patikrinimo taškas. Kas tai yra, su kuo valgoma arba trumpai apie pagrindinį dalyką

Sveiki, mieli habr skaitytojai! Tai yra įmonės tinklaraštis T.S sprendimas. Esame sistemų integratorius ir daugiausia specializuojamės IT infrastruktūros saugumo sprendimuose (Check Point, Fortinetas) ir mašinų duomenų analizės sistemos (Splunk). Savo tinklaraštį pradėsime trumpu įvadu į Check Point technologijas.

Ilgai galvojome, ar parašyti šį straipsnį, nes. jame nėra nieko naujo, ko nebūtų galima rasti internete. Tačiau nepaisant tokios informacijos gausos, dirbdami su klientais ir partneriais dažnai išgirstame tuos pačius klausimus. Todėl buvo nuspręsta parašyti savotišką įvadą į Check Point technologijų pasaulį ir atskleisti jų sprendimų architektūros esmę. Ir visa tai vieno „mažo“ įrašo rėmuose, taip sakant, greitas nukrypimas. Ir mes stengsimės nesivelti į rinkodaros karus, nes. nesame pardavėjai, o tiesiog sistemų integratoriai (nors labai mėgstame Check Point) ir tiesiog perskaitome pagrindinius dalykus, nelyginant jų su kitais gamintojais (pvz., Palo Alto, Cisco, Fortinet ir kt.). Straipsnis pasirodė gana didelis, tačiau jis pašalina daugumą klausimų susipažinimo su „Check Point“ etape. Jei susidomėjote, sveiki atvykę po katinu…

UTM/NGFW

Pradedant pokalbį apie Check Point, pirmiausia reikia paaiškinti, kas yra UTM, NGFW ir kuo jie skiriasi. Tai padarysime labai glaustai, kad įrašas nepasirodytų per didelis (galbūt ateityje šį klausimą apsvarstysime šiek tiek išsamiau)

UTM – vieningas grėsmių valdymas

Trumpai tariant, UTM esmė yra kelių saugos įrankių konsolidavimas viename sprendime. Tie. viskas vienoje dėžutėje arba kai kurios viskas įskaičiuota. Ką reiškia „keli gydymo būdai“? Dažniausia parinktis yra: ugniasienė, IPS, tarpinis serveris (URL filtravimas), srautinė antivirusinė programa, anti-spam, VPN ir pan. Visa tai sujungta į vieną UTM sprendimą, kuris yra paprastesnis integravimo, konfigūravimo, administravimo ir stebėjimo požiūriu, o tai savo ruožtu teigiamai veikia bendrą tinklo saugumą. Kai pirmą kartą pasirodė UTM sprendimai, jie buvo skirti tik mažoms įmonėms, nes. UTM negalėjo valdyti didelio srauto. Taip buvo dėl dviejų priežasčių:

1. Paketų tvarkymas. Pirmosios UTM sprendimų versijos apdorojo paketus nuosekliai, pagal kiekvieną „modulį“. Pavyzdys: pirmiausia paketą apdoroja ugniasienė, tada IPS, tada jį patikrina antivirusinė programa ir pan. Natūralu, kad toks mechanizmas sukėlė rimtų srauto vėlavimų ir labai sunaudojo sistemos išteklius (procesorių, atmintį).
2. Silpna aparatūra. Kaip minėta aukščiau, nuoseklus paketų apdorojimas suvalgė išteklius, o tų laikų (1995–2005 m.) aparatinė įranga tiesiog negalėjo susidoroti su dideliu srautu.

Tačiau pažanga nestovi vietoje. Nuo to laiko smarkiai išaugo aparatinės įrangos pajėgumai, pasikeitė paketų apdorojimas (reikia pripažinti, kad ne visi pardavėjai jį turi) ir pradėjo leisti beveik vienu metu analizę keliuose moduliuose (ME, IPS, AntiVirus ir kt.). Šiuolaikiniai UTM sprendimai giliosios analizės režimu gali „suvirškinti“ dešimtis ir net šimtus gigabitų, todėl juos galima naudoti didelių įmonių ar net duomenų centrų segmente.

Žemiau yra garsusis Gartner Magic Quadrant UTM sprendimams 2016 m. rugpjūčio mėn.:

Šios nuotraukos stipriai nekomentuosiu, tik pasakysiu, kad viršutiniame dešiniajame kampe yra lyderiai.

