ProHoster > Blog > Rianachd > puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud
Halo, a leughadairean gràdhach habr! Is e seo blog corporra na companaidh Fuasgladh T.S. Tha sinn nar integrator siostam agus gu sònraichte a’ speisealachadh ann am fuasglaidhean tèarainteachd bun-structair IT (Rannsaich:, Fortinet) agus siostaman mion-sgrùdadh dàta inneal (Spunk). Tòisichidh sinn ar blog le ro-ràdh goirid mu theicneòlasan Check Point.

Bha sinn a 'smaoineachadh airson ùine mhòr mu dheidhinn am bu chòir dhuinn an artaigil seo a sgrìobhadh, oir. chan eil dad ùr ann nach fhaighear air an eadar-lìon. Ach, a dh'aindeoin cho pailt de dh'fhiosrachadh, nuair a bhios sinn ag obair le luchd-dèiligidh agus com-pàirtichean, bidh sinn tric a 'cluinntinn na h-aon cheistean. Mar sin, chaidh co-dhùnadh seòrsa de ro-ràdh a sgrìobhadh mu shaoghal theicneòlasan Check Point agus a bhith a’ nochdadh brìgh ailtireachd nam fuasglaidhean aca. Agus seo uile taobh a-staigh frèam aon phost “beag”, mar sin a bhruidhinn, astar luath. Agus feuchaidh sinn gun a dhol a-steach do chogaidhean margaidheachd, oir. chan e reiceadair a th’ annainn, ach dìreach integrator siostam (ged a tha sinn gu mòr dèidheil air Check Point) agus dìreach a dhol thairis air na prìomh phuingean gun a bhith gan coimeas le luchd-saothrachaidh eile (leithid Palo Alto, Cisco, Fortinet, msaa). Thionndaidh a-mach gu robh an artaigil gu math voluminous, ach tha e a’ gearradh dheth a’ mhòr-chuid de na ceistean aig an ìre de eòlas air Check Point. Ma tha ùidh agad, cuir fàilte air fon chat…

UTM/NGFW

Nuair a thòisicheas tu air còmhradh mu Check Point, is e a’ chiad rud a thòisicheas tu mìneachadh air dè a th’ ann an UTM, NGFW agus mar a tha iad eadar-dhealaichte. Nì sinn seo gu math pongail gus nach bi am post ro mhòr (is dòcha san àm ri teachd beachdaichidh sinn air a’ chùis seo ann am beagan nas mionaidiche)

UTM - Riaghladh Cunnart Aonaichte

Ann an ùine ghoirid, is e brìgh UTM grunn innealan tèarainteachd a dhaingneachadh ann an aon fhuasgladh. An fheadhainn sin. uile ann an aon bhogsa no cuid uile in-ghabhalach. Dè tha “iomadh leigheas” a’ ciallachadh? Is e an roghainn as cumanta: Firewall, IPS, Proxy (sìoladh URL), Streaming Antivirus, Anti-Spam, VPN agus mar sin air adhart. Tha seo uile air a chur còmhla taobh a-staigh aon fhuasgladh UTM, a tha nas fhasa a thaobh amalachadh, rèiteachadh, rianachd agus sgrùdadh, agus tha seo, an uair sin, a 'toirt buaidh mhath air tèarainteachd iomlan an lìonra. Nuair a nochd fuasglaidhean UTM an toiseach, chaidh beachdachadh orra a-mhàin airson companaidhean beaga, oir. Cha b' urrainn do UTM mòran trafaig a làimhseachadh. Bha seo airson dà adhbhar:

  1. An dòigh anns a bheil pacaidean air an giullachd. Bha a’ chiad dreachan de fhuasglaidhean UTM a’ giullachd phasganan ann an òrdugh, a rèir gach “modal”. Eisimpleir: an toiseach tha am pasgan air a phròiseasadh leis a’ bhalla-teine, an uairsin le IPS, an uairsin thèid a sgrùdadh le Anti-Virus agus mar sin air adhart. Gu nàdarra, thug inneal mar seo a-steach fìor dàil trafaic agus goireasan siostam air an caitheamh gu mòr (pròiseasaran, cuimhne).
  2. Bathar-cruaidh lag. Mar a chaidh ainmeachadh gu h-àrd, dh’ ith giollachd pacaid sreathach suas goireasan agus cha b’ urrainn do bhathar-cruaidh na h-amannan sin (1995-2005) dèiligeadh ri trafaic àrd.

