punto de control. Que é, con que se come ou brevemente sobre o principal

Ola, queridos lectores de habr! Este é o blog corporativo da empresa Solución T.S. Somos un integrador de sistemas e estamos especializados principalmente en solucións de seguridade de infraestruturas de TI (Punto de verificación, Fortinet) e sistemas de análise de datos da máquina (Spunk). Comezaremos o noso blog cunha pequena introdución ás tecnoloxías Check Point.

Pensamos durante moito tempo se escribir este artigo, porque. non hai nada novo nel que non se poida atopar en Internet. Non obstante, a pesar de tanta abundancia de información, cando traballamos con clientes e socios, moitas veces escoitamos as mesmas preguntas. Por iso, decidiuse escribir algún tipo de introdución ao mundo das tecnoloxías Check Point e revelar a esencia da arquitectura das súas solucións. E todo isto no marco dunha “pequena” publicación, por así dicilo, unha rápida digresión. E tentaremos non entrar en guerras de mercadotecnia, porque. non somos un vendedor, senón só un integrador de sistemas (aínda que nos encanta Check Point) e só repasamos os puntos principais sen comparalos con outros fabricantes (como Palo Alto, Cisco, Fortinet, etc.). O artigo resultou ser bastante voluminoso, pero corta a maioría das preguntas na fase de familiarización con Check Point. Se estás interesado, benvido debaixo do gato...

UTM/NGFW

Ao iniciar unha conversa sobre Check Point, o primeiro que debes comezar é unha explicación do que son UTM, NGFW e en que se diferencian. Farémolo de forma moi concisa para que a publicación non resulte demasiado grande (quizais no futuro consideremos este tema con máis detalle)

UTM - Xestión unificada de ameazas

En resumo, a esencia de UTM é a consolidación de varias ferramentas de seguridade nunha única solución. Eses. todo nunha caixa ou algún todo incluído. Que se entende por "múltiples remedios"? A opción máis común é: Firewall, IPS, Proxy (filtrado de URL), Streaming Antivirus, Anti-Spam, VPN, etc. Todo isto combínase nunha única solución UTM, máis sinxela en canto a integración, configuración, administración e seguimento, e que, á súa vez, ten un efecto positivo na seguridade global da rede. Cando as solucións UTM apareceron por primeira vez, consideráronse exclusivamente para pequenas empresas, porque. As UTM non podían xestionar grandes volumes de tráfico. Isto foi por dous motivos:

1. Manexo de paquetes. As primeiras versións das solucións UTM procesaban paquetes secuencialmente, por cada "módulo". Exemplo: primeiro o paquete é procesado polo firewall, despois polo IPS, despois é comprobado polo antivirus e así por diante. Por suposto, tal mecanismo introduciu graves atrasos de tráfico e un gran consumo de recursos do sistema (procesador, memoria).
2. Hardware débil. Como se mencionou anteriormente, o procesamento secuencial de paquetes consumía recursos e o hardware daqueles tempos (1995-2005) simplemente non podía facer fronte ao alto tráfico.

Pero o progreso non se detén. Desde entón, as capacidades do hardware aumentaron notablemente, e o procesamento de paquetes cambiou (hai que admitir que non todos os vendedores o teñen) e comezou a permitir a análise case simultánea en varios módulos á vez (ME, IPS, AntiVirus, etc.). As solucións UTM modernas poden "dixerir" decenas e mesmo centos de gigabits en modo de análise profunda, o que permite utilizalas no segmento de grandes empresas ou mesmo de centros de datos.

Abaixo amósase o famoso Cuadrante Máxico de Gartner para solucións UTM para agosto de 2016:

Non vou comentar con forza esta imaxe, só direi que hai líderes na esquina superior dereita.

