անցակետ. Ինչ է դա, ինչով է ուտում, կամ հակիրճ գլխավորի մասին

Ողջույն, habr-ի սիրելի ընթերցողներ: Սա ընկերության կորպորատիվ բլոգն է T.S լուծում. Մենք համակարգային ինտեգրատոր ենք և հիմնականում մասնագիտացած ենք ՏՏ ենթակառուցվածքի անվտանգության լուծումների մեջ (Check Point, Fortinet- ը) և մեքենայական տվյալների վերլուծության համակարգեր (Splunk) Մենք կսկսենք մեր բլոգը Check Point տեխնոլոգիաների կարճ ներածությամբ:

Մենք երկար մտածեցինք՝ գրե՞լ այս հոդվածը, քանի որ. դրանում ոչ մի նոր բան չկա, որը հնարավոր չէ գտնել ինտերնետում։ Այնուամենայնիվ, չնայած տեղեկատվության նման առատությանը, հաճախորդների և գործընկերների հետ աշխատելիս մենք հաճախ լսում ենք նույն հարցերը: Ուստի որոշվեց ինչ-որ ներածություն գրել Check Point տեխնոլոգիաների աշխարհին և բացահայտել դրանց լուծումների ճարտարապետության էությունը։ Եվ այս ամենը մեկ «փոքր» գրառման, այսպես ասած, արագ շեղման շրջանակներում։ Եվ մենք կփորձենք չընկնել մարքեթինգային պատերազմների մեջ, քանի որ. մենք վաճառող չենք, այլ պարզապես համակարգային ինտեգրատոր (չնայած մենք շատ ենք սիրում Check Point-ը) և պարզապես անցնում ենք հիմնական կետերը՝ չհամեմատելով դրանք այլ արտադրողների հետ (օրինակ՝ Palo Alto, Cisco, Fortinet և այլն): Հոդվածը բավականին ծավալուն է ստացվել, բայց այն կտրում է հարցերի մեծ մասը Check Point-ին ծանոթանալու փուլում։ Եթե ​​դուք հետաքրքրված եք, ապա համեցեք կատվի տակ…

UTM/NGFW

Check Point-ի մասին զրույց սկսելիս առաջին բանը, որով պետք է սկսել, բացատրությունն է, թե ինչ են UTM-ը, NGFW-ն և ինչպես են դրանք տարբերվում: Մենք դա կանենք շատ հակիրճ, որպեսզի գրառումը չափազանց մեծ չստացվի (գուցե ապագայում այս հարցը մի փոքր ավելի մանրամասն դիտարկենք)

UTM - Միասնական սպառնալիքների կառավարում

Մի խոսքով, UTM-ի էությունը անվտանգության մի քանի գործիքների համախմբումն է մեկ լուծման մեջ: Նրանք. բոլորը մեկ տուփի մեջ կամ որոշ բոլորը ներառյալ: Ի՞նչ է նշանակում «բազմաթիվ միջոցներ»: Ամենատարածված տարբերակն է՝ Firewall, IPS, Proxy (URL ֆիլտրում), Streaming Antivirus, Anti-Spam, VPN և այլն: Այս ամենը համակցված է մեկ UTM լուծման մեջ, որն ավելի հեշտ է ինտեգրման, կոնֆիգուրացիայի, կառավարման և մոնիտորինգի առումով, և դա իր հերթին դրական է ազդում ցանցի ընդհանուր անվտանգության վրա: Երբ առաջին անգամ հայտնվեցին UTM լուծումները, դրանք համարվում էին բացառապես փոքր ընկերությունների համար, քանի որ. UTM-ները չէին կարողանում կառավարել մեծ ծավալի երթևեկություն: Սա երկու պատճառով էր.