Ach chan eil adhartas a’ seasamh fhathast. Bhon uairsin, tha comasan bathar-cruaidh air a dhol suas gu mòr, agus tha giullachd pacaidean air atharrachadh (feumar aideachadh nach eil e aig a h-uile neach-reic) agus thòisich iad a’ ceadachadh mion-sgrùdadh cha mhòr aig an aon àm ann an grunn mhodalan aig an aon àm (ME, IPS, AntiVirus, msaa). Faodaidh fuasglaidhean UTM ùr-nodha “cladhach” deichean agus eadhon ceudan de gigabits ann am modh mion-sgrùdadh domhainn, a leigeas leotha an cleachdadh ann an roinn ghnìomhachasan mòra no eadhon ionadan dàta.

Gu h-ìosal tha an Magic Quadrant ainmeil aig Gartner airson fuasglaidhean UTM airson Lùnastal 2016:

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

Cha toir mi beachd làidir air an dealbh seo, canaidh mi gu bheil stiùirichean anns an oisean gu h-àrd air an làimh dheis.

NGFW - Balla-teine ​​​​an ath ghinealach

Tha an t-ainm a 'bruidhinn air a shon fhèin - balla-teine ​​​​an ath ghinealach. Nochd am bun-bheachd seo fada nas fhaide na UTM. Is e am prìomh bheachd aig NGFW sgrùdadh pacaid domhainn (DPI) a’ cleachdadh IPS togte agus smachd ruigsinneachd aig ìre tagraidh (Smachd Iarrtais). Anns a 'chùis seo, is e IPS dìreach na tha a dhìth gus seo no an tagradh sin a chomharrachadh anns an t-sruth pacaid, a leigeas leat a cheadachadh no a dhiùltadh. Eisimpleir: Is urrainn dhuinn leigeil le Skype obrachadh ach casg a chuir air gluasad fhaidhlichean. Faodaidh sinn casg a chuir air cleachdadh Torrent no RDP. Thathas cuideachd a’ toirt taic do thagraidhean lìn: Faodaidh tu faighinn gu VK.com, ach casg a chuir air geamannan, teachdaireachdan no coimhead bhideothan. Gu bunaiteach, tha càileachd NGFW an urra ris an àireamh de thagraidhean as urrainn dha a mhìneachadh. Tha mòran den bheachd gu robh nochdadh bun-bheachd NGFW na chleachdadh margaidheachd cumanta air an do thòisich Palo Alto air fàs gu luath.

Cèitean 2016 Gartner Magic Quadrant airson NGFW:

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

UTM vs NGFW

Ceist gu math cumanta, a tha nas fheàrr? Chan eil aon fhreagairt an seo agus chan urrainn a bhith. Gu sònraichte nuair a smaoinicheas tu gu bheil gnìomhachd NGFW anns cha mhòr a h-uile fuasgladh UTM ùr-nodha agus gu bheil gnìomhan aig a’ mhòr-chuid de NGFWn a tha dualach do UTM (Antivirus, VPN, Anti-Bot, msaa). Mar as àbhaist, “tha an diabhal anns a’ mhion-fhiosrachadh”, agus mar sin an toiseach feumaidh tu co-dhùnadh dè a dh’ fheumas tu gu sònraichte, co-dhùnadh mun bhuidseit. Stèidhichte air na co-dhùnaidhean sin, faodar grunn roghainnean a thaghadh. Agus feumaidh a h-uile dad a bhith air a dhearbhadh gun teagamh, gun a bhith a 'creidsinn stuthan margaidheachd.

