kontrol-puntua. Zer da, zerrekin jaten den, edo labur-labur gauza nagusiari buruz

Kaixo, habr-ren irakurle maiteok! Hau da konpainiaren blog korporatiboa T.S Irtenbidea. Sistema integratzailea gara eta batez ere IT azpiegituren segurtasun soluzioetan espezializatuta gaude (Check Point, Fortinet) eta makinen datuak aztertzeko sistemak (Splunk). Gure bloga Check Point teknologien sarrera labur batekin hasiko dugu.

Artikulu hau idatzi ala ez denbora luzez pentsatu genuen, zeren. ez dago bertan Interneten aurkitu ezin den berririk. Hala ere, informazio ugari dagoen arren, bezero eta bazkideekin lan egiten dugunean, askotan galdera berdinak entzuten ditugu. Horregatik, Check Point teknologien mundurako sarrera moduko bat idaztea erabaki zen eta haien soluzioen arkitekturaren funtsa ezagutaraztea. Eta hori guztia mezu “txiki” baten barruan, nolabait esateko, digresio azkar baten barruan. Eta marketin gerretan ez sartzen saiatuko gara, zeren. ez gara saltzaile bat, sistema integratzaile bat besterik ez (nahiz eta Check Point asko maite dugun) eta puntu nagusiak gainditzea besterik ez dugu beste fabrikatzaile batzuekin alderatu gabe (adibidez, Palo Alto, Cisco, Fortinet, etab.). Artikulua nahiko bolumentsua izan zen, baina Check Point-ekin ezagutarazteko fasean galdera gehienak mozten ditu. Interesa baduzu, ongi etorri katuaren azpian...

UTM/NGFW

Check Point-ari buruzko elkarrizketa bat hastean, hasteko lehenengo gauza UTM, NGFW zer diren eta nola desberdintzen diren azaltzea da. Oso zehatz-mehatz egingo dugu, mezua handiegia izan ez dadin (agian etorkizunean gai hau zehatzago aztertuko dugu)

UTM - Mehatxuen kudeaketa bateratua

Laburbilduz, UTMren funtsa hainbat segurtasun-tresna irtenbide bakarrean finkatzea da. Horiek. dena kutxa batean edo batzuk dena barne. Zer esan nahi du "erremedio anitzak"? Aukera ohikoena hau da: Firewall, IPS, Proxy (URL iragazkia), Streaming Antivirus, Anti-Spam, VPN eta abar. Hori guztia UTM soluzio baten barruan konbinatzen da, errazagoa dena integrazioari, konfigurazioari, administrazioari eta monitorizazioari dagokionez, eta horrek, aldi berean, eragin positiboa du sarearen segurtasun orokorrean. UTM irtenbideak lehen aldiz agertu zirenean, enpresa txikientzat soilik hartzen ziren kontuan, zeren. UTMek ezin izan zuten trafiko-bolumen handiak kudeatu. Hau bi arrazoirengatik izan zen:

1. Paketeen maneiua. UTM soluzioen lehen bertsioek paketeak sekuentzialki prozesatzen zituzten, "modulu" bakoitzaren arabera. Adibidea: lehenik paketea suebakiak prozesatzen du, gero IPSek, gero Anti-Virusek egiaztatzen du eta abar. Jakina, mekanismo horrek trafiko-atzerapen larriak eta sistemaren baliabideak (prozesadorea, memoria) asko kontsumitzen zituen.
2. Hardware ahula. Arestian esan bezala, pakete sekuentzialak prozesatzeko baliabideak jaten zituen eta garai haietako hardwareak (1995-2005) ezin zuen trafiko handiari aurre egin.

Baina aurrerapena ez da geldirik gelditzen. Harrezkero, hardware-ahalmenak nabarmen handitu dira, eta paketeen prozesamendua aldatu egin da (onartu beharra dago saltzaile guztiek ez dutela hori) eta ia aldibereko analisia ahalbidetzen hasi zen hainbat modulutan aldi berean (ME, IPS, AntiVirus, etab.). UTM soluzio modernoek hamarnaka eta ehunka gigabit "digeritu" ditzakete analisi sakoneko moduan, eta horrek negozio handien edo datu-zentroen segmentuan erabiltzeko aukera ematen du.

Jarraian, 2016ko abuztuko UTM irtenbideetarako Gartner-en Magic Quadrant ospetsua dago:

Ez dut argazki hau irmo komentatuko, goiko eskuineko izkinan liderrak daudela esango dut.

