ProHoster > Blog > administration > point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel
Bonjour, chers lecteurs de habr! Ceci est le blog d'entreprise de l'entreprise Solution TS. Nous sommes un intégrateur de systèmes et sommes principalement spécialisés dans les solutions de sécurité des infrastructures informatiques (Check Point, Fortinet) et les systèmes d'analyse des données machine (Splunk). Nous commencerons notre blog par une courte introduction aux technologies Check Point.

Nous avons longtemps réfléchi à l'opportunité d'écrire cet article, parce que. il n'y a rien de nouveau là-dedans qui ne puisse être trouvé sur Internet. Cependant, malgré une telle abondance d'informations, lorsque nous travaillons avec des clients et des partenaires, nous entendons souvent les mêmes questions. Par conséquent, il a été décidé d'écrire une sorte d'introduction au monde des technologies Check Point et de révéler l'essence de l'architecture de leurs solutions. Et tout cela dans le cadre d'un "petit" post, pour ainsi dire, une petite parenthèse. Et nous essaierons de ne pas nous lancer dans des guerres de marketing, car. nous ne sommes pas un fournisseur, mais juste un intégrateur de système (même si nous aimons beaucoup Check Point) et nous nous contenterons de couvrir les points principaux sans les comparer avec d'autres fabricants (tels que Palo Alto, Cisco, Fortinet, etc.). L'article s'est avéré assez volumineux, mais il coupe la plupart des questions au stade de la familiarisation avec Check Point. Si vous êtes intéressé, alors bienvenue sous le chat…

UTM/NGFW

Lorsque vous démarrez une conversation sur Check Point, la première chose à faire est une explication de ce que sont UTM, NGFW et en quoi ils diffèrent. Nous le ferons de manière très concise afin que le message ne se révèle pas trop volumineux (peut-être qu'à l'avenir, nous examinerons ce problème un peu plus en détail)

UTM - Gestion unifiée des menaces

En bref, l'essence de l'UTM est la consolidation de plusieurs outils de sécurité en une seule solution. Ceux. tout dans une boîte ou certains tout compris. Qu'entend-on par « recours multiples » ? L'option la plus courante est : Pare-feu, IPS, Proxy (filtrage d'URL), Streaming Antivirus, Anti-Spam, VPN, etc. Tout cela est combiné dans une seule solution UTM, ce qui est plus facile en termes d'intégration, de configuration, d'administration et de surveillance, ce qui, à son tour, a un effet positif sur la sécurité globale du réseau. Lorsque les solutions UTM sont apparues pour la première fois, elles étaient exclusivement destinées aux petites entreprises, car. Les UTM ne pouvaient pas gérer de gros volumes de trafic. C'était pour deux raisons :

  1. La façon dont les paquets sont traités. Les premières versions des solutions UTM traitaient les paquets séquentiellement, par chaque « module ». Exemple : le paquet est d'abord traité par le pare-feu, puis par l'IPS, puis il est vérifié par l'Anti-Virus, etc. Naturellement, un tel mécanisme a introduit de sérieux retards de trafic et fortement consommé les ressources système (processeur, mémoire).
  2. Matériel faible. Comme mentionné ci-dessus, le traitement séquentiel des paquets consommait des ressources et le matériel de l'époque (1995-2005) ne pouvait tout simplement pas faire face à un trafic élevé.

Mais le progrès ne s'arrête pas. Depuis, les capacités matérielles ont considérablement augmenté, et le traitement des paquets a changé (il faut avouer que tous les éditeurs ne l'ont pas) et ont commencé à permettre une analyse quasi simultanée dans plusieurs modules à la fois (ME, IPS, AntiVirus, etc.). Les solutions UTM modernes peuvent « digérer » des dizaines voire des centaines de gigabits en mode d'analyse approfondie, ce qui permet de les utiliser dans le segment des grandes entreprises ou même des centres de données.

Vous trouverez ci-dessous le célèbre Magic Quadrant de Gartner pour les solutions UTM d'août 2016 :

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

Je ne commenterai pas fortement cette photo, je dirai juste qu'il y a des dirigeants dans le coin supérieur droit.

