ProHoster > Blog > Adminisztráció > Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról
Sziasztok, kedves Habr olvasók! Ez a cég céges blogja TS megoldás. Rendszerintegrátorként elsősorban informatikai infrastruktúra biztonsági megoldásokra szakosodunk (Check Point, Fortinet) és gépi adatelemző rendszerek (Splunk). Blogunkat a Check Point technológiák rövid bemutatásával kezdjük.

Sokáig gondolkodtunk azon, hogy megéri-e megírni ezt a cikket, mert... nincs benne semmi új, amit ne lehetne megtalálni az interneten. Az ilyen információbőség ellenére azonban az ügyfelekkel és partnerekkel való munka során gyakran halljuk ugyanazokat a kérdéseket. Ezért úgy döntöttek, hogy írunk valamiféle bevezetőt a Check Point technológiák világába, és feltárjuk megoldásaik architektúrájának lényegét. És mindez egyetlen „kis” bejegyzés keretein belül, úgymond egy gyors kirándulás. Sőt, igyekszünk nem marketingháborúkba keveredni, mert... Nem vagyunk gyártók, hanem egyszerűen rendszerintegrátorok (bár nagyon szeretjük a Check Pointot), és egyszerűen csak a főbb pontokat nézzük meg anélkül, hogy összehasonlítanánk őket más gyártókkal (például Palo Alto, Cisco, Fortinet stb.). A cikk elég hosszadalmasnak bizonyult, de a Check Pointtal való ismerkedés szakaszában felmerülő kérdések nagy részét lefedi. Ha érdekel, üdvözöllek a macskában...

UTM/NGFW

Amikor beszélgetést indít a Check Pointról, először annak magyarázatával kezdje, hogy mi az UTM és az NGFW, és miben különböznek egymástól. Ezt nagyon tömören fogjuk megtenni, hogy a bejegyzés ne legyen túl hosszú (talán a jövőben ezt a kérdést kicsit részletesebben megvizsgáljuk)

UTM – Egységes fenyegetéskezelés

Röviden, az UTM lényege, hogy több biztonsági eszközt egyesít egy megoldásban. Azok. mindent egy dobozban vagy valami all inclusive. Mit jelent a „többszörös védelem”? A leggyakoribb lehetőségek a következők: Tűzfal, IPS, Proxy (URL-szűrés), streaming Antivirus, Anti-Spam, VPN és így tovább. Mindez egy UTM-megoldáson belül ötvöződik, ami egyszerűbb az integráció, a konfiguráció, az adminisztráció és a felügyelet terén, és ez pozitív hatással van a hálózat általános biztonságára. Amikor először megjelentek az UTM-megoldások, kizárólag a kisvállalatok számára készültek, mert... Az UTM-ek nem tudták kezelni a nagy mennyiségű forgalmat. Ennek két oka volt:

  1. Csomagfeldolgozási módszer. Az UTM-megoldások első verziói szekvenciálisan dolgozták fel a csomagokat, minden „modult”. Példa: először a csomagot dolgozza fel a tűzfal, majd az IPS, majd az Anti-Virus megvizsgálja, és így tovább. Természetesen egy ilyen mechanizmus komoly késéseket okozott a forgalomban, és nagymértékben felemésztette a rendszer erőforrásait (processzor, memória).
  2. Gyenge hardver. Mint fentebb említettük, a csomagok szekvenciális feldolgozása nagymértékben felemésztette az erőforrásokat, és az akkori hardver (1995-2005) egyszerűen nem tudott megbirkózni a nagy forgalommal.

De a fejlődés nem áll meg. Azóta a hardver kapacitása jelentősen megnőtt, a csomagfeldolgozás pedig megváltozott (el kell ismerni, hogy nem minden gyártó rendelkezik ilyennel), és elkezdték lehetővé tenni a szinte egyidejű elemzést egyszerre több modulban (ME, IPS, AntiVirus stb.). A modern UTM-megoldások mélyelemzési módban több tíz, sőt több száz gigabitet képesek „megemészteni”, ami lehetővé teszi a nagyvállalatok vagy akár az adatközpontok szegmensében történő felhasználásukat.

Alább látható a híres Gartner Magic Quadrant az UTM megoldásokhoz 2016 augusztusában:

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Nem sokat kommentálok ehhez a képhez, csak annyit mondok, hogy a vezetők a jobb felső sarokban vannak.

