نقطه چک چیست، با چه چیزی خورده می شود، یا به طور خلاصه در مورد چیز اصلی

با سلام خدمت خوانندگان عزیز habr! این وبلاگ شرکتی این شرکت است راه حل T.S. ما یکپارچه ساز سیستم هستیم و عمدتاً در راه حل های امنیتی زیرساخت فناوری اطلاعات تخصص داریم (Check Point است., Fortinet) و سیستم های تجزیه و تحلیل داده های ماشینی (پاره شدن). ما وبلاگ خود را با معرفی کوتاهی از فناوری های Check Point آغاز خواهیم کرد.

ما برای مدت طولانی فکر کردیم که آیا این مقاله را بنویسیم، زیرا. هیچ چیز جدیدی در آن وجود ندارد که در اینترنت پیدا نشود. با این حال، با وجود چنین اطلاعات فراوانی، هنگام کار با مشتریان و شرکا، اغلب سوالات مشابهی را می شنویم. بنابراین، تصمیم بر آن شد تا به نوعی مقدمه ای برای دنیای فناوری های Check Point بنویسیم و ماهیت معماری راه حل های آنها را آشکار کنیم. و همه اینها در چارچوب یک پست "کوچک"، به اصطلاح، یک انحراف سریع. و ما سعی خواهیم کرد وارد جنگ های بازاریابی نشویم، زیرا. ما یک فروشنده نیستیم، بلکه فقط یکپارچه کننده سیستم هستیم (اگرچه ما Check Point را بسیار دوست داریم) و فقط نکات اصلی را بدون مقایسه با سایر تولیدکنندگان (مانند Palo Alto، Cisco، Fortinet و غیره) مرور می کنیم. مقاله کاملاً حجیم بود ، اما در مرحله آشنایی با Check Point بیشتر سؤالات را قطع می کند. اگر علاقه مند هستید، پس به زیر گربه خوش آمدید…

UTM/NGFW

هنگام شروع مکالمه در مورد Check Point، اولین چیزی که باید با آن شروع کنید توضیحی در مورد چیستی UTM، NGFW و تفاوت آنهاست. ما این کار را بسیار مختصر انجام خواهیم داد تا پست خیلی بزرگ نباشد (شاید در آینده این موضوع را با جزئیات بیشتری بررسی کنیم)

UTM - مدیریت یکپارچه تهدید

به طور خلاصه، ماهیت UTM ادغام چندین ابزار امنیتی در یک راه حل است. آن ها همه در یک جعبه یا برخی از همه شامل. منظور از "چند درمان" چیست؟ رایج ترین گزینه عبارتند از: فایروال، IPS، پروکسی (فیلتر کردن URL)، آنتی ویروس جریانی، آنتی اسپم، VPN و غیره. همه اینها در یک راه حل UTM ترکیب می شوند که از نظر یکپارچه سازی، پیکربندی، مدیریت و نظارت آسان تر است و این به نوبه خود تأثیر مثبتی بر امنیت کلی شبکه دارد. هنگامی که راه حل های UTM برای اولین بار ظاهر شدند، آنها منحصراً برای شرکت های کوچک در نظر گرفته شدند، زیرا. UTM ها نمی توانند حجم زیادی از ترافیک را مدیریت کنند. این به دو دلیل بود:

1. حمل و نقل بسته ها اولین نسخه‌های راه‌حل‌های UTM بسته‌ها را به‌طور متوالی و توسط هر «ماژول» پردازش می‌کردند. مثال: ابتدا بسته توسط فایروال پردازش می شود، سپس توسط IPS، سپس توسط آنتی ویروس و غیره بررسی می شود. به طور طبیعی، چنین مکانیزمی باعث ایجاد تاخیرهای جدی در ترافیک و مصرف شدید منابع سیستم (پردازنده، حافظه) شد.
2. سخت افزار ضعیف همانطور که در بالا ذکر شد، پردازش بسته متوالی منابع را می خورد و سخت افزار آن زمان (1995-2005) به سادگی نمی توانست با ترافیک بالا کنار بیاید.