NGFW - Pare-feu de nouvelle génération

Le nom parle de lui-même - pare-feu de nouvelle génération. Ce concept est apparu bien plus tard que l'UTM. L'idée principale de NGFW est l'inspection approfondie des paquets (DPI) à l'aide d'un IPS intégré et d'un contrôle d'accès au niveau de l'application (Application Control). Dans ce cas, IPS est juste ce qu'il faut pour identifier telle ou telle application dans le flux de paquets, ce qui permet de l'autoriser ou de la refuser. Exemple : Nous pouvons autoriser Skype à fonctionner mais empêcher les transferts de fichiers. Nous pouvons interdire l'utilisation de Torrent ou RDP. Les applications Web sont également prises en charge : vous pouvez autoriser l'accès à VK.com, mais empêcher les jeux, les messages ou le visionnage de vidéos. Essentiellement, la qualité d'un NGFW dépend du nombre d'applications qu'il peut définir. Beaucoup pensent que l'émergence du concept de NGFW était un stratagème marketing commun contre lequel Palo Alto a commencé sa croissance rapide.

Magic Quadrant de mai 2016 de Gartner pour les NGFW :

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

UTM contre NGFW

Une question très courante, qu'est-ce qui est le mieux? Il n'y a pas de réponse unique ici et ne peut pas l'être. Surtout si l'on considère le fait que presque toutes les solutions UTM modernes contiennent des fonctionnalités NGFW et que la plupart des NGFW contiennent des fonctions inhérentes à l'UTM (Antivirus, VPN, Anti-Bot, etc.). Comme toujours, "le diable est dans les détails", vous devez donc tout d'abord décider de ce dont vous avez spécifiquement besoin, décider du budget. Sur la base de ces décisions, plusieurs options peuvent être sélectionnées. Et tout doit être testé sans ambiguïté, sans en croire les supports marketing.

Nous essaierons à notre tour, dans le cadre de plusieurs articles, de vous parler de Check Point, comment vous pouvez l'essayer et ce que vous pouvez en principe essayer (presque toutes les fonctionnalités).

Trois entités de point de contrôle

Lorsque vous travaillez avec Check Point, vous rencontrerez certainement trois composants de ce produit :

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

  1. Passerelle de sécurité (SG) - la passerelle de sécurité elle-même, qui est généralement placée sur le périmètre du réseau et remplit les fonctions de pare-feu, d'antivirus de streaming, d'anti-bot, d'IPS, etc.
  2. Serveur de gestion de la sécurité (SMS) - serveur de gestion de passerelle. Presque tous les réglages de la passerelle (SG) sont effectués à l'aide de ce serveur. SMS peut également agir en tant que serveur de journaux et les traiter avec le système intégré d'analyse et de corrélation des événements - Smart Event (similaire à SIEM pour Check Point), mais nous en reparlerons plus tard. SMS est utilisé pour gérer de manière centralisée plusieurs passerelles (le nombre de passerelles dépend du modèle ou de la licence SMS), mais vous devez l'utiliser même si vous n'avez qu'une seule passerelle. Il convient de noter ici que Check Point a été l'un des premiers à utiliser un tel système de gestion centralisé, qui a été reconnu comme le "gold standard" selon les rapports de Gartner pendant de nombreuses années consécutives. Il y a même une blague : "Si Cisco avait un système de contrôle normal, alors Check Point ne serait jamais apparu."
  3. Console intelligente — console client pour se connecter au serveur de gestion (SMS). Généralement installé sur l'ordinateur de l'administrateur. Grâce à cette console, toutes les modifications sont apportées sur le serveur de gestion, et après cela, vous pouvez appliquer les paramètres aux passerelles de sécurité (Politique d'installation).

    point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

Système d'exploitation Check Point

Parlant du système d'exploitation Check Point, trois peuvent être rappelés à la fois : IPSO, SPLAT et GAIA.

  1. IPSO est le système d'exploitation d'Ipsilon Networks, qui appartenait à Nokia. En 2009, Check Point a racheté cette entreprise. N'est plus développé.
  2. ÉCLABOUSSURE - propre développement de Check Point, basé sur le noyau RedHat. N'est plus développé.
  3. Gaia - le système d'exploitation actuel de Check Point, apparu à la suite de la fusion d'IPSO et de SPLAT, incorporant tous les meilleurs. Apparu en 2012 et continue de se développer activement.

En parlant de Gaia, il faut dire qu'à l'heure actuelle la version la plus courante est R77.30. Relativement récemment, la version R80 est apparue, qui diffère considérablement de la précédente (à la fois en termes de fonctionnalité et de contrôle). Nous consacrerons un article séparé au sujet de leurs différences. Un autre point important est qu'à l'heure actuelle, seule la version R77.10 possède le certificat FSTEC et la version R77.30 est en cours de certification.

