW - Next Generation Firewall

Navnet taler for sig selv - næste generations firewall. Dette koncept dukkede op meget senere end UTM. Hovedideen med NGFW er deep packet inspection (DPI) ved hjælp af indbygget IPS og adgangskontrol på applikationsniveau (Application Control). I dette tilfælde er IPS lige hvad der er nødvendigt for at identificere denne eller den applikation i pakkestrømmen, som giver dig mulighed for at tillade eller afvise det. Eksempel: Vi kan tillade Skype at fungere, men forhindre filoverførsler. Vi kan forbyde brugen af ​​Torrent eller RDP. Webapplikationer understøttes også: Du kan tillade adgang til VK.com, men forhindre spil, beskeder eller at se videoer. Grundlæggende afhænger kvaliteten af ​​en NGFW af antallet af applikationer, den kan definere. Mange mener, at fremkomsten af ​​konceptet NGFW var et almindeligt markedsføringstrick, som Palo Alto begyndte sin hurtige vækst imod.

Maj 2016 Gartner Magic Quadrant for NGFW:

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

UTM vs NGFW

Et meget almindeligt spørgsmål, hvilket er bedre? Der er ikke noget enkelt svar her og kan ikke være det. Især når man tænker på det faktum, at næsten alle moderne UTM-løsninger indeholder NGFW-funktionalitet, og de fleste NGFW'er indeholder funktioner, der er iboende i UTM (Antivirus, VPN, Anti-Bot osv.). Som altid er "djævelen i detaljerne", så først og fremmest skal du beslutte dig for, hvad du har brug for specifikt, beslutte dig for budgettet. Baseret på disse beslutninger kan flere muligheder vælges. Og alt skal testes utvetydigt, uden at tro på markedsføringsmateriale.

Vi vil til gengæld inden for rammerne af flere artikler forsøge at fortælle dig om Check Point, hvordan du kan prøve det, og hvad du i princippet kan prøve (næsten al funktionalitet).

Tre Check Point-enheder

Når du arbejder med Check Point, vil du helt sikkert støde på tre komponenter i dette produkt:

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

  1. Security Gateway (SG) - selve sikkerhedsgatewayen, som normalt er placeret på netværkets perimeter og udfører funktionerne som en firewall, streaming antivirus, anti-bot, IPS osv.
  2. Security Management Server (SMS) - gateway management server. Næsten alle indstillinger på gatewayen (SG) udføres ved hjælp af denne server. SMS kan også fungere som en logserver og behandle dem med det indbyggede hændelsesanalyse- og korrelationssystem - Smart Event (svarende til SIEM for Check Point), men mere om det senere. SMS bruges til centralt at administrere flere gateways (antallet af gateways afhænger af SMS-modellen eller licensen), men du skal bruge den, selvom du kun har én gateway. Det skal her bemærkes, at Check Point var en af ​​de første til at bruge et sådant centraliseret styringssystem, som er blevet anerkendt som "guldstandarden" ifølge Gartner-rapporter i mange år i træk. Der er endda en vittighed: "Hvis Cisco havde et normalt kontrolsystem, så ville Check Point aldrig være dukket op."
  3. Smart konsol — klientkonsol til forbindelse til administrationsserveren (SMS). Typisk installeret på administratorens computer. Gennem denne konsol foretages alle ændringer på administrationsserveren, og derefter kan du anvende indstillingerne på sikkerhedsgateways (Install Policy).

    kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

Check Point operativsystem

Når vi taler om Check Point-operativsystemet, kan tre tilbagekaldes på én gang: IPSO, SPLAT og GAIA.

  1. IPSO er styresystemet til Ipsilon Networks, som var ejet af Nokia. I 2009 købte Check Point denne virksomhed. Ikke længere udviklet.
  2. Splat - egen udvikling af Check Point, baseret på RedHat kernen. Ikke længere udviklet.
  3. Gaia - det nuværende styresystem fra Check Point, som dukkede op som et resultat af sammenlægningen af ​​IPSO og SPLAT, med alt det bedste. Dukkede op i 2012 og udvikler sig fortsat aktivt.

