ProHoster > Blog > башкаруу > текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача
Саламатсыздарбы, урматтуу хабр окурмандары! Бул компаниянын корпоративдик блогу T.S Solution. Биз системалык интеграторбуз жана негизинен IT инфраструктурасынын коопсуздук чечимдерине адистешкенбиз (өткөрүү пунктун, Fortinet) жана машина маалыматтарды талдоо системалары (Splunk). Блогубузду Check Point технологияларына кыскача киришүү менен баштайбыз.

Бул макаланы жазсамбы деп көпкө ойлондук, анткени. анда интернеттен таба албаган жаңы эч нерсе жок. Бирок, маалыматтын ушунчалык көптүгүнө карабастан, кардарлар жана өнөктөштөр менен иштөөдө биз бир эле суроолорду көп угабыз. Ошондуктан, Check Point технологиялар дүйнөсүнө кандайдыр бир киришүүнү жазуу жана алардын чечимдеринин архитектурасынын маңызын ачуу чечими кабыл алынды. Мунун баары бир "кичинекей" посттун алкагында, мындайча айтканда, тез чегинүү. Ал эми биз маркетинг согуштарына кирбегенге аракет кылабыз, анткени. биз сатуучу эмеспиз, жөн гана системалык интеграторбуз (бирок биз Check Point абдан жакшы көрөбүз) жана башка өндүрүүчүлөр менен (мисалы, Palo Alto, Cisco, Fortinet ж.б.) салыштырбай эле негизги пункттарды камтыйт. Макала абдан көлөмдүү болуп чыкты, бирок ал Check Point менен таанышуу баскычындагы суроолордун көбүн кыскартат. Эгер сизди кызыктырса, анда мышыктын астына кош келиңиз ...

UTM/NGFW

Check Point жөнүндө сүйлөшүүнү баштаганда, биринчи кезекте UTM, NGFW деген эмне экенин жана алар кандайча айырмаланарын түшүндүрүп берүү керек. Пост өтө чоң болуп калбашы үчүн, биз муну абдан кыска кылабыз (балким, келечекте бул маселени бир аз майда-чүйдөсүнө чейин карап чыгабыз)

UTM - Бирдиктүү коркунучтарды башкаруу

Кыскача айтканда, UTM маңызы бир чечимге бир нече коопсуздук куралдарын бириктирүү болуп саналат. Ошол. баары бир кутуда же кээ бир баары камтылган. "Бир нече каражаттар" деген эмнени билдирет? Эң кеңири таралган вариант: Firewall, IPS, Proxy (URL чыпкалоо), Streaming Antivirus, Anti-Spam, VPN жана башкалар. Мунун баары бир UTM чечиминин алкагында бириктирилген, ал интеграция, конфигурация, башкаруу жана мониторинг жагынан жеңилирээк жана бул өз кезегинде тармактын жалпы коопсуздугуна оң таасирин тийгизет. UTM чечимдери биринчи жолу пайда болгондо, алар чакан компаниялар үчүн гана каралчу, анткени. UTM чоң көлөмдөгү трафикти көтөрө алган жок. Бул эки себеп менен болгон:

  1. Пакеттерди иштетүү жолу. UTM чечимдеринин биринчи версиялары пакеттерди ар бир "модуль" боюнча ырааттуу иштетишет. Мисал: адегенде пакет брандмауэр тарабынан иштетилет, андан кийин IPS, андан кийин Антивирус жана башкалар текшерилет. Албетте, мындай механизм трафиктин олуттуу кечигүүлөрүн жана көп керектелген тутум ресурстарын (процессор, эстутум) киргизди.
  2. Алсыз аппараттык. Жогоруда айтылгандай, пакеттерди ырааттуу иштетүү ресурстарды жеп, ошол мезгилдеги аппараттык каражаттар (1995-2005-ж.) чоң трафикти көтөрө алган эмес.