Options (Appliance Check Point, Machine virtuelle, OpenServer)

Il n'y a rien de surprenant ici, car de nombreux fournisseurs de Check Point proposent plusieurs options de produits :

  1. Appliance - dispositif matériel et logiciel, c'est-à-dire propre "morceau de fer". Il existe de nombreux modèles qui diffèrent par leurs performances, leurs fonctionnalités et leur conception (il existe des options pour les réseaux industriels).

    point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

  2. Machine virtuelle - Machine virtuelle Check Point avec Gaia OS. Les hyperviseurs ESXi, Hyper-V, KVM sont pris en charge. Autorisé par le nombre de cœurs de processeur.
  3. Openserver - Installation de Gaia directement sur le serveur en tant que système d'exploitation principal (ce qu'on appelle le "Bare metal"). Seuls certains matériels sont pris en charge. Il existe des recommandations pour ce matériel qui doivent être suivies, sinon il peut y avoir des problèmes avec les pilotes et ceux-ci. l'assistance peut vous refuser le service.

Options de mise en œuvre (distribuée ou autonome)

Un peu plus haut, nous avons déjà évoqué ce que sont une passerelle (SG) et un serveur de gestion (SMS). Discutons maintenant des options pour leur mise en œuvre. Il existe deux manières principales :

  1. Autonome (SG+SMS) - une option lorsque la passerelle et le serveur de gestion sont installés dans le même appareil (ou machine virtuelle).

    point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

    Cette option convient lorsque vous n'avez qu'une seule passerelle, qui est légèrement chargée de trafic utilisateur. Cette option est la plus économique, car. pas besoin d'acheter un serveur de gestion (SMS). Cependant, si la passerelle est fortement chargée, vous pouvez vous retrouver avec un système de contrôle lent. Par conséquent, avant de choisir une solution Standalone, il est préférable de consulter voire de tester cette option.

  2. Distribué — le serveur de gestion est installé séparément de la passerelle.

    point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

    La meilleure option en termes de confort et de performances. Il est utilisé lorsqu'il est nécessaire de gérer plusieurs passerelles à la fois, par exemple des passerelles centrales et des succursales. Dans ce cas, vous devez acheter un serveur de gestion (SMS), qui peut également se présenter sous la forme d'une appliance (morceau de fer) ou d'une machine virtuelle.

Comme je le disais juste au dessus, Check Point possède son propre système SIEM - Smart Event. Vous ne pouvez l'utiliser qu'en cas d'installation distribuée.

Modes de fonctionnement (Bridge, Routé)
La passerelle de sécurité (SG) peut fonctionner selon deux modes de base :

  • Acheminé - l'option la plus courante. Dans ce cas, la passerelle est utilisée comme un périphérique L3 et achemine le trafic à travers elle-même, c'est-à-dire Check Point est la passerelle par défaut du réseau protégé.
  • Pont - mode transparent. Dans ce cas, la passerelle est installée comme un "pont" normal et fait passer le trafic à travers elle au niveau de la deuxième couche (OSI). Cette option est généralement utilisée lorsqu'il n'y a aucune possibilité (ou désir) de modifier l'infrastructure existante. Vous n'avez pratiquement pas à changer la topologie du réseau et vous n'avez pas à penser à changer l'adressage IP.

Je tiens à souligner qu'il existe certaines limitations fonctionnelles dans le mode Bridge, par conséquent, en tant qu'intégrateur, nous conseillons à tous nos clients d'utiliser le mode Routé, bien sûr, si possible.

Lames logicielles (lames logicielles Check Point)

Nous sommes presque arrivés au sujet le plus important de Check Point, qui soulève le plus de questions de la part des clients. Que sont ces "lames logicielles" ? Les lames font référence à certaines fonctions de Check Point.

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

Ces fonctionnalités peuvent être activées ou désactivées selon vos besoins. Dans le même temps, certaines lames sont activées exclusivement sur la passerelle (Network Security) et uniquement sur le serveur de gestion (Management). Les images ci-dessous montrent des exemples pour les deux cas :

1) Pour la sécurité du réseau (fonctionnalité de passerelle)

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

Décrivons brièvement, car chaque lame mérite un article séparé.

