체크 포인트. 그것은 무엇입니까, 무엇과 함께 먹습니까, 또는 주요 사항에 대해 간략히 설명합니다.

안녕하세요, Habr 독자 여러분! 회사의 기업 블로그입니다. 티에스솔루션. 우리는 시스템 통합업체로서 주로 IT 인프라 보안 솔루션을 전문으로 합니다(체크 포인트, 포티넷) 및 머신 데이터 분석 시스템(스플 렁크). Check Point 기술에 대한 간단한 소개로 블로그를 시작하겠습니다.

우리는 이 글을 쓸 가치가 있는지 오랫동안 고민했습니다. 왜냐하면... 인터넷에서 찾을 수 없었던 새로운 것은 없습니다. 그러나 이렇게 풍부한 정보에도 불구하고 고객 및 파트너와 협력할 때 우리는 종종 같은 질문을 듣게 됩니다. 따라서 Check Point 기술의 세계에 대한 일종의 소개를 작성하고 해당 솔루션 아키텍처의 본질을 공개하기로 결정했습니다. 그리고 이 모든 것은 말하자면 하나의 "작은" 게시물, 즉 빠른 여행의 틀 안에 있습니다. 더욱이, 우리는 마케팅 전쟁에 참여하지 않도록 노력할 것입니다. 왜냐하면... 우리는 공급업체가 아니라 단순한 시스템 통합업체입니다(비록 우리는 Check Point를 정말 좋아하지만). 다른 제조업체(예: Palo Alto, Cisco, Fortinet 등)와 비교하지 않고 주요 사항만 살펴보겠습니다. 기사는 상당히 긴 것으로 밝혀졌지만 Check Point에 익숙해지는 단계에서 대부분의 질문을 다루고 있습니다. 관심이 있으시면 고양이에 오신 것을 환영합니다 ...

UTM/NGFW

Check Point에 대한 대화를 시작할 때 가장 먼저 시작하는 것은 UTM과 NGFW가 무엇이고 어떻게 다른지에 대한 설명입니다. 게시물이 너무 길어지지 않도록 매우 간결하게 처리하겠습니다. (아마도 앞으로 이 문제를 좀 더 자세히 고려할 것입니다.)

UTM - 통합 위협 관리

간단히 말해서, UTM의 본질은 여러 보안 도구를 하나의 솔루션으로 통합하는 것입니다. 저것들. 하나의 상자에 모든 것이 들어 있거나 모든 것이 포함되어 있습니다. "다양한 치료법"이란 무엇을 의미합니까? 가장 일반적인 옵션은 방화벽, IPS, 프록시(URL 필터링), 스트리밍 안티바이러스, 안티스팸, VPN 등입니다. 이 모든 것이 하나의 UTM 솔루션 내에 결합되어 통합, 구성, 관리 및 모니터링 측면에서 더 쉽고 이는 결국 네트워크의 전반적인 보안에 긍정적인 영향을 미칩니다. UTM 솔루션이 처음 등장했을 때는 중소기업 전용으로 간주되었습니다. UTM은 대량의 트래픽을 처리할 수 없었습니다. 그 이유는 두 가지였습니다.

1. 패킷 처리 방법. UTM 솔루션의 첫 번째 버전은 각 "모듈"에서 패킷을 순차적으로 처리했습니다. 예: 패킷은 먼저 방화벽에 의해 처리된 다음 IPS, 안티 바이러스에 의해 검사되는 방식으로 진행됩니다. 당연히 이러한 메커니즘은 트래픽에 심각한 지연을 초래하고 시스템 리소스(프로세서, 메모리)를 크게 소모했습니다.
2. 약한 하드웨어. 위에서 언급한 바와 같이, 패킷의 순차적 처리는 자원을 많이 소모하며, 당시(1995~2005년)의 하드웨어는 대규모 트래픽을 도저히 감당할 수 없었습니다.