NGFW – Következő generációs tűzfal

A név magáért beszél – a következő generációs tűzfal. Ez a koncepció sokkal később jelent meg, mint az UTM. Az NGFW fő gondolata a mély csomagelemzés (DPI) a beépített IPS-sel és az alkalmazás szintű hozzáférés-vezérléssel (Application Control). Ebben az esetben az IPS pontosan az, ami szükséges egy adott alkalmazás azonosításához a csomagfolyamban, amely lehetővé teszi annak engedélyezését vagy letiltását. Példa: Engedélyezhetjük a Skype működését, de tilthatjuk a fájlátvitelt. Megtilthatjuk a Torrent vagy az RDP használatát. A webalkalmazások is támogatottak: Engedélyezheti a VK.com-hoz való hozzáférést, de letilthatja a játékokat, üzeneteket vagy videókat. Lényegében az NGFW minősége az észlelhető alkalmazások számától függ. Sokan úgy vélik, hogy az NGFW koncepció megjelenése egy általános marketingfogás volt, amelynek hátterében a Palo Alto cég megkezdte gyors növekedését.

Gartner Magic Quadrant az NGFW-hez 2016 májusára:

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

UTM vs NGFW

Nagyon gyakori kérdés, hogy melyik a jobb? Itt nincs határozott válasz, és nem is lehet. Főleg, ha figyelembe vesszük azt a tényt, hogy szinte minden modern UTM megoldás tartalmaz NGFW funkcionalitást, és a legtöbb NGFW tartalmaz az UTM-ben rejlő funkciókat (Antivirus, VPN, Anti-Bot stb.). Mint mindig, „az ördög a részletekben rejlik”, ezért először is el kell döntenie, mire van szüksége konkrétan, és döntenie kell a költségvetéséről. Ezen döntések alapján több lehetőség is kiválasztható. És mindent egyértelműen tesztelni kell, anélkül, hogy elhinnénk a marketinganyagokat.

Mi viszont több cikk keretében megpróbáljuk elmondani a Check Point-ról, hogyan lehet kipróbálni, és elvileg mit lehet kipróbálni (majdnem az összes funkciót).

Három Check Point entitás

Amikor a Check Pointtal dolgozik, biztosan találkozik a termék három összetevőjével:

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

  1. Biztonsági átjáró (SG) — maga a biztonsági átjáró, amely általában a hálózat peremére van telepítve, és ellátja a tűzfal, a streaming víruskereső, az antibot, az IPS stb. funkcióit.
  2. Security Management Server (SMS) — átjárókezelő szerver. Az átjáró (SG) szinte minden beállítása ezen a szerveren történik. Az SMS naplószerverként is működhet, és egy beépített eseményelemző és korrelációs rendszerrel – Smart Event (hasonlóan a SIEM for Check Pointhoz) – dolgozhatja fel őket, de erről később. Az SMS több átjáró központosított kezelésére szolgál (az átjárók száma az SMS típusától vagy licencétől függ), de akkor is kötelező használni, ha csak egy átjárója van. Itt kell megjegyezni, hogy a Check Point az elsők között alkalmazott ilyen központosított irányítási rendszert, amelyet a Gartner jelentései szerint évek óta „arany standardként” ismernek el. Van még egy vicc is: "Ha a Ciscónak normális irányítási rendszere lenne, akkor a Check Point soha nem jelent volna meg."
  3. Smart Console — ügyfélkonzol a felügyeleti szerverhez (SMS) való csatlakozáshoz. Általában a rendszergazda számítógépére telepítve. A felügyeleti kiszolgálón minden módosítás ezen a konzolon keresztül történik, majd ezt követően alkalmazhatja a beállításokat a biztonsági átjárókra (Telepítési szabályzat).

    Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Check Point operációs rendszer

Ha a Check Point operációs rendszerről beszélünk, egyszerre hármat idézhetünk fel: IPSO, SPLAT és GAIA.

  1. IPSO - a Nokiához tartozó Ipsilon Networks operációs rendszere. 2009-ben a Check Point megvásárolta ezt a vállalkozást. Már nem fejlődik.
  2. SPLAT - A Check Point saját fejlesztése, a RedHat kernel alapján. Már nem fejlődik.
  3. Gaia - a Check Point jelenlegi operációs rendszere, amely az IPSO és a SPLAT egyesülése eredményeként jelent meg, a legjobbat magába foglalva. 2012-ben jelent meg, és továbbra is aktívan fejlődik.

A Gaiáról szólva elmondható, hogy jelenleg az R77.30 a leggyakoribb verzió. Viszonylag nemrég jelent meg az R80-as verzió, amely jelentősen eltér az előzőtől (mind funkcionalitásban, mind vezérlésben). Külön posztot szentelünk a különbségeik témájának. Egy másik fontos szempont, hogy jelenleg csak az R77.10 verzió rendelkezik FSTEC tanúsítvánnyal, az R77.30 verzió pedig folyamatban van.