اما پیشرفت ثابت نمی ماند. از آن زمان، ظرفیت های سخت افزاری به طور قابل توجهی افزایش یافته است و پردازش بسته ها تغییر کرده است (باید اعتراف کرد که همه فروشندگان آن را ندارند) و شروع به امکان تجزیه و تحلیل تقریباً همزمان در چندین ماژول به طور همزمان (ME، IPS، آنتی ویروس و غیره) کرد. راه حل های مدرن UTM می توانند ده ها و حتی صدها گیگابیت را در حالت تجزیه و تحلیل عمیق "هضم" کنند، که استفاده از آنها را در بخش مشاغل بزرگ یا حتی مراکز داده ممکن می کند.

در زیر ربع جادویی معروف Gartner برای راه حل های UTM برای اوت 2016 آمده است:

من به شدت در مورد این تصویر اظهار نظر نمی کنم، فقط می گویم که در گوشه سمت راست بالا رهبران وجود دارند.

NGFW - فایروال نسل بعدی

این نام برای خود صحبت می کند - فایروال نسل بعدی. این مفهوم بسیار دیرتر از UTM ظاهر شد. ایده اصلی NGFW بازرسی بسته عمیق (DPI) با استفاده از IPS داخلی و کنترل دسترسی در سطح برنامه (Application Control) است. در این مورد، IPS همان چیزی است که برای شناسایی این یا آن برنامه در جریان بسته مورد نیاز است، که به شما اجازه می دهد یا آن را رد کنید. مثال: ما می‌توانیم به Skype اجازه کار کنیم اما از انتقال فایل جلوگیری کنیم. ما می توانیم استفاده از تورنت یا RDP را ممنوع کنیم. برنامه‌های وب نیز پشتیبانی می‌شوند: می‌توانید اجازه دسترسی به VK.com را بدهید، اما از بازی‌ها، پیام‌ها یا تماشای ویدیو جلوگیری کنید. اساساً کیفیت یک NGFW به تعداد برنامه هایی که می تواند تعریف کند بستگی دارد. بسیاری بر این باورند که ظهور مفهوم NGFW یک ترفند بازاریابی رایج بود که پالو آلتو رشد سریع خود را در برابر آن آغاز کرد.

مه 2016 Gartner Magic Quadrant برای NGFW:

UTM در مقابل NGFW

یک سوال بسیار رایج، کدام بهتر است؟ در اینجا هیچ پاسخ واحدی وجود ندارد و نمی تواند باشد. به خصوص وقتی این واقعیت را در نظر بگیرید که تقریباً تمام راه حل های مدرن UTM دارای عملکرد NGFW هستند و اکثر NGFW ها دارای عملکردهای ذاتی در UTM هستند (آنتی ویروس، VPN، آنتی ربات و غیره). مثل همیشه، "شیطان در جزئیات است"، بنابراین اول از همه باید تصمیم بگیرید که به طور خاص به چه چیزی نیاز دارید، در مورد بودجه تصمیم بگیرید. بر اساس این تصمیمات می توان چندین گزینه را انتخاب کرد. و همه چیز باید بدون ابهام آزمایش شود، بدون اینکه مواد بازاریابی را باور کنیم.

ما به نوبه خود در چارچوب چندین مقاله سعی خواهیم کرد در مورد Check Point به شما بگوییم که چگونه می توانید آن را امتحان کنید و در اصل چه چیزی را می توانید امتحان کنید (تقریباً همه عملکردها).

سه نهاد چک پوینت

هنگام کار با Check Point، قطعا با سه جزء این محصول مواجه خواهید شد:

1. دروازه امنیتی (SG) - خود دروازه امنیتی که معمولاً در محیط شبکه قرار می گیرد و عملکردهای فایروال، آنتی ویروس جریانی، آنتی ربات، IPS و غیره را انجام می دهد.
2. سرور مدیریت امنیت (SMS) - سرور مدیریت دروازه تقریباً تمام تنظیمات روی دروازه (SG) با استفاده از این سرور انجام می شود. پیامک همچنین می‌تواند به عنوان یک Log Server عمل کند و آنها را با سیستم تجزیه و تحلیل رویداد داخلی و همبستگی پردازش کند - Smart Event (شبیه به SIEM برای Check Point)، اما بعداً در مورد آن بیشتر توضیح خواهیم داد. SMS برای مدیریت مرکزی چندین دروازه استفاده می شود (تعداد دروازه ها به مدل یا مجوز پیامک بستگی دارد)، اما حتی اگر فقط یک دروازه دارید، باید از آن استفاده کنید. در اینجا لازم به ذکر است که Check Point یکی از اولین کسانی بود که از چنین سیستم مدیریت متمرکزی استفاده کرد که طبق گزارش های گارتنر برای چندین سال متوالی به عنوان "استاندارد طلایی" شناخته شده است. حتی یک شوخی وجود دارد: "اگر سیسکو یک سیستم کنترل معمولی داشت، Check Point هرگز ظاهر نمی شد."
3. کنسول هوشمند - کنسول مشتری برای اتصال به سرور مدیریت (SMS). معمولاً روی رایانه مدیر نصب می شود. از طریق این کنسول تمامی تغییرات بر روی سرور مدیریت انجام می شود و پس از آن می توانید تنظیمات را بر روی درگاه های امنیتی (Install Policy) اعمال کنید.

   

سیستم عامل Check Point

در مورد سیستم عامل Check Point، سه مورد را می توان به طور همزمان به یاد آورد: IPSO، SPLAT و GAIA.

1. IPSO سیستم عامل Ipsilon Networks است که متعلق به نوکیا بود. در سال 2009، چک پوینت این تجارت را خریداری کرد. دیگر توسعه نیافته است.
2. پاشیدن - توسعه خود Check Point، بر اساس هسته RedHat. دیگر توسعه نیافته است.
3. گایا - سیستم عامل فعلی از Check Point که در نتیجه ادغام IPSO و SPLAT ظاهر شد و بهترین ها را در خود جای داده است. در سال 2012 ظاهر شد و همچنان به طور فعال در حال توسعه است.

در مورد Gaia باید گفت که در حال حاضر رایج ترین نسخه R77.30 است. نسبتاً اخیراً نسخه R80 ظاهر شده است که تفاوت قابل توجهی با نسخه قبلی (هم از نظر عملکرد و هم از نظر کنترل) دارد. ما یک پست جداگانه را به موضوع تفاوت آنها اختصاص خواهیم داد. نکته مهم دیگر این است که در حال حاضر تنها نسخه R77.10 دارای گواهی FSTEC است و نسخه R77.30 در حال تایید است.

گزینه‌ها (Check Point Appliance، ماشین مجازی، OpenServer)

در اینجا هیچ چیز شگفت انگیزی وجود ندارد، زیرا بسیاری از فروشندگان Check Point چندین گزینه محصول دارند:

1. دستگاه - دستگاه سخت افزاری و نرم افزاری، یعنی. خود "قطعه آهن". مدل های زیادی وجود دارد که از نظر عملکرد، عملکرد و طراحی متفاوت هستند (گزینه هایی برای شبکه های صنعتی وجود دارد).

   

2. ماشین مجازی - Check Point ماشین مجازی با سیستم عامل Gaia. هایپروایزر ESXi، Hyper-V، KVM پشتیبانی می شوند. دارای مجوز تعداد هسته های پردازنده.
3. سرور باز - نصب مستقیم گایا بر روی سرور به عنوان سیستم عامل اصلی (به اصطلاح "Bare metal"). فقط سخت افزار خاصی پشتیبانی می شود. توصیه هایی برای این سخت افزار وجود دارد که باید رعایت شود، در غیر این صورت ممکن است مشکلاتی برای درایورها و آن وجود داشته باشد. پشتیبانی ممکن است خدمات به شما را رد کند.

گزینه های پیاده سازی (توزیع شده یا مستقل)

کمی بالاتر، قبلاً بحث کردیم که دروازه (SG) و سرور مدیریت (SMS) چیست. اکنون بیایید در مورد گزینه های اجرای آنها بحث کنیم. دو راه اصلی وجود دارد:

1. مستقل (SG+SMS) - گزینه ای زمانی که هم دروازه و هم سرور مدیریت در یک دستگاه (یا ماشین مجازی) نصب شده باشند.

