kontrolléieren Punkt. Wat ass et, mat wat gëtt et giess, oder kuerz iwwer den Haapt Saach

Moien, léif Lieser vun Habr! Dëst ass de Firmeblog vun der Firma TS Léisung. Mir sinn e Systemintegrator a spezialiséiert haaptsächlech op IT Infrastruktur Sécherheetsléisungen (Check Point, Fortinet) a Maschinndatenanalysesystemer (Splunk). Mir starten eise Blog mat enger kuerzer Aféierung zu Check Point Technologien.

Mir hu laang geduecht, ob et derwäert wier dësen Artikel ze schreiwen, well ... et gëtt näischt Neies dran, wat net um Internet fonnt gouf. Wéi och ëmmer, trotz esou engem Iwwerfloss un Informatioun, wa mir mat Clienten a Partner schaffen, héiere mir zimlech dacks déiselwecht Froen. Dofir gouf decidéiert eng Aart Aféierung an d'Welt vun Check Point Technologien ze schreiwen an d'Essenz vun der Architektur vun hire Léisungen ze weisen. An dat alles ass am Kader vun engem "klengen" Post, e séieren Ausfluch, souzesoen. Ausserdeem wäerte mir probéieren net a Marketingkricher ze kommen, well ... Mir sinn net e Verkeefer, awer einfach e Systemintegrator (obwuel mir wierklech Check Point gär hunn) a wäerten einfach d'Haaptpunkte kucken ouni se mat aneren Hiersteller ze vergläichen (wéi Palo Alto, Cisco, Fortinet, etc.). Den Artikel huet sech als zimmlech laang erausgestallt, awer deckt déi meescht Froen op der Etapp vun der Bekanntschaft mam Check Point. Wann Dir interesséiert sidd, dann wëllkomm bei der Kaz...

UTM/NGFW

Wann Dir e Gespréich iwwer Check Point ufänkt, ass déi éischt Plaz fir unzefänken mat enger Erklärung vu wat UTM an NGFW sinn a wéi se ënnerscheeden. Mir wäerten dat ganz präzis maachen fir datt de Post net ze laang ass (vläicht an Zukunft wäerte mir dëst Thema e bësse méi am Detail betruechten)

UTM - Unified Threat Management

Kuerz gesot, d'Essenz vum UTM ass d'Konsolidéierung vu verschiddene Sécherheetsinstrumenter an enger Léisung. Déi. alles an enger Këscht oder eng Zort vun all inklusiv. Wat heescht "Multiple Remedies"? Déi heefegst Optioun ass: Firewall, IPS, Proxy (URL Filteren), Streaming Antivirus, Anti-Spam, VPN a sou weider. All dëst ass an enger UTM Léisung kombinéiert, wat méi einfach ass wat d'Integratioun, d'Konfiguratioun, d'Administratioun an d'Iwwerwaachung ugeet, an dat huet e positiven Effekt op d'allgemeng Sécherheet vum Netz. Wéi UTM Léisunge fir d'éischt erschéngen, goufen se exklusiv fir kleng Firmen ugesinn, well ... UTMs konnten net grouss Bänn vum Traffic handhaben. Dëst war aus zwee Grënn:

1. Packet Veraarbechtung Method. Déi éischt Versioune vun UTM Léisunge veraarbecht Pakete sequenziell, all "Modul". Beispill: als éischt gëtt de Paket vun der Firewall veraarbecht, dann IPS, duerno gëtt et vum Anti-Virus gescannt, a sou weider. Natierlech huet esou e Mechanismus sérieux Verspéidungen am Traffic agefouert a staark verbraucht Systemressourcen (Prozessor, Erënnerung).
2. Schwaach Hardware. Wéi uewen ernimmt, sequenziell Veraarbechtung vu Pakete vill Ressourcen verbraucht an d'Hardware vun deenen Zäiten (1995-2005) konnt einfach net mat grousse Traffic eens.

