бақылау нүктесі. Бұл не, немен жейді немесе қысқаша ең бастысы туралы

Сәлем, құрметті хабр оқырмандары! Бұл компанияның корпоративтік блогы T.S шешімі. Біз жүйелік интегратормыз және негізінен АТ-инфрақұрылымдық қауіпсіздік шешімдеріне маманданамыз (Check Point, Фортинет) және машина деректерін талдау жүйелері (Splunk). Біз блогымызды Check Point технологияларына қысқаша кіріспеден бастаймыз.

Біз бұл мақаланы жазу керек пе деп ұзақ ойладық, өйткені. онда интернеттен табылмайтын жаңалық жоқ. Дегенмен, ақпараттың осындай көптігіне қарамастан, клиенттермен және серіктестермен жұмыс істегенде, біз бірдей сұрақтарды жиі естиміз. Сондықтан Check Point технологиялар әлеміне қандай да бір кіріспе жазу және олардың шешімдерінің архитектурасының мәнін ашу туралы шешім қабылданды. Мұның бәрі бір «кішкентай» посттың аясында, былайша айтқанда, жылдам шегініс. Біз маркетингтік соғыстарға бармауға тырысамыз, өйткені. біз сатушы емеспіз, жай ғана жүйелік интегратормыз (бірақ біз Check Point-ті өте жақсы көреміз) және оларды басқа өндірушілермен (мысалы, Palo Alto, Cisco, Fortinet және т. Мақала өте көлемді болып шықты, бірақ ол Check Point-пен танысу кезеңінде көптеген сұрақтарды кесіп тастайды. Егер сізді қызықтырса, мысықтың астына қош келдіңіз ...

UTM/NGFW

Check Point туралы әңгімені бастағанда, ең алдымен UTM, NGFW деген не екенін және олардың айырмашылығын түсіндіруден бастау керек. Пост тым үлкен болып қалмауы үшін біз мұны өте қысқаша жасаймыз (мүмкін болашақта бұл мәселені толығырақ қарастырамыз)

UTM - Бірыңғай қауіптерді басқару

Қысқаша айтқанда, UTM мәні бірнеше қауіпсіздік құралдарын бір шешімге біріктіру болып табылады. Анау. барлығы бір қорапта немесе кейбіреулері барлығын қосқанда. «Көптеген емдеу әдістері» деген нені білдіреді? Ең көп таралған опция: брандмауэр, IPS, прокси (URL сүзгілеу), ағынды антивирус, спамға қарсы, VPN және т.б. Мұның бәрі бір UTM шешімі аясында біріктірілген, ол интеграция, конфигурация, басқару және бақылау тұрғысынан оңайырақ және бұл өз кезегінде желінің жалпы қауіпсіздігіне оң әсер етеді. UTM шешімдері алғаш рет пайда болған кезде, олар тек шағын компаниялар үшін қарастырылды, өйткені. UTM трафиктің үлкен көлемін көтере алмады. Бұл екі себеп болды:

1. Пакеттерді өңдеу тәсілі. UTM шешімдерінің алғашқы нұсқалары пакеттерді әр «модуль» бойынша ретімен өңдеді. Мысал: алдымен пакет брандмауэрмен өңделеді, содан кейін IPS арқылы, содан кейін антивируспен тексеріледі және т.б. Әрине, мұндай механизм трафиктің елеулі кідірістерін және көп тұтынылатын жүйелік ресурстарды (процессор, жад) енгізді.
2. Әлсіз аппараттық құрал. Жоғарыда айтылғандай, пакеттерді дәйекті өңдеу ресурстарды жеді және сол кездегі аппараттық құралдар (1995-2005) жоғары трафикті көтере алмады.

Бірақ ілгерілеу бір орында тұрған жоқ. Содан бері аппараттық құралдардың мүмкіндіктері айтарлықтай өсті және пакеттерді өңдеу өзгерді (барлық жеткізушілерде жоқ екенін мойындау керек) және бірден бірнеше модульдерде (ME, IPS, AntiVirus және т.б.) бір уақытта дерлік талдауға мүмкіндік бере бастады. Қазіргі заманғы UTM шешімдері терең талдау режимінде ондаған және тіпті жүздеген гигабиттерді «қорытуға» қабілетті, бұл оларды ірі бизнес сегментінде немесе тіпті деректер орталықтарында пайдалануға мүмкіндік береді.