Бирок прогресс бир орунда турбайт. Ошондон бери аппараттык кубаттуулуктар кыйла көбөйүп, пакеттерди иштетүү өзгөрдү (баардык сатуучуларда андай эмес экенин моюнга алуу керек) жана бир эле учурда бир нече модулдарда (ME, IPS, AntiVirus ж. Заманбап UTM чечимдери терең талдоо режиминде ондогон, атүгүл жүздөгөн гигабиттерди “сиңирип” алат, бул аларды ири ишканалардын сегментинде же атүгүл маалымат борборлорунда колдонууга мүмкүндүк берет.

Төмөндө Gartnerдин 2016-жылдын август айындагы UTM чечимдери үчүн белгилүү Magic Quadrant болуп саналат:

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

Мен бул сүрөткө катуу комментарий бербейм, жөн гана жогорку оң бурчта лидерлер бар экенин айтам.

NGFW - Кийинки муун Firewall

Аты өзү үчүн сүйлөйт - кийинки муун брандмауэр. Бул түшүнүк UTM караганда бир топ кийин пайда болгон. NGFWдин негизги идеясы - бул орнотулган IPS жана колдонмо деңгээлинде кирүү контролун колдонуу менен терең пакеттик текшерүү (DPI). Бул учурда, IPS пакеттик агымдагы тигил же бул тиркемени аныктоо үчүн зарыл болгон нерсе, бул сизге уруксат берүүгө же баш тартууга мүмкүндүк берет. Мисал: Биз Skype иштешине уруксат бере алабыз, бирок файлдарды өткөрүүгө жол бербейбиз. Биз Torrent же RDP колдонууга тыюу сала алабыз. Веб тиркемелери да колдоого алынат: VK.com сайтына кирүүгө уруксат бере аласыз, бирок оюндарды, билдирүүлөрдү же видеолорду көрүүнү алдын ала аласыз. Негизинен, NGFW сапаты ал аныктай ала турган колдонмолордун санына жараша болот. Көптөр NGFW концепциясынын пайда болушу Пало Альто өзүнүн тез өсүшүн баштаган жалпы маркетинг амалы болгон деп эсептешет.

Май 2016 NGFW үчүн Gartner Magic Quadrant:

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

UTM vs NGFW

Абдан таралган суроо, кайсынысы жакшы? Бул жерде бир эле жооп жок жана болушу да мүмкүн эмес. Айрыкча, дээрлик бардык заманбап UTM чечимдери NGFW функционалдуулугун жана NGFWтердин көбү UTMге мүнөздүү функцияларды (Antivirus, VPN, Anti-Bot ж.б.) камтыйт экендигин эске алганда. Адаттагыдай эле, "шайтан майда-чүйдөсүнө чейин", ошондуктан, биринчи кезекте, эмне керек экенин чечиш керек, бюджетти чечиңиз. Бул чечимдердин негизинде бир нече варианттарды тандап алса болот. Ал эми маркетинг материалдарына ишенбей, бардыгын так текшерүү керек.

Биз, өз кезегинде, бир нече макалалардын алкагында, Check Point жөнүндө айтып берүүгө аракет кылабыз, аны кантип сынап көрүүгө болот жана, негизинен, сиз аракет кыла аласыз (дээрлик бардык функциялар).

Үч текшерүү пункту

Check Point менен иштөөдө сиз бул продукттун үч компонентине туш болосуз:

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

  1. Коопсуздук шлюзи (SG) - коопсуздук шлюзунун өзү, ал адатта тармактын периметрине жайгаштырылат жана брандмауэр, агымдык антивирус, анти-бот, IPS ж.б. функцияларын аткарат.
  2. Коопсуздукту башкаруу сервери (SMS) - шлюз башкаруу сервери. Шлюздагы (SG) дээрлик бардык орнотуулар ушул сервердин жардамы менен аткарылат. SMS журналдын сервери катары да иштей алат жана аларды камтылган окуяларды талдоо жана корреляция системасы менен иштете алат - Smart Event (Check Point үчүн SIEMге окшош), бирок кийинчерээк көбүрөөк. SMS бир нече шлюздарды борборлоштуруп башкаруу үчүн колдонулат (шлюздардын саны SMS моделине же лицензиясына жараша болот), бирок сизде бир гана шлюз бар болсо да, аны колдонушуңуз керек. Бул жерде белгилей кетүү керек, Check Point мындай борборлоштурулган башкаруу системасын биринчилерден болуп колдонгон, ал Gartner отчеттору боюнча көп жылдар катары менен “алтын стандарт” катары таанылган. Ал тургай тамаша бар: "Эгер Ciscoнун кадимки башкаруу системасы болсо, анда Check Point эч качан пайда болмок эмес".
  3. Smart Console — башкаруу серверине (SMS) туташуу үчүн кардар консолу. Адатта администратордун компьютерине орнотулат. Бул консол аркылуу бардык өзгөртүүлөр башкаруу серверинде жүргүзүлөт, андан кийин сиз орнотууларды коопсуздук шлюздарына колдоно аласыз (Орнотуу саясаты).

    текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

Check Point операциялык системасы

Check Point операциялык тутуму жөнүндө айтсак, бир эле учурда үчөөнү чакырып алса болот: IPSO, SPLAT жана GAIA.

  1. IPSO Nokia компаниясына таандык болгон Ipsilon Networks операциялык системасы. 2009-жылы бул бизнести Check Point сатып алган. Мындан ары өнүкпөйт.
  2. ИЛЕП БЕЛГИСИ - RedHat ядросунун негизинде текшерүү пунктун өздүк иштеп чыгуу. Мындан ары өнүкпөйт.
  3. Gaia - бардык мыктыларды камтыган IPSO жана SPLAT биригүүсүнүн натыйжасында пайда болгон Check Point учурдагы операциялык системасы. 2012-жылы пайда болгон жана жигердүү өнүгүүсүн улантууда.

Гаиа жөнүндө сөз кылып жатып, учурда эң кеңири таралган версия R77.30 деп айтуу керек. Салыштырмалуу жакында эле R80 версиясы пайда болду, ал мурункусунан (функционалдык жактан да, башкаруу жагынан да) олуттуу айырмаланат. Биз алардын айырмачылыктары темасына өзүнчө пост арнайбыз. Дагы бир маанилүү жагдай, учурда R77.10 версиясында гана FSTEC сертификаты бар жана R77.30 версиясы тастыкталууда.

Параметрлер (текшерүү пункту, виртуалдык машина, OpenServer)

Бул жерде таң калыштуу эч нерсе жок, анткени көптөгөн Check Point сатуучуларынын бир нече продукт варианттары бар:

  1. аспап - аппараттык жана программалык түзүлүш, б.а. өз "темир кесим". Өндүрүмдүүлүгү, иштеши жана дизайны менен айырмаланган көптөгөн моделдер бар (өнөр жай тармактары үчүн варианттар бар).

    текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

  2. Виртуалдык машина - Gaia OS менен Check Point виртуалдык машинасы. Hypervisors ESXi, Hyper-V, KVM колдоого алынат. Процессордун өзөктөрүнүн саны боюнча лицензияланган.
  3. ачык сервер - Гаианы түз серверге негизги операциялык система катары орнотуу ("Жылаңач металл" деп аталган). Кээ бир жабдыктар гана колдоого алынат. Бул аппараттык камсыздоо боюнча сунуштар бар, алар аткарылышы керек, антпесе, айдоочулар менен көйгөйлөр болушу мүмкүн. колдоо сизге кызмат көрсөтүүдөн баш тартышы мүмкүн.

Ишке ашыруу параметрлери (бөлүштүрүлгөн же өз алдынча)

Бир аз жогорураак, биз шлюз (SG) жана башкаруу сервери (SMS) эмне экенин талкууладык. Эми аларды ишке ашыруунун варианттарын талкуулайлы. эки негизги жолу бар:

  1. Өз алдынча (SG+SMS) - шлюз да, башкаруу сервери да бир түзмөктө (же виртуалдык машинада) орнотулган опция.

    текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

    Бул параметр сизде колдонуучу трафиги аз жүктөлгөн бир гана шлюз болгондо ылайыктуу. Бул параметр эң үнөмдүү, анткени. башкаруу серверин (SMS) сатып алуунун кереги жок. Бирок, шлюз катуу жүктөлгөн болсо, сиз жай башкаруу системасы менен аякташы мүмкүн. Ошондуктан, өз алдынча чечимди тандоодон мурун, бул параметрди кеңешип, ал тургай сынап көрүү жакшы.

