ProHoster > Blog > administración > punto de control Qué es, con qué se come, o brevemente sobre lo principal

punto de control Qué es, con qué se come, o brevemente sobre lo principal

punto de control Qué es, con qué se come, o brevemente sobre lo principal
¡Hola, queridos lectores de habr! Este es el blog corporativo de la empresa. Solución TS. Somos un integrador de sistemas y nos especializamos principalmente en soluciones de seguridad de infraestructura de TI (Check Point, Fortinet) y sistemas de análisis de datos de máquinas (Splunk). Comenzaremos nuestro blog con una breve introducción a las tecnologías de Check Point.

Pensamos durante mucho tiempo si escribir este artículo, porque. no hay nada nuevo en él que no se pueda encontrar en Internet. Sin embargo, a pesar de tal abundancia de información, cuando trabajamos con clientes y socios, a menudo escuchamos las mismas preguntas. Por ello, se decidió escribir algún tipo de introducción al mundo de las tecnologías de Check Point y revelar la esencia de la arquitectura de sus soluciones. Y todo ello en el marco de un “pequeño” post, por así decirlo, una rápida digresión. E intentaremos no entrar en guerras de marketing, porque. no somos un proveedor, sino solo un integrador de sistemas (aunque amamos mucho a Check Point) y solo repasamos los puntos principales sin compararlos con otros fabricantes (como Palo Alto, Cisco, Fortinet, etc.). El artículo resultó ser bastante voluminoso, pero elimina la mayoría de las preguntas en la etapa de familiarización con Check Point. Si estás interesado, entonces bienvenido bajo el gato…

UTM/NGFW

Al iniciar una conversación sobre Check Point, lo primero que se debe hacer es una explicación de qué son UTM, NGFW y en qué se diferencian. Haremos esto de manera muy concisa para que la publicación no resulte demasiado grande (tal vez en el futuro consideraremos este tema con un poco más de detalle)

UTM - Gestión Unificada de Amenazas

En resumen, la esencia de UTM es la consolidación de varias herramientas de seguridad en una sola solución. Aquellos. todo en una caja o algunos todo incluido. ¿Qué se entiende por “remedios múltiples”? La opción más común es: Firewall, IPS, Proxy (filtrado de URL), Streaming Antivirus, Anti-Spam, VPN, etc. Todo esto se combina dentro de una solución UTM, que es más fácil en términos de integración, configuración, administración y monitoreo, y esto, a su vez, tiene un efecto positivo en la seguridad general de la red. Cuando aparecieron por primera vez las soluciones UTM, se consideraban exclusivamente para pequeñas empresas, porque. Los UTM no podían manejar grandes volúmenes de tráfico. Esto fue por dos razones:

  1. La forma en que se procesan los paquetes. Las primeras versiones de soluciones UTM procesaban paquetes secuencialmente, por cada “módulo”. Ejemplo: primero el paquete es procesado por el firewall, luego por IPS, luego es revisado por Anti-Virus y así sucesivamente. Naturalmente, dicho mecanismo introdujo serios retrasos en el tráfico y consumió mucho los recursos del sistema (procesador, memoria).
  2. Hardware débil. Como se mencionó anteriormente, el procesamiento secuencial de paquetes consumía recursos y el hardware de aquellos tiempos (1995-2005) simplemente no podía hacer frente al alto tráfico.

Pero el progreso no se detiene. Desde entonces, las capacidades del hardware han aumentado significativamente, y el procesamiento de paquetes ha cambiado (hay que admitir que no todos los proveedores lo tienen) y comenzó a permitir el análisis casi simultáneo en varios módulos a la vez (ME, IPS, AntiVirus, etc.). Las soluciones UTM modernas pueden “digerir” decenas e incluso cientos de gigabits en modo de análisis profundo, lo que posibilita su uso en el segmento de grandes empresas o incluso centros de datos.

A continuación se muestra el famoso Cuadrante Mágico de Gartner para soluciones UTM de agosto de 2016:

punto de control Qué es, con qué se come, o brevemente sobre lo principal

No haré comentarios fuertes sobre esta imagen, solo diré que hay líderes en la esquina superior derecha.