그러나 진전은 멈추지 않습니다. 그 이후로 하드웨어 용량이 크게 증가하고 패킷 처리가 변경되었으며(모든 공급업체가 이를 가지고 있는 것은 아님을 인정해야 함) 동시에 여러 모듈(ME, IPS, AntiVirus 등)에서 거의 동시 분석이 허용되기 시작했습니다. 최신 UTM 솔루션은 심층 분석 모드에서 수십, 심지어 수백 기가비트를 "소화"할 수 있으므로 대기업 부문이나 심지어 데이터 센터에서도 사용할 수 있습니다.

다음은 2016년 XNUMX월 UTM 솔루션에 대한 유명한 Gartner Magic Quadrant입니다.

이 사진에 대해서는 별로 언급하지 않겠습니다. 리더가 오른쪽 상단에 있다고만 말씀드리겠습니다.

NGFW - 차세대 방화벽

이름은 그 자체로 차세대 방화벽을 의미합니다. 이 개념은 UTM보다 훨씬 늦게 나타났습니다. NGFW의 주요 아이디어는 내장된 IPS를 활용한 심층 패킷 분석(DPI)과 애플리케이션 수준의 접근 제어(Application Control)이다. 이 경우 IPS는 패킷 스트림에서 특정 애플리케이션을 식별하는 데 정확히 필요한 것이며 이를 통해 이를 허용하거나 거부할 수 있습니다. 예: Skype 작동을 허용할 수 있지만 파일 전송은 금지할 수 있습니다. Torrent 또는 RDP 사용을 금지할 수 있습니다. 웹 애플리케이션도 지원됩니다. VK.com에 대한 액세스를 허용할 수 있지만 게임, 메시지 또는 비디오 시청은 금지됩니다. 기본적으로 NGFW의 품질은 감지할 수 있는 애플리케이션 수에 따라 달라집니다. 많은 사람들은 NGFW 개념의 출현이 Palo Alto 회사가 급속한 성장을 시작한 배경에 대한 일반적인 마케팅 전략이라고 믿습니다.

2016년 XNUMX월 NGFW에 대한 Gartner 매직 쿼드런트:

UTM 대 NGFW

매우 일반적인 질문은 어느 것이 더 낫습니까? 여기에는 명확한 답이 없으며 그럴 수도 없습니다. 특히 거의 모든 최신 UTM 솔루션에는 NGFW 기능이 포함되어 있고 대부분의 NGFW에는 UTM 고유 기능(안티바이러스, VPN, Anti-Bot 등)이 포함되어 있다는 점을 고려하면 더욱 그렇습니다. 항상 그렇듯이 "악마는 세부 사항에 있습니다." 따라서 우선 구체적으로 필요한 것이 무엇인지 결정하고 예산을 결정해야 합니다. 이러한 결정에 따라 몇 가지 옵션을 선택할 수 있습니다. 그리고 마케팅 자료를 믿지 않고도 모든 것을 명확하게 테스트해야 합니다.

우리는 차례로 여러 기사에서 Check Point에 대해, 어떻게 시도할 수 있는지, 그리고 원칙적으로 무엇을 시도할 수 있는지(거의 모든 기능)에 대해 이야기하려고 노력할 것입니다.

세 개의 체크포인트 엔터티

Check Point를 사용하면 이 제품의 세 가지 구성 요소를 확실히 접하게 됩니다.