  2. Бөлүштүрүлгөн — башкаруу сервери шлюзден өзүнчө орнотулган.

    текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

    Ыңгайлуулугу жана иштөөсү боюнча эң жакшы вариант. Ал бир эле учурда бир нече шлюздарды башкаруу зарыл болгондо колдонулат, мисалы, борбордук жана тармактык. Бул учурда сиз башкаруу серверин (SMS) сатып алышыңыз керек, ал прибор (темир кесим) же виртуалдык машина түрүндө да болушу мүмкүн.

Мен жогоруда айткандай, Check Point өзүнүн SIEM системасы бар - Smart Event. Сиз аны бөлүштүрүлгөн орнотууда гана колдоно аласыз.

Иштөө режимдери (Көпүрө, Багытталган)
Коопсуздук шлюзи (SG) эки негизги режимде иштей алат:

  • жокко чыгарды - эң кеңири таралган вариант. Бул учурда шлюз L3 түзмөгү катары колдонулат жана трафикти өзү аркылуу багыттайт, б.а. Check Point - корголгон тармак үчүн демейки шлюз.
  • көпүрө - ачык режим. Бул учурда шлюз кадимки “көпүрө” катары орнотулат жана ал аркылуу трафикти экинчи катмарда (OSI) өткөрөт. Бул параметр, адатта, учурдагы инфраструктураны өзгөртүү мүмкүнчүлүгү (же каалоосу) жок болгондо колдонулат. Сиз иш жүзүндө тармак топологиясын өзгөртүүгө жана IP дарегин өзгөртүү жөнүндө ойлонуунун кереги жок.

Мен Bridge режиминде кээ бир функционалдык чектөөлөр бар экенин белгилегим келет, ошондуктан, интегратор катары, биз бардык кардарларыбызга, албетте, мүмкүн болсо, Багытталган режимди колдонууну сунуштайбыз.

Программалык камсыздоо тилкелери (текшерүү чекитинин программалык тилкелери)

Биз кардарлардын эң көп суроолорун жараткан эң маанилүү Check Point темасына келдик. Бул "программалык жабдыктар" деген эмне? Blades белгилүү бир Check Point функцияларына тиешелүү.

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

Бул функциялар сиздин муктаждыктарыңызга жараша күйгүзүлүшү же өчүрүлүшү мүмкүн. Ошол эле учурда шлюзда (Тармак коопсуздугу) жана башкаруу серверинде гана (Башкаруу) иштетилген блейддер бар. Төмөндөгү сүрөттөр эки учурга тең мисалдарды көрсөтөт:

1) Тармактын коопсуздугу үчүн (шлюз функциясы)

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

Кыскача сүрөттөп берели, анткени ар бир бычак өзүнчө макалага татыктуу.

  • Firewall - брандмауэрдин функционалдуулугу;
  • IPSec VPN - жеке виртуалдык тармактарды куруу;
  • Mobile Access - мобилдик түзүлүштөрдөн алыстан кирүү;
  • IPS - интрузиянын алдын алуу системасы;
  • Anti-Bot - ботнет тармактарынан коргоо;
  • AntiVirus - агымдык антивирус;
  • AntiSpam & Email Security - корпоративдик почтаны коргоо;
  • Identity Awareness - Active Directory кызматы менен интеграция;
  • Мониторинг - шлюздун дээрлик бардык параметрлерине мониторинг жүргүзүү (жүктөө, өткөрүү жөндөмдүүлүгү, VPN статусу ж.б.)
  • Колдонмону көзөмөлдөө - тиркеме деңгээлиндеги брандмауэр (NGFW функционалдуулугу);
  • URL чыпкалоо - Веб коопсуздугу (+прокси функциясы);
  • Маалыматтын жоголушун алдын алуу - маалыматтын агып кетүүсүнөн коргоо (DLP);
  • Threat Emulation - Sandbox технологиясы (SandBox);
  • Threat Extraction - файлдарды тазалоо технологиясы;
  • QoS - трафиктин артыкчылыктуулугу.