NGFW - Cortafuegos de última generación

El nombre habla por sí solo: cortafuegos de última generación. Este concepto apareció mucho más tarde que UTM. La idea principal de NGFW es la inspección profunda de paquetes (DPI) utilizando IPS incorporado y control de acceso a nivel de aplicación (Application Control). En este caso, IPS es justo lo que se necesita para identificar esta o aquella aplicación en el flujo de paquetes, lo que le permite permitirla o denegarla. Ejemplo: podemos permitir que Skype funcione pero evitar la transferencia de archivos. Podemos prohibir el uso de Torrent o RDP. Las aplicaciones web también son compatibles: puede permitir el acceso a VK.com, pero evitar juegos, mensajes o ver videos. Esencialmente, la calidad de un NGFW depende de la cantidad de aplicaciones que puede definir. Muchos creen que la aparición del concepto de NGFW fue una estratagema de marketing común contra la cual Palo Alto comenzó su rápido crecimiento.

Cuadrante mágico de Gartner de mayo de 2016 para NGFW:

punto de control Qué es, con qué se come, o brevemente sobre lo principal

UTM frente a NGFW

Una pregunta muy común, ¿cuál es mejor? No hay una respuesta única aquí y no puede ser. Especialmente cuando considera el hecho de que casi todas las soluciones UTM modernas contienen funcionalidad NGFW y la mayoría de los NGFW contienen funciones inherentes a UTM (Antivirus, VPN, Anti-Bot, etc.). Como siempre, “el diablo está en los detalles”, por lo que primero debe decidir qué necesita específicamente, decidir el presupuesto. En base a estas decisiones, se pueden seleccionar varias opciones. Y todo debe probarse sin ambigüedades, sin creer en los materiales de marketing.

Nosotros, a su vez, en el marco de varios artículos, intentaremos hablarte sobre Check Point, cómo puedes probarlo y qué, en principio, puedes probar (casi toda la funcionalidad).

Tres entidades de punto de control

Cuando trabaje con Check Point, definitivamente encontrará tres componentes de este producto:

punto de control Qué es, con qué se come, o brevemente sobre lo principal

  1. Puerta de enlace de seguridad (SG) - la puerta de enlace de seguridad en sí, que generalmente se coloca en el perímetro de la red y realiza las funciones de un firewall, antivirus de transmisión, anti-bot, IPS, etc.
  2. Servidor de administración de seguridad (SMS) - servidor de gestión de puerta de enlace. Casi todas las configuraciones en la puerta de enlace (SG) se realizan utilizando este servidor. SMS también puede actuar como un servidor de registros y procesarlos con el sistema integrado de correlación y análisis de eventos - Smart Event (similar a SIEM para Check Point), pero hablaremos de eso más adelante. SMS se utiliza para gestionar de forma centralizada varias puertas de enlace (la cantidad de puertas de enlace depende del modelo o la licencia de SMS), pero debe utilizarlo aunque solo tenga una puerta de enlace. Cabe señalar aquí que Check Point fue uno de los primeros en utilizar un sistema de gestión tan centralizado, que ha sido reconocido como el "estándar de oro" según los informes de Gartner durante muchos años seguidos. Incluso hay una broma: "Si Cisco tuviera un sistema de control normal, Check Point nunca habría aparecido".
  3. Consola inteligente — consola de cliente para conectarse al servidor de gestión (SMS). Normalmente se instala en la computadora del administrador. A través de esta consola, todos los cambios se realizan en el servidor de administración, y luego puede aplicar la configuración a las puertas de enlace de seguridad (Política de instalación).

    punto de control Qué es, con qué se come, o brevemente sobre lo principal

sistema operativo punto de control

Hablando del sistema operativo Check Point, se pueden recordar tres a la vez: IPSO, SPLAT y GAIA.

  1. IPSO es el sistema operativo de Ipsilon Networks, propiedad de Nokia. En 2009, Check Point compró este negocio. Ya no está desarrollado.
  2. SALPICAR - desarrollo propio de Check Point, basado en el kernel RedHat. Ya no está desarrollado.
  3. Gaia - el sistema operativo actual de Check Point, que surgió como resultado de la fusión de IPSO y SPLAT, incorporando todo lo mejor. Apareció en 2012 y continúa desarrollándose activamente.

Hablando de Gaia, cabe decir que por el momento la versión más común es la R77.30. Hace relativamente poco tiempo apareció la versión R80, que difiere significativamente de la anterior (tanto en términos de funcionalidad como de control). Dedicaremos una publicación separada al tema de sus diferencias. Otro punto importante es que por el momento solo la versión R77.10 cuenta con el certificado FSTEC y la versión R77.30 está en proceso de certificación.

