tarkistuspiste. Mitä se on, minkä kanssa sitä syödään, tai lyhyesti pääasiasta

Hei rakkaat habrin lukijat! Tämä on yrityksen yritysblogi TS Ratkaisu. Olemme järjestelmäintegraattori ja erikoistuneet pääasiassa IT-infrastruktuurin tietoturvaratkaisuihin (Check Point, Fortinet) ja konetietojen analysointijärjestelmät (Splunk). Aloitamme blogimme lyhyellä esittelyllä Check Pointin teknologioihin.

Mietimme pitkään, pitäisikö kirjoittaa tämä artikkeli, koska. siinä ei ole mitään uutta, mitä ei löytyisi Internetistä. Tietojen runsaudesta huolimatta kuulemme kuitenkin usein samoja kysymyksiä työskennellessämme asiakkaiden ja kumppaneiden kanssa. Siksi päätettiin kirjoittaa jonkinlainen johdatus Check Point -teknologioiden maailmaan ja paljastaa niiden ratkaisujen arkkitehtuurin ydin. Ja kaikki tämä yhden "pienen" postauksen puitteissa, niin sanotusti, nopea poikkeama. Ja yritämme olla menemättä markkinointisotiin, koska. emme ole myyjä, vaan vain järjestelmäintegraattori (vaikka rakastamme Check Pointia kovasti) ja käymme läpi pääkohdat vertaamatta niitä muihin valmistajiin (kuten Palo Alto, Cisco, Fortinet jne.). Artikkeli osoittautui melko laajaksi, mutta se katkaisee suurimman osan kysymyksistä Check Pointiin tutustumisen vaiheessa. Jos olet kiinnostunut, niin tervetuloa kissan alle…

UTM/NGFW

Kun aloitat keskustelun Check Pointista, aloita ensin selittämällä, mitä UTM, NGFW ovat ja miten ne eroavat toisistaan. Teemme tämän erittäin ytimekkäästi, jotta viesti ei muutu liian suureksi (ehkä tulevaisuudessa harkitsemme tätä asiaa hieman yksityiskohtaisemmin)

UTM - Unified Threat Management

Lyhyesti sanottuna UTM:n ydin on useiden tietoturvatyökalujen yhdistäminen yhteen ratkaisuun. Nuo. kaikki yhdessä laatikossa tai osa all inclusive. Mitä tarkoittaa "useita korjaustoimenpiteitä"? Yleisin vaihtoehto on: Firewall, IPS, Proxy (URL-suodatus), Streaming Antivirus, Anti-Spam, VPN ja niin edelleen. Kaikki tämä on yhdistetty yhteen UTM-ratkaisuun, joka on helpompaa integroinnin, konfiguroinnin, hallinnan ja valvonnan kannalta, ja tämä puolestaan ​​vaikuttaa positiivisesti verkon yleiseen turvallisuuteen. Kun UTM-ratkaisut ilmestyivät ensimmäisen kerran, niitä pidettiin yksinomaan pienille yrityksille, koska. UTM:t eivät pystyneet käsittelemään suuria liikennemääriä. Tämä johtui kahdesta syystä:

1. Pakettien käsittely. UTM-ratkaisujen ensimmäiset versiot käsittelivät paketteja peräkkäin, kunkin "moduulin" mukaan. Esimerkki: ensin palomuuri käsittelee paketin, sitten IPS, sitten virustorjunta tarkistaa sen ja niin edelleen. Luonnollisesti tällainen mekanismi aiheutti vakavia liikenneviiveitä ja kulutti paljon järjestelmäresursseja (prosessori, muisti).
2. Heikko laitteisto. Kuten edellä mainittiin, peräkkäinen pakettien käsittely söi resursseja ja noiden aikojen (1995-2005) laitteisto ei yksinkertaisesti pystynyt selviytymään suuresta liikenteestä.

