ProHoster > Blog > Verwaltung > Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache
Hallo, liebe Habr-Leser! Dies ist der Unternehmensblog des Unternehmens T.S.-Lösung. Wir sind ein Systemintegrator und hauptsächlich auf Sicherheitslösungen für die IT-Infrastruktur spezialisiert (Check Point, Fortinet) und Maschinendatenanalysesysteme (Splunk). Wir beginnen unseren Blog mit einer kurzen Einführung in die Check Point-Technologien.

Wir haben lange darüber nachgedacht, ob wir diesen Artikel schreiben sollen, denn. Es gibt nichts Neues darin, was nicht im Internet zu finden ist. Doch trotz dieser Fülle an Informationen hören wir bei der Zusammenarbeit mit Kunden und Partnern oft die gleichen Fragen. Aus diesem Grund wurde beschlossen, eine Art Einführung in die Welt der Check Point-Technologien zu schreiben und die Essenz der Architektur ihrer Lösungen zu enthüllen. Und das alles im Rahmen eines „kleinen“ Beitrags, sozusagen eines kurzen Exkurses. Und wir werden versuchen, uns nicht auf Marketingkriege einzulassen, denn. Wir sind kein Anbieter, sondern nur ein Systemintegrator (obwohl wir Check Point sehr lieben) und gehen nur die wichtigsten Punkte durch, ohne sie mit anderen Herstellern (wie Palo Alto, Cisco, Fortinet usw.) zu vergleichen. Der Artikel erwies sich als recht umfangreich, schneidet jedoch die meisten Fragen in der Phase der Einarbeitung in Check Point ab. Wenn Sie interessiert sind, dann herzlich willkommen unter der Katze…

UTM/NGFW

Wenn Sie ein Gespräch über Check Point beginnen, müssen Sie zunächst erklären, was UTM und NGFW sind und wie sie sich unterscheiden. Wir werden dies sehr prägnant tun, damit der Beitrag nicht zu groß wird (vielleicht werden wir dieses Thema in Zukunft etwas detaillierter betrachten)

UTM – Unified Threat Management

Kurz gesagt, das Wesentliche von UTM ist die Konsolidierung mehrerer Sicherheitstools in einer Lösung. Diese. Alles in einer Box oder etwas All-Inclusive. Was versteht man unter „mehreren Rechtsbehelfen“? Die gebräuchlichste Option ist: Firewall, IPS, Proxy (URL-Filterung), Streaming Antivirus, Anti-Spam, VPN und so weiter. All dies wird in einer UTM-Lösung gebündelt, was hinsichtlich Integration, Konfiguration, Verwaltung und Überwachung einfacher ist, was sich wiederum positiv auf die Gesamtsicherheit des Netzwerks auswirkt. Als UTM-Lösungen zum ersten Mal auf den Markt kamen, waren sie ausschließlich für kleine Unternehmen gedacht, denn. UTMs konnten große Verkehrsmengen nicht bewältigen. Dies hatte zwei Gründe:

  1. Paketbearbeitung. Die ersten Versionen von UTM-Lösungen verarbeiteten Pakete nacheinander, nach jedem „Modul“. Beispiel: Zuerst wird das Paket von der Firewall verarbeitet, dann von IPS, dann von Anti-Virus überprüft und so weiter. Natürlich führte ein solcher Mechanismus zu erheblichen Verkehrsverzögerungen und einem hohen Verbrauch an Systemressourcen (Prozessor, Speicher).
  2. Schwache Hardware. Wie oben erwähnt, verschlang die sequentielle Paketverarbeitung Ressourcen und die Hardware der damaligen Zeit (1995–2005) war dem hohen Datenverkehr einfach nicht gewachsen.

