eftirlitsstöð. Hvað er það, með hverju er borðað eða stuttlega um það helsta

Halló, kæru lesendur habr! Þetta er fyrirtækjablogg fyrirtækisins T.S lausn. Við erum kerfissamþættir og sérhæfum okkur aðallega í öryggislausnum upplýsingatækniinnviða (Check Point, Fortinet) og vélgagnagreiningarkerfi (Geggjað). Við byrjum bloggið okkar með stuttri kynningu á Check Point tækni.

Við veltum því lengi fyrir okkur hvort við ættum að skrifa þessa grein, því. það er ekkert nýtt í því sem ekki er hægt að finna á netinu. Hins vegar, þrátt fyrir slíka gnægð upplýsinga, heyrum við oft sömu spurningarnar þegar við vinnum með viðskiptavinum og samstarfsaðilum. Þess vegna var ákveðið að skrifa einhvers konar kynningu á heim Check Point tækni og sýna kjarna arkitektúrs lausna þeirra. Og allt þetta innan ramma einnar „lítils“ pósts, ef svo má að orði komast, fljótur útrás. Og við munum reyna að fara ekki í markaðsstríð, vegna þess. við erum ekki söluaðili, heldur bara kerfissamþættir (þó við elskum Check Point mjög mikið) og förum bara yfir helstu atriðin án þess að bera þau saman við aðra framleiðendur (eins og Palo Alto, Cisco, Fortinet o.s.frv.). Greinin reyndist nokkuð fyrirferðarmikil, en hún dregur úr flestum spurningum á stigi kynningar á Check Point. Ef þú hefur áhuga, þá velkominn undir köttinn...

UTM/NGFW

Þegar þú byrjar samtal um Check Point er það fyrsta til að byrja með að útskýra hvað UTM, NGFW eru og hvernig þau eru mismunandi. Við munum gera þetta mjög hnitmiðað svo að færslan reynist ekki of stór (kannski í framtíðinni munum við íhuga þetta mál aðeins nánar)

UTM - Unified Threat Management

Í stuttu máli, kjarninn í UTM er sameining nokkurra öryggisverkfæra í einni lausn. Þeir. allt í einum kassa eða eitthvað allt innifalið. Hvað er átt við með „mörg úrræði“? Algengasta valkosturinn er: Eldveggur, IPS, Proxy (URL síun), Streaming Antivirus, Anti-Spam, VPN og svo framvegis. Allt er þetta sameinað í einni UTM lausn sem er auðveldara hvað varðar samþættingu, uppsetningu, stjórnun og eftirlit og hefur það aftur jákvæð áhrif á heildaröryggi netsins. Þegar UTM lausnir komu fyrst fram voru þær eingöngu hugsaðar fyrir lítil fyrirtæki, vegna þess. UTM-tæki réðu ekki við mikið magn af umferð. Þetta var af tveimur ástæðum:

1. Meðhöndlun pakka. Fyrstu útgáfur af UTM lausnum unnu pakka í röð, eftir hverri „einingu“. Dæmi: fyrst er pakkinn unninn af eldveggnum, síðan af IPS, síðan er hann athugaður með vírusvörn og svo framvegis. Auðvitað leiddi slíkt kerfi til alvarlegra umferðartöfa og mikið neytt kerfisauðlinda (örgjörva, minni).
2. Veikur vélbúnaður. Eins og getið er hér að ofan þá át raðpakkavinnsla upp auðlindir og vélbúnaður þeirra tíma (1995-2005) réði einfaldlega ekki við mikla umferð.

En framfarir standa ekki í stað. Síðan þá hefur vélbúnaðargeta aukist umtalsvert og pakkavinnsla hefur breyst (það verður að viðurkennast að það eru ekki allir framleiðendur með það) og byrjað að leyfa nánast samtímis greiningu í nokkrum einingum í einu (ME, IPS, AntiVirus o.s.frv.). Nútíma UTM lausnir geta „melt“ tugi og jafnvel hundruð gígabita í djúpum greiningarham, sem gerir það mögulegt að nota þær í hluta stórra fyrirtækja eða jafnvel gagnavera.

Hér að neðan er hinn frægi Magic Quadrant frá Gartner fyrir UTM lausnir fyrir ágúst 2016:

Ég ætla ekki að tjá mig mikið um þessa mynd, ég segi bara að það eru leiðtogar uppi í hægra horninu.

