kontrollpunkt. Mis see on, millega süüakse või lühidalt peamisest

Tere, kallid habri lugejad! See on ettevõtte ettevõtte ajaveeb T.S lahendus. Oleme süsteemiintegraator ja oleme peamiselt spetsialiseerunud IT infrastruktuuri turvalahendustele (Check Point, Fortinetja masinandmete analüüsisüsteemid (Purustatud). Alustame oma blogi lühikese sissejuhatusega Check Pointi tehnoloogiatesse.

Mõtlesime kaua, kas kirjutada see artikkel, sest. selles pole midagi uut, mida internetist ei leiaks. Kuid vaatamata sellisele infoküllusele kuuleme klientide ja partneritega töötades sageli samu küsimusi. Seetõttu otsustati kirjutada mingisugune sissejuhatus Check Pointi tehnoloogiate maailma ja paljastada nende lahenduste arhitektuuri olemus. Ja seda kõike ühe “väikese” postituse raames, nii-öelda kiire kõrvalepõige. Ja me püüame mitte minna turundussõdadesse, sest. me ei ole müüja, vaid lihtsalt süsteemiintegraator (kuigi me armastame Check Pointi väga) ja läheme lihtsalt põhipunktid üle, võrdlemata neid teiste tootjatega (nagu Palo Alto, Cisco, Fortinet jne). Artikkel osutus üsna mahukaks, kuid see lõikab ära enamiku küsimustest Check Pointiga tutvumise etapis. Kui oled huvitatud, siis tere tulemast kassi alla…

UTM/NGFW

Check Pointi teemal vestlust alustades tuleb kõigepealt selgitada, mis on UTM, NGFW ja kuidas need erinevad. Teeme seda väga lühidalt, et postitus liiga suureks ei osutuks (võib-olla käsitleme seda teemat edaspidi veidi üksikasjalikumalt)

UTM – ühtne ohuhaldus

Lühidalt öeldes on UTM-i olemus mitme turvatööriista koondamine ühte lahendusse. Need. kõik ühes karbis või mõned kõik hinnas. Mida tähendab "mitme abinõu"? Kõige tavalisem valik on: tulemüür, IPS, puhverserver (URL-i filtreerimine), viirusetõrje voogesitus, rämpspostitõrje, VPN ja nii edasi. Kõik see on kombineeritud ühe UTM-lahenduse sees, mis on nii integreerimise, seadistamise, administreerimise kui ka jälgimise osas lihtsam ning see omakorda mõjub positiivselt võrgu üldisele turvalisusele. Kui UTM-lahendused esmakordselt ilmusid, peeti neid ainult väikeettevõtetele, sest. UTM-id ei suutnud suure liiklusega hakkama saada. See oli kahel põhjusel:

1. Pakettide töötlemise viis. UTM-lahenduste esimesed versioonid töötlesid pakette järjestikku, iga “mooduli” kaupa. Näide: esmalt töötleb paketti tulemüür, seejärel IPS, seejärel kontrollib seda viirusetõrje jne. Loomulikult tõi selline mehhanism kaasa tõsiseid viivitusi liikluses ja kulutas palju süsteemiressursse (protsessor, mälu).
2. Nõrk riistvara. Nagu eespool mainitud, sõi järjestikune pakettide töötlemine ressursse ja tolle aja riistvara (1995–2005) lihtsalt ei suutnud suure liiklusega toime tulla.

Kuid areng ei seisa paigal. Sellest ajast alates on riistvaramahud oluliselt kasvanud ning muutunud on pakettide töötlemine (peab tunnistama, et kõigil müüjatel seda pole) ning hakatud võimaldama peaaegu samaaegset analüüsi mitmes moodulis korraga (ME, IPS, AntiVirus jne). Kaasaegsed UTM-lahendused suudavad süvaanalüüsi režiimis “seedida” kümneid ja isegi sadu gigabitte, mis võimaldab neid kasutada suurettevõtete või isegi andmekeskuste segmendis.

Allpool on Gartneri kuulus Magic Quadrant UTM-lahenduste jaoks augustis 2016:

Ma ei kommenteeri seda pilti tugevalt, ütlen lihtsalt, et paremas ülanurgas on liidrid.