NGFW - Firewall de próxima xeración

O nome fala por si só: o firewall de próxima xeración. Este concepto apareceu moito máis tarde que UTM. A idea principal de NGFW é a inspección profunda de paquetes (DPI) mediante IPS incorporado e control de acceso a nivel de aplicación (Control de aplicacións). Neste caso, IPS é só o que se necesita para identificar esta ou aquela aplicación no fluxo de paquetes, o que che permite permitir ou denegar. Exemplo: podemos permitir que Skype funcione pero evitamos as transferencias de ficheiros. Podemos prohibir o uso de Torrent ou RDP. Tamén se admiten aplicacións web: podes permitir o acceso a VK.com, pero evitar xogos, mensaxes ou ver vídeos. Esencialmente, a calidade dun NGFW depende do número de aplicacións que poida definir. Moitos cren que a aparición do concepto de NGFW foi unha estratagema de mercadotecnia común contra a que Palo Alto comezou o seu rápido crecemento.

Cuadrante máxico de Gartner de maio de 2016 para NGFW:

UTM vs NGFW

Unha pregunta moi común, cal é mellor? Non hai unha única resposta aquí e non pode ser. Especialmente se ten en conta o feito de que case todas as solucións UTM modernas conteñen a funcionalidade NGFW e a maioría dos NGFW conteñen funcións inherentes a UTM (Antivirus, VPN, Anti-Bot, etc.). Como sempre, "o demo está nos detalles", polo que primeiro debes decidir o que precisas concretamente, decidir o orzamento. En función destas decisións, pódense seleccionar varias opcións. E todo ten que ser probado sen ambigüidades, sen crer nos materiais de marketing.

Nós, pola súa banda, no marco de varios artigos, tentaremos falarche de Check Point, como podes probalo e que, en principio, podes probar (case toda a funcionalidade).

Tres Entidades Check Point

Cando traballes con Check Point, definitivamente atoparás tres compoñentes deste produto:

1. Pasarela de seguridade (SG) - a propia pasarela de seguridade, que adoita colocarse no perímetro da rede e realiza as funcións de firewall, antivirus de streaming, anti-bot, IPS, etc.
2. Servidor de xestión de seguridade (SMS) - Servidor de xestión de pasarela. Case todas as configuracións da pasarela (SG) realízanse usando este servidor. SMS tamén pode actuar como un servidor de rexistro e procesalas co sistema integrado de análise e correlación de eventos - Smart Event (semellante a SIEM para Check Point), pero sobre iso máis tarde. SMS utilízase para xestionar de forma centralizada varias pasarelas (o número de pasarelas depende do modelo ou licenza de SMS), pero debes usalo aínda que só teñas unha pasarela. Cómpre sinalar aquí que Check Point foi un dos primeiros en utilizar un sistema de xestión tan centralizado, que foi recoñecido como o "estándar de ouro" segundo os informes de Gartner durante moitos anos seguidos. Incluso hai unha broma: "Se Cisco tivese un sistema de control normal, entón Check Point nunca aparecería".
3. Consola intelixente — Consola cliente para conectarse ao servidor de xestión (SMS). Normalmente se instala no ordenador do administrador. A través desta consola, todos os cambios realízanse no servidor de xestión, e despois pode aplicar a configuración ás pasarelas de seguranza (Política de instalación).

   

Sistema operativo Check Point

Falando do sistema operativo Check Point, pódense recordar tres á vez: IPSO, SPLAT e GAIA.

1. IPSO é o sistema operativo de Ipsilon Networks, propiedade de Nokia. En 2009, Check Point comprou este negocio. Xa non se desenvolveu.
2. SPLAT - Desenvolvemento propio de Check Point, baseado no núcleo RedHat. Xa non se desenvolveu.
3. Gaia - o actual sistema operativo de Check Point, que apareceu como resultado da fusión de IPSO e SPLAT, incorporando todo o mellor. Apareceu en 2012 e segue a desenvolverse activamente.

Falando de Gaia, hai que dicir que nestes momentos a versión máis común é R77.30. Fai relativamente pouco tempo apareceu a versión R80, que difire significativamente da anterior (tanto en funcións como en control). Dedicaremos un post aparte ao tema das súas diferenzas. Outro punto importante é que polo momento só a versión R77.10 ten o certificado FSTEC e a versión R77.30 está sendo certificada.