Opciones (Dispositivo Check Point, Máquina virtual, OpenServer)

No hay nada sorprendente aquí, ya que muchos proveedores de Check Point tienen varias opciones de productos:

  1. Aparato - dispositivo de hardware y software, es decir, propia "pieza de hierro". Hay muchos modelos que difieren en rendimiento, funcionalidad y diseño (hay opciones para redes industriales).

    punto de control Qué es, con qué se come, o brevemente sobre lo principal

  2. Máquina virtual - Máquina virtual Check Point con Gaia OS. Se admiten hipervisores ESXi, Hyper-V, KVM. Con licencia por el número de núcleos de procesador.
  3. Servidor abierto - Instalación de Gaia directamente en el servidor como sistema operativo principal (el llamado "Bare metal"). Solo se admite cierto hardware. Hay recomendaciones para este hardware que deben seguirse, de lo contrario puede haber problemas con los controladores y esos. El soporte puede negarle el servicio.

Opciones de implementación (Distribuida o Independiente)

Un poco más arriba, ya hemos discutido qué son una puerta de enlace (SG) y un servidor de administración (SMS). Ahora analicemos las opciones para su implementación. Hay dos formas principales:

  1. Independiente (SG+SMS) - una opción cuando tanto la puerta de enlace como el servidor de gestión están instalados en el mismo dispositivo (o máquina virtual).

    punto de control Qué es, con qué se come, o brevemente sobre lo principal

    Esta opción es adecuada cuando solo tiene una puerta de enlace, que está ligeramente cargada de tráfico de usuarios. Esta opción es la más económica, porque. no es necesario comprar un servidor de gestión (SMS). Sin embargo, si la puerta de enlace está muy cargada, puede terminar con un sistema de control lento. Por lo tanto, antes de elegir una solución Standalone, es mejor consultar o incluso probar esta opción.

  2. Repartido — el servidor de gestión se instala por separado de la puerta de enlace.

    punto de control Qué es, con qué se come, o brevemente sobre lo principal

    La mejor opción en cuanto a comodidad y rendimiento. Se utiliza cuando es necesario administrar varias puertas de enlace a la vez, por ejemplo, centrales y sucursales. En este caso, debe adquirir un servidor de gestión (SMS), que también puede tener la forma de un dispositivo (pieza de hierro) o una máquina virtual.

Como dije anteriormente, Check Point tiene su propio sistema SIEM: Smart Event. Puede usarlo solo en caso de instalación distribuida.

Modos de funcionamiento (Puente, Enrutado)
El Security Gateway (SG) puede operar en dos modos básicos:

  • Enrutado - la opción más común. En este caso, la puerta de enlace se utiliza como un dispositivo L3 y enruta el tráfico a través de sí mismo, es decir, Check Point es la puerta de enlace predeterminada para la red protegida.
  • Puente - modo transparente. En este caso, la puerta de enlace se instala como un "puente" normal y pasa el tráfico a través de él en la segunda capa (OSI). Esta opción suele utilizarse cuando no existe la posibilidad (o el deseo) de cambiar la infraestructura existente. Prácticamente no tiene que cambiar la topología de la red y no tiene que pensar en cambiar el direccionamiento IP.

Me gustaría señalar que existen algunas limitaciones funcionales en el modo Bridge, por lo tanto, como integrador, recomendamos a todos nuestros clientes que utilicen el modo Enrutado, por supuesto, si es posible.

Software Blades (Software Blades de Check Point)

Llegamos casi al tema más importante de Check Point, que plantea la mayoría de las preguntas de los clientes. ¿Qué son estos “software blades”? Las cuchillas se refieren a ciertas funciones de Check Point.

punto de control Qué es, con qué se come, o brevemente sobre lo principal

Estas funciones se pueden activar o desactivar según sus necesidades. A su vez, existen blades que se activan exclusivamente en la puerta de enlace (Network Security) y solo en el servidor de gestión (Management). Las siguientes imágenes muestran ejemplos para ambos casos:

1) Para la seguridad de la red (funcionalidad de puerta de enlace)

punto de control Qué es, con qué se come, o brevemente sobre lo principal

Describámoslo brevemente, porque cada hoja merece un artículo aparte.

