titik pemeriksaan. Ada apa, dengan apa dimakan, atau secara singkat tentang hal utama

Halo, para pembaca habr yang budiman! Ini adalah blog perusahaan perusahaan Solusi TS. Kami adalah integrator sistem dan berspesialisasi dalam solusi keamanan infrastruktur TI (Check Point, Fortinet) dan sistem analisis data mesin (Splunk). Kami akan memulai blog kami dengan pengantar singkat tentang teknologi Check Point.

Kami sudah lama berpikir apakah akan menulis artikel ini, karena. tidak ada hal baru di dalamnya yang tidak dapat ditemukan di Internet. Namun, terlepas dari banyaknya informasi, ketika bekerja dengan klien dan mitra, kami sering mendengar pertanyaan yang sama. Oleh karena itu, diputuskan untuk menulis semacam pengantar ke dunia teknologi Check Point dan mengungkap esensi arsitektur solusi mereka. Dan semua ini dalam kerangka satu pos "kecil", bisa dikatakan, penyimpangan cepat. Dan kami akan mencoba untuk tidak melakukan perang pemasaran, karena. kami bukan vendor, tetapi hanya integrator sistem (walaupun kami sangat menyukai Check Point) dan hanya membahas poin-poin utama tanpa membandingkannya dengan pabrikan lain (seperti Palo Alto, Cisco, Fortinet, dll.). Artikel tersebut ternyata cukup banyak, tetapi memotong sebagian besar pertanyaan pada tahap pengenalan dengan Check Point. Jika Anda tertarik, selamat datang di bawah kucing…

UTM/NGFW

Saat memulai percakapan tentang Check Point, hal pertama yang harus dimulai adalah penjelasan tentang apa itu UTM, NGFW dan apa perbedaannya. Ini akan kami lakukan dengan sangat ringkas agar postingan tidak menjadi terlalu besar (mungkin kedepannya kami akan mempertimbangkan masalah ini sedikit lebih detail)

UTM - Manajemen Ancaman Terpadu

Singkatnya, inti dari UTM adalah konsolidasi beberapa alat keamanan dalam satu solusi. Itu. semua dalam satu kotak atau beberapa termasuk semua. Apa yang dimaksud dengan "beberapa solusi"? Opsi yang paling umum adalah: Firewall, IPS, Proxy (pemfilteran URL), Streaming Antivirus, Anti-Spam, VPN, dan sebagainya. Semua ini digabungkan dalam satu solusi UTM, yang lebih mudah dalam hal integrasi, konfigurasi, administrasi, dan pemantauan, dan ini, pada gilirannya, berdampak positif pada keamanan jaringan secara keseluruhan. Ketika solusi UTM pertama kali muncul, mereka dianggap khusus untuk perusahaan kecil, karena. UTM tidak dapat menangani volume lalu lintas yang besar. Ini karena dua alasan:

1. Penanganan paket. Versi pertama dari solusi UTM memproses paket secara berurutan, oleh setiap “modul”. Contoh: pertama paket diproses oleh firewall, kemudian oleh IPS, kemudian diperiksa oleh Anti-Virus dan seterusnya. Secara alami, mekanisme seperti itu menimbulkan penundaan lalu lintas yang serius dan menghabiskan banyak sumber daya sistem (prosesor, memori).
2. Perangkat keras yang lemah. Seperti disebutkan di atas, pemrosesan paket berurutan menghabiskan sumber daya dan perangkat keras pada masa itu (1995-2005) tidak dapat mengatasi lalu lintas tinggi.

Tetapi kemajuan tidak berhenti. Sejak itu, kapasitas perangkat keras meningkat secara signifikan, dan pemrosesan paket telah berubah (harus diakui bahwa tidak semua vendor memilikinya) dan mulai memungkinkan analisis yang hampir bersamaan di beberapa modul sekaligus (ME, IPS, AntiVirus, dll.). Solusi UTM modern dapat "mencerna" puluhan bahkan ratusan gigabit dalam mode analisis mendalam, yang memungkinkan untuk menggunakannya di segmen bisnis besar atau bahkan pusat data.

Di bawah ini adalah solusi Magic Quadrant untuk UTM Gartner yang terkenal untuk Agustus 2016:

Saya tidak akan berkomentar keras tentang gambar ini, saya hanya akan mengatakan bahwa ada pemimpin di pojok kanan atas.