Awer de Fortschrëtt bleift net stoen. Zënterhier ass d'Hardwarekapazitéit wesentlech eropgaang, an d'Paketveraarbechtung huet geännert (et muss zouginn datt net all Ubidder et hunn) an huet ugefaang bal simultan Analyse a verschiddene Moduler gläichzäiteg z'erméiglechen (ME, IPS, AntiVirus, etc.). Modern UTM-Léisungen kënnen Zénger a souguer Honnerte vu Gigabits am déiwe Analysemodus "verdauen", wat et méiglech mécht se am Segment vu grousse Geschäfter oder souguer Datenzenteren ze benotzen.

Drënner ass de berühmte Gartner Magic Quadrant fir UTM Léisunge fir August 2016:

Ech kommentéieren net vill iwwer dëst Bild, ech soen just datt d'Cheffen an der oberer rechter Ecke sinn.

NGFW - Next Generation Firewall

Den Numm schwätzt fir sech - déi nächst Generatioun Firewall. Dëst Konzept erschéngt vill méi spéit wéi UTM. D'Haaptidee vun NGFW ass déif Paketanalyse (DPI) mat agebauter IPS an Zougangskontrolle um Applikatiounsniveau (Application Control). An dësem Fall ass IPS genau dat wat gebraucht gëtt fir dës oder déi Applikatioun am Paketstream z'identifizéieren, wat Iech erlaabt et z'erméiglechen oder ze refuséieren. Beispill: Mir kënnen Skype erlaben ze schaffen, awer verbidden Dateietransfer. Mir kënnen d'Benotzung vum Torrent oder RDP verbidden. Webapplikatiounen ginn och ënnerstëtzt: Dir kënnt Zougang zu VK.com erlaben, awer verbidden Spiller, Messagen oder Videoen kucken. Weesentlechen hänkt d'Qualitéit vun engem NGFW vun der Unzuel vun Uwendungen of, déi se erkennen kann. Vill gleewen datt d'Entstoe vum NGFW-Konzept e gemeinsame Marketing-Pléck war géint den Hannergrond vun deem d'Palo Alto Firma säi séiere Wuesstum ugefaang huet.

Gartner Magic Quadrant fir NGFW fir Mee 2016:

UTM vs NGFW

Eng ganz allgemeng Fro ass, wat ass besser? Et gëtt keng definitiv Äntwert hei a kann net sinn. Besonnesch wann Dir d'Tatsaach berücksichtegt datt bal all modern UTM-Léisungen NGFW-Funktionalitéit enthalen an déi meescht NGFWs enthalen Funktiounen inherent un UTM (Antivirus, VPN, Anti-Bot, etc.). Wéi ëmmer, "den Däiwel ass an den Detailer", also als éischt musst Dir entscheeden wat Dir spezifesch braucht an iwwer Äre Budget entscheeden. Baséierend op dës Entscheedunge kënnen verschidden Optiounen ausgewielt ginn. An alles muss eendeiteg getest ginn, ouni Marketingmaterial ze gleewen.

Mir, am Tour, am Kader vun verschiddenen Artikelen, wäert probéieren iwwer Check Point ze soen, wéi Dir et probéieren kann a wat, am Prinzip, kënnt Dir probéieren (bal all Funktionalitéit).

Dräi Check Point Entitéiten

Wann Dir mat Check Point schafft, wäert Dir definitiv dräi Komponente vun dësem Produkt begéinen:

1. Sécherheet Gateway (SG) - d'Sécherheetspaart selwer, déi normalerweis um Netzperimeter installéiert ass an d'Funktioune vun enger Firewall, Streaming Antivirus, Antibot, IPS, etc.
2. Sécherheetsmanagement Server (SMS) - Gateway Management Server. Bal all Astellunge vum Paart (SG) gi mat dësem Server duerchgefouert. SMS kann och als Log Server handelen an se mat engem agebaute Eventanalyse- a Korrelatiounssystem veraarbecht - Smart Event (ähnlech wéi SIEM fir Check Point), awer méi iwwer dat méi spéit. SMS gëtt fir zentraliséiert Gestioun vu verschiddene Paarte benotzt (d'Zuel vun de Paarte hänkt vum SMS Modell oder Lizenz of), awer Dir musst et benotzen och wann Dir nëmmen ee Paart hutt. Et sollt hei bemierkt ginn datt Check Point ee vun den éischten war fir sou e zentraliséierte Gestiounssystem ze benotzen, deen als "Gold Standard" no Gartner Berichter fir vill Joer hannereneen unerkannt gouf. Et gëtt souguer e Witz: "Wann Cisco en normale Gestiounssystem hätt, da wier Check Point ni opgetaucht."
3. Smart Konsol - Client Konsole fir mat dem Management Server (SMS) ze verbannen. Normalerweis um Computer vum Administrator installéiert. All Ännerungen um Management Server ginn duerch dës Konsole gemaach, an duerno kënnt Dir d'Astellunge fir d'Sécherheetspaarten uwenden (Install Policy).

   

Check Point Betribssystem

Schwätzen iwwer de Check Point Betribssystem, mir kënnen dräi op eemol erënneren: IPSO, SPLAT an GAIA.

1. IPSO - Betribssystem vun Ipsilon Networks, déi zu Nokia gehéiert. Am Joer 2009 huet Check Point dëst Geschäft kaaft. Net méi entwéckelt.
2. SPLAT - Check Point seng eege Entwécklung, baséiert op dem RedHat Kernel. Net méi entwéckelt.
3. Gaia - den aktuellen Betriebssystem vum Check Point, deen als Resultat vun der Fusioun vun IPSO an SPLAT erschéngt, mat all dat Bescht. Et ass am Joer 2012 erschéngt a weider aktiv entwéckelt.

Schwätzen iwwer Gaia, et soll gesot ginn, datt am Moment déi gemeinsam Versioun R77.30 ass. Relativ viru kuerzem ass d'R80 Versioun erschéngt, déi wesentlech vun der viregter ënnerscheet (souwuel wat d'Funktionalitéit an d'Kontroll ugeet). Mir wäerten e separate Post zum Thema vun hiren Differenzen widmen. Anere wichtege Punkt ass, datt am Moment nëmmen Versioun R77.10 engem FSTEC Zertifikat huet, an Versioun R77.30 gëtt zertifizéiert.

Ausféierungsoptiounen (Check Point Appliance, Virtuell Maschinn, OpenServer)

Et gëtt näischt iwwerraschend hei, wéi vill Ubidder, Check Point huet verschidde Produktoptiounen:

1. Apparat - Hardware a Software Apparat, d.h. säin eegent "Stéck Eisen". Et gi vill Modeller déi sech an der Leeschtung, der Funktionalitéit an dem Design ënnerscheeden (et gi Méiglechkeeten fir industriell Netzwierker).

   

2. Virtueller Maschinn - Check Point virtuell Maschinn mat Gaia OS. Hypervisoren ESXi, Hyper-V, KVM ginn ënnerstëtzt. Lizenzéiert vun Zuel vun Prozessor Kär.
3. Openserver - Gaia direkt op de Server als Haaptbetribssystem installéieren (de sougenannte "Bare Metal"). Nëmme bestëmmte Hardware gëtt ënnerstëtzt. Et gi Recommandatiounen fir dës Hardware déi gefollegt musse ginn, soss kënne Problemer mat Chauffeuren an technescher Ausrüstung entstoen. Ënnerstëtzung kann refuséieren Iech ze servéieren.

Ëmsetzung Optiounen (Verdeelt oder Standalone)

E bësse méi héich hu mir scho diskutéiert wat e Paart (SG) an e Managementserver (SMS) sinn. Loosst eis elo d'Optioune fir hir Ëmsetzung diskutéieren. Et ginn zwou Haapt Weeër:

1. Standalone (SG+SMS) - eng Optioun wann souwuel de Paart wéi och de Managementserver an engem Apparat (oder virtueller Maschinn) installéiert sinn.