1. 보안 게이트웨이(SG) — 일반적으로 네트워크 경계에 설치되고 방화벽, 스트리밍 바이러스 백신, 안티봇, IPS 등의 기능을 수행하는 보안 게이트웨이 자체입니다.
2. 보안 관리 서버(SMS) — 게이트웨이 관리 서버. 게이트웨이(SG)의 거의 모든 설정은 이 서버를 사용하여 수행됩니다. SMS는 또한 로그 서버 역할을 할 수 있으며 내장된 이벤트 분석 및 상관 관계 시스템인 Smart Event(Check Point의 SIEM과 유사)를 사용하여 이를 처리할 수 있지만 이에 대해서는 나중에 자세히 설명합니다. SMS는 여러 게이트웨이를 중앙 집중적으로 관리하는 데 사용되지만(게이트웨이 수는 SMS 모델 또는 라이센스에 따라 다름) 게이트웨이가 하나만 있는 경우에도 사용해야 합니다. 여기서 주목해야 할 점은 Check Point가 이러한 중앙 집중식 관리 시스템을 사용한 최초의 회사 중 하나라는 점입니다. 이는 Gartner 보고서에 따르면 수년 동안 연속으로 "최고의 표준"으로 인식되었습니다. “시스코가 정상적인 관리 시스템을 갖고 있었다면 체크포인트는 절대 등장하지 않았을 것”이라는 농담도 있다.
3. 스마트 콘솔 — 관리 서버(SMS)에 연결하기 위한 클라이언트 콘솔입니다. 일반적으로 관리자의 컴퓨터에 설치됩니다. 관리 서버의 모든 변경 사항은 이 콘솔을 통해 이루어지며, 이후 보안 게이트웨이에 설정을 적용할 수 있습니다(정책 설치).

   

체크포인트 운영체제

Check Point 운영 체제에 대해 말하면 IPSO, SPLAT 및 GAIA의 세 가지를 한 번에 기억할 수 있습니다.

1. IPSO - Nokia에 속한 Ipsilon Networks의 운영 체제입니다. 2009년에 Check Point가 이 사업을 인수했습니다. 더 이상 발전하지 않습니다.
2. 스플랫 - RedHat 커널을 기반으로 Check Point 자체 개발. 더 이상 발전하지 않습니다.
3. 가이아 - IPSO와 SPLAT의 합병으로 등장한 Check Point의 현재 운영 체제는 모든 최고 기능을 통합합니다. 2012년에 등장해 계속해서 활발히 개발 중이다.

Gaia에 관해 말하면 현재 가장 일반적인 버전은 R77.30입니다. 비교적 최근에는 기능 및 제어 측면에서 이전 버전과 크게 다른 R80 버전이 나타났습니다. 차이점에 대해서는 별도의 게시물을 작성하겠습니다. 또 다른 중요한 점은 현재 버전 R77.10에만 FSTEC 인증서가 있으며 버전 R77.30이 인증을 받고 있다는 점입니다.

실행 옵션(Check Point Appliance, 가상 머신, OpenServer)

많은 공급업체와 마찬가지로 Check Point에도 여러 가지 제품 옵션이 있습니다.

1. Appliance — 하드웨어 및 소프트웨어 장치, 즉 그 자체의 "철 조각". 성능, 기능 및 디자인이 다른 많은 모델이 있습니다(산업 네트워크에 대한 옵션이 있음).

   

2. 가상 기기 — Gaia OS를 사용하는 Check Point 가상 머신. 하이퍼바이저 ESXi, Hyper-V, KVM이 지원됩니다. 프로세서 코어 수에 따라 라이센스가 부여됩니다.
3. 오픈 서버 — Gaia를 기본 운영 체제(소위 "베어 메탈")로 서버에 직접 설치합니다. 특정 하드웨어만 지원됩니다. 이 하드웨어에 대한 권장 사항을 따라야 합니다. 그렇지 않으면 드라이버 및 기술 장비에 문제가 발생할 수 있습니다. 지원팀에서는 서비스 제공을 거부할 수 있습니다.

구현 옵션(분산형 또는 독립형)

조금 더 높은 수준에서 게이트웨이(SG)와 관리 서버(SMS)가 무엇인지 이미 논의했습니다. 이제 구현 옵션에 대해 논의해 보겠습니다. 두 가지 주요 방법이 있습니다:

1. 독립형(SG+SMS) - 하나의 장치(또는 가상 머신) 내에 게이트웨이와 관리 서버가 모두 설치된 경우의 옵션입니다.

