Punto di controllo. Cos'è, con cosa si mangia o brevemente la cosa principale

Ciao, cari lettori di Habr! Questo è il blog aziendale dell'azienda Soluzione TS. Siamo un system integrator e siamo specializzati principalmente in soluzioni di sicurezza delle infrastrutture IT (Check Point, Fortinet) e sistemi di analisi dei dati macchina (Splunk). Inizieremo il nostro blog con una breve introduzione alle tecnologie Check Point.

Abbiamo pensato a lungo se valesse la pena scrivere questo articolo, perché... non c'è niente di nuovo che non possa essere trovato su Internet. Tuttavia, nonostante una tale abbondanza di informazioni, quando lavoriamo con clienti e partner, spesso sentiamo le stesse domande. Pertanto, si è deciso di scrivere una sorta di introduzione al mondo delle tecnologie Check Point e di rivelare l'essenza dell'architettura delle loro soluzioni. E tutto questo nell'ambito di un “piccolo” post, una rapida digressione, per così dire. Inoltre, cercheremo di non entrare in guerre di marketing, perché... Non siamo un venditore, ma semplicemente un integratore di sistemi (anche se amiamo davvero Check Point) e ci limiteremo a esaminare i punti principali senza confrontarli con altri produttori (come Palo Alto, Cisco, Fortinet, ecc.). L'articolo si è rivelato piuttosto lungo, ma copre la maggior parte delle domande nella fase di familiarità con Check Point. Se sei interessato, benvenuto nel gatto...

UTM/NGFW

Quando si avvia una conversazione su Check Point, il primo punto da cui iniziare è una spiegazione di cosa sono UTM e NGFW e in cosa differiscono. Lo faremo in modo molto conciso in modo che il post non risulti troppo lungo (forse in futuro considereremo questo problema un po' più in dettaglio)

UTM: gestione unificata delle minacce

In breve, l’essenza dell’UTM è il consolidamento di diversi strumenti di sicurezza in un’unica soluzione. Quelli. tutto in una scatola o una sorta di tutto compreso. Cosa si intende per “rimedi multipli”? L'opzione più comune è: Firewall, IPS, Proxy (filtro URL), streaming antivirus, anti-spam, VPN e così via. Tutto questo è combinato in un'unica soluzione UTM, che è più semplice in termini di integrazione, configurazione, amministrazione e monitoraggio, e questo a sua volta ha un effetto positivo sulla sicurezza complessiva della rete. Quando apparvero per la prima volta le soluzioni UTM, furono considerate esclusivamente per le piccole imprese, perché... Gli UTM non erano in grado di gestire grandi volumi di traffico. Ciò è avvenuto per due motivi:

1. Metodo di elaborazione dei pacchetti. Le prime versioni delle soluzioni UTM elaboravano i pacchetti in sequenza, ciascun “modulo”. Esempio: prima il pacchetto viene elaborato dal firewall, poi dall'IPS, quindi viene scansionato dall'antivirus e così via. Naturalmente, un tale meccanismo introduceva gravi ritardi nel traffico e consumava notevolmente le risorse di sistema (processore, memoria).
2. Hardware debole. Come accennato in precedenza, l'elaborazione sequenziale dei pacchetti consumava molto risorse e l'hardware di quei tempi (1995-2005) semplicemente non poteva far fronte a un traffico di grandi dimensioni.

Ma il progresso non si ferma. Da allora, la capacità dell'hardware è aumentata in modo significativo e l'elaborazione dei pacchetti è cambiata (bisogna ammettere che non tutti i fornitori ce l'hanno) e ha iniziato a consentire un'analisi quasi simultanea in più moduli contemporaneamente (ME, IPS, AntiVirus, ecc.). Le moderne soluzioni UTM possono "digerire" decine e persino centinaia di gigabit in modalità di analisi approfondita, il che rende possibile il loro utilizzo nel segmento delle grandi aziende o anche nei data center.

Di seguito è riportato il famoso Gartner Magic Quadrant per le soluzioni UTM per agosto 2016:

Non commenterò molto questa immagine, dirò solo che i leader sono nell’angolo in alto a destra.