NGFW - Hurrengo belaunaldiko suebakia

Izenak berez hitz egiten du - hurrengo belaunaldiko suebakia. Kontzeptu hau UTM baino askoz beranduago agertu zen. NGFW-ren ideia nagusia paketeen ikuskapen sakona (DPI) da IPS integratua eta aplikazio mailan sarbide kontrola erabiliz (Aplikazioen Kontrola). Kasu honetan, IPS hau edo beste aplikazio paketeen korrontean identifikatzeko behar dena besterik ez da, eta horrek baimendu edo ukatzeko aukera ematen du. Adibidea: Skype-k funtziona dezan baimendu dezakegu, baina fitxategien transferentziak saihestu ditzakegu. Torrent edo RDP erabiltzea debekatu dezakegu. Web aplikazioak ere onartzen dira: VK.com-era sarbidea baimendu dezakezu, baina jokoak, mezuak edo bideoak ikustea eragotzi. Funtsean, NGFW baten kalitatea defini ditzakeen aplikazio kopuruaren araberakoa da. Askok uste dute NGFW kontzeptuaren agerpena marketin-estrategia arrunt bat izan zela, eta horren aurka Palo Altok hazkunde azkarra hasi zuen.

2016ko maiatzean Gartner Magic Quadrant NGFWrako:

UTM vs NGFW

Oso ohiko galdera bat, zein da hobea? Hemen ez dago erantzun bakarra eta ezin da egon. Batez ere, UTM soluzio moderno ia guztiek NGFW funtzionaltasuna dutela eta NGFW gehienek UTMren berezko funtzioak dituztela (Antibirusak, VPN, Anti-Bot, etab.). Beti bezala, "deabrua xehetasunetan dago", beraz, lehenik eta behin, zehazki zer behar duzun erabaki behar duzu, aurrekontua erabaki. Erabaki horien arabera, hainbat aukera hauta daitezke. Eta dena anbiguoki probatu behar da, marketin-materialak sinetsi gabe.

Gu, hainbat artikuluren baitan, Check Point-i buruz, nola probatu dezakezun eta, printzipioz, zer probatu dezakezun (ia funtzionalitate guztiak) kontatzen saiatuko gara.

Hiru Check Point Entitate

Check Point-ekin lan egiten duzunean, produktu honen hiru osagai aurkituko dituzu zalantzarik gabe:

1. Segurtasun-atebidea (SG) - Segurtasun atebidea bera, normalean sare perimetroan jarri ohi dena eta suebaki baten funtzioak betetzen dituena, streaming-en aurkako birusak, anti-botak, IPSak, etab.
2. Segurtasuna kudeatzeko zerbitzaria (SMS) - atebidearen kudeaketa zerbitzaria. Atebideko (SG) ezarpen ia guztiak zerbitzari hau erabiliz egiten dira. SMSak Erregistro zerbitzari gisa ere jardun dezake eta gertaeren analisi eta korrelazio sistema integratuarekin prozesatu ditzake - Smart Event (SIEM Check Point-erako antzekoa), baina gehiago gehiago geroago. SMSa hainbat atebide zentralki kudeatzeko erabiltzen da (atebide kopurua SMS ereduaren edo lizentziaren araberakoa da), baina erabili behar duzu atebide bakarra izan arren. Kontuan izan behar da hemen Check Point izan zela halako kudeaketa sistema zentralizatua erabiltzen lehenetarikoa, Gartnerrek urte askotan jarraian "urrezko estandar" gisa aitortua izan dena. Txantxa bat ere badago: "Cisco-k kontrol sistema normal bat izan balu, Check Point ez zen inoiz agertuko".
3. Kontsola adimenduna — kudeaketa zerbitzariarekin (SMS) konektatzeko bezero kontsola. Normalean administratzailearen ordenagailuan instalatuta dago. Kontsola honen bidez, aldaketa guztiak kudeaketa zerbitzarian egiten dira, eta horren ondoren ezarpenak segurtasun-pasareetan aplika ditzakezu (Instalatu Politika).

   

Check Point sistema eragilea

Check Point sistema eragileari buruz hitz eginez, hiru gogoratu daitezke aldi berean: IPSO, SPLAT eta GAIA.

1. IPSO Nokiaren jabetzakoa den Ipsilon Networks-en sistema eragilea da. 2009an, Check Pointek negozio hau erosi zuen. Jada ez da garatu.
2. SPLAT - Check Point-en garapen propioa, RedHat nukleoan oinarrituta. Jada ez da garatu.
3. Gaia - Check Point-en egungo sistema eragilea, IPSO eta SPLAT-en bat-egitearen ondorioz agertu zena, onena guztiak barne hartuta. 2012an agertu zen eta aktiboki garatzen jarraitzen du.

Gaiari buruz hitz eginez, esan beharra dago momentuz bertsiorik ohikoena R77.30 dela. Duela gutxi, R80 bertsioa agertu da, aurrekoarekin nabarmen ezberdintzen dena (funtzionalitateari eta kontrolari dagokionez). Beraien desberdintasunen gaiari aparteko mezu bat eskainiko diogu. Beste puntu garrantzitsu bat da momentuz R77.10 bertsioak bakarrik duela FSTEC ziurtagiria eta R77.30 bertsioa ziurtagiria ari dela.