Mutta kehitys ei pysähdy. Sittemmin laitteistokapasiteetit ovat lisääntyneet huomattavasti ja pakettien käsittely on muuttunut (täytyy myöntää, että kaikilla toimittajilla ei ole) ja alettu mahdollistaa lähes samanaikaisen analyysin useissa moduuleissa kerralla (ME, IPS, AntiVirus jne.). Nykyaikaiset UTM-ratkaisut pystyvät "sulattamaan" kymmeniä ja jopa satoja gigabittejä syväanalyysitilassa, mikä mahdollistaa niiden käytön suuryritysten tai jopa datakeskusten segmentissä.

Alla on Gartnerin kuuluisa Magic Quadrant UTM-ratkaisuille elokuulle 2016:

En kommentoi tätä kuvaa voimakkaasti, sanon vain, että oikeassa yläkulmassa on johtajat.

NGFW - seuraavan sukupolven palomuuri

Nimi puhuu puolestaan ​​- seuraavan sukupolven palomuuri. Tämä konsepti ilmestyi paljon myöhemmin kuin UTM. NGFW:n pääideana on syvä pakettitarkistus (DPI) sisäänrakennetun IPS:n avulla ja sovellustason kulunvalvonta (Application Control). Tässä tapauksessa IPS on juuri se, mitä tarvitaan tunnistamaan tämä tai toinen sovellus pakettivirrasta, jonka avulla voit sallia tai kieltää sen. Esimerkki: Voimme antaa Skypen toimia, mutta estää tiedostojen siirron. Voimme kieltää Torrentin tai RDP:n käytön. Myös verkkosovelluksia tuetaan: Voit sallia pääsyn VK.com-sivustolle, mutta estää pelit, viestit tai videoiden katselun. Pohjimmiltaan NGFW:n laatu riippuu siitä, kuinka monta sovellusta se voi määrittää. Monet uskovat, että NGFW-konseptin syntyminen oli yleinen markkinointitemppu, jota vastaan ​​Palo Alto aloitti nopean kasvunsa.

Toukokuu 2016 Gartner Magic Quadrant for NGFW:

UTM vs NGFW

Hyvin yleinen kysymys, kumpi on parempi? Tässä ei ole yhtä vastausta, eikä voi olla. Varsinkin kun ottaa huomioon, että lähes kaikki nykyaikaiset UTM-ratkaisut sisältävät NGFW-toiminnallisuutta ja useimmat NGFW:t sisältävät UTM:lle luontaisia ​​toimintoja (antivirus, VPN, Anti-Bot jne.). Kuten aina, "paholainen on yksityiskohdissa", joten ensin sinun on päätettävä, mitä tarvitset erityisesti, päätettävä budjetista. Näiden päätösten perusteella voidaan valita useita vaihtoehtoja. Ja kaikki täytyy yksiselitteisesti testata, ei uskoa markkinointimateriaaleja.

Me puolestaan ​​yritämme useiden artikkeleiden puitteissa kertoa sinulle Check Pointista, kuinka voit kokeilla sitä ja mitä periaatteessa voit kokeilla (melkein kaikki toiminnot).

Kolme Check Point -yksikköä

Kun työskentelet Check Pointin kanssa, törmäät varmasti kolmeen tämän tuotteen komponenttiin:

1. Security Gateway (SG) - itse suojausyhdyskäytävä, joka yleensä sijoitetaan verkon kehälle ja joka suorittaa palomuurin, streaming antivirus, anti-bot, IPS jne.
2. Security Management Server (SMS) - yhdyskäytävän hallintapalvelin. Lähes kaikki yhdyskäytävän (SG) asetukset suoritetaan tällä palvelimella. SMS voi toimia myös lokipalvelimena ja käsitellä niitä sisäänrakennetulla tapahtumaanalyysi- ja korrelaatiojärjestelmällä - Smart Event (samanlainen kuin SIEM for Check Point), mutta siitä lisää myöhemmin. SMS:ää käytetään useiden yhdyskäytävien keskitettyyn hallintaan (yhdyskäytävien määrä riippuu SMS-mallista tai lisenssistä), mutta sinun on käytettävä sitä, vaikka sinulla olisi vain yksi yhdyskäytävä. Tässä yhteydessä on syytä huomata, että Check Point oli yksi ensimmäisistä, joka käytti tällaista keskitettyä hallintajärjestelmää, joka on tunnustettu "kultastandardiksi" Gartnerin raporttien mukaan monta vuotta peräkkäin. On jopa vitsi: "Jos Ciscolla olisi normaali ohjausjärjestelmä, Check Point ei olisi koskaan ilmestynyt."
3. Älykäs konsoli — asiakaskonsoli yhteyden muodostamista hallintapalvelimeen (SMS). Yleensä asennettu järjestelmänvalvojan tietokoneelle. Tämän konsolin kautta kaikki muutokset tehdään hallintapalvelimelle, jonka jälkeen voit ottaa asetukset käyttöön suojausyhdyskäytävissä (Asennuskäytäntö).