NGFW: firewall di prossima generazione

Il nome parla da solo: il firewall di nuova generazione. Questo concetto è apparso molto più tardi dell'UTM. L'idea principale di NGFW è l'analisi profonda dei pacchetti (DPI) utilizzando IPS integrato e il controllo degli accessi a livello di applicazione (Application Control). In questo caso, l'IPS è proprio ciò che serve per identificare questa o quell'applicazione nel flusso di pacchetti, che consente di consentirla o negarla. Esempio: possiamo consentire a Skype di funzionare, ma vietare il trasferimento di file. Possiamo vietare l'uso di Torrent o RDP. Sono supportate anche le applicazioni web: puoi consentire l'accesso a VK.com, ma proibire giochi, messaggi o guardare video. Fondamentalmente, la qualità di un NGFW dipende dal numero di applicazioni che può rilevare. Molti credono che l'emergere del concetto NGFW sia stato uno stratagemma di marketing comune, sullo sfondo del quale l'azienda di Palo Alto ha iniziato la sua rapida crescita.

Gartner Magic Quadrant per NGFW per maggio 2016:

UTM contro NGFW

Una domanda molto comune è: quale è meglio? Non esiste una risposta definitiva qui e non può esserlo. Soprattutto considerando il fatto che quasi tutte le moderne soluzioni UTM contengono funzionalità NGFW e la maggior parte degli NGFW contiene funzioni inerenti all'UTM (antivirus, VPN, anti-bot, ecc.). Come sempre, “il diavolo è nei dettagli”, quindi prima di tutto devi decidere di cosa hai bisogno nello specifico e decidere il tuo budget. Sulla base di queste decisioni è possibile selezionare diverse opzioni. E tutto deve essere testato in modo inequivocabile, senza credere ai materiali di marketing.

A nostra volta, nell'ambito di diversi articoli, proveremo a raccontare Check Point, come puoi provarlo e cosa, in linea di principio, puoi provare (quasi tutte le funzionalità).

Tre entità Check Point

Quando lavori con Check Point, incontrerai sicuramente tre componenti di questo prodotto:

1. Gateway di sicurezza (SG) — il gateway di sicurezza stesso, che solitamente è installato sul perimetro della rete e svolge le funzioni di firewall, streaming antivirus, antibot, IPS, ecc.
2. Server di gestione della sicurezza (SMS) — server di gestione del gateway. Quasi tutte le impostazioni sul gateway (SG) vengono eseguite utilizzando questo server. Gli SMS possono anche fungere da Log Server ed elaborarli con un sistema integrato di analisi e correlazione degli eventi - Smart Event (simile a SIEM per Check Point), ma ne parleremo più avanti. SMS viene utilizzato per la gestione centralizzata di più gateway (il numero di gateway dipende dal modello SMS o dalla licenza), ma è necessario utilizzarlo anche se si dispone di un solo gateway. Va notato che Check Point è stato uno dei primi a utilizzare un sistema di gestione centralizzato, che secondo i rapporti Gartner è stato riconosciuto per molti anni consecutivi come il "gold standard". C'è anche una battuta: "Se Cisco avesse un normale sistema di gestione, Check Point non sarebbe mai apparso".
3. Console intelligente — console client per la connessione al server di gestione (SMS). In genere installato sul computer dell'amministratore. Tutte le modifiche sul server di gestione vengono apportate tramite questa console e successivamente è possibile applicare le impostazioni ai gateway di sicurezza (Installa policy).

   

Sistema operativo Check Point

Parlando del sistema operativo Check Point, possiamo ricordarne tre contemporaneamente: IPSO, SPLAT e GAIA.

1. Ipso - sistema operativo di Ipsilon Networks, che apparteneva a Nokia. Nel 2009 Check Point ha acquistato questa attività. Non più in via di sviluppo.
2. SPLATO - Sviluppo proprio di Check Point, basato sul kernel RedHat. Non più in via di sviluppo.
3. Gaia - l'attuale sistema operativo di Check Point, nato dalla fusione di IPSO e SPLAT, che incorpora tutto il meglio. È apparso nel 2012 e continua a svilupparsi attivamente.