Feuchaidh sinn, an uair sin, taobh a-staigh frèam grunn artaigilean, ri innse dhut mu Check Point, mar as urrainn dhut feuchainn air agus dè, ann am prionnsapal, as urrainn dhut feuchainn (cha mhòr a h-uile gnìomh).

Trì aonadan puing-seic

Nuair a bhios tu ag obair le Check Point, bidh thu gu cinnteach a’ tighinn tarsainn air trì pàirtean den toradh seo:

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

  1. Geata Tèarainteachd (SG) - an geata tèarainteachd fhèin, a bhios mar as trice air a chuir air iomall an lìonraidh agus a ’coileanadh gnìomhan balla-teine, sruthadh antivirus, anti-bot, IPS, msaa.
  2. Frithealaiche rianachd tèarainteachd (SMS) - frithealaiche riaghlaidh geata. Tha cha mhòr a h-uile suidheachadh air a' gheata (SG) air a choileanadh leis an fhrithealaiche seo. Faodaidh SMS cuideachd a bhith na fhrithealaiche Log agus an làimhseachadh leis an t-siostam mion-sgrùdadh tachartais agus co-dhàimh - Smart Event (coltach ri SIEM airson Check Point), ach barrachd air sin nas fhaide air adhart. Tha SMS air a chleachdadh gus grunn gheataichean a riaghladh sa mheadhan (tha an àireamh de gheataichean an urra ri modal SMS no cead), ach feumaidh tu a chleachdadh eadhon ged nach eil agad ach aon gheata. Bu chòir a thoirt fa-near an seo gur e Check Point aon den chiad fheadhainn a chleachd siostam riaghlaidh meadhanach, a tha air aithneachadh mar an “inbhe òir” a rèir aithisgean Gartner airson grunn bhliadhnaichean ann an sreath. Tha eadhon fealla-dhà ann: “Nam biodh siostam smachd àbhaisteach aig Cisco, cha bhiodh Check Point air nochdadh a-riamh.”
  3. Console Smart - consol teachdaiche airson ceangal ris an t-seirbheisiche riaghlaidh (SMS). Mar as trice air a stàladh air coimpiutair an rianadair. Tron consol seo, thèid a h-uile atharrachadh a dhèanamh air an t-seirbheisiche riaghlaidh, agus às deidh sin faodaidh tu na roghainnean a chuir an sàs anns na geataichean tèarainteachd (Stàlaich Poileasaidh).

    puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

Check Point siostam-obrachaidh

A’ bruidhinn air siostam-obrachaidh Check Point, faodar trì a thoirt air ais aig an aon àm: IPSO, SPLAT agus GAIA.

  1. IPSO Is e siostam obrachaidh Ipsilon Networks, a bha le Nokia. Ann an 2009, cheannaich Check Point an gnìomhachas seo. Cha deach a leasachadh tuilleadh.
  2. SPLAT - leasachadh fhèin air Check Point, stèidhichte air an kernel RedHat. Cha deach a leasachadh tuilleadh.
  3. Gaia - an siostam obrachaidh gnàthach bho Check Point, a nochd mar thoradh air aonadh IPSO agus SPLAT, a’ toirt a-steach a h-uile rud as fheàrr. A’ nochdadh ann an 2012 agus a’ leantainn air adhart a’ leasachadh gu gnìomhach.

A 'bruidhinn air Gaia, bu chòir a ràdh gur e an dreach as cumanta aig an àm seo R77.30. An ìre mhath o chionn ghoirid, tha an dreach R80 air nochdadh, a tha gu math eadar-dhealaichte bhon fhear roimhe (an dà chuid a thaobh comas-gnìomh agus smachd). Cuiridh sinn post air leth gu cuspair nan eadar-dhealachaidhean aca. Is e puing cudromach eile nach eil ach dreach R77.10 aig an àm seo aig a bheil an teisteanas FSTEC agus tha dreach R77.30 ga dhearbhadh.