1. Փաթեթների մշակում: UTM լուծումների առաջին տարբերակները փաթեթները մշակում էին հաջորդաբար՝ ըստ յուրաքանչյուր «մոդուլի»: Օրինակ՝ սկզբում փաթեթը մշակվում է firewall-ով, այնուհետև IPS-ով, այնուհետև այն ստուգվում է Anti-Virus-ով և այլն: Բնականաբար, նման մեխանիզմը ներդրեց երթևեկության լուրջ ուշացումներ և մեծապես սպառեց համակարգի ռեսուրսները (պրոցեսոր, հիշողություն):
2. Թույլ սարքավորում: Ինչպես նշվեց վերևում, փաթեթների հաջորդական մշակումը սպառում էր ռեսուրսները, և այդ ժամանակների սարքավորումները (1995-2005) պարզապես չկարողացան հաղթահարել մեծ տրաֆիկ:

Բայց առաջընթացը դեռ չի կանգնում։ Այդ ժամանակից ի վեր ապարատային հզորությունները զգալիորեն աճել են, և փաթեթների մշակումը փոխվել է (պետք է խոստովանել, որ ոչ բոլոր վաճառողներն ունեն դա) և սկսեց թույլ տալ գրեթե միաժամանակյա վերլուծություն միանգամից մի քանի մոդուլներում (ME, IPS, AntiVirus և այլն): Ժամանակակից UTM լուծումները կարող են «մարսել» տասնյակ և նույնիսկ հարյուրավոր գիգաբիթներ խորը վերլուծության ռեժիմում, ինչը հնարավորություն է տալիս դրանք օգտագործել խոշոր բիզնեսի կամ նույնիսկ տվյալների կենտրոնների հատվածում:

Ստորև բերված է հայտնի Gartner Magic Quadrant UTM լուծումների համար 2016 թվականի օգոստոսի համար.

Այս նկարը խիստ չեմ մեկնաբանի, միայն կասեմ, որ վերևի աջ անկյունում առաջատարներ կան։

NGFW - Հաջորդ սերնդի Firewall

Անունն ինքնին խոսում է` հաջորդ սերնդի firewall: Այս հայեցակարգը հայտնվեց շատ ավելի ուշ, քան UTM-ը: NGFW-ի հիմնական գաղափարը խորը փաթեթների ստուգումն է (DPI)՝ օգտագործելով ներկառուցված IPS և մուտքի վերահսկում հավելվածի մակարդակում (Application Control): Այս դեպքում IPS-ը հենց այն է, ինչ անհրաժեշտ է փաթեթային հոսքում այս կամ այն ​​հավելվածը նույնականացնելու համար, ինչը թույլ է տալիս կամ մերժել այն։ Օրինակ. Մենք կարող ենք թույլ տալ Skype-ին աշխատել, բայց կանխել ֆայլերի փոխանցումը: Մենք կարող ենք արգելել Torrent-ի կամ RDP-ի օգտագործումը: Աջակցվում են նաև վեբ հավելվածները. Դուք կարող եք թույլ տալ մուտք գործել VK.com, բայց կանխել խաղերը, հաղորդագրությունները կամ տեսանյութեր դիտելը: Ըստ էության, NGFW-ի որակը կախված է այն հավելվածների քանակից, որոնք այն կարող է սահմանել: Շատերը կարծում են, որ NGFW հայեցակարգի առաջացումը սովորական մարքեթինգային հնարք էր, որի դեմ Palo Alto-ն սկսեց իր արագ աճը:

2016 թվականի մայիս Gartner Magic Quadrant NGFW-ի համար.

UTM ընդդեմ NGFW

Շատ տարածված հարց, որն է ավելի լավ: Այստեղ մեկ պատասխան չկա և չի էլ կարող լինել: Հատկապես, եթե հաշվի առնենք այն փաստը, որ գրեթե բոլոր ժամանակակից UTM լուծումները պարունակում են NGFW ֆունկցիոնալություն, և NGFW-ների մեծ մասը պարունակում է UTM-ին բնորոշ գործառույթներ (Հակավիրուսային, VPN, Anti-Bot և այլն): Ինչպես միշտ, «սատանան մանրուքների մեջ է», ուստի նախ և առաջ պետք է որոշել, թե կոնկրետ ինչ է ձեզ անհրաժեշտ, որոշել բյուջեն։ Այս որոշումների հիման վրա կարելի է ընտրել մի քանի տարբերակ։ Եվ ամեն ինչ պետք է միանշանակ փորձարկվի՝ չհավատալով մարքեթինգային նյութերին։

Մենք, իր հերթին, մի քանի հոդվածների շրջանակներում կփորձենք ձեզ պատմել Check Point-ի մասին, թե ինչպես կարող եք փորձել այն և ինչ, սկզբունքորեն, կարող եք փորձել (գրեթե ամբողջ ֆունկցիոնալությունը):

Երեք ստուգիչ կետեր

Check Point-ի հետ աշխատելիս դուք անպայման կհանդիպեք այս ապրանքի երեք բաղադրիչի.