Төменде Gartner компаниясының 2016 жылдың тамыз айындағы UTM шешімдеріне арналған әйгілі Magic Quadrant берілген:

Мен бұл суретке қатты түсініктеме бермеймін, тек жоғарғы оң жақ бұрышта көшбасшылар бар екенін айтайын.

NGFW - Келесі ұрпақ брандмауэр

Атау өзі үшін сөйлейді - келесі ұрпақ брандмауэр. Бұл тұжырымдама UTM-ден әлдеқайда кейінірек пайда болды. NGFW негізгі идеясы кірістірілген IPS және қолданба деңгейінде қол жеткізуді басқару (Application Control) көмегімен терең пакеттік тексеру (DPI) болып табылады. Бұл жағдайда IPS пакеттік ағындағы осы немесе басқа қолданбаны анықтау үшін қажет нәрсе, ол сізге рұқсат беруге немесе бас тартуға мүмкіндік береді. Мысал: Skype жұмыс істеуіне рұқсат бере аламыз, бірақ файлдарды тасымалдауға жол бермейміз. Біз Torrent немесе RDP пайдалануға тыйым сала аламыз. Веб қолданбаларға да қолдау көрсетіледі: VK.com сайтына кіруге рұқсат бере аласыз, бірақ ойындарды, хабарларды немесе бейнелерді қарауды болдырмауға болады. Негізінде, NGFW сапасы ол анықтай алатын қолданбалардың санына байланысты. Көптеген адамдар NGFW тұжырымдамасының пайда болуы Пало Альто өзінің жылдам өсуін бастаған жалпы маркетингтік айла болды деп санайды.

2016 жылдың мамыры NGFW үшін Gartner Magic Quadrant:

UTM қарсы NGFW

Өте жиі кездесетін сұрақ, қайсысы жақсы? Бұл жерде жалғыз жауап жоқ және болуы да мүмкін емес. Әсіресе, қазіргі заманғы UTM шешімдерінің барлығы дерлік NGFW функционалдығын және NGFW көпшілігінде UTM-ге (Антивирус, VPN, Anti-Bot және т.б.) тән функцияларды қамтитынын ескерсеңіз. Әдеттегідей, «шайтан егжей-тегжейлі», сондықтан ең алдымен сізге не қажет екенін шешу керек, бюджетті шешіңіз. Осы шешімдер негізінде бірнеше нұсқаны таңдауға болады. Және маркетингтік материалдарға сенбей, барлығын біржақты тексеру керек.

Біз, өз кезегінде, бірнеше мақалалар аясында, Check Point туралы, оны қалай сынап көруге болады және нені көруге болады (барлық дерлік функционалдылық) туралы айтып беруге тырысамыз.

Үш бақылау нүктесі нысаны

Check Point-пен жұмыс істегенде сіз осы өнімнің үш құрамдас бөлігін кездестіресіз:

1. Қауіпсіздік шлюзі (SG) - қауіпсіздік шлюзінің өзі, ол әдетте желі периметрінде орналасады және желіаралық қалқан, ағынды антивирус, анти-бот, IPS және т.б. функцияларын орындайды.
2. Қауіпсіздікті басқару сервері (SMS) - шлюзді басқару сервері. Шлюздегі (SG) барлық дерлік параметрлер осы сервер арқылы орындалады. SMS журнал сервері ретінде де әрекет ете алады және оларды кірістірілген оқиғаларды талдау және корреляция жүйесімен өңдей алады - Smart Event (тексеру нүктесіне арналған SIEM-ге ұқсас), бірақ бұл туралы кейінірек. SMS бірнеше шлюзді орталықтан басқару үшін пайдаланылады (шлюздердің саны SMS үлгісіне немесе лицензиясына байланысты), бірақ сізде тек бір шлюз болса да оны пайдалану керек. Осы жерде айта кететін жайт, Check Point көптеген жылдар бойы қатарынан Gartner есептері бойынша «алтын стандарт» ретінде танылған орталықтандырылған басқару жүйесін алғашқылардың бірі болып пайдаланды. Тіпті әзіл де бар: «Егер Cisco-да қалыпты басқару жүйесі болса, Check Point ешқашан пайда болмас еді».
3. Смарт консоль — басқару серверіне (SMS) қосылуға арналған клиенттік консол. Әдетте әкімшінің компьютеріне орнатылады. Осы консоль арқылы барлық өзгертулер басқару серверінде жасалады, содан кейін параметрлерді қауіпсіздік шлюздеріне қолдануға болады (Орнату саясаты).