Aber der Fortschritt steht nicht still. Seitdem sind die Hardwarekapazitäten erheblich gestiegen, und die Paketverarbeitung hat sich geändert (man muss zugeben, dass sie nicht bei allen Anbietern verfügbar ist) und ermöglicht nun eine nahezu gleichzeitige Analyse in mehreren Modulen gleichzeitig (ME, IPS, AntiVirus usw.). Moderne UTM-Lösungen können im Tiefenanalysemodus Dutzende oder sogar Hunderte von Gigabit „verdauen“, was ihren Einsatz im Segment großer Unternehmen oder sogar Rechenzentren ermöglicht.

Nachfolgend finden Sie Gartners berühmten Magic Quadrant für UTM-Lösungen für August 2016:

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Ich werde dieses Bild nicht stark kommentieren, sondern nur sagen, dass in der oberen rechten Ecke Anführer zu sehen sind.

NGFW – Firewall der nächsten Generation

Der Name spricht für sich – Firewall der nächsten Generation. Dieses Konzept erschien viel später als UTM. Die Hauptidee von NGFW ist Deep Packet Inspection (DPI) mit integriertem IPS und Zugriffskontrolle auf Anwendungsebene (Application Control). In diesem Fall ist IPS genau das Richtige, um diese oder jene Anwendung im Paketstrom zu identifizieren, sodass Sie sie zulassen oder ablehnen können. Beispiel: Wir können Skype zulassen, aber Dateiübertragungen verhindern. Wir können die Nutzung von Torrent oder RDP untersagen. Auch Webanwendungen werden unterstützt: Sie können den Zugriff auf VK.com zulassen, aber Spiele, Nachrichten oder das Ansehen von Videos verhindern. Die Qualität einer NGFW hängt im Wesentlichen von der Anzahl der Anwendungen ab, die sie definieren kann. Viele glauben, dass die Entstehung des NGFW-Konzepts ein gängiger Marketingtrick war, gegen den Palo Alto sein schnelles Wachstum begann.

Mai 2016 Gartner Magic Quadrant für NGFW:

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

UTM vs. NGFW

Eine sehr häufige Frage: Was ist besser? Hier gibt es keine einheitliche Antwort und kann es auch nicht sein. Vor allem, wenn man bedenkt, dass fast alle modernen UTM-Lösungen NGFW-Funktionalität enthalten und die meisten NGFWs UTM-inhärente Funktionen (Antivirus, VPN, Anti-Bot usw.) enthalten. Wie immer gilt: „Der Teufel steckt im Detail“, also müssen Sie zunächst entscheiden, was Sie konkret benötigen, und sich für das Budget entscheiden. Basierend auf diesen Entscheidungen können mehrere Optionen ausgewählt werden. Und alles muss eindeutig getestet werden, ohne Marketingmaterialien zu glauben.

Wir wiederum werden im Rahmen mehrerer Artikel versuchen, Ihnen etwas über Check Point zu erzählen, wie Sie es ausprobieren können und was Sie grundsätzlich ausprobieren können (fast alle Funktionen).

Drei Kontrollpunkteinheiten

Wenn Sie mit Check Point arbeiten, werden Sie mit Sicherheit auf drei Komponenten dieses Produkts stoßen:

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

  1. Sicherheits-Gateway (SG) - das Sicherheits-Gateway selbst, das normalerweise am Netzwerkrand platziert wird und die Funktionen einer Firewall, Streaming-Antivirus, Anti-Bot, IPS usw. übernimmt.
  2. Sicherheitsverwaltungsserver (SMS) - Gateway-Verwaltungsserver. Fast alle Einstellungen am Gateway (SG) werden über diesen Server vorgenommen. SMS kann auch als Protokollserver fungieren und diese mit dem integrierten Ereignisanalyse- und Korrelationssystem Smart Event (ähnlich SIEM für Check Point) verarbeiten, aber dazu später mehr. SMS wird zur zentralen Verwaltung mehrerer Gateways verwendet (die Anzahl der Gateways hängt vom SMS-Modell oder der Lizenz ab). Sie müssen es jedoch auch dann verwenden, wenn Sie nur ein Gateway haben. An dieser Stelle ist anzumerken, dass Check Point einer der ersten war, der ein solches zentralisiertes Managementsystem einsetzte, das laut Gartner-Berichten schon seit vielen Jahren in Folge als „Goldstandard“ anerkannt ist. Es gibt sogar einen Witz: „Wenn Cisco ein normales Kontrollsystem hätte, wäre Check Point nie aufgetaucht.“
  3. Intelligente Konsole — Client-Konsole zur Verbindung mit dem Verwaltungsserver (SMS). Wird normalerweise auf dem Computer des Administrators installiert. Über diese Konsole werden alle Änderungen auf dem Verwaltungsserver vorgenommen und anschließend können Sie die Einstellungen auf die Sicherheitsgateways anwenden (Install Policy).

    Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Check Point-Betriebssystem

Wenn wir über das Check Point-Betriebssystem sprechen, können wir uns an drei erinnern: IPSO, SPLAT und GAIA.

  1. IPSO ist das Betriebssystem von Ipsilon Networks, das Nokia gehörte. Im Jahr 2009 kaufte Check Point dieses Unternehmen. Nicht mehr entwickelt.
  2. SPLAT - Eigenentwicklung von Check Point, basierend auf dem RedHat-Kernel. Nicht mehr entwickelt.
  3. Gaia - das aktuelle Betriebssystem von Check Point, das aus der Fusion von IPSO und SPLAT hervorgegangen ist und das Beste vereint. Erschien im Jahr 2012 und entwickelt sich aktiv weiter.

Apropos Gaia: Die derzeit am weitesten verbreitete Version ist R77.30. Vor relativ kurzer Zeit ist die R80-Version erschienen, die sich deutlich von der Vorgängerversion unterscheidet (sowohl hinsichtlich der Funktionalität als auch der Steuerung). Dem Thema ihrer Unterschiede widmen wir einen eigenen Beitrag. Ein weiterer wichtiger Punkt ist, dass derzeit nur die Version R77.10 über das FSTEC-Zertifikat verfügt und die Version R77.30 zertifiziert wird.

Optionen (Check Point Appliance, Virtuelle Maschine, OpenServer)

Dies ist nicht verwunderlich, da viele Check Point-Anbieter mehrere Produktoptionen anbieten:

  1. Gerät - Hardware- und Softwaregerät, d.h. eigenes „Stück Eisen“. Es gibt viele Modelle, die sich in Leistung, Funktionalität und Design unterscheiden (es gibt Optionen für Industrienetzwerke).

    Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

  2. Virtuelle Maschine - Virtuelle Check Point-Maschine mit Gaia OS. Hypervisoren ESXi, Hyper-V, KVM werden unterstützt. Lizenziert nach Anzahl der Prozessorkerne.
  3. Openserver - Installation von Gaia direkt auf dem Server als Hauptbetriebssystem (das sogenannte „Bare Metal“). Es wird nur bestimmte Hardware unterstützt. Für diese Hardware gibt es Empfehlungen, die unbedingt befolgt werden müssen, sonst kann es zu Problemen mit Treibern usw. kommen. Der Support kann Ihnen den Service verweigern.

Implementierungsoptionen (verteilt oder eigenständig)

Etwas weiter oben haben wir bereits besprochen, was ein Gateway (SG) und ein Verwaltungsserver (SMS) sind. Lassen Sie uns nun Optionen für ihre Umsetzung besprechen. Es gibt zwei Hauptmethoden:

  1. Eigenständig (SG+SMS) – eine Option, wenn sowohl das Gateway als auch der Verwaltungsserver auf demselben Gerät (oder derselben virtuellen Maschine) installiert sind.

    Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

    Diese Option eignet sich, wenn Sie nur ein Gateway haben, das leicht durch Benutzerverkehr belastet ist. Diese Option ist die wirtschaftlichste, weil. Sie müssen keinen Verwaltungsserver (SMS) kaufen. Wenn das Gateway jedoch stark ausgelastet ist, kann es zu einer langsamen Steuerung kommen. Daher ist es am besten, diese Option zu konsultieren oder sogar zu testen, bevor Sie sich für eine Standalone-Lösung entscheiden.

