ProHoster > Blog > uprava > kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom
Pozdrav, dragi čitatelji Habra! Ovo je korporativni blog tvrtke TS rješenje. Mi smo integrator sustava i uglavnom smo specijalizirani za sigurnosna rješenja IT infrastrukture (Check Point, Fortinet) i sustavi strojne analize podataka (Splunk). Naš blog započet ćemo kratkim uvodom u Check Point tehnologije.

Dugo smo razmišljali isplati li se napisati ovaj članak, jer... u njemu nema ništa novo što se nije moglo pronaći na internetu. No, unatoč takvom obilju informacija, u radu s klijentima i partnerima nerijetko čujemo ista pitanja. Stoga je odlučeno napisati svojevrsni uvod u svijet Check Point tehnologija i otkriti srž arhitekture njihovih rješenja. I sve to u okviru jednog “malog” posta, brzinskog izleta, da tako kažem. Štoviše, nastojat ćemo ne ulaziti u marketinške ratove, jer... Mi nismo dobavljač, samo integrator sustava (iako jako volimo Check Point) i jednostavno ćemo pogledati glavne točke bez usporedbe s drugim proizvođačima (kao što su Palo Alto, Cisco, Fortinet itd.). Članak se pokazao prilično dugačkim, ali pokriva većinu pitanja u fazi upoznavanja s Check Pointom. Ako ste zainteresirani, onda dobrodošli u mačku...

UTM/NGFW

Kada započinjete razgovor o Check Pointu, prvo morate započeti s objašnjenjem što su UTM i NGFW i po čemu se razlikuju. Učinit ćemo to vrlo koncizno kako post ne bi ispao predug (možda ćemo u budućnosti ovo pitanje razmotriti malo detaljnije)

UTM - Unified Threat Management

Ukratko, bit UTM-a je konsolidacija nekoliko sigurnosnih alata u jednom rješenju. Oni. sve u jednoj kutiji ili nekakav all inclusive. Što se podrazumijeva pod "višestrukim lijekovima"? Najčešća opcija je: Vatrozid, IPS, Proxy (filtriranje URL-ova), Streaming Antivirus, Anti-Spam, VPN i tako dalje. Sve je to spojeno u jedno UTM rješenje koje je jednostavnije u integracijskom, konfiguracijskom, administrativnom i nadzornom smislu, a to opet pozitivno utječe na ukupnu sigurnost mreže. Kada su se UTM rješenja tek pojavila, smatrala su se isključivo malim tvrtkama, jer... UTM-ovi nisu mogli podnijeti velike količine prometa. To je bilo iz dva razloga:

  1. Metoda obrade paketa. Prve verzije UTM rješenja pakete su obrađivale sekvencijalno, svaki “modul”. Primjer: prvo paket obradi vatrozid, zatim IPS, zatim ga skenira antivirus i tako dalje. Naravno, takav je mehanizam stvarao ozbiljne zastoje u prometu i uvelike trošio resurse sustava (procesor, memorija).
  2. Slab hardver. Kao što je gore spomenuto, sekvencijalna obrada paketa uvelike je trošila resurse i tadašnji hardver (1995.-2005.) jednostavno se nije mogao nositi s velikim prometom.

Ali napredak ne stoji mirno. Od tada se hardverski kapacitet značajno povećao, a procesiranje paketa se promijenilo (mora se priznati da ga nemaju svi proizvođači) i počelo omogućavati gotovo istovremenu analizu u nekoliko modula odjednom (ME, IPS, AntiVirus itd.). Moderna UTM rješenja mogu “probaviti” desetke pa čak i stotine gigabita u modu dubinske analize, što ih čini mogućim korištenjem u segmentu velikih poduzeća ili čak podatkovnih centara.

Ispod je poznati Gartner Magic Quadrant za UTM rješenja za kolovoz 2016.:

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

Ovu sliku neću puno komentirati, samo ću reći da su lideri u gornjem desnom uglu.