NGFW - Firewall Generasi Selanjutnya

Namanya berbicara sendiri - firewall generasi berikutnya. Konsep ini muncul jauh lebih lambat dari UTM. Gagasan utama NGFW adalah inspeksi paket mendalam (DPI) menggunakan IPS bawaan dan kontrol akses di tingkat aplikasi (Kontrol Aplikasi). Dalam hal ini, IPS hanya diperlukan untuk mengidentifikasi aplikasi ini atau itu dalam aliran paket, yang memungkinkan Anda untuk mengizinkan atau menolaknya. Contoh: Kami dapat mengizinkan Skype untuk bekerja tetapi mencegah transfer file. Kami dapat melarang penggunaan Torrent atau RDP. Aplikasi web juga didukung: Anda dapat mengizinkan akses ke VK.com, tetapi mencegah game, pesan, atau menonton video. Pada dasarnya, kualitas NGFW bergantung pada jumlah aplikasi yang dapat ditentukan. Banyak yang percaya bahwa kemunculan konsep NGFW adalah taktik pemasaran yang umum di mana Palo Alto memulai pertumbuhannya yang cepat.

Mei 2016 Gartner Magic Quadrant untuk NGFW:

UTM vs NGFW

Pertanyaan yang sangat umum, mana yang lebih baik? Tidak ada jawaban tunggal di sini dan tidak mungkin. Terutama jika Anda mempertimbangkan fakta bahwa hampir semua solusi UTM modern berisi fungsionalitas NGFW dan sebagian besar NGFW berisi fungsi yang melekat pada UTM (Antivirus, VPN, Anti-Bot, dll.). Seperti biasa, "setan ada dalam perinciannya", jadi pertama-tama Anda perlu memutuskan apa yang Anda butuhkan secara spesifik, tentukan anggarannya. Berdasarkan keputusan tersebut, beberapa opsi dapat dipilih. Dan semuanya perlu diuji dengan jelas, tidak mempercayai materi pemasaran.

Kami, pada gilirannya, dalam kerangka beberapa artikel, akan mencoba memberi tahu Anda tentang Check Point, bagaimana Anda dapat mencobanya dan apa, pada prinsipnya, Anda dapat mencoba (hampir semua fungsinya).

Tiga Entitas Check Point

Saat bekerja dengan Check Point, Anda pasti akan menemukan tiga komponen produk ini:

1. Gerbang Keamanan (SG) - gateway keamanan itu sendiri, yang biasanya ditempatkan di perimeter jaringan dan menjalankan fungsi firewall, streaming antivirus, anti-bot, IPS, dll.
2. Server Manajemen Keamanan (SMS) - server manajemen gerbang. Hampir semua setting pada gateway (SG) dilakukan menggunakan server ini. SMS juga dapat bertindak sebagai Server Log dan memprosesnya dengan analisis peristiwa bawaan dan sistem korelasi - Peristiwa Cerdas (mirip dengan SIEM untuk Titik Pemeriksaan), tetapi lebih dari itu nanti. SMS digunakan untuk mengelola beberapa gateway secara terpusat (jumlah gateway bergantung pada model atau lisensi SMS), tetapi Anda harus menggunakannya meskipun Anda hanya memiliki satu gateway. Perlu dicatat di sini bahwa Check Point adalah salah satu yang pertama menggunakan sistem manajemen terpusat, yang diakui sebagai "standar emas" menurut laporan Gartner selama bertahun-tahun berturut-turut. Bahkan ada lelucon: "Jika Cisco memiliki sistem kontrol normal, Check Point tidak akan pernah muncul."
3. Konsol Cerdas — konsol klien untuk menghubungkan ke server manajemen (SMS). Biasanya dipasang di komputer administrator. Melalui konsol ini, semua perubahan dilakukan di server manajemen, dan setelah itu Anda dapat menerapkan pengaturan ke gateway keamanan (Install Policy).

   

Sistem operasi Check Point

Berbicara tentang sistem operasi Check Point, Anda dapat mengingat tiga sekaligus: IPSO, SPLAT dan GAIA.

1. IPSO adalah sistem operasi dari Ipsilon Networks, yang dimiliki oleh Nokia. Pada tahun 2009, Check Point membeli bisnis ini. Tidak lagi dikembangkan.
2. PERCAYA - pengembangan sendiri dari Check Point, berdasarkan kernel RedHat. Tidak lagi dikembangkan.
3. Gaia - sistem operasi saat ini dari Check Point, yang muncul sebagai hasil penggabungan IPSO dan SPLAT, menggabungkan semua yang terbaik. Muncul pada tahun 2012 dan terus berkembang secara aktif.

Berbicara tentang Gaia, harus dikatakan bahwa saat ini versi yang paling umum adalah R77.30. Relatif baru-baru ini, versi R80 telah muncul, yang sangat berbeda dari versi sebelumnya (baik dari segi fungsionalitas maupun kontrol). Kami akan mencurahkan posting terpisah untuk topik perbedaan mereka. Poin penting lainnya adalah saat ini hanya versi R77.10 yang memiliki sertifikat FSTEC dan versi R77.30 sedang disertifikasi.