   
   
   این گزینه زمانی مناسب است که شما فقط یک دروازه دارید که به مقدار کمی با ترافیک کاربر بارگیری می شود. این گزینه مقرون به صرفه ترین است، زیرا. بدون نیاز به خرید سرور مدیریت (SMS). با این حال، اگر دروازه به شدت بارگذاری شود، ممکن است با یک سیستم کنترل کند مواجه شوید. بنابراین، قبل از انتخاب یک راه حل مستقل، بهتر است با این گزینه مشورت کنید یا حتی آن را آزمایش کنید.

2. توزیع شده - سرور مدیریت به طور جداگانه از دروازه نصب شده است.

   
   
   بهترین گزینه از نظر راحتی و عملکرد. زمانی استفاده می شود که نیاز به مدیریت چندین دروازه به طور همزمان باشد، به عنوان مثال، مرکزی و شعبه. در این صورت باید یک سرور مدیریتی (SMS) خریداری کنید که می تواند به صورت یک دستگاه (قطعه آهن) یا ماشین مجازی نیز باشد.

همانطور که در بالا گفتم، Check Point سیستم SIEM خود را دارد - Smart Event. فقط در صورت نصب Distributed می توانید از آن استفاده کنید.

حالت های عملیاتی (Bridge، Routed)
دروازه امنیتی (SG) می تواند در دو حالت اصلی کار کند:

• مسیریابی شده - رایج ترین گزینه در این مورد، دروازه به عنوان یک دستگاه L3 استفاده می شود و ترافیک را از طریق خود هدایت می کند، یعنی. Check Point دروازه پیش فرض شبکه محافظت شده است.
• پل - حالت شفاف در این حالت، دروازه به عنوان یک "پل" معمولی نصب می شود و ترافیک را در لایه دوم (OSI) از آن عبور می دهد. این گزینه معمولا زمانی استفاده می شود که امکان (یا تمایل) برای تغییر زیرساخت موجود وجود نداشته باشد. شما عملا نیازی به تغییر توپولوژی شبکه ندارید و مجبور نیستید به تغییر آدرس IP فکر کنید.

من می خواهم توجه داشته باشم که در حالت Bridge محدودیت های عملکردی وجود دارد، بنابراین به عنوان یکپارچه ساز به همه مشتریان خود توصیه می کنیم که البته در صورت امکان از حالت Routed استفاده کنند.

تیغه های نرم افزار (Check Point Software Blades)

تقریباً به مهمترین موضوع Check Point رسیدیم که بیشترین سؤال را از مشتریان ایجاد می کند. این "تیغه های نرم افزاری" چیست؟ تیغه ها به برخی از عملکردهای Check Point اشاره دارند.

این ویژگی ها بسته به نیاز شما می توانند روشن یا خاموش شوند. در عین حال، تیغه هایی وجود دارند که منحصراً در گیت وی (Network Security) و فقط در سرور مدیریت (Management) فعال می شوند. تصاویر زیر نمونه هایی را برای هر دو مورد نشان می دهد:

1) برای امنیت شبکه (عملکرد دروازه)

اجازه دهید به طور خلاصه توضیح دهیم، زیرا هر تیغه سزاوار یک مقاله جداگانه است.

• فایروال - عملکرد دیوار آتش.
• IPSec VPN - ساخت شبکه های مجازی خصوصی.
• دسترسی به موبایل - دسترسی از راه دور از دستگاه های تلفن همراه؛
• IPS - سیستم جلوگیری از نفوذ؛
• Anti-Bot - محافظت در برابر شبکه های بات نت؛
• آنتی ویروس - جریان آنتی ویروس;
• AntiSpam & Email Security - حفاظت از نامه های شرکتی.
• Identity Awareness - ادغام با سرویس Active Directory.
• نظارت - نظارت بر تقریباً تمام پارامترهای دروازه (بار، پهنای باند، وضعیت VPN و غیره)
• کنترل برنامه - فایروال سطح برنامه (عملکرد NGFW)؛
• فیلتر کردن URL - امنیت وب (+ عملکرد پروکسی)؛
• پیشگیری از از دست دادن اطلاعات - حفاظت از نشت اطلاعات (DLP).
• Threat Emulation - تکنولوژی sandbox (SandBox)؛
• استخراج تهدید - فناوری تمیز کردن فایل.
• QoS - اولویت بندی ترافیک.