NGFW - Vatrozid sljedeće generacije

Ime govori samo za sebe - vatrozid sljedeće generacije. Ovaj koncept pojavio se mnogo kasnije od UTM-a. Glavna ideja NGFW-a je duboka analiza paketa (DPI) pomoću ugrađenog IPS-a i kontrole pristupa na razini aplikacije (Application Control). U ovom slučaju, IPS je upravo ono što je potrebno za prepoznavanje ove ili one aplikacije u toku paketa, što vam omogućuje dopuštanje ili odbijanje. Primjer: možemo dopustiti Skypeu da radi, ali zabraniti prijenos datoteka. Možemo zabraniti korištenje Torrenta ili RDP-a. Podržane su i web aplikacije: možete dopustiti pristup VK.com, ali zabraniti igre, poruke ili gledanje videa. U biti, kvaliteta NGFW-a ovisi o broju aplikacija koje može otkriti. Mnogi vjeruju da je pojava koncepta NGFW bio običan marketinški trik na pozadini kojeg je tvrtka Palo Alto započela svoj brzi rast.

Gartnerov magični kvadrant za NGFW za svibanj 2016.:

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

UTM protiv NGFW

Vrlo često pitanje je, što je bolje? Ovdje nema i ne može biti definitivnog odgovora. Posebno ako se uzme u obzir činjenica da gotovo sva moderna UTM rješenja sadrže NGFW funkcionalnost i većina NGFW-ova sadrži funkcije svojstvene UTM-u (Antivirus, VPN, Anti-Bot, itd.). Kao i uvijek, "vrag je u detaljima", stoga prije svega morate odlučiti što vam konkretno treba i odlučiti se za svoj budžet. Na temelju ovih odluka može se odabrati nekoliko opcija. I sve treba testirati nedvosmisleno, bez vjerovanja marketinškim materijalima.

Mi ćemo, pak, u nekoliko članaka pokušati razgovarati o Check Pointu, kako ga možete isprobati i što, u načelu, možete isprobati (gotovo sve funkcionalnosti).

Tri kontrolne točke entiteta

Kada radite s Check Pointom, sigurno ćete se susresti s tri komponente ovog proizvoda:

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

  1. Sigurnosni pristupnik (SG) — sam sigurnosni pristupnik, koji se obično instalira na perimetru mreže i obavlja funkcije vatrozida, streaming antivirusa, antibota, IPS-a itd.
  2. Poslužitelj za sigurnosno upravljanje (SMS) — poslužitelj za upravljanje pristupnikom. Gotovo sve postavke na pristupniku (SG) izvode se pomoću ovog poslužitelja. SMS također može djelovati kao Log Server i obrađivati ​​ih s ugrađenim sustavom analize događaja i korelacije - Smart Event (slično SIEM-u za Check Point), ali više o tome kasnije. SMS se koristi za centralizirano upravljanje nekoliko gatewaya (broj gatewaya ovisi o SMS modelu ili licenci), ali ste ga dužni koristiti čak i ako imate samo jedan gateway. Ovdje treba napomenuti da je Check Point bio jedan od prvih koji je koristio takav centralizirani sustav upravljanja, koji je prema izvješćima Gartnera već dugi niz godina prepoznat kao “zlatni standard”. Postoji čak i šala: "Da je Cisco imao normalan sustav upravljanja, Check Point se nikada ne bi pojavio."
  3. Pametna konzola — klijentska konzola za povezivanje s poslužiteljem za upravljanje (SMS). Obično se instalira na računalo administratora. Sve promjene na upravljačkom poslužitelju se vrše preko ove konzole, a nakon toga možete primijeniti postavke na sigurnosne pristupnike (Install Policy).

    kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

Operativni sustav Check Point

Govoreći o operativnom sustavu Check Point, možemo se sjetiti tri odjednom: IPSO, SPLAT i GAIA.

  1. IPSO - operativni sustav Ipsilon Networksa, koji je pripadao Nokiji. 2009. Check Point je kupio ovu tvrtku. Više se ne razvija.
  2. SPLAT - Vlastiti razvoj tvrtke Check Point, temeljen na RedHat kernelu. Više se ne razvija.
  3. Gaia - trenutni operativni sustav tvrtke Check Point, koji se pojavio kao rezultat spajanja IPSO i SPLAT, koji uključuje sve najbolje. Pojavio se 2012. godine i nastavlja se aktivno razvijati.

Govoreći o Gaiji, treba reći da je trenutno najzastupljenija verzija R77.30. Relativno nedavno se pojavila verzija R80, koja se značajno razlikuje od prethodne (kako u pogledu funkcionalnosti tako iu upravljanju). Temi njihove različitosti posvetit ćemo poseban post. Još jedna važna točka je da trenutno samo verzija R77.10 ima FSTEC certifikat, a verzija R77.30 je u certifikaciji.