Roghainnean (Inneal puing sgrùdaidh, inneal mas-fhìor, OpenServer)

Chan eil dad na iongnadh an seo, leis gu bheil grunn roghainnean toraidh aig mòran de luchd-reic Check Point:

  1. inneal - inneal bathar-cruaidh is bathar-bog, i.e. "pìos iarainn" agad fhèin. Tha tòrr mhodailean ann a tha eadar-dhealaichte ann an coileanadh, comas-gnìomh agus dealbhadh (tha roghainnean ann airson lìonraidhean gnìomhachais).

    puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

  2. Inneal Virtual - Inneal brìgheil Check Point le Gaia OS. Thathas a’ toirt taic do Hypervisors ESXi, Hyper-V, KVM. Ceadaichte leis an àireamh de cores processor.
  3. Openserver - A’ stàladh Gaia gu dìreach air an t-seirbheisiche mar am prìomh shiostam obrachaidh (ris an canar “Bare metal”). Chan eil ach cuid de bhathar-cruaidh a’ faighinn taic. Tha molaidhean ann airson a’ bhathar-cruaidh seo a dh’ fheumar a leantainn, air neo dh’ fhaodadh gum bi duilgheadasan ann le draibhearan agus an fheadhainn sin. faodaidh taic seirbheis a dhiùltadh dhut.

Roghainnean buileachaidh (air a chuairteachadh no air leth)

Beagan nas àirde, tha sinn air bruidhinn mu thràth dè a th’ ann an geata (SG) agus frithealaiche riaghlaidh (SMS). A-nis bruidhnidh sinn mu roghainnean airson an cur an gnìomh. Tha dà phrìomh dhòigh ann:

  1. Neo-eisimeileach (SG+SMS) - roghainn nuair a tha an dà chuid an geata agus an frithealaiche riaghlaidh air an stàladh taobh a-staigh an aon inneal (no inneal brìgheil).

    puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

    Tha an roghainn seo freagarrach nuair nach eil agad ach aon gheata, a tha air a luchdachadh gu aotrom le trafaic luchd-cleachdaidh. Is e an roghainn seo an rud as saoire, oir. chan eil feum air frithealaiche riaghlaidh (SMS) a cheannach. Ach, ma tha an geata air a luchdachadh gu mòr, is dòcha gum bi siostam smachd slaodach agad. Mar sin, mus tagh thu fuasgladh Standalone, tha e nas fheàrr co-chomhairle a chumail no eadhon an roghainn seo a dhearbhadh.

  2. Air a chuairteachadh - tha am frithealaiche riaghlaidh air a chuir a-steach air leth bhon gheata.

    puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

    An roghainn as fheàrr a thaobh goireasachd agus coileanadh. Tha e air a chleachdadh nuair a tha feum air grunn gheataichean a riaghladh aig an aon àm, mar eisimpleir, meadhan agus meur. Anns a 'chùis seo, feumaidh tu frithealaiche riaghlaidh (SMS) a cheannach, a dh'fhaodas a bhith ann an cruth inneal (pìos iarainn) no inneal mas-fhìor.

Mar a thuirt mi dìreach gu h-àrd, tha an siostam SIEM aige fhèin aig Check Point - Smart Event. Chan urrainn dhut a chleachdadh ach air eagal stàladh Distributed.

Modhan obrachaidh (Drochaid, Slighe)
Faodaidh an Geata Tèarainteachd (SG) obrachadh ann an dà mhodh bunaiteach:

  • Slighe - an roghainn as cumanta. Anns a 'chùis seo, thathas a' cleachdadh a 'gheata mar inneal L3 agus a' stiùireadh trafaig troimhe fhèin, i.e. Is e Check Point an geata bunaiteach airson an lìonra dìonta.
  • Drochaid - modh follaiseach. Anns a 'chùis seo, tha an geata air a chuir a-steach mar "drochaid" àbhaisteach agus a' dol troimhe air an dàrna ìre (OSI). Mar as trice bidh an roghainn seo air a chleachdadh nuair nach eil comas (no miann) ann am bun-structar a th’ ann atharrachadh. Cha mhòr nach fheum thu topology an lìonra atharrachadh agus chan fheum thu smaoineachadh mu bhith ag atharrachadh seòladh IP.