NGFW – naujos kartos ugniasienė

Pavadinimas kalba pats už save – naujos kartos ugniasienė. Ši koncepcija pasirodė daug vėliau nei UTM. Pagrindinė NGFW idėja yra gilus paketų patikrinimas (DPI), naudojant įmontuotą IPS ir prieigos kontrolę programos lygiu (Application Control). Šiuo atveju IPS yra kaip tik tai, ko reikia norint identifikuoti tą ar kitą programą paketų sraute, leidžiančią tai leisti arba uždrausti. Pavyzdys: galime leisti „Skype“ veikti, bet neleisti perduoti failų. Galime uždrausti Torrent arba RDP naudojimą. Taip pat palaikomos žiniatinklio programos: galite leisti prieigą prie VK.com, bet neleisti žaidimų, pranešimų ar vaizdo įrašų žiūrėjimo. Iš esmės NGFW kokybė priklauso nuo taikomųjų programų skaičiaus. Daugelis mano, kad NGFW koncepcijos atsiradimas buvo įprastas rinkodaros triukas, prieš kurį Palo Alto pradėjo spartų augimą.

2016 m. gegužės mėn. „Gartner Magic Quadrant“, skirtas NGFW:

UTM prieš NGFW

Labai dažnas klausimas, kas geriau? Čia nėra vieno atsakymo ir negali būti. Ypač atsižvelgiant į tai, kad beveik visi šiuolaikiniai UTM sprendimai turi NGFW funkcionalumą, o dauguma NGFW turi funkcijų, būdingų UTM (Antivirus, VPN, Anti-Bot ir kt.). Kaip visada „velnias slypi detalėse“, tad pirmiausia reikia apsispręsti, ko konkrečiai reikia, apsispręsti dėl biudžeto. Remiantis šiais sprendimais, galima pasirinkti keletą variantų. Ir viską reikia vienareikšmiškai išbandyti, netikėti rinkodaros medžiaga.

Mes, savo ruožtu, keliuose straipsniuose pabandysime papasakoti apie „Check Point“, kaip galite jį išbandyti ir ką iš esmės galite išbandyti (beveik visas funkcionalumas).

Trys patikros taško subjektai

Dirbdami su Check Point tikrai susidursite su trimis šio produkto komponentais:

1. Saugumo vartai (SG) - patys saugos šliuzai, kurie dažniausiai dedami ant tinklo perimetro ir atlieka ugniasienės, srautinės antivirusinės, anti-bot, IPS ir kt. funkcijas.
2. Saugumo valdymo serveris (SMS) - šliuzo valdymo serveris. Beveik visi šliuzo (SG) nustatymai atliekami naudojant šį serverį. SMS taip pat gali veikti kaip žurnalo serveris ir apdoroti juos su integruota įvykių analizės ir koreliacijos sistema – Smart Event (panašiai kaip SIEM, skirta Check Point), bet apie tai vėliau. SMS naudojama centralizuotai valdyti kelis šliuzus (šliuzų skaičius priklauso nuo SMS modelio arba licencijos), tačiau turite jį naudoti, net jei turite tik vieną šliuzą. Čia reikia pažymėti, kad „Check Point“ viena pirmųjų pradėjo naudoti tokią centralizuotą valdymo sistemą, kuri pagal „Gartner“ ataskaitas jau daug metų iš eilės buvo pripažinta „auksiniu standartu“. Yra net pokštas: „Jei „Cisco“ turėtų įprastą valdymo sistemą, „Check Point“ niekada nebūtų atsiradęs.
3. Išmanioji konsolė — kliento konsolė, skirta prisijungti prie valdymo serverio (SMS). Paprastai įdiegiama administratoriaus kompiuteryje. Per šią konsolę visi pakeitimai atliekami valdymo serveryje, o po to galite pritaikyti nustatymus saugos šliuzams (Install Policy).

   

Check Point operacinė sistema

Kalbant apie „Check Point“ operacinę sistemą, iš karto galima prisiminti tris: IPSO, SPLAT ir GAIA.

1. IPSO yra „Ipsilon Networks“ operacinė sistema, kuri priklausė „Nokia“. 2009 m. „Check Point“ įsigijo šį verslą. Nebevystoma.
2. SPLAT - nuosavas „Check Point“ kūrimas, pagrįstas „RedHat“ branduoliu. Nebevystoma.
3. Gaia - dabartinė „Check Point“ operacinė sistema, kuri atsirado sujungus IPSO ir SPLAT, apimanti viską, kas geriausia. Atsirado 2012 m. ir toliau aktyviai vystosi.