   
   
   Dës Optioun ass gëeegent wann Dir nëmmen eng Paart hutt, déi liicht mam Benotzerverkéier gelueden ass. Dës Optioun ass déi ekonomeschst, well ... et ass net néideg engem Management Server ze kafen (SMS). Wéi och ëmmer, wann de Paart schwéier gelueden ass, kënnt Dir mat engem "luesen" Kontrollsystem ophalen. Dofir, ier Dir eng Standalone Léisung auswielt, ass et am beschten dës Optioun ze konsultéieren oder souguer ze testen.

2. Verdeelt - de Managementserver gëtt separat vum Paart installéiert.

   
   
   Déi bescht Optioun a punkto Komfort a Leeschtung. Benotzt wann et néideg ass fir e puer Paarte gläichzäiteg ze managen, zum Beispill zentrale a Filialen. An dësem Fall musst Dir e Management Server (SMS) kafen, deen och a Form vun engem Apparat oder enger virtueller Maschinn ka sinn.

Wéi ech virdru gesot hunn, Check Point huet säin eegene SIEM System - Smart Event. Dir kënnt et nëmmen am Fall vun Distributed Installatioun benotzen.

Operatiounsmodi (Bréck, routéiert)
De Sécherheetsgateway (SG) kann an zwee Haaptmodi funktionnéieren:

• Routéiert - déi allgemeng Optioun. An dësem Fall gëtt de Paart als L3-Apparat benotzt a féiert de Verkéier duerch sech selwer, d.h. Check Point ass de Standardpaart fir de geschützte Netzwierk.
• Bréck - transparent Modus. An dësem Fall gëtt d'Paart als regulär "Bréck" installéiert a geet duerch de Verkéier um zweeten Niveau (OSI). Dës Optioun gëtt normalerweis benotzt wann et keng Méiglechkeet (oder Wonsch) ass fir déi existent Infrastruktur z'änneren. Dir musst praktesch net d'Netzwierktopologie änneren an Dir musst net iwwer d'IP Adress änneren denken.

Ech géif gären notéieren datt et am Bridge Modus e puer Aschränkungen wat d'Funktionalitéit ugeet, sou datt mir als Integrator all eise Clienten roden de Routed Modus ze benotzen, natierlech, wa méiglech.

Check Point Software Blades

Mir hu bal dat wichtegst Thema vum Check Point erreecht, wat déi meeschte Froen bei de Clienten opwerft. Wat sinn dës "Software Blades"? Blades bezéie sech op bestëmmte Check Point Funktiounen.

Dës Funktiounen kënnen op oder ausgeschalt ginn ofhängeg vun Äre Besoinen. Zur selwechter Zäit sinn et Blades déi exklusiv op der Paart aktivéiert sinn (Network Security) an nëmmen op de Managementserver. D'Biller hei ënnen weisen Beispiller fir béid Fäll:

1) Fir Network Sécherheet (Gateway Funktionalitéit)

Loosst eis et kuerz beschreiwen, well ... all Blade verdéngt säin eegenen Artikel.

• Firewall - Firewall Funktionalitéit;
• IPSec VPN - privat virtuell Netzwierker bauen;
• Mobile Access - Fernzougang vu mobilen Apparater;
• IPS - Intrusion Preventioun System;
• Anti-Bot - Schutz géint Botnet Netzwierker;
• AntiVirus - Streaming Antivirus;
• AntiSpam & E-Mail Sécherheet - Schutz vu Firmen-E-Mail;
• Identitéitsbewosstsinn - Integratioun mam Active Directory Service;
• Iwwerwaachung - Iwwerwaachung vu bal all Paartparameter (Laascht, Bandbreedung, VPN Status, asw.)
• Applikatioun Kontroll - Applikatioun Niveau Firewall (NGFW Funktionalitéit);
• URL Filtering - Web Sécherheet (+ Proxy Funktionalitéit);
• Dateverloscht Präventioun - Schutz géint Informatiounsleck (DLP);
• Bedrohung Emulatioun - Sandbox Technologie (SandBox);
• Bedrohungsextraktioun - Dateireinigungstechnologie;
• QoS - Verkéier Prioritéit.