Parlando di Gaia va detto che al momento la versione più diffusa è la R77.30. Relativamente recentemente è apparsa la versione R80, che differisce notevolmente dalla precedente (sia in termini di funzionalità che di controllo). Dedicheremo un post separato all'argomento delle loro differenze. Un altro punto importante è che attualmente solo la versione R77.10 ha un certificato FSTEC, mentre la versione R77.30 è in fase di certificazione.

Opzioni di esecuzione (Check Point Appliance, macchina virtuale, OpenServer)

Non c'è nulla di sorprendente qui, come molti fornitori, Check Point ha diverse opzioni di prodotto:

1. Appliance — dispositivo hardware e software, vale a dire il proprio “pezzo di ferro”. Esistono molti modelli che differiscono per prestazioni, funzionalità e design (esistono opzioni per le reti industriali).

   

2. Macchina virtuale — Macchina virtuale Check Point con sistema operativo Gaia. Sono supportati gli hypervisor ESXi, Hyper-V, KVM. Concesso in licenza in base al numero di core del processore.
3. OpenServer — installando Gaia direttamente sul server come sistema operativo principale (il cosiddetto “Bare metal”). È supportato solo un determinato hardware. Ci sono raccomandazioni per questo hardware che devono essere seguite, altrimenti potrebbero sorgere problemi con i driver e le apparecchiature tecniche. il supporto potrebbe rifiutarsi di fornirti assistenza.

Opzioni di implementazione (distribuito o autonomo)

Un po' più in alto abbiamo già discusso cosa sono un gateway (SG) e un server di gestione (SMS). Ora discutiamo delle opzioni per la loro implementazione. Esistono due modalità principali:

1. Autonomo (SG+SMS) - un'opzione quando sia il gateway che il server di gestione sono installati all'interno di un dispositivo (o macchina virtuale).

   
   
   Questa opzione è adatta quando si dispone di un solo gateway leggermente caricato con il traffico degli utenti. Questa opzione è la più economica perché... non è necessario acquistare un server di gestione (SMS). Tuttavia, se il gateway è molto carico, ci si potrebbe ritrovare con un sistema di controllo “lento”. Pertanto, prima di scegliere una soluzione Standalone, è meglio consultare o addirittura testare questa opzione.

2. distribuito — il server di gestione è installato separatamente dal gateway.

   
   
   La migliore opzione in termini di comodità e prestazioni. Utilizzato quando è necessario gestire più gateway contemporaneamente, ad esempio centrali e periferici. In questo caso è necessario acquistare un server di gestione (SMS), che può presentarsi anche sotto forma di appliance o di macchina virtuale.

Come ho detto poco sopra, Check Point ha un proprio sistema SIEM - Smart Event. È possibile utilizzarlo solo in caso di installazione distribuita.

Modalità operative (Bridge, Routed)
Il Security Gateway (SG) può funzionare in due modalità principali:

• instradato - l'opzione più comune. In questo caso il gateway viene utilizzato come dispositivo L3 e instrada il traffico attraverso se stesso, ad es. Check Point è il gateway predefinito per la rete protetta.
• Ponte — modalità trasparente. In questo caso il gateway viene installato come un normale “ponte” e attraversa il traffico al secondo livello (OSI). Questa opzione viene solitamente utilizzata quando non vi è la possibilità (o il desiderio) di modificare l'infrastruttura esistente. Praticamente non devi cambiare la topologia della rete e non devi pensare a cambiare l'indirizzamento IP.

Vorrei sottolineare che nella modalità Bridge ci sono alcune limitazioni in termini di funzionalità, quindi noi, come integratore, consigliamo a tutti i nostri clienti di utilizzare la modalità Routed, ovviamente, se possibile.

Software Blade di Check Point

Siamo quasi arrivati ​​all'argomento più importante di Check Point, che solleva il maggior numero di domande tra i clienti. Cosa sono questi “lame software”? Le lame si riferiscono ad alcune funzioni del Check Point.

Queste funzioni possono essere attivate o disattivate a seconda delle vostre esigenze. Allo stesso tempo, ci sono blade che vengono attivati ​​esclusivamente sul gateway (Network Security) e solo sul server di gestione. Le immagini seguenti mostrano esempi per entrambi i casi:

1) Per la sicurezza della rete (funzionalità gateway)

Descriviamolo brevemente, perché... ogni lama merita un articolo a parte.