NGFW - Next Generation Firewall

Nafnið talar sínu máli - næstu kynslóð eldvegg. Þetta hugtak birtist mun seinna en UTM. Meginhugmynd NGFW er djúp pakkaskoðun (DPI) með því að nota innbyggða IPS og aðgangsstýringu á umsóknarstigi (Application Control). Í þessu tilfelli er IPS bara það sem þarf til að bera kennsl á þetta eða hitt forritið í pakkastraumnum, sem gerir þér kleift að leyfa eða neita því. Dæmi: Við getum leyft Skype að virka en komið í veg fyrir skráaflutning. Við getum bannað notkun Torrent eða RDP. Vefforrit eru einnig studd: Þú getur leyft aðgang að VK.com, en komið í veg fyrir leiki, skilaboð eða að horfa á myndbönd. Í meginatriðum fer gæði NGFW eftir fjölda forrita sem það getur skilgreint. Margir telja að tilkoma hugmyndarinnar um NGFW hafi verið algeng markaðsbrella sem Palo Alto hóf hraðan vöxt sinn gegn.

Maí 2016 Gartner Magic Quadrant fyrir NGFW:

UTM vs NGFW

Mjög algeng spurning, hvor er betri? Hér er ekkert eitt svar og getur ekki verið það. Sérstaklega þegar þú hefur í huga þá staðreynd að næstum allar nútíma UTM lausnir innihalda NGFW virkni og flestar NGFW innihalda aðgerðir sem felast í UTM (antivirus, VPN, Anti-Bot, osfrv.). Eins og alltaf, „djöfullinn er í smáatriðunum“, svo fyrst og fremst þarftu að ákveða hvað þú þarft sérstaklega, ákveða fjárhagsáætlunina. Byggt á þessum ákvörðunum er hægt að velja nokkra valkosti. Og allt þarf að prófa ótvírætt, ekki trúa markaðsefni.

Við, aftur á móti, innan ramma nokkurra greina, munum reyna að segja þér frá Check Point, hvernig þú getur prófað það og hvað, í grundvallaratriðum, þú getur prófað (nánast öll virkni).

Þrjár eftirlitsstöðvar

Þegar þú vinnur með Check Point muntu örugglega rekast á þrjá þætti þessarar vöru:

1. Öryggisgátt (SG) - Öryggisgáttin sjálf, sem venjulega er sett á jaðar netkerfisins og sinnir aðgerðum eldveggs, streymandi vírusvarnar, anti-bot, IPS osfrv.
2. Öryggisstjórnunarþjónn (SMS) - gáttarstjórnunarþjónn. Næstum allar stillingar á gáttinni (SG) eru framkvæmdar með þessum netþjóni. SMS getur líka virkað sem Log Server og unnið úr þeim með innbyggðu atburðagreiningar- og fylgnikerfinu - Smart Event (svipað og SIEM fyrir Check Point), en meira um það síðar. SMS er notað til að stjórna mörgum gáttum miðlægt (fjöldi gátta fer eftir SMS gerð eða leyfi), en þú verður að nota það jafnvel þótt þú hafir aðeins eina gátt. Það skal tekið fram hér að Check Point var eitt af þeim fyrstu til að nota slíkt miðstýrt stjórnunarkerfi, sem hefur verið viðurkennt sem „gullstaðall“ samkvæmt skýrslum Gartner í mörg ár í röð. Það er meira að segja brandari: „Ef Cisco væri með venjulegt stjórnkerfi, þá hefði Check Point aldrei komið fram.
3. Smart Console — stjórnborð viðskiptavinar til að tengjast stjórnunarþjóninum (SMS). Venjulega sett upp á tölvu stjórnanda. Í gegnum þessa leikjatölvu eru allar breytingar gerðar á stjórnunarþjóninum og eftir það er hægt að setja stillingarnar á öryggisgáttirnar (Install Policy).

   

Check Point stýrikerfi

Talandi um Check Point stýrikerfið er hægt að kalla fram þrjú í einu: IPSO, SPLAT og GAIA.

1. IPSO er stýrikerfi Ipsilon Networks, sem var í eigu Nokia. Árið 2009 keypti Check Point þetta fyrirtæki. Ekki lengur þróað.
2. SPLAT - eigin þróun Check Point, byggt á RedHat kjarnanum. Ekki lengur þróað.
3. Gaia - núverandi stýrikerfi frá Check Point, sem birtist í kjölfar samruna IPSO og SPLAT, með öllu því besta. Kom fram árið 2012 og heldur áfram að þróast á virkan hátt.

Talandi um Gaia, það ætti að segja að í augnablikinu er algengasta útgáfan R77.30. Tiltölulega nýlega hefur R80 útgáfan birst, sem er verulega frábrugðin þeirri fyrri (bæði hvað varðar virkni og stjórn). Við munum verja sérstakri færslu til efnis um ágreining þeirra. Annað mikilvægt atriði er að í augnablikinu er aðeins útgáfa R77.10 með FSTEC vottorðið og útgáfa R77.30 er í vottun.