1. Անվտանգության դարպաս (SG) — հենց անվտանգության դարպասը, որը սովորաբար տեղադրվում է ցանցի պարագծում և կատարում է firewall-ի, հոսքային հակավիրուսի, հակաբոտի, IPS-ի և այլնի գործառույթները:
2. Անվտանգության կառավարման սերվեր (SMS) - դարպասների կառավարման սերվեր: Դարպասի (SG) գրեթե բոլոր կարգավորումները կատարվում են այս սերվերի միջոցով: SMS-ը կարող է նաև հանդես գալ որպես Log ​​Server և մշակել դրանք ներկառուցված իրադարձությունների վերլուծության և հարաբերակցության համակարգով՝ Smart Event (նման է SIEM-ին Check Point-ի համար), բայց դրա մասին ավելի ուշ: SMS-ն օգտագործվում է մի քանի դարպասներ կենտրոնացված կառավարելու համար (դարպասների թիվը կախված է SMS մոդելից կամ լիցենզիայից), բայց դուք պետք է օգտագործեք այն նույնիսկ եթե ունեք միայն մեկ դարպաս: Այստեղ հարկ է նշել, որ Check Point-ն առաջիններից մեկն էր, ով կիրառեց նման կենտրոնացված կառավարման համակարգ, որը երկար տարիներ անընդմեջ ճանաչվել է որպես «ոսկե ստանդարտ», ըստ Gartner-ի զեկույցների: Նույնիսկ կատակ կա. «Եթե Cisco-ն ունենար նորմալ կառավարման համակարգ, ապա Check Point-ը երբեք չէր հայտնվի»:
3. Խելացի կոնսոլ — հաճախորդի վահանակ՝ կառավարման սերվերին (SMS) միանալու համար: Սովորաբար տեղադրվում է ադմինիստրատորի համակարգչում: Այս վահանակի միջոցով բոլոր փոփոխությունները կատարվում են կառավարման սերվերում, և դրանից հետո կարող եք կարգավորումները կիրառել անվտանգության դարպասներում (Install Policy):

   

Check Point օպերացիոն համակարգ

Խոսելով Check Point օպերացիոն համակարգի մասին՝ կարելի է միանգամից երեքը հետ կանչել՝ IPSO, SPLAT և GAIA։

1. IPSO - Ipsilon Networks-ի օպերացիոն համակարգը, որը պատկանում էր Nokia-ին։ 2009 թվականին Check Point-ը գնեց այս բիզնեսը: Այլևս չի զարգանում:
2. SPLAT - Check Point-ի սեփական մշակումը՝ հիմնված RedHat միջուկի վրա: Այլևս չի զարգանում:
3. Gaia - Ներկայիս օպերացիոն համակարգը Check Point-ից, որը հայտնվել է IPSO-ի և SPLAT-ի միաձուլման արդյունքում՝ իր մեջ ներառելով ամենայն բարիք: Հայտնվել է 2012 թվականին և շարունակում է ակտիվ զարգանալ։

Խոսելով Gaia-ի մասին՝ պետք է ասել, որ այս պահին ամենատարածված տարբերակը R77.30-ն է։ Համեմատաբար վերջերս հայտնվեց R80 տարբերակը, որը զգալիորեն տարբերվում է նախորդից (և ֆունկցիոնալությամբ, և վերահսկման առումով): Նրանց տարբերությունների թեմային մենք կնվիրենք առանձին գրառում։ Մեկ այլ կարևոր կետ այն է, որ ներկայումս միայն R77.10 տարբերակն ունի FSTEC վկայագիր, իսկ R77.30 տարբերակը հավաստագրվում է:

Կատարման ընտրանքներ (Check Point Appliance, Վիրտուալ մեքենա, OpenServer)

Այստեղ զարմանալի ոչինչ չկա, քանի որ շատ վաճառողներ, Check Point-ն ունի ապրանքի մի քանի տարբերակ.