فقط در چند مقاله نگاهی دقیق تر به تیغه های Threat Emulation و Threat Extraction خواهیم داشت، مطمئنم جالب خواهد بود.

2) برای مدیریت (عملکرد سرور مدیریت)

• مدیریت سیاست شبکه - مدیریت سیاست متمرکز؛
• مدیریت خط مشی نقطه پایانی - مدیریت متمرکز عوامل Check Point (بله، Check Point راه حل هایی را نه تنها برای محافظت از شبکه، بلکه برای محافظت از ایستگاه های کاری (کامپیوترها) و گوشی های هوشمند تولید می کند.
• ثبت و وضعیت - جمع آوری متمرکز و پردازش سیاهههای مربوط.
• پورتال مدیریت - مدیریت امنیت از مرورگر؛
• گردش کار - کنترل تغییرات سیاست، ممیزی تغییرات و غیره؛
• فهرست کاربر - ادغام با LDAP.
• تامین - اتوماسیون مدیریت دروازه؛
• گزارشگر هوشمند - سیستم گزارش دهی;
• رویداد هوشمند - تجزیه و تحلیل و همبستگی رویدادها (SIEM)؛
• انطباق - بررسی خودکار تنظیمات و صدور توصیه ها.

ما اکنون مسائل مربوط به مجوز را با جزئیات در نظر نخواهیم گرفت تا مقاله را متورم نکنیم و خواننده را سردرگم نکنیم. به احتمال زیاد در یک پست جداگانه آن را بیرون خواهیم آورد.

معماری تیغه به شما امکان می دهد فقط از عملکردهایی که واقعاً نیاز دارید استفاده کنید که بر بودجه راه حل و عملکرد کلی دستگاه تأثیر می گذارد. منطقی است که هرچه تعداد تیغه های بیشتری را فعال کنید، ترافیک کمتری را می توان "دور" کرد. به همین دلیل است که جدول عملکرد زیر به هر مدل Check Point پیوست شده است (به عنوان مثال، ما ویژگی های مدل 5400 را در نظر گرفتیم):

همانطور که می بینید، دو دسته تست در اینجا وجود دارد: در ترافیک مصنوعی و واقعی - مختلط. به طور کلی، Check Point به سادگی مجبور به انتشار تست های مصنوعی است، زیرا. برخی از فروشندگان بدون بررسی عملکرد راه حل های خود در ترافیک واقعی از چنین آزمایش هایی به عنوان معیار استفاده می کنند (یا به دلیل نامطلوب بودن چنین داده هایی را به عمد پنهان می کنند).

در هر نوع تست، می توانید چندین گزینه را مشاهده کنید:

1. تست فقط برای فایروال
2. فایروال + تست IPS؛
3. تست فایروال+IPS+NGFW (کنترل برنامه)؛
4. فایروال+کنترل برنامه+فیلتر URL+IPS+آنتی ویروس+آنتی ربات+تست SandBlast (سندباکس)

هنگام انتخاب راه حل خود یا تماس با آن، به دقت به این پارامترها نگاه کنید مشاوره.

فکر می‌کنم این پایان مقاله مقدماتی فناوری‌های Check Point باشد. در مرحله بعد، نحوه آزمایش Check Point و نحوه مقابله با تهدیدات امنیت اطلاعات مدرن (ویروس ها، فیشینگ، باج افزار، روز صفر) را بررسی خواهیم کرد.

PS یک نکته مهم. علیرغم منشاء خارجی (اسرائیلی)، راه حل در فدراسیون روسیه توسط مقامات نظارتی تأیید شده است، که به طور خودکار حضور آنها را در مؤسسات دولتی قانونی می کند (نظر توسط Denyemall).

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

از چه ابزارهای UTM/NGFW استفاده می کنید؟

• Check Point است.

• Cisco Firepower

• Fortinet

• پالو آلتو

• شرکت Sophos

• Dell SonicWALL

• Huawei در

• گارد نگهبان

• سرو کوهی

• یوزر گیت

• بازرس راهنمایی و رانندگی

• روبیکون

• ایدکو

• راه حل منبع باز

• دیگر

134 کاربر رای دادند. 78 کاربر رای ممتنع دادند.

منبع: www.habr.com