• Firewall: funzionalità firewall;
• VPN IPSec: creazione di reti virtuali private;
• Accesso Mobile - accesso remoto da dispositivi mobili;
• IPS - sistema di prevenzione delle intrusioni;
• Anti-Bot: protezione contro le reti botnet;
• AntiVirus: antivirus in streaming;
• AntiSpam & Email Security: protezione della posta elettronica aziendale;
• Identity Awareness - integrazione con il servizio Active Directory;
• Monitoraggio: monitoraggio di quasi tutti i parametri del gateway (carico, larghezza di banda, stato VPN, ecc.)
• Controllo delle applicazioni: firewall a livello di applicazione (funzionalità NGFW);
• Filtraggio URL - Sicurezza Web (+ funzionalità proxy);
• Prevenzione della perdita di dati: protezione contro le fughe di informazioni (DLP);
• Emulazione delle minacce: tecnologia sandbox (SandBox);
• Threat Extraction: tecnologia di pulizia dei file;
• QoS: priorità del traffico.

Tra pochi articoli daremo uno sguardo approfondito alle blade Threat Emulation e Threat Extraction, sono sicuro che sarà interessante.

2) Per la direzione (funzionalità del server di controllo)

• Gestione delle politiche di rete: gestione centralizzata delle politiche;
• Endpoint Policy Management - gestione centralizzata degli agenti Check Point (sì, Check Point produce soluzioni non solo per la protezione della rete, ma anche per la protezione delle postazioni di lavoro (PC) e degli smartphone);
• Logging & Status: raccolta ed elaborazione centralizzata dei log;
• Portale di gestione - gestione della sicurezza dal browser;
• Flusso di lavoro: controllo sulle modifiche alle politiche, verifica delle modifiche, ecc.;
• Directory utente: integrazione con LDAP;
• Provisioning - automazione della gestione del gateway;
• Smart Reporter: sistema di reporting;
• Smart Event - analisi e correlazione di eventi (SIEM);
• Conformità: controlla automaticamente le impostazioni e fornisce consigli.

Non considereremo ora in dettaglio le questioni relative alla licenza, per non gonfiare l'articolo e non confondere il lettore. Molto probabilmente lo pubblicheremo in un post separato.

L'architettura dei blade ti consente di utilizzare solo le funzioni di cui hai veramente bisogno, il che influisce sul budget della soluzione e sulle prestazioni complessive del dispositivo. È logico che più blade si attivano, meno traffico si potrà “attraversare”. Per questo motivo ad ogni modello Check Point è allegata la seguente tabella prestazionale (abbiamo preso come esempio le caratteristiche del modello 5400):

Come puoi vedere, qui ci sono due categorie di test: sul traffico sintetico e sul traffico reale - misto. In generale, Check Point è semplicemente costretta a pubblicare test sintetici, perché... alcuni fornitori utilizzano tali test come parametri di riferimento, senza esaminare le prestazioni delle loro soluzioni sul traffico reale (o nascondono deliberatamente tali dati a causa della loro natura insoddisfacente).

In ogni tipo di test, puoi notare diverse opzioni:

1. testare solo il Firewall;
2. Test firewall+IPS;
3. Test Firewall+IPS+NGFW (controllo applicazioni);
4. test Firewall+Controllo applicazioni+Filtro URL+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Guarda attentamente questi parametri quando scegli la tua soluzione o contatta consultazione.

Penso che sia qui che possiamo concludere l'articolo introduttivo sulle tecnologie Check Point. Successivamente, vedremo come testare Check Point e come affrontare le moderne minacce alla sicurezza delle informazioni (virus, phishing, ransomware, zero-day).

PS Un punto importante. Nonostante la sua origine straniera (israeliana), la soluzione è certificata nella Federazione Russa dalle autorità di regolamentazione, che ne legalizzano automaticamente la presenza nelle istituzioni governative (commento di Denyemall).

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Quali strumenti UTM/NGFW utilizzi?

• Check Point

• potenza di fuoco Cisco

• Fortinet

• palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Juniper

• UserGate

• Ispettore del traffico

• Rubicon

• ideco

• Soluzione OpenSource

• Altro

134 utenti hanno votato. 78 utenti si sono astenuti.

Fonte: habr.com