kontrôle punt. Wat is it, wêr wurdt it mei iten, of koart oer it haadsaak

Hallo, bêste lêzers fan habr! Dit is it bedriuwsblog fan it bedriuw T.S Solution. Wy binne in systeemintegrator en spesjalisearje benammen yn oplossings foar befeiliging fan IT-ynfrastruktuer (Check Point, Fortinet) en masine data analyze systemen (Splunk). Wy sille ús blog begjinne mei in koarte ynlieding oer Check Point-technologyen.

Wy tochten foar in lange tiid oer oft te skriuwen dit artikel, omdat. der is neat nijs yn dat net te finen is op it ynternet. Lykwols, nettsjinsteande sa'n oerfloed fan ynformaasje, as wy wurkje mei kliïnten en partners, hearre wy faaks deselde fragen. Dêrom waard besletten om in soarte fan ynlieding te skriuwen yn 'e wrâld fan Check Point-technologyen en de essinsje fan' e arsjitektuer fan har oplossingen te iepenbierjen. En dit alles yn it ramt fan ien "lytse" berjocht, sa te sizzen, in flugge ôfwiking. En wy sille besykje net yn marketingoarloggen te gean, om't. wy binne gjin ferkeaper, mar gewoan in systeem integrator (hoewol't wy love Check Point hiel folle) en gewoan gean oer de wichtichste punten sûnder in ferlykje se mei oare fabrikanten (lykas Palo Alto, Cisco, Fortinet, ensfh). It artikel blykte frijwat voluminous te wêzen, mar it snijt de measte fragen ôf op it stadium fan fertroudmaking mei Check Point. As jo ​​​​ynteressearre binne, dan wolkom ûnder de kat ...

UTM/NGFW

By it begjinnen fan in petear oer Check Point is it earste ding om mei te begjinnen in útlis fan wat UTM, NGFW binne en hoe't se ferskille. Wy sille dit heul koart dwaan, sadat de post net te grut blykt te wêzen (miskien sille wy dit probleem yn 'e takomst in bytsje mear detaillearje)

UTM - Unified Threat Management

Koartsein, de essinsje fan UTM is de konsolidaasje fan ferskate befeiligingsark yn ien oplossing. Dy. alles yn ien doaze of guon all inclusive. Wat wurdt bedoeld mei "meardere remedies"? De meast foarkommende opsje is: Firewall, IPS, Proxy (URL-filtering), Streaming Antivirus, Anti-Spam, VPN ensafuorthinne. Dit alles wurdt kombinearre binnen ien UTM-oplossing, wat makliker is yn termen fan yntegraasje, konfiguraasje, administraasje en tafersjoch, en dit hat op syn beurt in posityf effekt op de algemiene feiligens fan it netwurk. Doe't UTM-oplossingen earst ferskynden, waarden se eksklusyf beskôge foar lytse bedriuwen, om't. UTM's koene grutte folumes ferkear net oan. Dit wie foar twa redenen:

1. De manier wêrop pakketten wurde ferwurke. De earste ferzjes fan UTM-oplossingen ferwurke pakketten opienfolgjend, troch elke "module". Foarbyld: earst wurdt it pakket ferwurke troch de firewall, dan troch IPS, dan wurdt it kontrolearre troch Anti-Virus ensafuorthinne. Fansels, sa'n meganisme yntrodusearre serieuze ferkear fertraging en swier konsumearre systeem boarnen (prosessor, ûnthâld).
2. Swakke hardware. Lykas hjirboppe neamd, iet sekwinsjele pakketferwurking boarnen op en de hardware fan dy tiden (1995-2005) koe gewoan net mei hege ferkear omgean.

Mar de foarútgong stiet net stil. Sûnt dy tiid hawwe hardware kapasiteiten tanommen gâns, en pakket ferwurking is feroare (it moat wurde talitten dat net alle leveransiers hawwe it) en begûn te tastean hast simultane analyze yn ferskate modules tagelyk (ME, IPS, AntiVirus, ensfh). Moderne UTM-oplossingen kinne tsientallen en sels hûnderten gigabits yn 'e djippe analysemodus "fertarje", wat it mooglik makket om se te brûken yn it segmint fan grutte bedriuwen of sels datasintra.

Hjirûnder is Gartner's ferneamde Magic Quadrant foar UTM-oplossingen foar augustus 2016:

Ik sil net sterk kommentaar oer dizze foto, ik sil gewoan sizze dat der lieders yn de rjochter boppeste hoeke.