  2. Verteilt — Der Verwaltungsserver wird getrennt vom Gateway installiert.

    Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

    Die beste Option in Bezug auf Komfort und Leistung. Es wird verwendet, wenn mehrere Gateways gleichzeitig verwaltet werden müssen, beispielsweise Zentral- und Zweigstellen-Gateways. In diesem Fall müssen Sie einen Management-Server (SMS) erwerben, der auch in Form einer Appliance (ein Stück Eisen) oder einer virtuellen Maschine vorliegen kann.

Wie ich gerade oben sagte, verfügt Check Point über ein eigenes SIEM-System – Smart Event. Sie können es nur im Falle einer verteilten Installation verwenden.

Betriebsarten (Bridge, Routed)
Das Security Gateway (SG) kann in zwei Grundmodi betrieben werden:

  • Weitergeleitet - die häufigste Option. In diesem Fall wird das Gateway als L3-Gerät verwendet und leitet den Verkehr durch sich selbst weiter, d. h. Check Point ist das Standard-Gateway für das geschützte Netzwerk.
  • Bridge - Transparenter Modus. In diesem Fall wird das Gateway als normale „Brücke“ installiert und leitet den Datenverkehr auf der zweiten Schicht (OSI) durch. Diese Option wird normalerweise verwendet, wenn keine Möglichkeit (oder kein Wunsch) besteht, die bestehende Infrastruktur zu ändern. Sie müssen die Netzwerktopologie praktisch nicht ändern und müssen nicht über eine Änderung der IP-Adressierung nachdenken.

Ich möchte darauf hinweisen, dass es im Bridge-Modus einige funktionale Einschränkungen gibt. Daher empfehlen wir als Integrator allen unseren Kunden, wenn möglich natürlich den Routed-Modus zu verwenden.

Software-Blades (Check Point Software Blades)

Wir sind fast beim wichtigsten Check Point-Thema angelangt, das bei den Kunden die meisten Fragen aufwirft. Was sind diese „Software-Blades“? Blades beziehen sich auf bestimmte Check Point-Funktionen.

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Diese Funktionen können je nach Bedarf aktiviert oder deaktiviert werden. Gleichzeitig gibt es Blades, die ausschließlich auf dem Gateway (Network Security) und nur auf dem Management-Server (Management) aktiviert werden. Die folgenden Bilder zeigen Beispiele für beide Fälle:

1) Für Netzwerksicherheit (Gateway-Funktionalität)

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Lassen Sie es uns kurz beschreiben, denn Jede Klinge verdient einen eigenen Artikel.

  • Firewall – Firewall-Funktionalität;
  • IPSec VPN – Aufbau privater virtueller Netzwerke;
  • Mobiler Zugriff – Fernzugriff von mobilen Geräten;
  • IPS – Intrusion-Prevention-System;
  • Anti-Bot – Schutz vor Botnet-Netzwerken;
  • AntiVirus – Streaming-Antivirus;
  • AntiSpam & Email Security – Schutz von Unternehmensmails;
  • Identitätsbewusstsein – Integration mit dem Active Directory-Dienst;
  • Überwachung – Überwachung nahezu aller Gateway-Parameter (Auslastung, Bandbreite, VPN-Status usw.)
  • Anwendungskontrolle – Firewall auf Anwendungsebene (NGFW-Funktionalität);
  • URL-Filterung – Web-Sicherheit (+Proxy-Funktionalität);
  • Data Loss Prevention – Schutz vor Informationslecks (DLP);
  • Bedrohungsemulation – Sandbox-Technologie (SandBox);
  • Bedrohungsextraktion – Technologie zur Dateibereinigung;
  • QoS – Priorisierung des Datenverkehrs.

In nur wenigen Artikeln werden wir uns die Blades Threat Emulation und Threat Extraction genauer ansehen, ich bin sicher, es wird interessant sein.