Végrehajtási lehetőségek (Check Point Appliance, Virtuális gép, OpenServer)

Nincs itt semmi meglepő, sok gyártóhoz hasonlóan a Check Point is számos terméklehetőséget kínál:

  1. Készülék — hardver és szoftver eszköz, pl. saját „vasdarabja”. Számos modell létezik, amelyek teljesítményben, funkcionalitásban és kialakításban különböznek (vannak lehetőségek az ipari hálózatokhoz).

    Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

  2. Virtuális gép — Check Point virtuális gép Gaia operációs rendszerrel. Az ESXi, Hyper-V, KVM hipervizorok támogatottak. A processzormagok száma szerint licencelve.
  3. OpenServer — a Gaia telepítése közvetlenül a szerverre, mint fő operációs rendszerre (az úgynevezett „bare metal”). Csak bizonyos hardverek támogatottak. Ehhez a hardverhez vannak ajánlások, amelyeket be kell tartani, különben problémák merülhetnek fel az illesztőprogramokkal és a műszaki berendezésekkel kapcsolatban. az ügyfélszolgálat megtagadhatja az Ön kiszolgálását.

Megvalósítási lehetőségek (elosztott vagy önálló)

Kicsit feljebb már tárgyaltuk, mi az az átjáró (SG) és a felügyeleti szerver (SMS). Most beszéljük meg a megvalósításuk lehetőségeit. Két fő módja van:

  1. Önálló (SG+SMS) - opció, ha az átjáró és a felügyeleti kiszolgáló is egy eszközön (vagy virtuális gépen) van telepítve.

    Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

    Ez a beállítás akkor megfelelő, ha csak egy átjárója van, amely enyhén terhelt felhasználói forgalommal. Ez a lehetőség a leggazdaságosabb, mert... nincs szükség felügyeleti szerver (SMS) vásárlására. Ha azonban az átjáró erősen le van terhelve, akkor „lassú” vezérlőrendszert kaphat. Ezért, mielőtt önálló megoldást választana, érdemes konzultálnia vagy akár tesztelni ezt a lehetőséget.

  2. Megosztott — a felügyeleti szervert az átjárótól külön telepítik.

    Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

    A legjobb választás kényelem és teljesítmény szempontjából. Akkor használatos, ha egyszerre több átjárót kell kezelni, például központi és elágazó átjárót. Ebben az esetben felügyeleti kiszolgálót (SMS) kell vásárolnia, amely lehet készülék vagy virtuális gép is.

Ahogy fentebb mondtam, a Check Pointnak saját SIEM rendszere van - Smart Event. Csak elosztott telepítés esetén használhatja.

Üzemmódok (híd, irányított)
A biztonsági átjáró (SG) két fő módban működhet:

  • Útvonal - a leggyakoribb lehetőség. Ebben az esetben az átjárót L3-as eszközként használják, és magán keresztül irányítja a forgalmat, azaz. A Check Point a védett hálózat alapértelmezett átjárója.
  • Bridge - átlátszó mód. Ebben az esetben az átjárót normál „hídként” telepítik, és a második szinten (OSI) halad át a forgalomon. Ezt az opciót általában akkor használják, ha nincs lehetőség (vagy kívánság) a meglévő infrastruktúra megváltoztatására. Gyakorlatilag nem kell megváltoztatnia a hálózati topológiát, és nem kell az IP-címek megváltoztatására gondolnia.

Szeretném megjegyezni, hogy a Bridge módban vannak korlátok a funkcionalitást illetően, ezért integrátorként azt tanácsoljuk minden ügyfelünknek, hogy természetesen lehetőség szerint használja a Routed módot.

Check Point szoftver pengék

Már majdnem elérkeztünk a Check Point legfontosabb témájához, ami a legtöbb kérdést veti fel az ügyfelek körében. Mik ezek a „szoftverlapátok”? A pengék bizonyos Check Point funkciókra utalnak.

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Ezeket a funkciókat az Ön igényei szerint be- vagy kikapcsolhatja. Ugyanakkor vannak olyan panelek, amelyek kizárólag az átjárón (Network Security) és csak a felügyeleti kiszolgálón aktiválódnak. Az alábbi képek mindkét esetre mutatnak példát:

1) A hálózatbiztonsághoz (átjáró funkció)

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Fogalmazzuk meg röviden, mert... minden penge megérdemli a saját cikket.