   

Check Point -käyttöjärjestelmä

Check Point -käyttöjärjestelmästä puhuttaessa voidaan muistaa kolme kerralla: IPSO, SPLAT ja GAIA.

1. IPSO on Nokian omistaman Ipsilon Networksin käyttöjärjestelmä. Vuonna 2009 Check Point osti tämän yrityksen. Ei enää kehitetty.
2. LÄISKE - oma Check Point -kehitys, joka perustuu RedHat-ytimeen. Ei enää kehitetty.
3. Gaia - Check Pointin nykyinen käyttöjärjestelmä, joka syntyi IPSO:n ja SPLATin yhdistämisen seurauksena ja joka sisältää kaiken parhaan. Ilmestyi vuonna 2012 ja kehittyy edelleen aktiivisesti.

Gaiasta puhuttaessa on sanottava, että tällä hetkellä yleisin versio on R77.30. Suhteellisen äskettäin on ilmestynyt R80-versio, joka eroaa merkittävästi edellisestä (sekä toiminnallisuuden että ohjauksen suhteen). Omistamme erillisen postauksen heidän erojensa aiheeseen. Toinen tärkeä seikka on, että tällä hetkellä vain versiolla R77.10 on FSTEC-sertifikaatti ja versiota R77.30 sertifioidaan.

Vaihtoehdot (Check Point Appliance, Virtuaalikone, OpenServer)

Tässä ei ole mitään yllättävää, sillä monilla Check Point -toimittajilla on useita tuotevaihtoehtoja:

1. Laite - laitteisto- ja ohjelmistolaite, ts. oma "rautapala". On olemassa monia malleja, jotka eroavat suorituskyvyltään, toimivuudesta ja suunnittelusta (teollisille verkoille on vaihtoehtoja).

   

2. Virtuaalikone - Check Point -virtuaalikone Gaia-käyttöjärjestelmällä. Hypervisorit ESXi, Hyper-V, KVM ovat tuettuja. Lisenssi prosessoriytimien lukumäärän mukaan.
3. Avaa palvelin - Gaian asentaminen suoraan palvelimelle pääkäyttöjärjestelmäksi (ns. "Bare metalli"). Vain tiettyjä laitteita tuetaan. Tälle laitteistolle on suosituksia, joita on noudatettava, muuten ohjaimissa ja niissä voi olla ongelmia. tuki voi kieltäytyä palvelusta sinulle.

Käyttöönottovaihtoehdot (hajautettu tai erillinen)

Hieman korkeammalla olemme jo keskustelleet siitä, mitä yhdyskäytävä (SG) ja hallintapalvelin (SMS) ovat. Nyt keskustellaan vaihtoehdoista niiden toteuttamiseksi. On kaksi päätapaa:

1. Itsenäinen (SG+SMS) - vaihtoehto, kun sekä yhdyskäytävä että hallintapalvelin on asennettu samaan laitteeseen (tai virtuaalikoneeseen).