NGFW – järgmise põlvkonna tulemüür

Nimi räägib enda eest – järgmise põlvkonna tulemüür. See kontseptsioon ilmus palju hiljem kui UTM. NGFW põhiidee on sügav pakettide kontroll (DPI), kasutades sisseehitatud IPS-i ja juurdepääsu kontrolli rakenduse tasemel (Application Control). Sel juhul on IPS just see, mida on vaja selle või selle rakenduse tuvastamiseks paketivoos, mis võimaldab teil seda lubada või keelata. Näide: saame lubada Skype'il töötada, kuid takistada failide edastamist. Võime keelata Torrenti või RDP kasutamise. Toetatud on ka veebirakendused: saate lubada juurdepääsu saidile VK.com, kuid keelata mängude, sõnumite saatmise või videote vaatamise. Põhimõtteliselt sõltub NGFW kvaliteet rakenduste arvust, mida see suudab määratleda. Paljud usuvad, et NGFW kontseptsiooni esilekerkimine oli tavaline turundustrikk, mille vastu Palo Alto oma kiiret kasvu alustas.

Mai 2016 Gartner Magic Quadrant NGFW jaoks:

UTM vs NGFW

Väga levinud küsimus, kumb on parem? Siin ei ole ühest vastust ega saagi olla. Eriti kui arvestada tõsiasjaga, et peaaegu kõik kaasaegsed UTM-lahendused sisaldavad NGFW funktsionaalsust ja enamik NGFW-sid sisaldavad UTM-ile omaseid funktsioone (viirusetõrje, VPN, Anti-Bot jne). Nagu alati, "kurat on detailides", peate kõigepealt otsustama, mida konkreetselt vajate, otsustama eelarve üle. Nende otsuste põhjal saab valida mitu võimalust. Ja kõike tuleb üheselt testida, mitte turundusmaterjale uskuda.

Meie omakorda proovime mitme artikli raames teile rääkida Check Pointist, kuidas seda proovida ja mida põhimõtteliselt proovida (peaaegu kogu funktsionaalsust).

Kolm kontrollpunkti olemit

Check Pointiga töötades puutute kindlasti kokku selle toote kolme komponendiga:

1. Turvavärav (SG) - turvavärav ise, mis tavaliselt paigutatakse võrgu perimeetrile ja täidab tulemüüri, voogedastusviirusetõrje, robotitõrje, IPS-i jne funktsioone.
2. Turvahaldusserver (SMS) - lüüsi haldusserver. Peaaegu kõik lüüsi (SG) seadistused tehakse selle serveri abil. SMS võib toimida ka logiserverina ja töödelda neid sisseehitatud sündmuste analüüsi- ja korrelatsioonisüsteemiga - Smart Event (sarnane SIEM-iga Check Pointi jaoks), kuid sellest lähemalt hiljem. SMS-i kasutatakse mitme lüüsi keskseks haldamiseks (lüüside arv sõltub SMS-i mudelist või litsentsist), kuid peate seda kasutama isegi siis, kui teil on ainult üks lüüs. Siinkohal tuleb ära märkida, et Check Point oli üks esimesi, kes võttis kasutusele sellist tsentraliseeritud juhtimissüsteemi, mida on Gartneri aruannete järgi juba aastaid järjest tunnustatud “kuldstandardina”. On isegi nali: "Kui Ciscol oleks tavaline juhtimissüsteem, poleks Check Point kunagi ilmunud."
3. Nutikas konsool — kliendikonsool haldusserveriga (SMS) ühenduse loomiseks. Tavaliselt installitakse administraatori arvutisse. Selle konsooli kaudu tehakse kõik muudatused haldusserveris ja pärast seda saab seadistusi rakendada turvalüüsidele (Install Policy).

   

Check Point operatsioonisüsteem

Check Pointi operatsioonisüsteemist rääkides võib korraga meelde tuletada kolm: IPSO, SPLAT ja GAIA.

1. IPSO on Nokiale kuulunud Ipsilon Networksi operatsioonisüsteem. 2009. aastal ostis Check Point selle ettevõtte. Pole enam arenenud.
2. SPLAT - Check Pointi enda arendus, mis põhineb RedHati tuumal. Pole enam arenenud.
3. Gaia - Check Pointi praegune operatsioonisüsteem, mis ilmus IPSO ja SPLATi ühendamise tulemusena, hõlmates kõike parimat. Ilmus 2012. aastal ja jätkab aktiivset arengut.

Gaiast rääkides olgu öeldud, et hetkel on levinuim versioon R77.30. Suhteliselt hiljuti on ilmunud versioon R80, mis erineb oluliselt eelmisest (nii funktsionaalsuse kui ka juhtimise poolest). Nende erinevuste teemale pühendame eraldi postituse. Teine oluline punkt on see, et hetkel on ainult versioonil R77.10 FSTEC sertifikaat ja versiooni R77.30 sertifitseerimisel.