Aukerak (Check Point Appliance, Makina birtuala, OpenServer)

Hemen ez dago ezer harrigarririk, Check Point-eko saltzaile askok hainbat produktu aukera baitituzte:

1. Appliance - hardware eta software gailua, hau da. propioa "burdinazko pieza". Errendimenduan, funtzionalitatean eta diseinuan desberdinak diren eredu asko daude (sare industrialetarako aukerak daude).

   

2. Makina birtuala - Check Point Gaia OSrekin makina birtuala. Hypervisors ESXi, Hyper-V, KVM onartzen dira. Prozesadore-nukleo kopuruaren arabera lizentziatua.
3. zerbitzari irekia - Gaia zerbitzarian zuzenean instalatzea sistema eragile nagusi gisa ("Bare metal" delakoa). Hardware jakin batzuk bakarrik onartzen dira. Hardware honetarako gomendioak daude jarraitu beharrekoak, bestela arazoak egon daitezke gidariekin eta horiekin. laguntzak zerbitzuari uko egin diezazuke.

Ezartzeko aukerak (banatua edo autonomoa)

Apur bat gorago, atebide bat (SG) eta kudeaketa zerbitzari bat (SMS) zer diren eztabaidatu dugu jada. Orain eztabaida ditzagun haien ezarpenerako aukerak. Bi modu nagusi daude:

1. Bakarrik (SG+SMS) - aukera bat atebidea eta kudeaketa zerbitzaria gailu (edo makina birtual) berean instalatuta daudenean.

   
   
   Aukera hau egokia da atebide bakarra duzunean, erabiltzaileen trafikoarekin arin kargatuta dagoenean. Aukera hau da ekonomikoena, izan ere. ez dago kudeaketa zerbitzaririk (SMS) erosi beharrik. Hala ere, atebidea asko kargatuta badago, baliteke kontrol-sistema motela izatea. Horregatik, Standalone irtenbide bat aukeratu aurretik, hobe da aukera hau kontsultatzea edo probatzea.

2. Banatutako — kudeaketa zerbitzaria atebidetik bereizita instalatzen da.

   
   
   Aukerarik onena erosotasunari eta errendimenduari dagokionez. Hainbat ate aldi berean kudeatu behar direnean erabiltzen da, adibidez, erdialdekoak eta sukurtsalak. Kasu honetan, kudeaketa zerbitzari bat (SMS) erosi behar duzu, eta tresna (burdinazko pieza) edo makina birtual baten moduan ere izan daiteke.

Goian esan dudan bezala, Check Pointek SIEM sistema propioa du - Smart Event. Banatutako instalazioaren kasuan bakarrik erabil dezakezu.

Eragiketa moduak (zubia, bideratua)
Security Gateway (SG) oinarrizko bi modutan funtziona dezake:

• bideratzen - aukerarik ohikoena. Kasu honetan, atea L3 gailu gisa erabiltzen da eta trafikoa berez bideratzen du, hau da. Check Point babestutako sarearen atebide lehenetsia da.
• Zubia - modu gardena. Kasu honetan, atebidea "zubi" normal gisa instalatzen da eta trafikoa bertatik igarotzen du bigarren geruzan (OSI). Aukera hau erabili ohi da dagoen azpiegitura aldatzeko aukerarik (edo nahirik) ez dagoenean. Ia ez duzu sarearen topologia aldatu beharrik eta ez duzu IP helbidea aldatzea pentsatu beharrik.

Kontuan izan nahi dut Zubi moduan muga funtzional batzuk daudela, beraz, integratzaile gisa, gure bezero guztiei bideratua modua erabiltzea gomendatzen diegu, noski, ahal izanez gero.

Software Blades (Check Point Software Blades)

Ia iritsi gara Check Point gai garrantzitsuenera, bezeroen galdera gehien sortzen dituena. Zer dira "software blade" horiek? Blade-k Check Point-en zenbait funtzio aipatzen ditu.

Ezaugarri hauek aktibatu edo desaktibatu daitezke zure beharren arabera. Aldi berean, atebidean soilik aktibatzen diren bladeak daude (Sareko segurtasuna) eta kudeaketa zerbitzarian soilik (Kudeaketa). Beheko irudiek bi kasuetarako adibideak erakusten dituzte:

1) Sarearen segurtasunerako (atebidearen funtzionaltasuna)

Deskriba dezagun labur, zeren pala bakoitzak aparteko artikulu bat merezi du.