Bu mhath leam a thoirt fa-near gu bheil cuid de chuingealachaidhean gnìomh ann am modh na Drochaid, mar sin, mar integrator, tha sinn a’ comhairleachadh ar luchd-dèiligidh uile am modh Routed a chleachdadh, gu dearbh, ma ghabhas sin dèanamh.

Lannan bathar-bog (lannan bathar-bog Check Point)

Fhuair sinn cha mhòr chun chuspair Check Point as cudromaiche, a thogas na ceistean as motha bho luchd-ceannach. Dè a th’ anns na “lannan bathar-bog” seo? Bidh lannan a’ toirt iomradh air cuid de ghnìomhan Check Point.

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

Faodar na feartan sin a chuir air no dheth a rèir na feumalachdan agad. Aig an aon àm, tha lannan a tha air an cur an gnìomh a-mhàin air a 'gheata (Tèarainteachd Lìonra) agus a-mhàin air an fhrithealaiche stiùiridh (Stiùiriche). Tha na dealbhan gu h-ìosal a’ sealltainn eisimpleirean airson an dà chùis:

1) Airson tèarainteachd lìonra (gnìomh geata)

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

Bheir sinn cunntas goirid, oir tha gach lann airidh air artaigil fa leth.

  • Balla-teine ​​- comas-gnìomh balla-teine;
  • IPSec VPN - togail lìonraidhean brìgheil prìobhaideach;
  • Ruigsinneachd gluasadach - ruigsinneachd iomallach bho innealan gluasadach;
  • IPS - siostam casg sàrachadh;
  • Anti-Bot - dìon an aghaidh lìonraidhean botnet;
  • AntiVirus - sruthadh antivirus;
  • Tèarainteachd AntiSpam & Post-d - dìon post corporra;
  • Mothachadh Dearbh-aithne - amalachadh leis an t-seirbheis Active Directory;
  • Sgrùdadh - sgrùdadh air cha mhòr a h-uile paramadair geata (luchd, leud-bann, inbhe VPN, msaa)
  • Smachd tagraidh - balla-teine ​​​​ìre tagraidh (gnìomh NGFW);
  • Criathradh URL - tèarainteachd lìn (+ gnìomh proxy);
  • Bacadh call dàta - dìon aoidionachd fiosrachaidh (DLP);
  • Emulation Cunnart - teicneòlas bogsa gainmhich (SandBox);
  • Extraction Cunnart - teicneòlas glanadh fhaidhlichean;
  • QoS - prìomhachas trafaic.

Ann an dìreach beagan artaigilean, bheir sinn sùil nas mionaidiche air na lannan Threat Emulation agus Threat Extraction, tha mi cinnteach gum bi e inntinneach.

2) Airson Riaghladh (gnìomh frithealaiche stiùiridh)

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

  • Riaghladh Poileasaidh Lìonra - stiùireadh poileasaidh meadhanaichte;
  • Riaghladh Poileasaidh Endpoint - riaghladh meadhanaichte air riochdairean Check Point (tha, bidh Check Point a’ toirt a-mach fuasglaidhean chan ann a-mhàin airson dìon lìonra, ach cuideachd airson ionadan-obrach (PCan) agus fònaichean sgairteil a dhìon);
  • Logadh & Inbhe - cruinneachadh agus giullachd chlàran sa mheadhan;
  • Portal Riaghlaidh - riaghladh tèarainteachd bhon bhrobhsair;
  • Sruth-obrach - smachd air atharrachaidhean poileasaidh, sgrùdadh air atharrachaidhean, msaa;
  • Leabhar-seòlaidh luchd-cleachdaidh - amalachadh le LDAP;
  • Solarachadh - fèin-ghluasad de stiùireadh gheata;
  • Neach-aithris Smart - siostam aithris;
  • Tachartas Glic - mion-sgrùdadh agus co-dhàimh de thachartasan (SIEM);
  • Gèilleadh - sgrùdadh fèin-ghluasadach air na roghainnean agus cuir a-mach molaidhean.