An nëmmen e puer Artikele wäerte mir en detailléierte Bléck op d'Threat Emulation an Threat Extraction Blades huelen, ech si sécher datt et interessant wäert sinn.

2) Fir Gestioun (Kontroll Server Funktionalitéit)

• Network Policy Management - zentraliséiert Politik Gestioun;
• Endpoint Politik Gestioun - zentraliséiert Gestioun vun Check Point Agenten (jo, Check Point produzéiert Léisungen net nëmme fir Reseau Schutz, mä och fir Schutz vun Aarbechtsstatiounen (PCs) a Smartphones);
• Logging & Status - zentraliséiert Sammlung a Veraarbechtung vu Logbicher;
• Management Portal - Sécherheetsmanagement vum Browser;
• Workflow - Kontroll iwwer Politik Ännerungen, Audit vun Ännerungen, etc .;
• Benotzer Verzeechnes - Integratioun mat LDAP;
• Provisioning - Automatisatioun vum Paartmanagement;
• Smart Reporter - Berichterstattungssystem;
• Smart Event - Analyse a Korrelatioun vun Eventer (SIEM);
• Konformitéit - kontrolléiert automatesch Astellungen a mécht Empfehlungen.

Mir wäerten elo keng Lizenzprobleemer am Detail betruechten, fir den Artikel net ze bloatéieren an de Lieser net duercherneen ze bréngen. Wahrscheinlech wäerte mir dëst an engem separaten Post posten.

D'Architektur vun de Blades erlaabt Iech nëmmen d'Funktiounen ze benotzen déi Dir wierklech braucht, wat de Budget vun der Léisung an d'Gesamtleistung vum Apparat beaflosst. Et ass logesch datt wat méi Blades Dir aktivéiert, wat manner Traffic Dir kënnt "duerch fueren". Dofir ass déi folgend Leeschtungstabel un all Check Point Modell befestegt (mir hunn d'Charakteristike vum 5400 Modell als Beispill geholl):

Wéi Dir kënnt gesinn, ginn et zwou Kategorien vun Tester hei: op syntheteschen Traffic an op real Traffic - gemëscht. Am Allgemengen, Check Point ass einfach gezwongen syntheteschen Tester ze publizéieren, well ... e puer Ubidder benotzen esou Tester als Benchmarks, ouni d'Performance vun hire Léisungen am realen Traffic z'ënnersichen (oder bewosst sou Donnéeën ze verstoppen wéinst hirer onzefriddener Natur).

An all Typ vun Test kënnt Dir verschidde Méiglechkeeten bemierken:

1. Test nëmme fir Firewall;
2. Firewall + IPS Test;
3. Firewall+IPS+NGFW (Applikatiounskontroll) Test;
4. Test Firewall+Applikatiounskontroll+URL Filteren+IPS+Antivirus+Anti-Bot+SandBlast (Sandbox)

Kuckt virsiichteg op dës Parameteren wann Dir Är Léisung auswielt, oder Kontakt Consultatioun.

Ech mengen dat ass wou mir den Aféierungsartikel iwwer Check Point Technologien fäerdeg kënne maachen. Als nächst wäerte mir kucken wéi Dir Check Point testen kënnt a wéi Dir mat modernen Informatiounssécherheetsbedrohungen ëmgeet (Viren, Phishing, Ransomware, Null-Dag).

PS E wichtege Punkt. Trotz senger auslännescher (israelescher) Hierkonft ass d'Léisung an der russescher Federatioun vun de reglementaresche Autoritéiten zertifizéiert, déi automatesch seng Präsenz a staatlechen Institutiounen legaliséiert (Kommentar vum Denyemall).

Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. Umellen, wann ech glift.

Wéi eng UTM / NGFW Tools benotzt Dir?

• Check Point

• Cisco Firepower

• Fortinet

• gekësst Alto

• Sophos

• Dell SonicWALL

• Trotz

• WatchGuard

• Personal

• UserGate

• Verkéier Inspekter

• Rubicon

• Ideco

• OpenSource Léisung

• Aner

134 Benotzer hunn gestëmmt. 78 Benotzer hu sech enthalen.

Source: will.com