   
   
   Tämä vaihtoehto sopii, kun sinulla on vain yksi yhdyskäytävä, joka on kevyesti kuormitettu käyttäjäliikenteellä. Tämä vaihtoehto on edullisin, koska. ei tarvitse ostaa hallintapalvelinta (SMS). Jos yhdyskäytävä on kuitenkin raskaasti kuormitettu, saatat päätyä hitaaseen ohjausjärjestelmään. Siksi ennen itsenäisen ratkaisun valitsemista on parasta kuulla tämä vaihtoehto tai jopa testata sitä.

2. hajautettu — hallintapalvelin asennetaan erilleen yhdyskäytävästä.

   
   
   Paras vaihtoehto mukavuuden ja suorituskyvyn kannalta. Sitä käytetään, kun on tarpeen hallita useita yhdyskäytäviä kerralla, esimerkiksi keskus- ja haarayhdyskäytäviä. Tässä tapauksessa sinun on ostettava hallintapalvelin (SMS), joka voi olla myös laitteen (raudanpala) tai virtuaalikoneen muodossa.

Kuten edellä sanoin, Check Pointilla on oma SIEM-järjestelmä - Smart Event. Voit käyttää sitä vain hajautetun asennuksen yhteydessä.

Toimintatilat (silta, reititetty)
Security Gateway (SG) voi toimia kahdessa perustilassa:

• reititetään - yleisin vaihtoehto. Tässä tapauksessa yhdyskäytävää käytetään L3-laitteena ja se reitittää liikenteen itsensä läpi, ts. Check Point on suojatun verkon oletusyhdyskäytävä.
• Silta - läpinäkyvä tila. Tässä tapauksessa yhdyskäytävä asennetaan tavalliseksi "sillaksi" ja kuljettaa liikennettä sen läpi toisessa kerroksessa (OSI). Tätä vaihtoehtoa käytetään yleensä silloin, kun olemassa olevaa infrastruktuuria ei ole mahdollista (tai halua) muuttaa. Sinun ei käytännössä tarvitse muuttaa verkon topologiaa, eikä sinun tarvitse ajatella IP-osoitteen vaihtamista.

Haluan huomioida, että Bridge-tilassa on joitain toiminnallisia rajoituksia, joten integraattorina suosittelemme kaikkia asiakkaitamme käyttämään Reititettyä tilaa, jos mahdollista.

Ohjelmistoterät (Check Point Software Blades)

Pääsimme melkein tärkeimpään Check Point -aiheeseen, joka herättää eniten asiakkailta kysymyksiä. Mitä nämä "ohjelmistokortit" ovat? Terät viittaavat tiettyihin Check Point -toimintoihin.

Nämä ominaisuudet voidaan ottaa käyttöön tai poistaa käytöstä tarpeidesi mukaan. Samaan aikaan on bladeja, jotka aktivoidaan yksinomaan yhdyskäytävässä (Network Security) ja vain hallintapalvelimessa (Management). Alla olevissa kuvissa on esimerkkejä molemmista tapauksista:

1) Verkkoturvallisuus (yhdyskäytävätoiminto)

Kuvailkaamme lyhyesti, koska jokainen terä ansaitsee erillisen artikkelin.

• Palomuuri - palomuuritoiminto;
• IPSec VPN - yksityisten virtuaalisten verkkojen rakentaminen;
• Mobiilikäyttö - etäkäyttö mobiililaitteista;
• IPS - tunkeutumisen estojärjestelmä;
• Anti-Bot - suoja botnet-verkkoja vastaan;
• AntiVirus - suoratoistovirustorjunta;
• Roskapostin esto ja sähköpostin suojaus - yrityspostin suojaus;
• Identiteettitietoisuus - integrointi Active Directory -palveluun;
• Valvonta - lähes kaikkien yhdyskäytävän parametrien valvonta (kuormitus, kaistanleveys, VPN-tila jne.)
• Application Control - sovellustason palomuuri (NGFW-toiminto);
• URL-suodatus - Web-suojaus (+välityspalvelintoiminto);
• Data Loss Prevention - tietovuotosuojaus (DLP);
• Threat Emulation - hiekkalaatikkotekniikka (SandBox);
• Uhkien poistaminen - tiedostojen puhdistustekniikka;
• QoS - liikenteen priorisointi.