  • Cortafuegos: funcionalidad del cortafuegos;
  • IPSec VPN: creación de redes virtuales privadas;
  • Acceso móvil: acceso remoto desde dispositivos móviles;
  • IPS - sistema de prevención de intrusiones;
  • Anti-Bot: protección contra redes botnet;
  • AntiVirus: antivirus de transmisión;
  • AntiSpam & Email Security: protección del correo corporativo;
  • Conciencia de identidad: integración con el servicio de Active Directory;
  • Supervisión: supervisión de casi todos los parámetros de la puerta de enlace (carga, ancho de banda, estado de VPN, etc.)
  • Control de aplicaciones: cortafuegos a nivel de aplicación (funcionalidad NGFW);
  • Filtrado de URL - Seguridad web (+funcionalidad de proxy);
  • Prevención de pérdida de datos: protección contra fugas de información (DLP);
  • Emulación de amenazas - tecnología sandbox (SandBox);
  • Extracción de amenazas: tecnología de limpieza de archivos;
  • QoS - priorización de tráfico.

En solo unos pocos artículos, veremos más de cerca las cuchillas Threat Emulation y Threat Extraction, estoy seguro de que será interesante.

2) Para la gestión (funcionalidad del servidor de gestión)

punto de control Qué es, con qué se come, o brevemente sobre lo principal

  • Gestión de políticas de red: gestión de políticas centralizada;
  • Gestión de políticas de puntos finales: gestión centralizada de los agentes de Check Point (sí, Check Point produce soluciones no solo para la protección de redes, sino también para proteger estaciones de trabajo (PC) y teléfonos inteligentes);
  • Registro y estado: recopilación y procesamiento centralizados de registros;
  • Portal de Gestión - gestión de la seguridad desde el navegador;
  • Flujo de trabajo: control sobre los cambios de política, auditoría de cambios, etc.;
  • Directorio de usuarios: integración con LDAP;
  • Aprovisionamiento: automatización de la gestión de la puerta de enlace;
  • Reportero inteligente: sistema de informes;
  • Smart Event - análisis y correlación de eventos (SIEM);
  • Cumplimiento: verificación automática de la configuración y emisión de recomendaciones.

Ahora no consideraremos los problemas de licencias en detalle, para no inflar el artículo y confundir al lector. Lo más probable es que lo saquemos en un post aparte.

La arquitectura blade le permite usar solo las funciones que realmente necesita, lo que afecta el presupuesto de la solución y el rendimiento general del dispositivo. Es lógico que cuantos más blades actives, menos tráfico se podrá “alejar”. Por eso se adjunta la siguiente tabla de prestaciones para cada modelo de Check Point (por ejemplo, tomamos las características del modelo 5400):

punto de control Qué es, con qué se come, o brevemente sobre lo principal

Como puede ver, hay dos categorías de pruebas aquí: en tráfico sintético y en real - mixto. En términos generales, Check Point simplemente se ve obligado a publicar pruebas sintéticas, porque. algunos proveedores utilizan dichas pruebas como puntos de referencia sin examinar el rendimiento de sus soluciones en el tráfico real (u ocultan deliberadamente dichos datos debido a que no son satisfactorios).

En cada tipo de prueba, puedes notar varias opciones:

  1. prueba solo para Firewall;
  2. Prueba de cortafuegos + IPS;
  3. Prueba de cortafuegos+IPS+NGFW (control de aplicaciones);
  4. Cortafuegos+Control de aplicaciones+Filtrado de URL+IPS+Antivirus+Anti-Bot+Prueba SandBlast (sandbox)

Mire cuidadosamente estos parámetros al elegir su solución, o póngase en contacto para consulta.

Creo que este es el final del artículo introductorio sobre las tecnologías de Check Point. A continuación, veremos cómo puede probar Check Point y cómo lidiar con las amenazas modernas a la seguridad de la información (virus, phishing, ransomware, día cero).

PD Un punto importante. A pesar del origen extranjero (israelí), la solución está certificada en la Federación Rusa por las autoridades supervisoras, lo que automáticamente legaliza su presencia en las instituciones estatales (comentario de Denyemall).

Solo los usuarios registrados pueden participar en la encuesta. Registrarsepor favor

¿Qué herramientas UTM/NGFW utiliza?

  • Check Point

  • Potencia de fuego de Cisco

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell Sonic WALL

  • Huawei

  • WatchGuard

  • Enebro

  • UserGate

  • inspector de tráfico

  • Rubicon

  • ideco

  • solución de código abierto

  • Otro

134 usuarios votaron. 78 usuarios se abstuvieron.

Fuente: habr.com

Añadir un comentario