  • Pare-feu - fonctionnalité de pare-feu ;
  • VPN IPSec - création de réseaux virtuels privés ;
  • Accès mobile - accès à distance à partir d'appareils mobiles ;
  • IPS - système de prévention des intrusions ;
  • Anti-Bot - protection contre les réseaux de botnet ;
  • AntiVirus - antivirus en continu ;
  • AntiSpam & Email Security - protection du courrier d'entreprise ;
  • Identity Awareness - intégration avec le service Active Directory ;
  • Surveillance - surveillance de presque tous les paramètres de la passerelle (charge, bande passante, statut VPN, etc.)
  • Contrôle des applications - pare-feu au niveau de l'application (fonctionnalité NGFW) ;
  • Filtrage d'URL - Sécurité Web (+ fonctionnalité proxy) ;
  • Prévention de la perte de données - protection contre les fuites d'informations (DLP) ;
  • Émulation des menaces - technologie sandbox (SandBox);
  • Threat Extraction - technologie de nettoyage de fichiers ;
  • QoS - priorisation du trafic.

Dans quelques articles, nous allons nous intéresser de plus près aux blades Threat Emulation et Threat Extraction, je suis sûr que ce sera intéressant.

2) Pour la gestion (fonctionnalité de serveur de gestion)

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

  • Gestion des politiques réseau - gestion centralisée des politiques ;
  • Endpoint Policy Management - gestion centralisée des agents Check Point (oui, Check Point produit des solutions non seulement pour la protection du réseau, mais aussi pour la protection des postes de travail (PC) et des smartphones) ;
  • Logging & Status - collecte et traitement centralisés des journaux ;
  • Portail de gestion - gestion de la sécurité depuis le navigateur ;
  • Workflow - contrôle des changements de politique, audit des changements, etc. ;
  • Annuaire des utilisateurs - intégration avec LDAP ;
  • Provisioning - automatisation de la gestion des passerelles ;
  • Smart Reporter - système de rapport ;
  • Smart Event - analyse et corrélation d'événements (SIEM) ;
  • Conformité - vérification automatique des paramètres et émission de recommandations.

Nous n'allons pas maintenant examiner en détail les problèmes de licence, afin de ne pas gonfler l'article et d'embrouiller le lecteur. Très probablement, nous le retirerons dans un article séparé.

L'architecture lame permet de n'utiliser que les fonctions dont on a vraiment besoin, ce qui impacte le budget de la solution et les performances globales de l'appareil. Il est logique que plus vous activez de lames, moins le trafic peut être « chassé ». C'est pourquoi le tableau de performances suivant est joint à chaque modèle Check Point (par exemple, nous avons pris les caractéristiques du modèle 5400) :

point de contrôle. Qu'est-ce que c'est, avec quoi est-il mangé, ou brièvement sur l'essentiel

Comme vous pouvez le constater, il existe ici deux catégories de tests : sur trafic synthétique et sur trafic réel - mixte. D'une manière générale, Check Point est simplement contraint de publier des tests synthétiques, car. certains fournisseurs utilisent de tels tests comme points de repère sans examiner les performances de leurs solutions sur le trafic réel (ou cachent délibérément ces données en raison de leur insatisfaction).

Dans chaque type de test, vous pouvez remarquer plusieurs options :

  1. tester uniquement le pare-feu ;
  2. Test pare-feu + IPS ;
  3. Test pare-feu + IPS + NGFW (contrôle des applications) ;
  4. Pare-feu+Application Control+Filtrage URL+IPS+Antivirus+Anti-Bot+Test SandBlast (sandbox)

Regardez attentivement ces paramètres lors du choix de votre solution, ou contactez pour consultation.

Je pense que c'est la fin de l'article d'introduction sur les technologies Check Point. Ensuite, nous verrons comment vous pouvez tester Check Point et comment faire face aux menaces modernes de sécurité de l'information (virus, phishing, ransomware, zero-day).

PS Un point important. Malgré l'origine étrangère (israélienne), la solution est certifiée en Fédération de Russie par les autorités de contrôle, ce qui légalise automatiquement leur présence dans les institutions étatiques (commentaire de Denyemall).

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Quels outils UTM/NGFW utilisez-vous ?

  • Check Point

  • puissance de feu cisco

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Genévrier

  • Usergate

  • inspecteur de la circulation

  • Rubicon

  • Idéco

  • solution open-source

  • Autre

134 utilisateurs ont voté. 78 utilisateurs se sont abstenus.

Source: habr.com

Ajouter un commentaire