Vain muutamassa artikkelissa tarkastelemme lähemmin Threat Emulation- ja Threat Extraction -teriä, olen varma, että se on mielenkiintoista.

2) Hallinnolle (hallintapalvelimen toiminnallisuus)

• Verkkopolitiikan hallinta - keskitetty käytäntöjen hallinta;
• Endpoint Policy Management - Check Point -agenttien keskitetty hallinta (kyllä, Check Point tuottaa ratkaisuja verkon suojaamisen lisäksi myös työasemien (PC:t) ja älypuhelimien suojaamiseen);
• Logging & Status - lokien keskitetty kerääminen ja käsittely;
• Management Portal - tietoturvan hallinta selaimesta;
• Työnkulku - politiikan muutosten valvonta, muutosten tarkastaminen jne.;
• User Directory - integrointi LDAP:n kanssa;
• Provisointi - yhdyskäytävän hallinnan automatisointi;
• Smart Reporter - raportointijärjestelmä;
• Smart Event - tapahtumien analysointi ja korrelaatio (SIEM);
• Compliance - asetusten automaattinen tarkistus ja suositusten antaminen.

Emme nyt käsittele lisensointikysymyksiä yksityiskohtaisesti, jotta emme paisuttaisi artikkelia ja hämmennä lukijaa. Todennäköisesti julkaisemme sen erillisessä postauksessa.

Blade-arkkitehtuurin avulla voit käyttää vain niitä toimintoja, joita todella tarvitset, mikä vaikuttaa ratkaisun budjettiin ja laitteen yleiseen suorituskykyyn. On loogista, että mitä enemmän teriä aktivoit, sitä vähemmän liikennettä voidaan "ajaa pois". Tästä syystä jokaiseen Check Point -malliin on liitetty seuraava suorituskykytaulukko (otimme esimerkiksi mallin 5400 ominaisuudet):

Kuten näette, tässä on kaksi testiluokkaa: synteettisellä liikenteellä ja todellisella - sekoitettuna. Yleisesti ottaen Check Point on yksinkertaisesti pakotettu julkaisemaan synteettisiä testejä, koska. Jotkut toimittajat käyttävät tällaisia ​​testejä vertailuarvoina tutkimatta ratkaisujensa suorituskykyä todellisessa liikenteessä (tai tarkoituksella piilottavat tällaiset tiedot niiden epätyydyttävyyden vuoksi).

Jokaisessa testityypissä voit huomata useita vaihtoehtoja:

1. testaa vain palomuuria;
2. palomuuri + IPS-testi;
3. Palomuuri+IPS+NGFW (Application Control) -testi;
4. Palomuuri+Sovellustenhallinta+URL-suodatus+IPS+Virustorjunta+Botintorjunta+SandBlast-testi (hiekkalaatikko)

Tutustu näihin parametreihin huolellisesti valitessasi ratkaisuasi tai ota yhteyttä konsultointi.

Luulen, että tämä on Check Pointin teknologioita käsittelevän johdantoartikkelin loppu. Seuraavaksi tarkastellaan, kuinka voit testata Check Pointia ja miten käsitellä nykyaikaisia ​​tietoturvauhkia (virukset, tietojenkalastelu, kiristysohjelmat, nollapäivä).

PS Tärkeä pointti. Ulkomaisesta (israelilaisesta) alkuperästä huolimatta ratkaisu on sertifioitu Venäjän federaatiossa valvontaviranomaisten toimesta, mikä laillistaa automaattisesti niiden läsnäolon valtion instituutioissa (kommentti: Denyemall).

Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. Kirjaudu sisään, ole kiltti.

Mitä UTM/NGFW-työkaluja käytät?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Kataja

• UserGate

• liikennetarkastaja

• Rubicon

• Ideco

• avoimen lähdekoodin ratkaisu

• Muut

134 käyttäjää äänesti. 78 käyttäjää pidättyi äänestämästä.

Lähde: will.com