   

Check Point операциялық жүйесі

Check Point операциялық жүйесі туралы айтатын болсақ, үшеуін бірден шақыруға болады: IPSO, SPLAT және GAIA.

1. IPSO Nokia-ға тиесілі Ipsilon Networks операциялық жүйесі. 2009 жылы Check Point бұл бизнесті сатып алды. Енді дамымайды.
2. SPLAT - RedHat ядросына негізделген Check Point-тің өзіндік дамуы. Енді дамымайды.
3. Гаиа - IPSO және SPLAT бірігуінің нәтижесінде пайда болған, барлық жақсысын біріктіретін Check Point операциялық жүйесі. 2012 жылы пайда болды және белсенді дамуын жалғастыруда.

Гаиа туралы айтатын болсақ, қазіргі уақытта ең көп таралған нұсқасы R77.30 екенін айту керек. Салыстырмалы түрде жақында R80 нұсқасы пайда болды, ол алдыңғысынан (функционалдық жағынан да, басқару жағынан да) айтарлықтай ерекшеленеді. Біз олардың айырмашылықтары тақырыбына жеке пост арнаймыз. Тағы бір маңызды жайт, қазіргі уақытта тек R77.10 нұсқасында FSTEC сертификаты бар және R77.30 нұсқасы сертификатталуда.

Параметрлер (тексеру нүктесі құрылғысы, виртуалды машина, OpenServer)

Мұнда таңқаларлық ештеңе жоқ, өйткені көптеген Check Point жеткізушілерінде бірнеше өнім нұсқалары бар:

1. аспап - аппараттық және бағдарламалық құрал, яғни. меншікті «темір кесегі». Өнімділік, функционалдылық және дизайн бойынша ерекшеленетін көптеген модельдер бар (өнеркәсіптік желілерге арналған опциялар бар).

   

2. Виртуалды машина - Gaia ОЖ бар Check Point виртуалды машинасы. ESXi, Hyper-V, KVM гипервизорларына қолдау көрсетіледі. Процессор ядроларының саны бойынша лицензияланған.
3. OpenServer - Gaia-ны негізгі операциялық жүйе ретінде тікелей серверге орнату («Жаңаш металл» деп аталатын). Тек белгілі бір аппараттық құралдарға қолдау көрсетіледі. Бұл жабдыққа қатысты ұсыныстар бар, оларды орындау керек, әйтпесе драйверлермен және басқалармен проблемалар болуы мүмкін. қолдау қызметі сізге қызмет көрсетуден бас тартуы мүмкін.

Іске асыру опциялары (таратылған немесе дербес)

Сәл жоғарырақ, біз шлюз (SG) және басқару сервері (SMS) деген не екенін талқыладық. Енді оларды жүзеге асыру нұсқаларын талқылайық. Екі негізгі жол бар:

1. Дербес (SG+SMS) - шлюз де, басқару сервері де бір құрылғыда (немесе виртуалды машинада) орнатылған кездегі опция.

   
   
   Бұл опция пайдаланушы трафигі аз ғана жүктелген бір ғана шлюз болған кезде қолайлы. Бұл опция ең үнемді, өйткені. басқару серверін (SMS) сатып алудың қажеті жоқ. Дегенмен, шлюз қатты жүктелген болса, басқару жүйесі баяу болуы мүмкін. Сондықтан, дербес шешімді таңдамас бұрын, бұл опцияны ақылдасып немесе тіпті сынап көрген дұрыс.