Opcións (Check Point Appliance, Máquina virtual, OpenServer)

Non hai nada sorprendente aquí, xa que moitos provedores de Check Point teñen varias opcións de produtos:

1. utensilio - Dispositivo de hardware e software, é dicir. propia "peza de ferro". Hai moitos modelos que difiren en rendemento, funcionalidade e deseño (hai opcións para redes industriais).

   

2. Máquina virtual - Máquina virtual Check Point con Gaia OS. Admite hipervisores ESXi, Hyper-V e KVM. Licenza polo número de núcleos de procesador.
3. servidor aberto - Instalación de Gaia directamente no servidor como sistema operativo principal (o chamado "Barre metal"). Só se admite certo hardware. Hai recomendacións para este hardware que hai que seguir, se non, pode haber problemas cos controladores e eses. o soporte pode rexeitarlle o servizo.

Opcións de implementación (distribuídas ou autónomas)

Un pouco máis arriba, xa comentamos o que son unha pasarela (SG) e un servidor de xestión (SMS). Agora imos discutir as opcións para a súa implementación. Hai dúas formas principais:

1. Autónomo (SG+SMS) - unha opción cando tanto a pasarela como o servidor de xestión están instalados no mesmo dispositivo (ou máquina virtual).

   
   
   Esta opción é adecuada cando só tes unha pasarela, que está lixeiramente cargada de tráfico de usuarios. Esta opción é a máis económica, porque. non é necesario comprar un servidor de xestión (SMS). Non obstante, se a pasarela está moi cargada, pode acabar cun sistema de control lento. Polo tanto, antes de escoller unha solución autónoma, é mellor consultar ou mesmo probar esta opción.

2. Distribuído — o servidor de xestión está instalado por separado da pasarela.

   
   
   A mellor opción en canto a comodidade e rendemento. Utilízase cando é necesario xestionar varias pasarelas á vez, por exemplo, as centrais e as sucursais. Neste caso, cómpre mercar un servidor de xestión (SMS), que tamén pode ser en forma de aparello (anaco de ferro) ou de máquina virtual.

Como dixen máis arriba, Check Point ten o seu propio sistema SIEM: Smart Event. Podes usalo só en caso de instalación distribuída.

Modos de funcionamento (Bridge, Routed)
A pasarela de seguranza (SG) pode funcionar en dous modos básicos:

• Enrutado - a opción máis común. Neste caso, a pasarela úsase como dispositivo L3 e encamiña o tráfico por si mesma, é dicir. Check Point é a pasarela predeterminada para a rede protexida.
• Ponte - Modo transparente. Neste caso, a pasarela instálase como unha "ponte" normal e pasa o tráfico a través dela na segunda capa (OSI). Esta opción adoita utilizarse cando non hai posibilidade (ou desexo) de cambiar a infraestrutura existente. Practicamente non tes que cambiar a topoloxía da rede e non tes que pensar en cambiar o enderezo IP.

Gustaríame sinalar que hai algunhas limitacións funcionais no modo Bridge, polo tanto, como integrador, aconsellamos a todos os nosos clientes que utilicen o modo Routed, por suposto, se é posible.

Blades de software (Blades de software Check Point)

Chegamos case ao tema de Check Point máis importante, que suscita máis preguntas dos clientes. Cales son estas "láminas de software"? As láminas fan referencia a determinadas funcións de Check Point.

Estas funcións pódense activar ou desactivar dependendo das túas necesidades. Ao mesmo tempo, hai blades que se activan exclusivamente na pasarela (Seguridade da rede) e só no servidor de xestión (Xestión). As imaxes seguintes mostran exemplos para ambos casos:

1) Para a seguridade da rede (funcionalidade de pasarela)

Imos describir brevemente, porque cada lámina merece un artigo separado.