Mogućnosti izvršenja (Check Point Appliance, Virtualni stroj, OpenServer)

Ovdje nema ništa iznenađujuće, kao i mnogi dobavljači, Check Point ima nekoliko opcija proizvoda:

  1. Uređaj — hardverski i softverski uređaj, tj. vlastiti “komad željeza”. Postoji mnogo modela koji se razlikuju u izvedbi, funkcionalnosti i dizajnu (postoje opcije za industrijske mreže).

    kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

  2. Virtualni stroj — Check Point virtualni stroj s Gaia OS-om. Podržani su hipervizori ESXi, Hyper-V, KVM. Licencirano prema broju procesorskih jezgri.
  3. OpenServer — instaliranje Gaie izravno na poslužitelj kao glavnog operativnog sustava (tzv. “Bare metal”). Podržan je samo određeni hardver. Postoje preporuke za ovaj hardver koje se moraju slijediti, inače mogu nastati problemi s upravljačkim programima i tehničkom opremom. podrška vam može odbiti pružiti uslugu.

Mogućnosti implementacije (distribuirano ili samostalno)

Malo više smo već razgovarali o tome što su pristupnik (SG) i poslužitelj za upravljanje (SMS). Sada razgovarajmo o mogućnostima njihove provedbe. Postoje dva glavna načina:

  1. Samostalno (SG+SMS) - opcija kada su i pristupnik i poslužitelj za upravljanje instalirani unutar jednog uređaja (ili virtualnog stroja).

    kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

    Ova je opcija prikladna kada imate samo jedan pristupnik koji je malo opterećen korisničkim prometom. Ova opcija je najekonomičnija, jer... nema potrebe za kupnjom poslužitelja za upravljanje (SMS). Međutim, ako je pristupnik jako opterećen, možete završiti sa "sporim" sustavom upravljanja. Stoga je prije odabira samostalnog rješenja najbolje konzultirati ili čak testirati ovu opciju.

  2. distribuiran — poslužitelj za upravljanje instaliran je odvojeno od pristupnika.

    kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

    Najbolja opcija u smislu praktičnosti i performansi. Koristi se kada je potrebno upravljati s nekoliko pristupnika odjednom, na primjer središnjim i ograncima. U tom slučaju morate kupiti poslužitelj za upravljanje (SMS), koji također može biti u obliku uređaja ili virtualnog stroja.

Kao što sam već rekao, Check Point ima vlastiti SIEM sustav - Smart Event. Možete ga koristiti samo u slučaju distribuirane instalacije.

Načini rada (most, usmjeravanje)
Sigurnosni pristupnik (SG) može raditi u dva glavna načina:

  • Preusmjeren - najčešća opcija. U ovom slučaju, pristupnik se koristi kao L3 uređaj i usmjerava promet kroz sebe, tj. Check Point je zadani pristupnik za zaštićenu mrežu.
  • most — transparentan način. U ovom slučaju, pristupnik je instaliran kao obični "most" i prolazi kroz promet na drugoj razini (OSI). Ova opcija se obično koristi kada ne postoji mogućnost (ili želja) za promjenom postojeće infrastrukture. Praktički ne morate mijenjati topologiju mreže i ne morate razmišljati o promjeni IP adrese.

Napominjem da u Bridge modu postoje neka ograničenja u pogledu funkcionalnosti, stoga mi kao integrator savjetujemo svim našim klijentima da koriste Routed mod, naravno, ako je to moguće.

Check Point softverske oštrice

Skoro smo došli do najvažnije teme Check Pointa, koja izaziva najviše pitanja među kupcima. Što su to "softverske oštrice"? Oštrice se odnose na određene funkcije Check Pointa.

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

Ove se funkcije mogu uključiti ili isključiti ovisno o vašim potrebama. Istovremeno, postoje bladeovi koji se aktiviraju isključivo na pristupniku (Network Security) i samo na upravljačkom poslužitelju. Slike u nastavku prikazuju primjere za oba slučaja:

1) Za sigurnost mreže (funkcionalnost pristupnika)

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

Opišimo ga ukratko, jer... svaka oštrica zaslužuje svoj članak.