2. Бөлінген — басқару сервері шлюзден бөлек орнатылады.

   
   
   Ыңғайлылық пен өнімділік бойынша ең жақсы нұсқа. Ол бірден бірнеше шлюзді басқару қажет болғанда қолданылады, мысалы, орталық және салалық. Бұл жағдайда басқару серверін (SMS) сатып алу керек, ол сонымен қатар құрылғы (темір бөлігі) немесе виртуалды машина түрінде болуы мүмкін.

Жоғарыда айтқанымдай, Check Point-тің өз SIEM жүйесі бар - Smart Event. Сіз оны тек Бөлінген орнату жағдайында пайдалана аласыз.

Жұмыс режимдері (көпір, бағдарланған)
Қауіпсіздік шлюзі (SG) екі негізгі режимде жұмыс істей алады:

• Бағытталды - ең көп таралған нұсқа. Бұл жағдайда шлюз L3 құрылғысы ретінде пайдаланылады және трафикті өзі арқылы бағыттайды, яғни. Check Point - қорғалған желінің әдепкі шлюзі.
• көпір - мөлдір режим. Бұл жағдайда шлюз кәдімгі «көпір» ретінде орнатылады және трафикті ол арқылы екінші қабатта (OSI) өткізеді. Бұл опция әдетте бар инфрақұрылымды өзгерту мүмкіндігі (немесе қалауы) болмаған кезде қолданылады. Іс жүзінде желі топологиясын өзгерту қажет емес және IP мекенжайын өзгерту туралы ойланудың қажеті жоқ.

Көпір режимінде кейбір функционалдық шектеулер бар екенін атап өткім келеді, сондықтан біз интегратор ретінде барлық клиенттерімізге, әрине, мүмкін болса, Бағдарланған режимді пайдалануға кеңес береміз.

Бағдарламалық жасақтама жолақтары (бақылау нүктесінің бағдарламалық жасақтама тақталары)

Біз тұтынушылардың ең көп сұрақтарын тудыратын ең маңызды Check Point тақырыбына жеттік. Бұл «бағдарламалық қамтамасыз ету тақталары» дегеніміз не? Пышақтар белгілі бір Check Point функцияларына жатады.

Бұл мүмкіндіктерді қажеттіліктеріңізге байланысты қосуға немесе өшіруге болады. Сонымен қатар, тек шлюзде (Network Security) және тек басқару серверінде (Басқару) іске қосылатын жолақтар бар. Төмендегі суреттер екі жағдайға да мысалдарды көрсетеді:

1) Желі қауіпсіздігі үшін (шлюз функциясы)

Қысқаша сипаттап көрейік, өйткені Әрбір пышақ жеке мақалаға лайық.

• Брандмауэр – брандмауэрдің функционалдығы;
• IPSec VPN - жеке виртуалды желілерді құру;
• Mobile Access - мобильді құрылғылардан қашықтан қол жеткізу;
• IPS – интрузияның алдын алу жүйесі;
• Anti-Bot – ботнет желілерінен қорғау;
• AntiVirus – ағынды антивирус;
• AntiSpam & Email Security – корпоративтік поштаны қорғау;
• Identity Awareness – Active Directory қызметімен интеграция;
• Мониторинг - шлюздің барлық дерлік параметрлерін бақылау (жүктеме, өткізу қабілеттілігі, VPN күйі және т.б.)
• Қолданбаларды басқару – қолданба деңгейіндегі брандмауэр (NGFW функционалдығы);
• URL сүзгілеу - веб-қауіпсіздік (+прокси функциясы);
• Data Loss Prevention – ақпараттың ағып кетуінен қорғау (DLP);
• Threat Emulation – құмсалғыш технологиясы (SandBox);
• Threat Extraction – файлдарды тазалау технологиясы;
• QoS – трафиктің басымдылығы.