NGFW - Next Generation Firewall

De namme sprekt foar himsels - folgjende generaasje firewall. Dit konsept ferskynde folle letter as UTM. It haadidee fan NGFW is djippe pakketynspeksje (DPI) mei ynboude IPS en tagongskontrôle op applikaasjenivo (Applikaasjekontrôle). Yn dit gefal is IPS krekt wat nedich is om dizze of dy applikaasje te identifisearjen yn 'e pakketstream, wêrtroch jo it kinne tastean of wegerje. Foarbyld: Wy kinne Skype tastean om te wurkjen, mar triemferfier foarkomme. Wy kinne it gebrûk fan Torrent of RDP ferbiede. Webapplikaasjes wurde ek stipe: Jo kinne tagong ta VK.com tastean, mar spultsjes, berjochten of fideo's sjen foarkomme. Yn essinsje hinget de kwaliteit fan in NGFW ôf fan it oantal applikaasjes dat it kin definiearje. In protte leauwe dat it ûntstean fan it konsept fan NGFW wie in mienskiplike marketing trick tsjin dêr't Palo Alto begûn syn rappe groei.

Maaie 2016 Gartner Magic Quadrant foar NGFW:

UTM vs NGFW

In heul gewoane fraach, wat is better? D'r is hjir gjin inkeld antwurd en kin net wêze. Benammen as jo it feit beskôgje dat hast alle moderne UTM-oplossingen NGFW-funksjonaliteit befetsje en de measte NGFW's funksjes befetsje dy't ynherinte binne yn UTM (Antivirus, VPN, Anti-Bot, ensfh.). Lykas altyd, "de duvel is yn 'e details", dus earst moatte jo beslute wat jo spesifyk nedich binne, beslute oer it budzjet. Op grûn fan dizze besluten kinne ferskate opsjes selektearre wurde. En alles moat ûndûbelsinnich hifke wurde, sûnder marketingmateriaal te leauwen.

Wy, op syn beurt, yn it ramt fan ferskate artikels, sille besykje jo te fertellen oer Check Point, hoe't jo it kinne besykje en wat jo yn prinsipe kinne besykje (hast alle funksjonaliteit).

Trije Check Point Entiteiten

As jo ​​wurkje mei Check Point, sille jo grif trije komponinten fan dit produkt tsjinkomme:

1. Feiligens Gateway (SG) - de befeiligingspoarte sels, dy't normaal op 'e netwurkperimeter wurdt pleatst en de funksjes útfiert fan in firewall, streaming antivirus, anty-bot, IPS, ensfh.
2. Feiligensbeheartsjinner (SMS) - tsjinner foar poartebehear. Hast alle ynstellings op 'e gateway (SG) wurde útfierd mei dizze tsjinner. SMS kin ek fungearje as Log Server en ferwurkje se mei de ynboude evenemint analyse en korrelaasje systeem - Smart Event (lykas SIEM foar Check Point), mar mear oer dat letter. SMS wurdt brûkt om sintraal meardere gateways te behearjen (it oantal gateways hinget ôf fan it SMS-model of lisinsje), mar jo moatte it brûke sels as jo mar ien gateway hawwe. Hjir moat opmurken wurde dat Check Point ien fan 'e earste wie dy't sa'n sintralisearre behearsysteem brûkte, dat is erkend as de "gouden standert" neffens Gartner-rapporten in protte jierren op in rige. D'r is sels in grap: "As Cisco in normaal kontrôlesysteem hie, dan soe Check Point noait ferskynde."
3. Smart Console - kliïntkonsole foar ferbining mei de behearserver (SMS). Typysk ynstallearre op de kompjûter fan de behearder. Troch dizze konsole wurde alle wizigingen makke op 'e behearserver, en dêrnei kinne jo de ynstellings tapasse op de feiligenspoarten (Ynstallaasjebelied).

   

Kontrolearje Point bestjoeringssysteem

Sprekend oer it Check Point-bestjoeringssysteem, kinne trije tagelyk weromroppen wurde: IPSO, SPLAT en GAIA.

1. IPSO is it bestjoeringssysteem fan Ipsilon Networks, dat eigendom wie fan Nokia. Yn 2009 kocht Check Point dit bedriuw. Net mear ûntwikkele.
2. SPLAT - eigen ûntwikkeling fan Check Point, basearre op de RedHat kernel. Net mear ûntwikkele.
3. Gaia - it hjoeddeistige bestjoeringssysteem fan Check Point, dat ferskynde as gefolch fan 'e fúzje fan IPSO en SPLAT, mei al it bêste. Ferskynd yn 2012 en bliuwt aktyf ûntwikkeljen.

It praten fan Gaia, it moat sein wurde dat op it stuit de meast foarkommende ferzje is R77.30. Relatyf koartlyn ferskynde de ferzje fan R80, dy't signifikant ferskilt fan 'e foarige (sawol yn termen fan funksjonaliteit as kontrôle). Wy sille in aparte post wije oan it ûnderwerp fan har ferskillen. In oar wichtich punt is dat op it stuit allinnich ferzje R77.10 hat it FSTEC sertifikaat en ferzje R77.30 wurdt sertifisearre.