Opsi (Peralatan Titik Periksa, mesin Virtual, OpenServer)

Tidak ada yang mengejutkan di sini, karena banyak vendor Check Point memiliki beberapa pilihan produk:

1. Alat - perangkat keras dan perangkat lunak, mis. memiliki "sepotong besi". Ada banyak model yang berbeda dalam kinerja, fungsionalitas, dan desain (ada opsi untuk jaringan industri).

   

2. Mesin virtual - Mesin virtual Check Point dengan Gaia OS. Hypervisor ESXi, Hyper-V, KVM didukung. Dilisensikan berdasarkan jumlah inti prosesor.
3. Openserver - Menginstal Gaia langsung di server sebagai sistem operasi utama (yang disebut "Bare metal"). Hanya perangkat keras tertentu yang didukung. Ada rekomendasi untuk perangkat keras ini yang harus diikuti, jika tidak, mungkin ada masalah dengan driver dan itu. dukungan dapat menolak layanan kepada Anda.

Opsi implementasi (Terdistribusi atau Mandiri)

Sedikit lebih tinggi, kita telah membahas apa itu gateway (SG) dan server manajemen (SMS). Sekarang mari kita bahas opsi untuk penerapannya. Ada dua cara utama:

1. Mandiri (SG+SMS) - opsi ketika gateway dan server manajemen diinstal dalam perangkat yang sama (atau mesin virtual).

   
   
   Opsi ini cocok jika Anda hanya memiliki satu gateway, yang memuat sedikit lalu lintas pengguna. Opsi ini paling ekonomis, karena. tidak perlu membeli server manajemen (SMS). Namun, jika gateway dimuat dengan berat, Anda mungkin berakhir dengan sistem kontrol yang lambat. Oleh karena itu, sebelum memilih solusi Standalone, sebaiknya konsultasikan atau bahkan uji opsi ini.

2. didistribusikan — server manajemen diinstal secara terpisah dari gateway.

   
   
   Pilihan terbaik dalam hal kenyamanan dan performa. Ini digunakan ketika diperlukan untuk mengelola beberapa gateway sekaligus, misalnya gateway pusat dan cabang. Dalam hal ini, Anda perlu membeli server manajemen (SMS), yang juga dapat berupa alat (sepotong besi) atau mesin virtual.

Seperti yang saya katakan di atas, Check Point memiliki sistem SIEM sendiri - Smart Event. Anda dapat menggunakannya hanya dalam kasus instalasi Terdistribusi.

Mode operasi (Bridge, Routed)
Security Gateway (SG) dapat beroperasi dalam dua mode dasar:

• Diarahkan - opsi paling umum. Dalam hal ini, gateway digunakan sebagai perangkat L3 dan merutekan lalu lintas melalui dirinya sendiri, mis. Check Point adalah gateway default untuk jaringan yang dilindungi.
• Jembatan - modus transparan. Dalam hal ini, gateway dipasang sebagai "jembatan" biasa dan melewati lalu lintas melaluinya di lapisan kedua (OSI). Opsi ini biasanya digunakan bila tidak ada kemungkinan (atau keinginan) untuk mengubah infrastruktur yang ada. Praktis Anda tidak perlu mengubah topologi jaringan dan tidak perlu berpikir untuk mengubah pengalamatan IP.

Saya ingin mencatat bahwa ada beberapa batasan fungsional dalam mode Bridge, oleh karena itu, sebagai integrator, kami menyarankan semua klien kami untuk menggunakan mode Routed, tentu saja, jika memungkinkan.

Software Blades (Check Point Software Blades)

Kami hampir sampai pada topik Check Point yang paling penting, yang menimbulkan pertanyaan paling banyak dari pelanggan. Apakah "pisau perangkat lunak" ini? Blade mengacu pada fungsi Check Point tertentu.

Fitur-fitur ini dapat dihidupkan atau dimatikan tergantung pada kebutuhan Anda. Pada saat yang sama, ada bilah yang diaktifkan secara eksklusif di gateway (Keamanan Jaringan) dan hanya di server manajemen (Manajemen). Gambar di bawah menunjukkan contoh untuk kedua kasus:

1) Untuk Keamanan Jaringan (fungsi gerbang)

Mari kita jelaskan secara singkat, karena setiap bilah berhak mendapatkan artikel terpisah.