1. պատշաճեցում - ապարատային և ծրագրային սարք, այսինքն. իր սեփական «երկաթի կտորը»: Կան բազմաթիվ մոդելներ, որոնք տարբերվում են կատարողականությամբ, ֆունկցիոնալությամբ և դիզայնով (կան արդյունաբերական ցանցերի տարբերակներ):

   

2. Վիրտուալ մեքենա — Check Point վիրտուալ մեքենա Gaia OS-ով: Hypervisors ESXi, Hyper-V, KVM աջակցվում են: Լիցենզավորված է պրոցեսորային միջուկների քանակով:
3. OpenServer — տեղադրել Gaia-ն անմիջապես սերվերի վրա՝ որպես հիմնական օպերացիոն համակարգ (այսպես կոչված «Բարե մետաղ»): Աջակցվում է միայն որոշակի սարքավորում: Այս սարքավորման վերաբերյալ կան առաջարկություններ, որոնք պետք է հետևել, հակառակ դեպքում կարող են խնդիրներ առաջանալ վարորդների և տեխնիկական սարքավորումների հետ: աջակցությունը կարող է հրաժարվել ձեզ սպասարկել:

Իրականացման տարբերակներ (բաշխված կամ ինքնուրույն)

Մի փոքր ավելի բարձր, մենք արդեն քննարկել ենք, թե ինչ է դարպասը (SG) և կառավարման սերվերը (SMS): Հիմա եկեք քննարկենք դրանց իրականացման տարբերակները: Երկու հիմնական ճանապարհ կա.

1. Անկախ (SG+SMS) - տարբերակ, երբ և՛ դարպասը, և՛ կառավարման սերվերը տեղադրվում են նույն սարքում (կամ վիրտուալ մեքենայում):

   
   
   Այս տարբերակը հարմար է, երբ դուք ունեք միայն մեկ դարպաս, որը թեթև բեռնված է օգտագործողների տրաֆիկով: Այս տարբերակը ամենախնայողն է, քանի որ. կարիք չկա գնել կառավարման սերվեր (SMS): Այնուամենայնիվ, եթե դարպասը շատ ծանրաբեռնված է, դուք կարող եք դանդաղ կառավարման համակարգ ունենալ: Հետևաբար, նախքան ինքնուրույն լուծում ընտրելը, լավագույնն է խորհրդակցել կամ նույնիսկ փորձարկել այս տարբերակը:

2. Տարածված — կառավարման սերվերը տեղադրված է դարպասից առանձին:

   
   
   Հարմարավետության և կատարողականի առումով լավագույն տարբերակը։ Այն օգտագործվում է, երբ անհրաժեշտ է կառավարել միանգամից մի քանի դարպասներ, օրինակ՝ կենտրոնական և ճյուղային։ Այս դեպքում դուք պետք է գնեք կառավարման սերվեր (SMS), որը կարող է լինել նաև սարքի (երկաթի կտոր) կամ վիրտուալ մեքենայի տեսքով։

Ինչպես հենց վերևում ասացի, Check Point-ն ունի իր սեփական SIEM համակարգը՝ Smart Event: Այն կարող եք օգտագործել միայն Distributed տեղադրման դեպքում։

Աշխատանքային ռեժիմներ (կամուրջ, երթուղի)
Անվտանգության դարպասը (SG) կարող է գործել երկու հիմնական ռեժիմով.