Opsjes (Check Point Appliance, Firtuele masine, OpenServer)

D'r is hjir neat ferrassend, om't in protte Check Point-leveransiers ferskate produktopsjes hawwe:

1. apparaat - hardware en software apparaat, d.w.s. eigen "stikje izer". D'r binne in protte modellen dy't ferskille yn prestaasjes, funksjonaliteit en ûntwerp (d'r binne opsjes foar yndustriële netwurken).

   

2. Virtual Machine - Check Point firtuele masine mei Gaia OS. Hypervisors ESXi, Hyper-V, KVM wurde stipe. Lisinsearre troch it oantal prosessor kearnen.
3. iepentsjinner - Ynstallearje Gaia direkt op de tsjinner as de wichtichste bestjoeringssysteem (it saneamde "Bare metaal"). Allinich bepaalde hardware wurdt stipe. Der binne oanbefellings foar dizze hardware dy't moatte wurde folge, oars kinne der problemen mei bestjoerders en dy. stipe kin wegerje tsjinst oan dy.

Opsjes foar ymplemintaasje (ferdield as standalone)

In bytsje heger hawwe wy al besprutsen wat in gateway (SG) en in behearserver (SMS) binne. No litte wy beprate opsjes foar harren útfiering. D'r binne twa haadwizen:

1. Standalone (SG+SMS) - in opsje as sawol de poarte as de behearserver binne ynstalleare binnen itselde apparaat (as firtuele masine).

   
   
   Dizze opsje is geskikt as jo mar ien poarte hawwe, dy't licht beladen is mei brûkersferkear. Dizze opsje is de meast ekonomysk, om't. gjin needsaak om te keapjen in behear tsjinner (SMS). As de poarte lykwols swier beladen is, kinne jo einigje mei in traach kontrôlesysteem. Dêrom, foardat jo in Standalone-oplossing kieze, is it it bêste om dizze opsje te rieplachtsjen of sels te testen.

2. Distribearre - de behearserver wurdt apart ynstalleare fan 'e gateway.

   
   
   De bêste opsje yn termen fan gemak en prestaasjes. It wurdt brûkt as it nedich is om ferskate poarten tagelyk te behearjen, bygelyks sintrale en tûke. Yn dit gefal moatte jo in behearserver (SMS) keapje, dy't ek kin wêze yn 'e foarm fan in apparaat (stik izer) of in firtuele masine.

Lykas ik krekt hjirboppe sei, hat Check Point in eigen SIEM-systeem - Smart Event. Jo kinne it allinich brûke yn gefal fan Distributed ynstallaasje.

Bedriuwsmodi (Brêge, Rûte)
De Security Gateway (SG) kin operearje yn twa basismodi:

• rûn - de meast foarkommende opsje. Yn dit gefal, de poarte wurdt brûkt as in L3 apparaat en rûtes ferkear troch himsels, d.w.s. Check Point is de standert gateway foar it beskerme netwurk.
• Brêge - transparante modus. Yn dit gefal, de poarte wurdt ynstallearre as in normale "brêge" en giet ferkear troch it op de twadde laach (OSI). Dizze opsje wurdt normaal brûkt as der gjin mooglikheid (of winsk) is om de besteande ynfrastruktuer te feroarjen. Jo hoege de netwurktopology praktysk net te feroarjen en hoege net te tinken oer it feroarjen fan IP-adressen.

Ik soe graach opmerke dat d'r guon funksjonele beheiningen binne yn 'e Bridge-modus, dêrom advisearje wy as integrator al ús kliïnten om de Routed-modus te brûken, fansels, as it mooglik is.

Software Blades (Check Point Software Blades)

Wy kamen hast by it wichtichste Check Point-ûnderwerp, dat de measte fragen opropt fan klanten. Wat binne dizze "softwareblades"? Blades ferwize nei bepaalde Check Point funksjes.

Dizze funksjes kinne yn- of útskeakele wurde ôfhinklik fan jo behoeften. Tagelyk binne d'r blêden dy't allinich aktivearre binne op 'e poarte (Netwurkfeiligens) en allinich op' e behearserver (Behear). De foto's hjirûnder litte foarbylden foar beide gefallen sjen:

1) Foar netwurkfeiligens (Gateway funksjonaliteit)

Lit ús beskriuwe koart, want elk blêd fertsjinnet in apart artikel.