Når vi taler om Gaia, skal det siges, at den mest almindelige version i øjeblikket er R77.30. Relativt for nylig er R80-versionen dukket op, som adskiller sig væsentligt fra den tidligere (både med hensyn til funktionalitet og kontrol). Vi vil afsætte et separat indlæg til emnet for deres forskelle. En anden vigtig pointe er, at i øjeblikket kun version R77.10 har FSTEC certifikatet og version R77.30 bliver certificeret.

Indstillinger (Check Point Appliance, Virtuel maskine, OpenServer)

Der er ikke noget overraskende her, da mange Check Point-leverandører har flere produktmuligheder:

  1. Appliance - hardware- og softwareenhed, dvs. eget "stykke jern". Der er mange modeller, der adskiller sig i ydeevne, funktionalitet og design (der er muligheder for industrielle netværk).

    kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

  2. Virtual Machine - Check Point virtuel maskine med Gaia OS. Hypervisorer ESXi, Hyper-V, KVM understøttes. Licenseret af antallet af processorkerner.
  3. Openserver - Installation af Gaia direkte på serveren som hovedoperativsystem (det såkaldte "Bare metal"). Kun bestemt hardware understøttes. Der er anbefalinger til denne hardware, som skal følges, ellers kan der være problemer med drivere og de. support kan afvise service til dig.

Implementeringsmuligheder (Distribueret eller Standalone)

Lidt højere har vi allerede diskuteret, hvad en gateway (SG) og en administrationsserver (SMS) er. Lad os nu diskutere muligheder for deres implementering. Der er to hovedmåder:

  1. Standalone (SG+SMS) - en mulighed, når både gatewayen og administrationsserveren er installeret på den samme enhed (eller virtuelle maskine).

    kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

    Denne mulighed er velegnet, når du kun har én gateway, som er let belastet med brugertrafik. Denne mulighed er den mest økonomiske, fordi. ingen grund til at købe en administrationsserver (SMS). Men hvis gatewayen er tungt belastet, kan du ende med et langsomt kontrolsystem. Derfor, før du vælger en selvstændig løsning, er det bedst at konsultere eller endda teste denne mulighed.

  2. Distribueret — administrationsserveren installeres separat fra gatewayen.

    kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

    Den bedste mulighed med hensyn til bekvemmelighed og ydeevne. Det bruges, når det er nødvendigt at administrere flere gateways på én gang, f.eks. centrale og filialer. I dette tilfælde skal du købe en administrationsserver (SMS), som også kan være i form af et apparat (stykke jern) eller en virtuel maskine.

Som jeg sagde lige ovenfor, har Check Point sit eget SIEM-system - Smart Event. Du kan kun bruge det i tilfælde af distribueret installation.

Driftstilstande (bro, rutet)
Security Gateway (SG) kan fungere i to grundlæggende tilstande:

  • Routet - den mest almindelige mulighed. I dette tilfælde bruges gatewayen som en L3-enhed og dirigerer trafikken gennem sig selv, dvs. Check Point er standardgatewayen for det beskyttede netværk.
  • Bro - gennemsigtig tilstand. I dette tilfælde er gatewayen installeret som en normal "bro" og passerer trafik gennem den ved det andet lag (OSI). Denne mulighed bruges normalt, når der ikke er mulighed (eller ønske om) at ændre den eksisterende infrastruktur. Du behøver praktisk talt ikke ændre netværkstopologien og behøver ikke tænke på at ændre IP-adressering.

Jeg vil gerne bemærke, at der er nogle funktionelle begrænsninger i Bridge-tilstanden, og derfor råder vi som integrator alle vores kunder til at bruge den rutede tilstand, selvfølgelig, hvis det er muligt.

Softwareblade (Check Point Software Blades)

Vi nåede næsten til det vigtigste Check Point-emne, som rejser flest spørgsmål fra kunderne. Hvad er disse "softwareblade"? Blade henviser til visse Check Point-funktioner.

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

Disse funktioner kan slås til eller fra afhængigt af dine behov. Samtidig er der blade, der udelukkende aktiveres på gatewayen (Netværkssikkerhed) og kun på administrationsserveren (Management). Billederne nedenfor viser eksempler for begge tilfælde:

1) Til netværkssikkerhed (gateway funktionalitet)

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

Lad os kort beskrive, fordi hver klinge fortjener en separat artikel.