  • Firewall - funkcionalnost vatrozida;
  • IPSec VPN - izgradnja privatnih virtualnih mreža;
  • Mobilni pristup - daljinski pristup s mobilnih uređaja;
  • IPS - sustav za sprječavanje upada;
  • Anti-Bot - zaštita od botnet mreža;
  • AntiVirus - streaming antivirus;
  • AntiSpam & Email Security - zaštita korporativne e-pošte;
  • Identity Awareness - integracija s uslugom Active Directory;
  • Monitoring - nadzor gotovo svih parametara pristupnika (opterećenje, propusnost, status VPN-a itd.)
  • Kontrola aplikacije - vatrozid na razini aplikacije (NGFW funkcionalnost);
  • URL Filtriranje - Web sigurnost (+proxy funkcija);
  • Data Loss Prevention - zaštita od curenja informacija (DLP);
  • Threat Emulation - tehnologija sandboxa (SandBox);
  • Threat Extraction - tehnologija čišćenja datoteka;
  • QoS - prioritet prometa.

U samo nekoliko članaka detaljno ćemo pogledati Threat Emulation i Threat Extraction oštrice, siguran sam da će biti zanimljivo.

2) Za Upravu (kontrolna funkcija poslužitelja)

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

  • Network Policy Management - centralizirano upravljanje politikama;
  • Endpoint Policy Management - centralizirano upravljanje Check Point agentima (da, Check Point proizvodi rješenja ne samo za zaštitu mreže, već i za zaštitu radnih stanica (PC) i pametnih telefona);
  • Logging & Status - centralizirano prikupljanje i obrada logova;
  • Management Portal - upravljanje sigurnošću iz preglednika;
  • Tijek rada - kontrola promjena politika, revizija promjena itd.;
  • Korisnički imenik - integracija s LDAP-om;
  • Provisioning - automatizacija upravljanja pristupnicima;
  • Smart Reporter - sustav izvještavanja;
  • Smart Event - analiza i korelacija događaja (SIEM);
  • Sukladnost - automatski provjerava postavke i daje preporuke.

Sada nećemo detaljno razmatrati pitanja licenciranja, kako ne bismo napuhali članak i ne zbunili čitatelja. Najvjerojatnije ćemo ovo objaviti u posebnom postu.

Arhitektura bladeova omogućuje korištenje samo funkcija koje su vam stvarno potrebne, što utječe na proračun rješenja i ukupne performanse uređaja. Logično je da što više lopatica aktivirate, manje prometa možete “proći”. Zato je uz svaki Check Point model priložena sljedeća tablica performansi (za primjer smo uzeli karakteristike modela 5400):

kontrolna točka. Što je, s čime se jede ili ukratko o onom glavnom

Kao što vidite, ovdje postoje dvije kategorije testova: na sintetičkom prometu i na stvarnom prometu - mješoviti. Općenito govoreći, Check Point je jednostavno prisiljen objavljivati ​​sintetičke testove, jer... neki dobavljači koriste takve testove kao mjerila, bez ispitivanja performansi svojih rješenja na stvarnom prometu (ili namjerno skrivaju takve podatke zbog njihove nezadovoljavajuće prirode).

U svakoj vrsti testa možete primijetiti nekoliko opcija:

  1. testirati samo za vatrozid;
  2. Firewall+IPS test;
  3. Firewall+IPS+NGFW (Application control) test;
  4. testirajte Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Pažljivo pogledajte ove parametre kada birate svoje rješenje ili kontakt konzultacija.

Mislim da ovdje možemo završiti uvodni članak o Check Point tehnologijama. Zatim ćemo pogledati kako možete testirati Check Point i kako se nositi s modernim prijetnjama sigurnosti informacija (virusi, phishing, ransomware, zero-day).

PS Važna točka. Unatoč stranom (izraelskom) podrijetlu, rješenje je certificirano u Ruskoj Federaciji od strane regulatornih tijela, što automatski legalizira njegovu prisutnost u državnim institucijama (komentar Denyemall).

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Koje UTM/NGFW alate koristite?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Smreka

  • UserGate

  • Prometni inspektor

  • Rubikon

  • Ideco

  • OpenSource rješenje

  • Drugi

Glasovalo je 134 korisnika. Suzdržano je bilo 78 korisnika.

Izvor: www.habr.com

Dodajte komentar