Valikud (Check Point Appliance, virtuaalne masin, OpenServer)

Siin pole midagi üllatavat, kuna paljudel Check Pointi müüjatel on mitu tootevalikut:

1. seade - riist- ja tarkvaraseade, s.o. oma "rauatükk". Seal on palju mudeleid, mis erinevad jõudluse, funktsionaalsuse ja disaini poolest (tööstusvõrkude jaoks on valikud).

   

2. Virtuaalne masin - Check Pointi virtuaalmasin Gaia OS-iga. Toetatud on hüperviisorid ESXi, Hyper-V, KVM. Litsentsitud protsessorituumade arvu järgi.
3. avatud server - Gaia installimine otse serverisse peamise operatsioonisüsteemina (nn "paljas metall"). Toetatud on ainult teatud riistvara. Selle riistvara jaoks on soovitusi, mida tuleb järgida, vastasel juhul võib draiverite ja nendega probleeme tekkida. tugi võib keelduda teile teenuse osutamisest.

Rakendusvalikud (hajutatud või eraldiseisev)

Veidi kõrgemal oleme juba arutanud, mis on lüüs (SG) ja haldusserver (SMS). Nüüd arutame nende rakendamise võimalusi. On kaks peamist viisi:

1. Eraldiseisev (SG+SMS) - valik, kui nii lüüs kui ka haldusserver on installitud samasse seadmesse (või virtuaalmasinasse).

   
   
   See valik sobib, kui teil on ainult üks lüüs, mis on kasutajaliiklusega vähe koormatud. See valik on kõige ökonoomsem, kuna. pole vaja osta haldusserverit (SMS). Kui lüüs on aga tugevalt koormatud, võib teil tekkida aeglane juhtimissüsteem. Seetõttu on enne eraldiseisva lahenduse valimist kõige parem selle valikuga nõu pidada või seda isegi katsetada.

2. Levitatakse — haldusserver paigaldatakse lüüsist eraldi.

   
   
   Parim valik mugavuse ja jõudluse poolest. Seda kasutatakse siis, kui on vaja hallata korraga mitut lüüsi, näiteks kesk- ja haruväravaid. Sel juhul peate ostma haldusserveri (SMS), mis võib olla ka seadme (rauatüki) või virtuaalmasina kujul.

Nagu ma just eespool ütlesin, on Check Pointil oma SIEM-süsteem - Smart Event. Saate seda kasutada ainult hajutatud installi korral.

Töörežiimid (sild, marsruut)
Turvavärav (SG) võib töötada kahes põhirežiimis:

• Suunatud - kõige levinum variant. Sel juhul kasutatakse lüüsi L3 seadmena ja suunab liiklust läbi iseenda, s.t. Check Point on kaitstud võrgu vaikelüüs.
• Bridge - läbipaistev režiim. Sel juhul paigaldatakse lüüs tavalise "sillana" ja läbib liiklust teisel kihil (OSI). Seda võimalust kasutatakse tavaliselt siis, kui puudub võimalus (või soov) olemasolevat infrastruktuuri muuta. Te ei pea praktiliselt muutma võrgu topoloogiat ega pea mõtlema IP-aadressi muutmisele.

Tahaksin märkida, et sillarežiimil on mõned funktsionaalsed piirangud, seetõttu soovitame integraatorina kõigil oma klientidel võimalusel kasutada marsruudirežiimi.

Tarkvaralabad (Check Point Software Blades)

Jõudsime peaaegu kõige olulisema Check Pointi teemani, mis tekitab klientides enim küsimusi. Mis on need "tarkvaralabad"? Terad viitavad teatud kontrollpunkti funktsioonidele.

Neid funktsioone saab vastavalt teie vajadustele sisse või välja lülitada. Samal ajal on labasid, mis aktiveeritakse ainult lüüsis (Network Security) ja ainult haldusserveris (haldus). Allolevatel piltidel on näited mõlema juhtumi kohta:

1) Võrguturbe jaoks (lüüsi funktsionaalsus)

Kirjeldame lühidalt, sest iga tera väärib eraldi artiklit.