   
   
   이 옵션은 사용자 트래픽 로드가 적은 게이트웨이가 하나만 있는 경우에 적합합니다. 이 옵션이 가장 경제적입니다. 왜냐하면... 관리서버(SMS)를 구매할 필요가 없습니다. 그러나 게이트웨이의 부하가 높으면 제어 시스템이 "느리게" 될 수 있습니다. 따라서 독립형 솔루션을 선택하기 전에 이 옵션을 상담하거나 테스트하는 것이 가장 좋습니다.

2. 분산 — 관리 서버는 게이트웨이와 별도로 설치됩니다.

   
   
   편의성과 성능면에서 최고의 선택입니다. 중앙 게이트웨이, 지점 게이트웨이 등 여러 게이트웨이를 동시에 관리해야 하는 경우에 사용됩니다. 이 경우 어플라이언스 또는 가상 머신 형태일 수도 있는 관리 서버(SMS)를 구입해야 합니다.

위에서 말했듯이 Check Point에는 자체 SIEM 시스템인 Smart Event가 있습니다. 분산 설치의 경우에만 사용할 수 있습니다.

작동 모드(브리지, 라우팅)
보안 게이트웨이(SG)는 두 가지 주요 모드로 작동할 수 있습니다.

• 라우팅됨 - 가장 일반적인 옵션. 이 경우 게이트웨이는 L3 장치로 사용되며 자체적으로 트래픽을 라우팅합니다. Check Point는 보호되는 네트워크의 기본 게이트웨이입니다.
• 다리 — 투명 모드. 이 경우 게이트웨이는 일반 "브리지"로 설치되고 두 번째 수준(OSI)에서 트래픽을 통과합니다. 이 옵션은 일반적으로 기존 인프라를 변경할 가능성(또는 희망)이 없을 때 사용됩니다. 실제로 네트워크 토폴로지를 변경할 필요가 없으며 IP 주소 지정 변경에 대해 생각할 필요도 없습니다.

브리지 모드에는 기능면에서 몇 가지 제한 사항이 있으므로 통합자로서 모든 고객에게 가능하면 라우팅 모드를 사용하도록 조언하고 싶습니다.

Check Point 소프트웨어 블레이드

고객들이 가장 많이 궁금해하는 체크포인트의 가장 중요한 주제에 거의 도달했습니다. 이 "소프트웨어 블레이드"란 무엇입니까? 블레이드는 특정 체크 포인트 기능을 나타냅니다.

이러한 기능은 필요에 따라 켜거나 끌 수 있습니다. 동시에 게이트웨이(네트워크 보안)와 관리 서버에서만 활성화되는 블레이드도 있습니다. 아래 그림은 두 경우 모두에 대한 예를 보여줍니다.

1) 네트워크 보안을 위해 (게이트웨이 기능)

간략하게 설명하자면... 각 블레이드는 자체 기사를 받을 자격이 있습니다.

• 방화벽 - 방화벽 기능;
• IPSec VPN - 개인 가상 네트워크 구축
• 모바일 액세스 - 모바일 장치에서 원격 액세스
• IPS - 침입 방지 시스템;
• Anti-Bot - 봇넷 네트워크로부터 보호합니다.
• 안티바이러스(AntiVirus) - 스트리밍 바이러스 백신;
• 스팸 방지 및 이메일 보안 - 기업 이메일 보호;
• 신원 인식 - Active Directory 서비스와의 통합
• 모니터링 - 거의 모든 게이트웨이 매개변수(로드, 대역폭, VPN 상태 등) 모니터링
• 애플리케이션 제어 - 애플리케이션 수준 방화벽(NGFW 기능)
• URL 필터링 - 웹 보안(+프록시 기능);
• 데이터 손실 방지 - 정보 유출(DLP)로부터 보호합니다.
• 위협 에뮬레이션 - 샌드박스 기술(SandBox)
• 위협 추출 - 파일 정리 기술;
• QoS - 트래픽 우선순위.