Бірнеше мақалада біз Қауіпті эмуляциялау және Қауіпті шығару жолақтарын егжей-тегжейлі қарастырамыз, бұл қызықты болатынына сенімдімін.

2) Басқару үшін (басқару серверінің функционалдығы)

• Network Policy Management – ​​орталықтандырылған саясатты басқару;
• Endpoint Policy Management – ​​Check Point агенттерін орталықтандырылған басқару (иә, Check Point желіні қорғау үшін ғана емес, сонымен қатар жұмыс станциялары (ДК) мен смартфондарды қорғау үшін шешімдер шығарады);
• Logging & Status – журналдарды орталықтандырылған жинау және өңдеу;
• Басқару порталы – браузерден қауіпсіздікті басқару;
• Жұмыс процесі – саясаттың өзгеруін бақылау, өзгерістер аудиті және т.б.;
• Пайдаланушы каталогы – LDAP-пен интеграция;
• Провизия – шлюзді басқаруды автоматтандыру;
• Smart Reporter – есеп беру жүйесі;
• Smart Event – ​​оқиғаларды талдау және корреляциясы (SIEM);
• Сәйкестік - параметрлерді автоматты түрде тексеру және ұсыныстарды беру.

Мақаланы ұлғайтып, оқырманды шатастырмау үшін біз енді лицензиялау мәселелерін егжей-тегжейлі қарастырмаймыз. Оны бөлек постта шығарамыз.

Пышақ архитектурасы сізге шынымен қажет функцияларды ғана пайдалануға мүмкіндік береді, бұл шешімнің бюджетіне және құрылғының жалпы өнімділігіне әсер етеді. Неғұрлым көп пышақтарды іске қоссаңыз, соғұрлым аз трафикті «алып кетуге» болатыны қисынды. Сондықтан әрбір Check Point үлгісіне келесі өнімділік кестесі қоса беріледі (мысалы, біз 5400 үлгісінің сипаттамаларын алдық):

Көріп отырғаныңыздай, мұнда сынақтардың екі санаты бар: синтетикалық трафик бойынша және нақты - аралас. Жалпы айтқанда, Check Point синтетикалық сынақтарды жариялауға мәжбүр, өйткені. кейбір жеткізушілер мұндай сынақтарды нақты трафик бойынша шешімдерінің өнімділігін зерттемей (немесе олардың қанағаттанарлықсыздығына байланысты мұндай деректерді әдейі жасырып) эталондар ретінде пайдаланады.

Әрбір сынақ түрінде сіз бірнеше нұсқаны байқай аласыз:

1. тек желіаралық қалқан үшін сынақ;
2. Брандмауэр + IPS сынағы;
3. Брандмауэр+IPS+NGFW (Қолданбаны басқару) сынағы;
4. Брандмауэр+Қолданбаны басқару+URL сүзгілеу+IPS+Антивирус+Анти-бот+СандBlast сынағы (құмсалғыш)

Шешімді таңдағанда осы параметрлерді мұқият қараңыз немесе хабарласыңыз кеңес беру.

Бұл Check Point технологиялары туралы кіріспе мақаланың соңы деп ойлаймын. Әрі қарай, біз Check Point-ті қалай тексеруге болатынын және қазіргі заманғы ақпараттық қауіпсіздік қауіптерімен (вирустар, фишинг, төлемдік бағдарлама, нөлдік күн) қалай күресуге болатынын қарастырамыз.

PS Маңызды сәт. Шетелдік (израильдік) шыққанына қарамастан, шешім Ресей Федерациясында олардың мемлекеттік мекемелерде болуын автоматты түрде заңдастыратын қадағалау органдарымен куәландырылған (түсініктеме бойынша Деньемалл).

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

Сіз қандай UTM/NGFW құралдарын пайдаланасыз?

• Check Point

• Cisco Firepower

• Фортинет

• Пало Альто

• Sophos

• Dell SonicWALL

• Huawei

• WatchGard

• Juniper

• UserGate

• жол инспекторы

• Рубикон

• Идеке

• ашық бастапқы шешім

• Басқа

134 қолданушы дауыс берді. 78 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com