Cha bhith sinn a-nis a’ beachdachadh gu mionaideach air cùisean ceadachd, gus nach àrdaich sinn an artaigil agus nach cuir sinn dragh air an leughadair. Is coltaiche gun toir sinn a-mach e ann am post air leth.

Leigidh ailtireachd an lann leat na gnìomhan a tha a dhìth ort a chleachdadh a-mhàin, a bheir buaidh air buidseat an fhuasglaidh agus coileanadh iomlan an inneil. Tha e loidsigeach mar as motha de lannan a chuireas tu an gnìomh, is ann as lugha de thrafaig a thèid “air falbh”. Sin as coireach gu bheil an clàr coileanaidh a leanas ceangailte ri gach modail Check Point (mar eisimpleir, ghabh sinn feartan a 'mhodail 5400):

puing-seic. Dè a th 'ann, dè a dh'itheas e leis, no goirid mun phrìomh rud

Mar a chì thu, tha dà sheòrsa de dheuchainnean an seo: air trafaic synthetigeach agus air fìor - measgaichte. San fharsaingeachd, feumaidh Check Point dìreach deuchainnean synthetigeach fhoillseachadh, oir. bidh cuid de luchd-reic a’ cleachdadh deuchainnean leithid slatan-tomhais gun a bhith a’ sgrùdadh coileanadh am fuasglaidhean air fìor thrafaig (no a’ falach an dàta sin a dh’aona ghnothach air sgàth cho neo-thaitneach).

Anns gach seòrsa deuchainn, chì thu grunn roghainnean:

  1. deuchainn a-mhàin airson Firewall;
  2. Balla-teine ​​+ deuchainn IPS;
  3. Deuchainn Firewall + IPS + NGFW (Smachd tagraidh);
  4. Balla-teine ​​+ smachd tagraidh + criathradh URL + IPS + Antivirus + Deuchainn Anti-Bot + SandBlast (bogsa gainmhich)

Thoir sùil gu faiceallach air na crìochan sin nuair a thaghas tu am fuasgladh agad, no cuir fios thugainn co-chomhairle.

Tha mi a’ smaoineachadh gur e seo deireadh an artaigil tòiseachaidh air teicneòlasan Check Point. An ath rud, seallaidh sinn ri mar as urrainn dhut Check Point a dhearbhadh agus mar a dhèiligeas tu ri bagairtean tèarainteachd fiosrachaidh an latha an-diugh (bhìorasan, phishing, ransomware, neoni-latha).

PS Puing chudromach. A dh ’aindeoin an tùs cèin (Israel), tha am fuasgladh air a dhearbhadh ann an Caidreachas na Ruis le ùghdarrasan stiùiridh, a bhios gu fèin-ghluasadach a’ dèanamh laghail an làthaireachd ann an ionadan stàite (beachd le Denymall).

Chan fhaod ach luchd-cleachdaidh clàraichte pàirt a ghabhail san sgrùdadh. Soidhnig a-steach, mas e do thoil e.

Dè na h-innealan UTM/NGFW a bhios tu a’ cleachdadh?

  • Rannsaich:

  • Cisco cumhachd teine

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Freiceadan

  • Juniper

  • UserGate

  • neach-sgrùdaidh trafaig

  • Rubicon

  • Ideco

  • fuasgladh stòr fosgailte

  • Eile

Bhòt 134 neach-cleachdaidh. Sheall 78 neach-cleachdaidh.

Source: www.habr.com

Cuir beachd ann