2) Für das Management (Management-Server-Funktionalität)

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

  • Netzwerkrichtlinienverwaltung – zentralisierte Richtlinienverwaltung;
  • Endpoint Policy Management – ​​zentralisierte Verwaltung von Check Point-Agenten (ja, Check Point produziert Lösungen nicht nur für den Netzwerkschutz, sondern auch für den Schutz von Workstations (PCs) und Smartphones);
  • Protokollierung und Status – zentralisierte Erfassung und Verarbeitung von Protokollen;
  • Verwaltungsportal – Sicherheitsverwaltung über den Browser;
  • Workflow – Kontrolle über Richtlinienänderungen, Prüfung von Änderungen usw.;
  • Benutzerverzeichnis – Integration mit LDAP;
  • Bereitstellung – Automatisierung des Gateway-Managements;
  • Smart Reporter – Berichtssystem;
  • Smart Event – ​​Analyse und Korrelation von Ereignissen (SIEM);
  • Compliance – automatische Überprüfung der Einstellungen und Ausgabe von Empfehlungen.

Um den Artikel nicht aufzublähen und den Leser nicht zu verwirren, gehen wir jetzt nicht näher auf Lizenzfragen ein. Höchstwahrscheinlich werden wir es in einem separaten Beitrag veröffentlichen.

Durch die Blade-Architektur können Sie nur die Funktionen nutzen, die Sie wirklich benötigen, was sich auf das Budget der Lösung und die Gesamtleistung des Geräts auswirkt. Es ist logisch, dass je mehr Blades Sie aktivieren, desto weniger Verkehr kann „verdrängt“ werden. Aus diesem Grund ist jedem Check Point-Modell die folgende Leistungstabelle beigefügt (wir haben als Beispiel die Eigenschaften des 5400-Modells übernommen):

Kontrollpunkt. Was ist das, wozu wird es gegessen, oder kurz zur Hauptsache

Wie Sie sehen, gibt es hier zwei Kategorien von Tests: auf synthetischem Verkehr und auf echtem - gemischtem. Im Allgemeinen ist Check Point einfach gezwungen, synthetische Tests zu veröffentlichen, weil. Einige Anbieter verwenden solche Tests als Benchmarks, ohne die Leistung ihrer Lösungen im realen Datenverkehr zu untersuchen (oder verbergen solche Daten absichtlich, weil sie nicht zufriedenstellend sind).

Bei jedem Testtyp können Sie mehrere Optionen bemerken:

  1. Test nur für Firewall;
  2. Firewall + IPS-Test;
  3. Firewall+IPS+NGFW-Test (Anwendungskontrolle);
  4. Firewall+Anwendungskontrolle+URL-Filterung+IPS+Antivirus+Anti-Bot+SandBlast-Test (Sandbox)

Achten Sie bei der Auswahl Ihrer Lösung sorgfältig auf diese Parameter oder wenden Sie sich an uns Beratung.

Ich denke, dies ist das Ende des Einführungsartikels zu Check Point-Technologien. Als Nächstes schauen wir uns an, wie Sie Check Point testen können und wie Sie mit modernen Bedrohungen der Informationssicherheit (Viren, Phishing, Ransomware, Zero-Day) umgehen.

PS: Ein wichtiger Punkt. Trotz der ausländischen (israelischen) Herkunft wird die Lösung in der Russischen Föderation von Aufsichtsbehörden zertifiziert, was ihre Präsenz in staatlichen Institutionen automatisch legalisiert (Kommentar von Denyemall).

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Welche UTM/NGFW-Tools verwenden Sie?

  • Check Point

  • Cisco Feuerkraft

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Wacholder

  • UserGate

  • Verkehrsinspektor

  • Rubikon

  • Ideco

  • OpenSource-Lösung

  • Andere

134 Benutzer haben abgestimmt. 78 Benutzer enthielten sich der Stimme.

Source: habr.com

Kommentar hinzufügen