• Firewall - funcionalidade de firewall;
• VPN IPSec: creación de redes virtuais privadas;
• Acceso móbil: acceso remoto desde dispositivos móbiles;
• IPS - sistema de prevención de intrusións;
• Anti-Bot: protección contra redes de botnets;
• AntiVirus - antivirus de transmisión;
• AntiSpam & Email Security: protección do correo corporativo;
• Identity Awareness: integración co servizo Active Directory;
• Monitorización: monitorización de case todos os parámetros da pasarela (carga, ancho de banda, estado da VPN, etc.)
• Control de aplicacións - firewall a nivel de aplicación (funcionalidade NGFW);
• Filtrado de URL - Seguridade web (+ funcionalidade de proxy);
• Prevención da perda de datos: protección contra fugas de información (DLP);
• Emulación de ameazas: tecnoloxía sandbox (SandBox);
• Threat Extraction: tecnoloxía de limpeza de ficheiros;
• QoS - priorización de tráfico.

En só algúns artigos, imos botar unha ollada máis de cerca ás láminas de emulación de ameazas e de extracción de ameazas, estou seguro de que será interesante.

2) Para Xestión (funcionalidade do servidor de xestión)

• Xestión de políticas de rede: xestión centralizada de políticas;
• Endpoint Policy Management: xestión centralizada dos axentes de Check Point (si, Check Point produce solucións non só para a protección da rede, senón tamén para a protección de estacións de traballo (PC) e teléfonos intelixentes);
• Logging & Status: recollida e procesamento centralizado de rexistros;
• Portal de xestión: xestión da seguridade desde o navegador;
• Fluxo de traballo: control dos cambios de políticas, auditoría de cambios, etc.;
• Directorio de usuarios: integración con LDAP;
• Aprovisionamento: automatización da xestión de pasarelas;
• Smart Reporter - sistema de informes;
• Smart Event - análise e correlación de eventos (SIEM);
• Conformidade: comprobación automática da configuración e emisión de recomendacións.

Non imos considerar agora os problemas de licenza en detalle, para non inflar o artigo e confundir ao lector. O máis probable é que o saquemos nunha publicación aparte.

A arquitectura blade permítelle usar só as funcións que realmente necesita, o que afecta o orzamento da solución e o rendemento xeral do dispositivo. É lóxico que cantos máis láminas actives, menos tráfico poderá ser "afastado". É por iso que se adxunta a seguinte táboa de rendemento a cada modelo Check Point (por exemplo, tomamos as características do modelo 5400):

Como podes ver, aquí hai dúas categorías de probas: sobre tráfico sintético e sobre real mixta. En xeral, Check Point está simplemente obrigado a publicar probas sintéticas, porque. algúns provedores usan tales probas como puntos de referencia sen examinar o rendemento das súas solucións no tráfico real (ou ocultan deliberadamente tales datos debido á súa insatisfacción).

En cada tipo de proba, podes notar varias opcións:

1. proba só para Firewall;
2. Firewall + proba IPS;
3. Proba de firewall+IPS+NGFW (control de aplicacións);
4. Firewall+Control de aplicacións+Filtrado de URL+IPS+Antivirus+Anti-Bot+Proba SandBlast (sandbox)

Mire coidadosamente estes parámetros ao elixir a súa solución, ou póñase en contacto para consulta.

Creo que este é o final do artigo introdutorio sobre tecnoloxías Check Point. A continuación, analizaremos como pode probar Check Point e como xestionar as ameazas modernas de seguridade da información (virus, phishing, ransomware, día cero).

PS Un punto importante. A pesar da orixe estranxeira (israelí), a solución está certificada na Federación Rusa polas autoridades supervisoras, que legalizan automaticamente a súa presenza nas institucións estatais (comentario de Denyemall).

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Que ferramentas UTM/NGFW usas?

• Punto de verificación

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• garda de reloxo

• Zimbro

• UserGate

• inspector de tráfico

• Rubicón

• Ideco

• solución de código aberto

• Outro

Votaron 134 usuarios. 78 usuarios abstivéronse.

Fonte: www.habr.com