Valkostir (Check Point Appliance, Sýndarvél, OpenServer)

Það kemur ekkert á óvart hér, þar sem margir Check Point söluaðilar hafa nokkra vöruvalkosti:

1. tæki - vél- og hugbúnaðartæki, þ.e. eigið "járnstykki". Það eru margar gerðir sem eru mismunandi hvað varðar frammistöðu, virkni og hönnun (það eru valkostir fyrir iðnaðarnet).

   

2. Virtual Machine - Check Point sýndarvél með Gaia OS. Hypervisors ESXi, Hyper-V, KVM eru studdir. Leyfi af fjölda örgjörvakjarna.
3. opinn þjónn - Uppsetning Gaia beint á netþjóninn sem aðalstýrikerfi (svokallað "Bare metal"). Aðeins ákveðinn vélbúnaður er studdur. Það eru ráðleggingar um þennan vélbúnað sem þarf að fylgja, annars geta komið upp vandamál með rekla og þá. stuðningur getur hafnað þjónustu við þig.

Framkvæmdarvalkostir (dreifðir eða sjálfstæðir)

Aðeins ofar höfum við þegar rætt hvað gátt (SG) og stjórnunarþjónn (SMS) eru. Nú skulum við ræða valkosti fyrir framkvæmd þeirra. Það eru tvær megin leiðir:

1. Sjálfstæður (SG+SMS) - valkostur þegar bæði gáttin og stjórnunarþjónninn eru sett upp í sama tæki (eða sýndarvél).

   
   
   Þessi valkostur er hentugur þegar þú ert aðeins með eina hlið, sem er létt hlaðin notendaumferð. Þessi valkostur er hagkvæmastur vegna þess. engin þörf á að kaupa stjórnunarþjón (SMS). Hins vegar, ef gáttin er mikið hlaðin, gætirðu endað með hægt stjórnkerfi. Þess vegna, áður en þú velur sjálfstæða lausn, er best að hafa samráð við eða jafnvel prófa þennan valkost.

2. Dreift — stjórnunarþjónninn er settur upp aðskilið frá gáttinni.

   
   
   Besti kosturinn hvað varðar þægindi og frammistöðu. Það er notað þegar nauðsynlegt er að stjórna nokkrum gáttum í einu, til dæmis miðlægum gáttum og útibúum. Í þessu tilviki þarftu að kaupa stjórnunarþjón (SMS), sem getur einnig verið í formi tækis (járnstykki) eða sýndarvél.

Eins og ég sagði rétt fyrir ofan, þá er Check Point með sitt eigið SIEM kerfi - Smart Event. Þú getur aðeins notað það ef um er að ræða dreifða uppsetningu.

Rekstrarstillingar (brú, leið)
Öryggisgáttin (SG) getur starfað í tveimur grunnstillingum:

• Leiðbeint - algengasti kosturinn. Í þessu tilviki er gáttin notuð sem L3 tæki og leiðir umferð í gegnum sig, þ.e. Check Point er sjálfgefin gátt fyrir verndaða netið.
• Bridge - gagnsæ stilling. Í þessu tilviki er gáttin sett upp sem venjuleg „brú“ og fer umferð í gegnum hana á öðru lagi (OSI). Þessi valkostur er venjulega notaður þegar enginn möguleiki (eða vilji) er til að breyta núverandi innviðum. Þú þarft nánast ekki að breyta staðfræði netkerfisins og þarft ekki að hugsa um að breyta IP-tölu.

Ég vil taka það fram að það eru nokkrar virknitakmarkanir í Bridge ham, þess vegna ráðleggjum við, sem samþættingaraðili, öllum viðskiptavinum okkar að nota Routed ham, að sjálfsögðu, ef mögulegt er.

Hugbúnaðarblöð (Check Point hugbúnaðarblöð)

Við komumst næstum því að mikilvægasta Check Point efninu, sem vekur upp flestar spurningar viðskiptavina. Hvað eru þessi „hugbúnaðarblöð“? Blöðin vísa til ákveðinna Check Point aðgerðir.

Hægt er að kveikja eða slökkva á þessum eiginleikum eftir þörfum þínum. Á sama tíma eru blöð sem eru virkjuð eingöngu á gáttinni (Network Security) og aðeins á stjórnunarþjóninum (Management). Myndirnar hér að neðan sýna dæmi fyrir bæði tilvikin:

1) Fyrir netöryggi (gáttarvirkni)

Við skulum lýsa stuttlega, vegna þess hvert blað á skilið sérstaka grein.