• Firewall - firewall funksjonaliteit;
• IPSec VPN - it bouwen fan privee firtuele netwurken;
• Mobile tagong - tagong op ôfstân fan mobile apparaten;
• IPS - systeem foar ynbraakprevinsje;
• Anti-Bot - beskerming tsjin botnet netwurken;
• AntiVirus - streamend antivirus;
• AntiSpam & Email Security - beskerming fan bedriuwspost;
• Identiteitsbewustwêzen - yntegraasje mei de Active Directory-tsjinst;
• Monitoring - tafersjoch op hast alle gatewayparameters (load, bânbreedte, VPN-status, ensfh.)
• Applikaasjekontrôle - firewall fan applikaasjenivo (NGFW-funksjonaliteit);
• URL-filtering - Webfeiligens (+ proxy-funksjonaliteit);
• Previnsje fan gegevensferlies - beskerming fan ynformaasjelek (DLP);
• Threat Emulation - sandbox technology (SandBox);
• Threat Extraction - technology foar skjinmeitsjen fan bestân;
• QoS - ferkear prioritearring.

Yn mar in pear artikels sille wy de blêden fan Threat Emulation en Threat Extraction fan tichterby besjen, ik bin der wis fan dat it ynteressant sil wêze.

2) Foar behear (behearsserverfunksjonaliteit)

• Netwurkbeliedsbehear - sintralisearre beliedsbehear;
• Endpoint Policy Management - sintralisearre behear fan Check Point-aginten (ja, Check Point produseart oplossingen net allinich foar netwurkbeskerming, mar ek foar it beskermjen fan wurkstasjons (PC's) en smartphones);
• Logging & Status - sintralisearre kolleksje en ferwurking fan logs;
• Management Portal - feiligensbehear fan 'e browser;
• Workflow - kontrôle oer beliedswizigingen, kontrôle fan feroaringen, ensfh.
• User Directory - yntegraasje mei LDAP;
• Provisioning - automatisearring fan poartebehear;
• Smart Reporter - rapportaazjesysteem;
• Smart Event - analyze en korrelaasje fan eveneminten (SIEM);
• Konformiteit - automatyske kontrôle fan ynstellingen en útjefte fan oanbefellings.

Wy sille no lisinsjeproblemen net yn detail beskôgje, om it artikel net op te blazen en de lêzer te betize. Meast wierskynlik sille wy it yn in aparte post nimme.

De blade-arsjitektuer lit jo allinich de funksjes brûke dy't jo echt nedich binne, wat ynfloed hat op it budzjet fan 'e oplossing en de algemiene prestaasjes fan it apparaat. It is logysk dat de mear blêden jo aktivearje, hoe minder ferkear kin "ferdreaun wurde". Dêrom is de folgjende prestaasjestabel oan elk Check Point-model hechte (wy namen bygelyks de skaaimerken fan it 5400-model):

Sa't jo sjen kinne, binne d'r hjir twa kategoryen fan tests: op syntetysk ferkear en op echt - mingd. Yn 't algemien wurdt Check Point gewoan twongen om syntetyske tests te publisearjen, om't. guon leveransiers brûke sokke tests as benchmarks sûnder de prestaasjes fan har oplossingen op echte ferkear te ûndersiikjen (of sokke gegevens opsetlik ferbergje fanwegen har ûnfoldwaande).

Yn elk type test kinne jo ferskate opsjes fernimme:

1. test allinich foar Firewall;
2. Firewall + IPS test;
3. Firewall+IPS+NGFW (Applikaasjekontrôle) test;
4. Firewall+Applikaasjekontrôle+URL-filtering+IPS+Antivirus+Anti-Bot+SandBlast-test (sânbak)

Sjoch foarsichtich op dizze parameters by it kiezen fan jo oplossing, of kontakt foar konsult.

Ik tink dat dit de ein is fan it ynliedende artikel oer Check Point-technologyen. Folgjende sille wy sjen hoe't jo Check Point kinne testen en hoe't jo kinne omgean mei moderne bedrigingen foar ynformaasjefeiligens (firussen, phishing, ransomware, nul-dei).

PS In wichtich punt. Nettsjinsteande de bûtenlânske (Israëlyske) komôf, wurdt de oplossing yn 'e Russyske Federaasje sertifisearre troch tafersjochautoriteiten, dy't har oanwêzigens yn steatsynstellingen automatysk legalisearje (kommentaar troch Denyemall).

Allinnich registrearre brûkers kinne meidwaan oan 'e enkête. Ynlogge, asjebleaft.

Hokker UTM/NGFW-ark brûke jo?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• watch wacht

• Juniper

• UserGate

• ferkear ynspekteur

• Rubicon

• Ideco

• iepen boarne oplossing

• Oare

134 brûkers stimden. 78 brûkers ûntholden har.

Boarne: www.habr.com