• Firewall – tulemüüri funktsionaalsus;
• IPSec VPN - privaatsete virtuaalsete võrkude loomine;
• Mobiilne juurdepääs - kaugjuurdepääs mobiilseadmetest;
• IPS - sissetungimise vältimise süsteem;
• Anti-Bot - kaitse botnet-võrkude eest;
• AntiVirus - viirusetõrje voogesitus;
• AntiSpam & Email Security – ettevõtte kirjade kaitse;
• Identiteediteadlikkus – integratsioon Active Directory teenusega;
• Jälgimine – peaaegu kõigi lüüsi parameetrite jälgimine (koormus, ribalaius, VPN-i olek jne)
• Application Control - rakenduse tasemel tulemüür (NGFW funktsionaalsus);
• URL-i filtreerimine – veebiturvalisus (+puhverserveri funktsionaalsus);
• Andmekao vältimine – teabelekke kaitse (DLP);
• Threat Emulation – liivakasti tehnoloogia (Sandbox);
• Ohu eemaldamine - faili puhastamise tehnoloogia;
• QoS – liikluse prioritiseerimine.

Vaid mõnes artiklis vaatleme lähemalt ohuemuleerimise ja ohu eemaldamise labasid, olen kindel, et see on huvitav.

2) Juhtimiseks (haldusserveri funktsioon)

• Network Policy Management – ​​tsentraliseeritud poliitikahaldus;
• Endpoint Policy Management - Check Pointi agentide tsentraliseeritud haldamine (jah, Check Point toodab lahendusi mitte ainult võrgukaitseks, vaid ka tööjaamade (PC-de) ja nutitelefonide kaitsmiseks);
• Logimine ja olek – logide tsentraliseeritud kogumine ja töötlemine;
• Haldusportaal - turvahaldus brauserist;
• Töövoog – kontroll poliitikamuudatuste üle, muudatuste audit jne;
• User Directory - integratsioon LDAP-ga;
• Proviseerimine – lüüside haldamise automatiseerimine;
• Smart Reporter – aruandlussüsteem;
• Smart Event – ​​sündmuste analüüs ja korrelatsioon (SIEM);
• Vastavus – seadete automaatne kontroll ja soovituste väljastamine.

Me ei käsitle nüüd litsentsimise küsimusi üksikasjalikult, et mitte artiklit paisutada ja lugejat segadusse ajada. Tõenäoliselt võtame selle välja eraldi postituses.

Blade arhitektuur võimaldab kasutada ainult neid funktsioone, mida sa tõesti vajad, mis mõjutab nii lahenduse eelarvet kui ka seadme üldist jõudlust. On loogiline, et mida rohkem labasid aktiveerite, seda vähem saab liiklust "ära ajada". Seetõttu on iga Check Pointi mudeli juurde lisatud järgmine jõudlustabel (näiteks võtsime mudeli 5400 omadused):

Nagu näete, on siin kaks testikategooriat: sünteetilise liikluse ja päris - segatud. Üldiselt on Check Point lihtsalt sunnitud avaldama sünteetilisi teste, kuna. mõned müüjad kasutavad selliseid teste võrdlusalustena, ilma et nad uuriksid oma lahenduste toimivust reaalses liikluses (või peidavad selliseid andmeid nende ebarahuldavuse tõttu teadlikult).

Igat tüüpi testi puhul võite märgata mitut võimalust:

1. testida ainult tulemüüri jaoks;
2. tulemüür + IPS test;
3. tulemüür+IPS+NGFW (Application Control) test;
4. Tulemüür + rakenduste juhtimine + URL-i filtreerimine + IPS + viirusetõrje + robotite tõrje + liivapritsi test (liivakast)

Otsige neid parameetreid hoolikalt lahenduse valimisel või võtke ühendust konsultatsioon.

Arvan, et sellega on Check Pointi tehnoloogiaid käsitleva sissejuhatava artikli lõpp. Järgmisena vaatame, kuidas saab Check Pointi testida ja kuidas tulla toime kaasaegsete infoturbeohtudega (viirused, andmepüügi, lunavara, nullpäev).

PS Oluline punkt. Vaatamata välismaisele (Iisraeli) päritolule on lahendus Vene Föderatsioonis järelevalveasutuste poolt sertifitseeritud, mis legaliseerib automaatselt nende kohaloleku riigiasutustes (kommentaar Denyemall).

Küsitluses saavad osaleda ainult registreerunud kasutajad. Logi sissepalun.

Milliseid UTM/NGFW tööriistu te kasutate?

• Check Point

• Cisco tulejõud

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuardi

• Kadakas

• UserGate

• liiklusinspektor

• Rubicon

• Ideco

• avatud lähtekoodiga lahendus

• muu

134 kasutajat hääletas. 78 kasutajat jäi erapooletuks.

Allikas: www.habr.com