• Ուղղորդված է - ամենատարածված տարբերակը: Այս դեպքում, դարպասը օգտագործվում է որպես L3 սարք և երթևեկում է իր միջով, այսինքն. Check Point-ը պաշտպանված ցանցի լռելյայն դարպասն է:
• Կամուրջ - թափանցիկ ռեժիմ: Այս դեպքում դարպասը տեղադրվում է որպես սովորական «կամուրջ» և դրա միջով անցնում է երկրորդ շերտով (OSI): Այս տարբերակը սովորաբար օգտագործվում է, երբ առկա ենթակառուցվածքը փոխելու հնարավորություն (կամ ցանկություն) չկա: Գործնականում պետք չէ փոխել ցանցի տոպոլոգիան և պետք չէ մտածել IP հասցեները փոխելու մասին:

Կցանկանայի նշել, որ Bridge ռեժիմում կան որոշ ֆունկցիոնալ սահմանափակումներ, հետևաբար, որպես ինտեգրատոր, խորհուրդ ենք տալիս մեր բոլոր հաճախորդներին օգտվել Routed ռեժիմից, իհարկե, հնարավորության դեպքում:

Software Blades (Check Point Software Blades)

Մենք հասանք գրեթե ամենակարևոր Check Point թեմային, որն ամենաշատ հարցերն է առաջացնում հաճախորդների կողմից: Որո՞նք են այս «ծրագրային շեղբերները»: Շեղբերները վերաբերում են Check Point-ի որոշակի գործառույթներին:

Այս գործառույթները կարող են միացված կամ անջատվել՝ կախված ձեր կարիքներից: Միևնույն ժամանակ, կան շեղբեր, որոնք ակտիվանում են բացառապես դարպասի վրա (Network Security) և միայն կառավարման սերվերի վրա: Ստորև բերված նկարները ցույց են տալիս երկու դեպքերի օրինակներ.

1) Ցանցի անվտանգության համար (դարպասի ֆունկցիոնալություն)

Եկեք համառոտ նկարագրենք, քանի որ յուրաքանչյուր սայր արժանի է առանձին հոդվածի:

• Firewall - firewall ֆունկցիոնալություն;
• IPSec VPN - մասնավոր վիրտուալ ցանցերի կառուցում;
• Բջջային հասանելիություն - բջջային սարքերից հեռահար մուտք;
• IPS - ներխուժման կանխարգելման համակարգ;
• Anti-Bot - պաշտպանություն բոտնետային ցանցերից;
• Հակավիրուսային - հոսքային հակավիրուսային;
• AntiSpam & Email Security - կորպորատիվ էլ.փոստի պաշտպանություն;
• Identity Awareness - ինտեգրում Active Directory ծառայության հետ;
• Մոնիտորինգ - դարպասի գրեթե բոլոր պարամետրերի մոնիտորինգ (բեռնվածություն, թողունակություն, VPN կարգավիճակ և այլն)
• Application Control - հավելվածի մակարդակի firewall (NGFW ֆունկցիոնալություն);
• URL-ի զտում - Վեբ անվտանգություն (+ վստահված անձի գործառույթ);
• Տվյալների կորստի կանխարգելում - տեղեկատվության արտահոսքի պաշտպանություն (DLP);
• Threat Emulation - sandbox տեխնոլոգիա (SandBox);
• Threat Extraction - ֆայլերի մաքրման տեխնոլոգիա;
• QoS - երթևեկության առաջնահերթություն:

Ընդամենը մի քանի հոդվածներում մենք մանրամասն կանդրադառնանք սպառնալիքների էմուլյացիայի և վտանգի արդյունահանման սայրերին, վստահ եմ, որ դա հետաքրքիր կլինի:

2) կառավարման համար (կառավարման սերվերի ֆունկցիոնալությունը)

• Ցանցային քաղաքականության կառավարում - կենտրոնացված քաղաքականության կառավարում;
• Endpoint Policy Management - Check Point գործակալների կենտրոնացված կառավարում (այո, Check Point-ը լուծումներ է արտադրում ոչ միայն ցանցի պաշտպանության, այլ նաև աշխատակայանների (ՀՀ) և սմարթֆոնների պաշտպանության համար);
• Logging & Status - տեղեկամատյանների կենտրոնացված հավաքում և մշակում;
• Կառավարման պորտալ - անվտանգության կառավարում զննարկիչից;
• Աշխատանքային հոսք - վերահսկողություն քաղաքականության փոփոխությունների, փոփոխությունների աուդիտ և այլն;
• Օգտագործողի գրացուցակ - ինտեգրում LDAP-ի հետ;
• Ապահովում - դարպասների կառավարման ավտոմատացում;
• Smart Reporter - հաշվետվության համակարգ;
• Smart Event - իրադարձությունների վերլուծություն և հարաբերակցություն (SIEM);
• Համապատասխանություն - ավտոմատ կերպով ստուգում է կարգավորումները և տալիս առաջարկություններ:

Այժմ մենք մանրամասն չենք քննարկելու լիցենզավորման խնդիրները՝ հոդվածը չուռճացնելու և ընթերցողին շփոթեցնելու համար։ Ամենայն հավանականությամբ այն կհանենք առանձին գրառմամբ։

Շեղբերների ճարտարապետությունը թույլ է տալիս օգտագործել միայն այն գործառույթները, որոնք ձեզ իսկապես անհրաժեշտ են, ինչը ազդում է լուծման բյուջեի և սարքի ընդհանուր աշխատանքի վրա: Տրամաբանական է, որ որքան շատ սայրեր ակտիվացնեք, այնքան քիչ տրաֆիկ կարող եք «քշել»: Ահա թե ինչու յուրաքանչյուր Check Point մոդելին կցված է հետևյալ կատարողական աղյուսակը (մենք որպես օրինակ վերցրել ենք 5400 մոդելի բնութագրերը).

Ինչպես տեսնում եք, այստեղ կան թեստերի երկու կատեգորիա՝ սինթետիկ տրաֆիկի վրա և իրական՝ խառը: Ընդհանուր առմամբ, Check Point-ը պարզապես ստիպված է հրապարակել սինթետիկ թեստեր, քանի որ. Որոշ վաճառողներ օգտագործում են նման թեստերը որպես հենանիշեր՝ չուսումնասիրելով իրենց լուծումների կատարումը իրական տրաֆիկի վրա (կամ դիտավորյալ թաքցնում են այդպիսի տվյալները՝ դրանց անբավարար լինելու պատճառով):

Յուրաքանչյուր տեսակի թեստում կարող եք նկատել մի քանի տարբերակ.

1. թեստ միայն Firewall-ի համար;
2. Firewall + IPS թեստ;
3. Firewall+IPS+NGFW (Application control) թեստ;
4. Firewall+Application Control+URL-ի զտում+IPS+Antivirus+Anti-Bot+SandBlast թեստ (Sandbox)

Զգուշորեն նայեք այս պարամետրերին ձեր լուծումն ընտրելիս կամ դիմեք դրա համար խորհրդակցություն.

Կարծում եմ՝ սա Check Point տեխնոլոգիաների մասին ներածական հոդվածի ավարտն է: Հաջորդիվ, մենք կանդրադառնանք, թե ինչպես կարող եք ստուգել Check Point-ը և ինչպես վարվել տեղեկատվական անվտանգության ժամանակակից սպառնալիքների հետ (վիրուսներ, ֆիշինգ, փրկագին, զրոյական օր):

Հ.Գ Կարևոր կետ. Չնայած օտարերկրյա (իսրայելական) ծագմանը, լուծումը վավերացված է Ռուսաստանի Դաշնությունում վերահսկող մարմինների կողմից, որն ինքնաբերաբար օրինականացնում է նրանց ներկայությունը պետական ​​հաստատություններում (մեկնաբանություն՝ Denyemall).

Հարցմանը կարող են մասնակցել միայն գրանցված օգտվողները։ Մուտք գործել, խնդրում եմ:

Ինչ UTM/NGFW գործիքներ եք օգտագործում:

• Check Point

• Cisco Firepower

• Fortinet- ը

• PALO ALTO

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard- ը

• Գիհ

• UserGate

• ճանապարհային տեսուչ

• Ռուբիկոն

• Իդեկո

• OpenSource լուծում

• Այլ

Քվեարկել է 134 օգտատեր։ 78 օգտատեր ձեռնպահ է մնացել։

Source: www.habr.com