Kalbant apie Gaia, reikia pasakyti, kad šiuo metu labiausiai paplitusi versija yra R77.30. Palyginti neseniai pasirodė R80 versija, kuri gerokai skiriasi nuo ankstesnės (tiek funkcionalumu, tiek valdymu). Jų skirtumų temai skirsime atskirą įrašą. Kitas svarbus dalykas yra tai, kad šiuo metu tik versija R77.10 turi FSTEC sertifikatą, o versija R77.30 yra sertifikuojama.

Parinktys (Check Point Appliance, Virtuali mašina, OpenServer)

Čia nėra nieko stebėtino, nes daugelis „Check Point“ pardavėjų turi keletą produktų variantų:

1. prietaisas - techninės ir programinės įrangos įrenginį, t.y. nuosavas „geležies gabalas“. Yra daugybė modelių, kurie skiriasi našumu, funkcionalumu ir dizainu (yra pramoninių tinklų parinkčių).

   

2. Virtuali mašina - „Check Point“ virtuali mašina su „Gaia“ OS. Palaikomi hipervizoriai ESXi, Hyper-V, KVM. Licencijuota pagal procesoriaus branduolių skaičių.
3. atviras serveris - Gaia diegimas tiesiai serveryje kaip pagrindinė operacinė sistema (vadinamoji "bare metal"). Palaikoma tik tam tikra aparatinė įranga. Yra rekomendacijų dėl šios aparatinės įrangos, kurių reikia laikytis, kitaip gali kilti problemų dėl tvarkyklių ir jų. Pagalba gali atsisakyti suteikti jums paslaugą.

Diegimo parinktys (paskirstytos arba atskiros)

Šiek tiek aukščiau, mes jau aptarėme, kas yra vartai (SG) ir valdymo serveris (SMS). Dabar aptarkime jų įgyvendinimo galimybes. Yra du pagrindiniai būdai:

1. Atskiras (SG + SMS) - parinktis, kai ir šliuzas, ir valdymo serveris yra įdiegti tame pačiame įrenginyje (arba virtualioje mašinoje).

   
   
   Ši parinktis tinka, kai turite tik vieną šliuzą, kuris yra šiek tiek apkrautas vartotojų srautu. Ši parinktis yra ekonomiškiausia, nes. nereikia pirkti valdymo serverio (SMS). Tačiau jei šliuzas yra labai apkrautas, gali atsirasti lėta valdymo sistema. Todėl prieš renkantis savarankišką sprendimą geriausia pasikonsultuoti ar net išbandyti šį variantą.

2. Platinama — valdymo serveris įdiegiamas atskirai nuo šliuzo.

   
   
   Patogumo ir našumo požiūriu geriausias pasirinkimas. Jis naudojamas, kai reikia valdyti kelis vartus vienu metu, pavyzdžiui, centrinius ir šakinius. Tokiu atveju turite įsigyti valdymo serverį (SMS), kuris taip pat gali būti prietaiso (geležies gabalo) arba virtualios mašinos pavidalu.

Kaip jau sakiau aukščiau, „Check Point“ turi savo SIEM sistemą – „Smart Event“. Jį galite naudoti tik paskirstyto diegimo atveju.

Veikimo režimai (tiltas, maršrutinis)
Saugumo vartai (SG) gali veikti dviem pagrindiniais režimais:

• Maršrutas - labiausiai paplitęs variantas. Šiuo atveju vartai naudojamas kaip L3 įrenginys ir nukreipia srautą per save, t.y. Patikrinimo taškas yra numatytasis apsaugoto tinklo šliuzas.
• Tiltas - skaidrus režimas. Šiuo atveju vartai įrengiami kaip įprastas „tiltas“ ir srautą per jį perduoda antrame lygyje (OSI). Ši parinktis dažniausiai naudojama tada, kai nėra galimybės (ar noro) keisti esamos infrastruktūros. Jums praktiškai nereikia keisti tinklo topologijos ir nereikia galvoti apie IP adreso keitimą.

Noriu pastebėti, kad tilto režime yra tam tikrų funkcinių apribojimų, todėl kaip integratorius visiems savo klientams patariame, žinoma, jei įmanoma, naudoti maršruto režimą.

Programinės įrangos ašmenys (Check Point Software Blades)

Beveik priėjome prie svarbiausios Check Point temos, kuri klientams kelia daugiausia klausimų. Kas yra šios „programinės įrangos ašmenys“? Ašmenys nurodo tam tikras Check Point funkcijas.