  • Tűzfal - tűzfal funkció;
  • IPSec VPN - privát virtuális hálózatok építése;
  • Mobil hozzáférés - távoli hozzáférés mobil eszközökről;
  • IPS - behatolásgátló rendszer;
  • Anti-Bot - védelem a botnet hálózatok ellen;
  • AntiVirus - streaming víruskereső;
  • AntiSpam és e-mail biztonság – a vállalati e-mailek védelme;
  • Identity Awareness – integráció az Active Directory szolgáltatással;
  • Monitoring – szinte minden átjáró paraméter monitorozása (terhelés, sávszélesség, VPN állapot stb.)
  • Alkalmazásvezérlés - alkalmazás szintű tűzfal (NGFW funkció);
  • URL-szűrés - Webbiztonság (+proxy funkció);
  • Adatvesztés-megelőzés – információszivárgás elleni védelem (DLP);
  • Threat Emulation - sandbox technológia (SandBox);
  • Fenyegetés eltávolítása - reszelőtisztító technológia;
  • QoS - forgalmi prioritás.

Néhány cikkben részletesen áttekintjük a fenyegetésemulációs és fenyegetés-eltávolító pengéket, biztos vagyok benne, hogy érdekes lesz.

2) A menedzsment számára (szerver működésének vezérlése)

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

  • Network Policy Management - központosított szabályzatkezelés;
  • Endpoint Policy Management - a Check Point ügynökök központosított kezelése (igen, a Check Point nemcsak a hálózat védelmére, hanem a munkaállomások (PC-k) és okostelefonok védelmére is kínál megoldásokat);
  • Naplózás és állapot - naplók központosított gyűjtése és feldolgozása;
  • Kezelőportál - biztonsági felügyelet a böngészőből;
  • Munkafolyamat - házirend-módosítások ellenőrzése, változások auditálása stb.;
  • Felhasználói címtár – LDAP-integráció;
  • Hozzáférés biztosítása - az átjárókezelés automatizálása;
  • Smart Reporter - jelentési rendszer;
  • Smart Event – ​​események elemzése és korrelációja (SIEM);
  • Megfelelőség – automatikusan ellenőrzi a beállításokat és javaslatokat tesz.

Az engedélyezési kérdéseket most nem fogjuk részletesen megvizsgálni, nehogy felfújjuk a cikket, és ne zavarjuk meg az olvasót. Valószínűleg ezt egy külön bejegyzésben fogjuk közzétenni.

A pengék architektúrája lehetővé teszi, hogy csak a valóban szükséges funkciókat használja, ami befolyásolja a megoldás költségvetését és az eszköz általános teljesítményét. Logikus, hogy minél több pengét aktivál, annál kevesebb forgalmat tud „áthajtani”. Ezért minden Check Point modellhez mellékeljük a következő teljesítménytáblázatot (példaként az 5400-as modell jellemzőit vettük):

Ellenőrző pont. Mi az, mivel eszik, vagy röviden a fő dologról

Mint látható, itt két tesztkategória létezik: a szintetikus forgalom és a valódi forgalom - vegyesen. Általánosságban elmondható, hogy a Check Point egyszerűen kénytelen szintetikus teszteket közzétenni, mert... egyes szállítók az ilyen teszteket benchmarkként használják anélkül, hogy megvizsgálnák megoldásaik teljesítményét a valós forgalomra vonatkozóan (vagy szándékosan elrejtik ezeket az adatokat nem kielégítő jellegük miatt).

Minden típusú tesztnél több lehetőség is megfigyelhető:

  1. tesztelje csak a tűzfalat;
  2. Tűzfal+IPS teszt;
  3. Tűzfal+IPS+NGFW (Alkalmazásvezérlés) teszt;
  4. teszt Tűzfal+Alkalmazásvezérlés+URL-szűrő+IPS+Vírusirtó+Anti-Bot+SandBlast (sandbox)

Figyelmesen nézze át ezeket a paramétereket, amikor kiválasztja a megoldást, vagy vegye fel a kapcsolatot konzultáció.

Azt hiszem, itt fejezhetjük be a Check Point technológiákról szóló bevezető cikket. Ezután megvizsgáljuk, hogyan tesztelheti a Check Pointot, és hogyan kezelheti a modern információbiztonsági fenyegetéseket (vírusok, adathalászat, ransomware, nulladik nap).

PS Fontos szempont. Külföldi (izraeli) eredete ellenére a megoldást az Orosz Föderációban hitelesítik a szabályozó hatóságok, ami automatikusan legalizálja jelenlétét a kormányzati intézményekben (megjegyzés: Denyemall).

A felmérésben csak regisztrált felhasználók vehetnek részt. Bejelentkezés, kérem.

Milyen UTM/NGFW eszközöket használ?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Őrszem

  • Boróka

  • UserGate

  • Közlekedési ellenőr

  • Rubicon

  • Ideco

  • OpenSource megoldás

  • Más

134 felhasználó szavazott. 78 felhasználó tartózkodott.

Forrás: will.com

Hozzászólás