Бир нече макалада биз Threat Emululation and Threat Extraction бычактарын жакшыраак карап чыгабыз, бул кызыктуу болот деп ишенем.

2) Башкаруу үчүн (башкаруу серверинин функциясы)

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

  • Network Policy Management - саясатты борборлоштурулган башкаруу;
  • Endpoint Policy Management - Check Point агенттерин борборлоштурулган башкаруу (ооба, Check Point тармакты коргоо үчүн гана эмес, ошондой эле жумушчу станцияларды (ЖК) жана смартфондорду коргоо үчүн чечимдерди чыгарат);
  • Logging & Status - журналдарды борборлоштурулган чогултуу жана иштетүү;
  • Башкаруу порталы - браузерден коопсуздукту башкаруу;
  • Жумуш процесси – саясаттын өзгөрүшүн көзөмөлдөө, өзгөртүүлөр аудити ж.б.;
  • Колдонуучунун каталогу - LDAP менен интеграция;
  • Провизия - шлюзду башкарууну автоматташтыруу;
  • Smart Reporter - отчеттуулук системасы;
  • Smart Event - окуяларды талдоо жана корреляциялоо (SIEM);
  • Шайкештик - орнотууларды автоматтык түрдө текшерүү жана сунуштарды берүү.

Макаланы көбүртүп-жабыртып, окурмандын башын айлантпоо үчүн биз азыр лицензиялык маселелерди ийне-жибине чейин карап отурбайбыз. Кыязы, биз аны өзүнчө постто чыгарабыз.

Бычак архитектурасы сизге чындап керектүү функцияларды гана колдонууга мүмкүндүк берет, бул чечимдин бюджетине жана аппараттын жалпы иштешине таасир этет. Канчалык көп бычактарды иштетсеңиз, трафик ошончолук азыраак болушу мүмкүн. Мына ошондуктан ар бир Check Point моделине төмөнкү аткаруу таблицасы тиркелет (мисалы, биз 5400 моделинин мүнөздөмөлөрүн алдык):

текшерүү пункту. Бул эмне, эмне менен жейт, же негизги нерсе жөнүндө кыскача

Көрүнүп тургандай, бул жерде тесттердин эки категориясы бар: синтетикалык трафик боюнча жана реалдуу - аралаш. Жалпысынан алганда, Check Point жөн гана синтетикалык тесттерди жарыялоого аргасыз, анткени. кээ бир сатуучулар реалдуу трафик боюнча чечимдеринин натыйжалуулугун текшербестен, мындай тесттерди эталон катары колдонушат (же алардын канааттандырарлык эместигинен улам мындай маалыматтарды атайылап жашырышат).

Тесттин ар бир түрүнөн сиз бир нече вариантты байкай аласыз:

  1. Firewall үчүн гана сыноо;
  2. Firewall + IPS тести;
  3. Firewall+IPS+NGFW (Колдонмо башкаруу) тести;
  4. Firewall+Колдонмону башкаруу+URL чыпкалоо+IPS+Антивирус+Анти-бот+Кум жардыргыч сыноо (кумкоргон)

Чечимиңизди тандап жатканда кылдаттык менен бул параметрлерди караңыз же байланышыңыз консультация.

Менимче, бул Check Point технологиялары боюнча киришүү макаласынын аягы. Андан кийин биз Check Point'ти кантип сынап көрүүгө болорун жана заманбап маалымат коопсуздугунун коркунучтары (вирустар, фишинг, ransomware, нөл күн) менен кантип күрөшүү керектигин карап чыгабыз.

PS Маанилүү жагдай. Чет өлкөлүк (Израиль) келип чыгышына карабастан, чечим Россия Федерациясында көзөмөл органдары тарабынан тастыкталган, алар автоматтык түрдө алардын мамлекеттик мекемелерде болушун мыйзамдаштырат (комментарий Denyemall).

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Кандай UTM/NGFW куралдарын колдоносуз?

  • өткөрүү пунктун

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • кароолчу

  • Арча

  • UserGate

  • жол инспектору

  • Rubicon

  • Ideco

  • ачык булак чечим

  • башка

134 колдонуучу добуш берди. 78 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com

Комментарий кошуу