• Eldveggur - virkni eldveggs;
• IPSec VPN - að byggja upp einka sýndarnet;
• Farsímaaðgangur - fjaraðgangur frá farsímum;
• IPS - innbrotsvarnakerfi;
• Anti-Bot - vörn gegn botnet netum;
• AntiVirus - streymandi vírusvörn;
• AntiSpam & Email Security - vernd fyrirtækjapósts;
• Identity Awareness - samþætting við Active Directory þjónustuna;
• Vöktun - eftirlit með næstum öllum gáttarbreytum (álag, bandbreidd, VPN staða osfrv.)
• Umsóknarstýring - eldveggur á forritastigi (NGFW virkni);
• URL síun - Veföryggi (+ proxy virkni);
• Forvarnir gegn gagnatapi - upplýsingalekavörn (DLP);
• Threat Emulation - sandkassatækni (SandBox);
• Threat Extraction - skráahreinsunartækni;
• QoS - umferðarforgangsröðun.

Í örfáum greinum munum við skoða nánar Threat Emulation og Threat Extraction blöðin, ég er viss um að það verður áhugavert.

2) Fyrir stjórnendur (virkni netþjónsstjórnunar)

• Netstefnustjórnun - miðstýrð stefnustjórnun;
• Endpoint Policy Management - miðstýrð stjórnun Check Point umboðsmanna (já, Check Point framleiðir lausnir ekki aðeins fyrir netvernd heldur einnig til að vernda vinnustöðvar (tölvur) og snjallsíma);
• Skráning og staða - miðlæg söfnun og vinnsla annála;
• Stjórnunargátt - öryggisstjórnun frá vafranum;
• Verkflæði - eftirlit með stefnubreytingum, úttekt á breytingum o.s.frv.;
• Notendaskrá - samþætting við LDAP;
• Úthlutun - sjálfvirkni gáttarstjórnunar;
• Smart Reporter - skýrslukerfi;
• Smart Event - greining og fylgni atburða (SIEM);
• Fylgni - sjálfvirk athugun á stillingum og útgáfa tilmæla.

Við munum nú ekki íhuga leyfisvandamál í smáatriðum, til að blása ekki upp greinina og rugla lesandann. Líklegast munum við taka það út í sérstakri færslu.

Blaðarkitektúrinn gerir þér kleift að nota aðeins þær aðgerðir sem þú raunverulega þarfnast, sem hefur áhrif á fjárhagsáætlun lausnarinnar og heildarframmistöðu tækisins. Það er rökrétt að því fleiri blöð sem þú virkjar, því minni umferð er hægt að „keyra í burtu“. Þess vegna er eftirfarandi frammistöðutafla fest við hverja Check Point líkan (til dæmis tókum við eiginleika 5400 líkansins):

Eins og þú sérð eru tveir flokkar prófana hér: á tilbúnum umferð og á raunverulegum - blönduðum. Almennt séð neyðist Check Point einfaldlega til að birta gervipróf vegna þess. sumir söluaðilar nota slík próf sem viðmið án þess að kanna frammistöðu lausna sinna á raunverulegri umferð (eða fela slík gögn viljandi vegna ófullnægjandi þeirra).

Í hverri tegund prófs geturðu tekið eftir nokkrum valkostum:

1. prófa aðeins fyrir eldvegg;
2. Eldvegg + IPS próf;
3. Eldvegg+IPS+NGFW (forritsstýring) próf;
4. Eldveggur+Forritastýring+URL síun+IPS+Viruvarnar+Bot+Sandblásturspróf (sandkassi)

Skoðaðu vandlega þessar breytur þegar þú velur lausn þína, eða hafðu samband við samráði.

Ég held að þetta sé lok inngangsgreinarinnar um Check Point tækni. Næst munum við skoða hvernig þú getur prófað Check Point og hvernig á að takast á við nútíma upplýsingaöryggisógnir (vírusar, vefveiðar, lausnarhugbúnaður, núlldagur).

PS Mikilvægt atriði. Þrátt fyrir erlendan (ísraskan) uppruna er lausnin vottuð í Rússlandi af eftirlitsyfirvöldum sem lögleiða sjálfkrafa veru þeirra í ríkisstofnunum (athugasemd af Denyemall).

Aðeins skráðir notendur geta tekið þátt í könnuninni. Skráðu þig inn, takk.

Hvaða UTM/NGFW verkfæri notar þú?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• vaktvörður

• Juniper

• UserGate

• umferðareftirlitsmaður

• Rubicon

• Ideco

• opinn uppspretta lausn

• Annað

134 notendur kusu. 78 notendur sátu hjá.

Heimild: www.habr.com