• Firewall - fungsionalitas firewall;
• IPSec VPN - membangun jaringan virtual pribadi;
• Akses Seluler - akses jarak jauh dari perangkat seluler;
• IPS - sistem pencegahan intrusi;
• Anti-Bot - perlindungan terhadap jaringan botnet;
• AntiVirus - streaming antivirus;
• Keamanan AntiSpam & Email - perlindungan email perusahaan;
• Kesadaran Identitas - integrasi dengan layanan Direktori Aktif;
• Pemantauan - pemantauan hampir semua parameter gateway (beban, bandwidth, status VPN, dll.)
• Kontrol Aplikasi - firewall tingkat aplikasi (fungsionalitas NGFW);
• Penyaringan URL - Keamanan web (+fungsi proxy);
• Pencegahan Kehilangan Data - perlindungan kebocoran informasi (DLP);
• Emulasi Ancaman - teknologi kotak pasir (SandBox);
• Ekstraksi Ancaman - teknologi pembersihan file;
• QoS - prioritas lalu lintas.

Dalam beberapa artikel saja, kita akan melihat lebih dekat pisau Threat Emulation dan Threat Extraction, saya yakin ini akan menarik.

2) Untuk Manajemen (fungsionalitas server manajemen)

• Manajemen Kebijakan Jaringan - manajemen kebijakan terpusat;
• Manajemen Kebijakan Endpoint - manajemen terpusat dari agen Check Point (ya, Check Point menghasilkan solusi tidak hanya untuk perlindungan jaringan, tetapi juga untuk melindungi workstation (PC) dan smartphone);
• Logging & Status - pengumpulan dan pemrosesan log terpusat;
• Portal Manajemen - manajemen keamanan dari browser;
• Alur kerja - kontrol atas perubahan kebijakan, audit perubahan, dll.;
• Direktori Pengguna - integrasi dengan LDAP;
• Penyediaan - otomatisasi manajemen gateway;
• Smart Reporter - sistem pelaporan;
• Acara Cerdas - analisis dan korelasi peristiwa (SIEM);
• Kepatuhan - pemeriksaan pengaturan otomatis dan masalah rekomendasi.

Kami sekarang tidak akan mempertimbangkan masalah lisensi secara detail, agar tidak mengembang artikel dan membingungkan pembaca. Kemungkinan besar kami akan mengeluarkannya di pos terpisah.

Arsitektur blade memungkinkan Anda menggunakan hanya fungsi yang benar-benar Anda perlukan, yang memengaruhi anggaran solusi dan kinerja perangkat secara keseluruhan. Adalah logis bahwa semakin banyak bilah yang Anda aktifkan, semakin sedikit lalu lintas yang dapat "diusir". Itulah sebabnya tabel kinerja berikut dilampirkan pada setiap model Titik Pemeriksaan (misalnya, kami mengambil karakteristik model 5400):

Seperti yang Anda lihat, ada dua kategori pengujian di sini: pada lalu lintas sintetis dan campuran nyata. Secara umum, Check Point terpaksa menerbitkan tes sintetik, karena. beberapa vendor menggunakan tes seperti itu sebagai tolok ukur tanpa memeriksa kinerja solusi mereka pada lalu lintas nyata (atau sengaja menyembunyikan data tersebut karena ketidakpuasannya).

Di setiap jenis tes, Anda dapat melihat beberapa opsi:

1. uji hanya untuk Firewall;
2. Tes Firewall + IPS;
3. Tes Firewall+IPS+NGFW (Kontrol aplikasi);
4. Firewall+Kontrol Aplikasi+Penyaringan URL+IPS+Antivirus+Anti-Bot+Uji SandBlast (kotak pasir)

Perhatikan baik-baik parameter ini saat memilih solusi Anda, atau hubungi untuk konsultasi.

Saya pikir ini adalah akhir dari artikel pengantar tentang teknologi Check Point. Selanjutnya, kita akan melihat bagaimana Anda dapat menguji Check Point dan bagaimana menghadapi ancaman keamanan informasi modern (virus, phishing, ransomware, zero-day).

PS Poin penting. Terlepas dari asal asing (Israel), solusinya disertifikasi di Federasi Rusia oleh otoritas pengawas, yang secara otomatis melegalkan kehadiran mereka di lembaga negara (komentar oleh Tolak semua).

Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. Masuk, silakan.

Alat UTM/NGFW apa yang Anda gunakan?

• Check Point

• daya tembak cisco

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• jaga jaga

• Jintan saru

• Gerbang Pengguna

• inspektur lalu lintas

• Rubicon

• ideco

• solusi sumber terbuka

• Lain

134 pengguna memilih. 78 pengguna abstain.

Sumber: www.habr.com