  • Firewall - firewall funktionalitet;
  • IPSec VPN - opbygning af private virtuelle netværk;
  • Mobiladgang - fjernadgang fra mobile enheder;
  • IPS - system til forebyggelse af indtrængen;
  • Anti-Bot - beskyttelse mod botnet-netværk;
  • AntiVirus - streaming antivirus;
  • AntiSpam & Email Security - beskyttelse af virksomhedsmail;
  • Identitetsbevidsthed - integration med Active Directory-tjenesten;
  • Overvågning - overvågning af næsten alle gateway-parametre (belastning, båndbredde, VPN-status osv.)
  • Application Control - applikationsniveau firewall (NGFW-funktionalitet);
  • URL-filtrering - Websikkerhed (+proxy-funktionalitet);
  • Forebyggelse af datatab - beskyttelse mod informationslækage (DLP);
  • Threat Emulation - sandkasseteknologi (SandBox);
  • Threat Extraction - teknologi til rensning af filer;
  • QoS - trafikprioritering.

I nogle få artikler vil vi se nærmere på Threat Emulation og Threat Extraction bladene, jeg er sikker på, at det bliver interessant.

2) For ledelse (administrationsserverfunktionalitet)

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

  • Netværkspolitikstyring - centraliseret politikstyring;
  • Endpoint Policy Management - centraliseret styring af Check Point-agenter (ja, Check Point producerer ikke kun løsninger til netværksbeskyttelse, men også til beskyttelse af arbejdsstationer (pc'er) og smartphones);
  • Logning & Status - centraliseret indsamling og behandling af logfiler;
  • Management Portal - sikkerhedsstyring fra browseren;
  • Workflow - kontrol over politikændringer, revision af ændringer osv.;
  • User Directory - integration med LDAP;
  • Provisioning - automatisering af gateway management;
  • Smart Reporter - rapporteringssystem;
  • Smart Event - analyse og korrelation af hændelser (SIEM);
  • Overholdelse - automatisk kontrol af indstillinger og udstedelse af anbefalinger.

Vi vil nu ikke overveje licensproblemer i detaljer, for ikke at puste artiklen op og forvirre læseren. Mest sandsynligt tager vi det ud i et separat indlæg.

Blade-arkitekturen giver dig mulighed for kun at bruge de funktioner, du virkelig har brug for, hvilket påvirker budgettet for løsningen og enhedens overordnede ydeevne. Det er logisk, at jo flere blade du aktiverer, jo mindre trafik kan "køres væk". Det er grunden til, at følgende ydelsestabel er knyttet til hver Check Point-model (vi tog f.eks. egenskaberne for 5400-modellen):

kontrolpunkt. Hvad er det, hvad spises det til, eller kort om det vigtigste

Som du kan se, er der to kategorier af test her: på syntetisk trafik og på ægte - blandet. Generelt set er Check Point simpelthen tvunget til at offentliggøre syntetiske tests, pga. nogle leverandører bruger sådanne tests som benchmarks uden at undersøge ydeevnen af ​​deres løsninger på reel trafik (eller bevidst skjule sådanne data på grund af deres utilfredsstillendehed).

I hver type test kan du bemærke flere muligheder:

  1. test kun for Firewall;
  2. Firewall + IPS test;
  3. Firewall+IPS+NGFW (Application Control) test;
  4. Firewall+Applikationskontrol+URL-filtrering+IPS+Antivirus+Anti-Bot+SandBlast-test (sandbox)

Se nøje på disse parametre, når du vælger din løsning, eller kontakt for konsultation.

Jeg tror, ​​at dette er slutningen på den indledende artikel om Check Point-teknologier. Dernæst vil vi se på, hvordan du kan teste Check Point, og hvordan du håndterer moderne informationssikkerhedstrusler (virus, phishing, ransomware, zero-day).

PS En vigtig pointe. På trods af den udenlandske (israelske) oprindelse er løsningen certificeret i Den Russiske Føderation af tilsynsmyndigheder, som automatisk legaliserer deres tilstedeværelse i statsinstitutioner (kommentar af Denyemall).

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Hvilke UTM/NGFW-værktøjer bruger du?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Juniper

  • UserGate

  • trafikinspektør

  • Rubicon

  • Ideco

  • open source løsning

  • Andet

134 brugere stemte. 78 brugere undlod at stemme.

Kilde: www.habr.com

Tilføj en kommentar