몇 가지 기사를 통해 위협 에뮬레이션 및 위협 추출 블레이드에 대해 자세히 살펴보겠습니다. 흥미로울 것이라고 확신합니다.

2) 관리를 위해 (서버 기능 제어)

• 네트워크 정책 관리 - 중앙 집중식 정책 관리;
• 엔드포인트 정책 관리 - Check Point 에이전트의 중앙 집중식 관리(예, Check Point는 네트워크 보호뿐만 아니라 워크스테이션(PC) 및 스마트폰 보호를 위한 솔루션도 생산합니다)
• 로깅 및 상태 - 중앙 집중식 로그 수집 및 처리
• 관리 포털 - 브라우저를 통한 보안 관리
• 작업 흐름 - 정책 변경 제어, 변경 감사 등
• 사용자 디렉토리 - LDAP와의 통합;
• 프로비저닝 - 게이트웨이 관리 자동화
• Smart Reporter - 보고 시스템;
• 스마트 이벤트 - 이벤트 분석 및 상관관계(SIEM)
• 규정 준수 - 자동으로 설정을 확인하고 권장 사항을 제시합니다.

기사가 부풀려지거나 독자에게 혼란을 주지 않기 위해 지금은 라이센스 문제를 자세히 고려하지 않을 것입니다. 아마도 이 내용은 별도의 게시물로 게시할 것입니다.

블레이드 아키텍처를 통해 실제로 필요한 기능만 사용할 수 있으며 이는 솔루션 예산과 장치의 전반적인 성능에 영향을 미칩니다. 더 많은 블레이드를 활성화할수록 "통과"할 수 있는 트래픽이 줄어든다는 것은 논리적입니다. 그렇기 때문에 각 Check Point 모델에는 다음과 같은 성능표가 첨부되어 있습니다. (5400 모델의 특성을 예로 들었습니다.)

보시다시피 여기에는 합성 트래픽과 실제 트래픽의 두 가지 테스트 범주가 있습니다. 일반적으로 Check Point는 단순히 합성 테스트를 게시하도록 강요받습니다. 일부 공급업체는 실제 트래픽에 대한 솔루션의 성능을 검사하지 않고 벤치마크로 이러한 테스트를 사용합니다(또는 불만족스러운 특성으로 인해 의도적으로 해당 데이터를 숨김).

각 테스트 유형에서 다음과 같은 몇 가지 옵션을 확인할 수 있습니다.

1. 방화벽에 대해서만 테스트합니다.
2. 방화벽+IPS 테스트;
3. 방화벽+IPS+NGFW(애플리케이션 제어) 테스트;
4. 테스트 방화벽+응용 프로그램 제어+URL 필터링+IPS+안티바이러스+Anti-Bot+SandBlast(샌드박스)

솔루션을 선택할 때 이러한 매개변수를 주의 깊게 살펴보거나 당사에 문의하십시오. 상의.

여기서 체크포인트 기술에 대한 소개 글을 마무리할 수 있을 것 같습니다. 다음으로 Check Point를 테스트하는 방법과 최신 정보 보안 위협(바이러스, 피싱, 랜섬웨어, 제로데이)에 대처하는 방법을 살펴보겠습니다.

PS 중요한 점입니다. 외국(이스라엘) 출신임에도 불구하고 이 솔루션은 규제 당국에 의해 러시아 연방에서 인증되었으며, 이를 통해 정부 기관에서의 존재가 자동으로 합법화되었습니다. Denyemall).

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

어떤 UTM/NGFW 도구를 사용합니까?

• 체크 포인트

• 시스코 화력

• 포티넷

• 팔로 알토

• 소포스 (Sophos)

• Dell SonicWALL

• 화웨이

• 워치 가드

• Juniper

• UserGate

• 교통 조사관

• 루비콘

• 이 데코

• 오픈소스 솔루션

• 다른

134명의 사용자가 투표했습니다. 78명의 사용자가 기권했습니다.

출처 : habr.com