• Firewall - suebakiaren funtzionaltasuna;
• IPSec VPN - sare birtual pribatuak eraikitzea;
• Mugikorretarako sarbidea - gailu mugikorretatik urruneko sarbidea;
• IPS - intrusioak prebenitzeko sistema;
• Anti-Bot - botnet sareen aurkako babesa;
• AntiVirus - birusen aurkako erreprodukzioa;
• AntiSpam eta posta elektronikoaren segurtasuna - posta korporatiboa babestea;
• Identity Awareness - Active Directory zerbitzuarekin integratzea;
• Monitorizazioa - atebidearen parametro ia guztien jarraipena (karga, banda zabalera, VPN egoera, etab.)
• Aplikazioen Kontrola - aplikazio mailako suebakia (NGFW funtzionaltasuna);
• URL Iragazkia - Web segurtasuna (+proxy funtzionaltasuna);
• Datu galeraren prebentzioa - informazio ihesaren babesa (DLP);
• Mehatxuen emulazioa - sandbox teknologia (SandBox);
• Threat Extraction - fitxategiak garbitzeko teknologia;
• QoS - trafikoaren lehentasuna.

Artikulu gutxitan, Mehatxuen Emulazioa eta Mehatxuak erauzteko labei gertutik begiratuko diegu, interesgarria izango dela ziur nago.

2) Zuzendaritzarako (kudeaketa zerbitzariaren funtzionaltasuna)

• Network Policy Management - politikaren kudeaketa zentralizatua;
• Endpoint Policy Management - Check Point-eko agenteen kudeaketa zentralizatua (bai, Check Point-ek sarearen babeserako ez ezik, lan-estazioak (PC) eta smartphone-ak babesteko ere konponbideak sortzen ditu);
• Logging & Status - erregistroen bilketa eta prozesamendu zentralizatua;
• Kudeaketa ataria - segurtasun kudeaketa arakatzailetik;
• Lan-fluxua - politika aldaketen kontrola, aldaketen auditoria, etab.;
• Erabiltzaileen direktorioa - LDAP-ekin integratzea;
• Hornidura - atebidearen kudeaketa automatizatzea;
• Smart Reporter - txosten sistema;
• Smart Event - gertaeren azterketa eta korrelazioa (SIEM);
• Betetzea - ​​ezarpenen egiaztapen automatikoa eta gomendioak ematea.

Orain ez ditugu lizentzien gaiak zehatz-mehatz aztertuko, artikulua ez puzteko eta irakurlea nahasteko. Seguruenik aparteko mezu batean aterako dugu.

Blade arkitekturak benetan behar dituzun funtzioak soilik erabiltzeko aukera ematen du, eta horrek irtenbidearen aurrekontuan eta gailuaren errendimendu orokorrari eragiten dio. Logikoa da zenbat eta blade gehiago aktibatu, orduan eta trafiko gutxiago "alderatu" daitekeela. Horregatik, Check Point eredu bakoitzari errendimendu-taula hau erantsi zaio (adibidez, 5400 modeloaren ezaugarriak hartu ditugu):

Ikus dezakezunez, bi proba kategoria daude hemen: trafiko sintetikoan eta benetako - mistoan. Oro har, Check Point proba sintetikoak argitaratzera behartuta dago, zeren. hornitzaile batzuek proba horiek erreferentzia gisa erabiltzen dituzte beren soluzioen errendimendua trafiko errealean aztertu gabe (edo nahita ezkutatzen dituzte datu horiek asegabeak direlako).

Proba mota bakoitzean, hainbat aukera nabari ditzakezu:

1. probatu Firewall-erako soilik;
2. Firewall + IPS proba;
3. Firewall+IPS+NGFW (Aplikazioen kontrola) proba;
4. Firewall+Aplikazioen Kontrola+URL Iragazkia+IPS+Antibirus+Anti-Bot+SandBlast proba (sandbox)

Arretaz begiratu parametro hauek zure irtenbidea aukeratzerakoan, edo jarri harremanetan kontsulta.

Uste dut Check Point teknologiei buruzko sarrera artikuluaren amaiera dela. Ondoren, Check Point nola probatu dezakezun eta informazio-segurtasun mehatxu modernoei (birusak, phishinga, ransomwarea, zero-day) nola aurre egin aztertuko dugu.

PS Puntu garrantzitsu bat. Atzerriko (Israel) jatorria izan arren, irtenbidea Errusiako Federazioan ziurtatzen dute gainbegiratze-agintariek, eta horrek automatikoki legeztatzen du haien presentzia estatuko erakundeetan (iruzkindua). Denyemall).

Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. Hasi saioa, mesedez.

Zein UTM/NGFW tresna erabiltzen dituzu?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• zaintza zaindaria

• Juniper

• UserGate

• trafiko ikuskatzailea

• Rubicon

• Ideco

• kode irekiko irtenbidea

• Beste

134 erabiltzailek eman dute botoa. 78 erabiltzaile abstenitu ziren.

Iturria: www.habr.com