Šias funkcijas galima įjungti arba išjungti, atsižvelgiant į jūsų poreikius. Tuo pačiu metu yra dalių, kurios aktyvuojamos tik šliuzuose (tinklo sauga) ir tik valdymo serveryje (valdymas). Toliau pateiktose nuotraukose pateikiami abiejų atvejų pavyzdžiai:

1) Dėl tinklo saugumo (vartų funkcija)

Trumpai apibūdinkime, nes kiekvienas peilis nusipelno atskiro straipsnio.

• Firewall – ugniasienės funkcionalumas;
• IPSec VPN – privačių virtualių tinklų kūrimas;
• Mobilioji prieiga – nuotolinė prieiga iš mobiliųjų įrenginių;
• IPS – įsibrovimo prevencijos sistema;
• Anti-Bot – apsauga nuo botnet tinklų;
• AntiVirus - srautinė antivirusinė programa;
• AntiSpam & Email Security – įmonės pašto apsauga;
• Identity Awareness – integracija su Active Directory paslauga;
• Stebėjimas – beveik visų šliuzo parametrų stebėjimas (apkrova, pralaidumas, VPN būsena ir kt.)
• Application Control – taikomųjų programų lygio ugniasienė (NGFW funkcionalumas);
• URL filtravimas – žiniatinklio sauga (+proxy funkcija);
• Duomenų praradimo prevencija – apsauga nuo informacijos nutekėjimo (DLP);
• Grėsmių emuliacija – smėlio dėžės technologija (SandBox);
• Grėsmių ištraukimas – failų valymo technologija;
• QoS – eismo prioritetų nustatymas.

Tik keliuose straipsniuose mes atidžiau pažvelgsime į grėsmių emuliavimo ir grėsmių pašalinimo peiliukus, tikiu, kad tai bus įdomu.

2) Valdymui (valdymo serverio funkcija)

• Tinklo politikos valdymas – centralizuotas politikos valdymas;
• Endpoint Policy Management – ​​centralizuotas Check Point agentų valdymas (taip, Check Point gamina sprendimus ne tik tinklo apsaugai, bet ir darbo vietų (asmeninių kompiuterių) bei išmaniųjų telefonų apsaugai;
• Registravimas ir būsena – centralizuotas rąstų rinkimas ir apdorojimas;
• Valdymo portalas – saugumo valdymas iš naršyklės;
• Darbo eiga – politikos pakeitimų kontrolė, pakeitimų auditas ir kt.;
• Vartotojų katalogas – integracija su LDAP;
• Aprūpinimas – šliuzo valdymo automatizavimas;
• Smart Reporter – ataskaitų sistema;
• Smart Event – ​​įvykių analizė ir koreliacija (SIEM);
• Atitiktis – automatinis nustatymų patikrinimas ir rekomendacijų išdavimas.

Dabar mes išsamiai nenagrinėsime licencijavimo klausimų, kad nepadidintume straipsnio ir nesupainiotume skaitytojo. Greičiausiai jį išimsime atskirame įraše.

Blade architektūra leidžia naudoti tik tas funkcijas, kurių jums tikrai reikia, o tai turi įtakos sprendimo biudžetui ir bendram įrenginio veikimui. Logiška, kad kuo daugiau ašmenų suaktyvinsite, tuo mažiau eismo bus galima „nuvaryti“. Štai kodėl prie kiekvieno „Check Point“ modelio pridedama ši našumo lentelė (pavyzdžiui, mes paėmėme 5400 modelio charakteristikas):

Kaip matote, čia yra dviejų kategorijų bandymai: sintetinio srauto ir tikrojo - mišrių. Paprastai tariant, „Check Point“ yra tiesiog priverstas skelbti sintetinius testus, nes. kai kurie pardavėjai tokius testus naudoja kaip etalonus, netirdami savo sprendimų veikimo realiame sraute (arba sąmoningai slepia tokius duomenis dėl jų nepatenkinamumo).

Kiekvieno tipo testuose galite pastebėti keletą variantų:

1. išbandyti tik ugniasienę;
2. Ugniasienė + IPS testas;
3. Firewall+IPS+NGFW (Application control) testas;
4. Ugniasienė+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast testas (smėlio dėžė)

Atidžiai peržiūrėkite šiuos parametrus rinkdamiesi sprendimą arba susisiekite patarimas.

Manau, tai yra įvadinio straipsnio apie „Check Point“ technologijas pabaiga. Toliau apžvelgsime, kaip galite išbandyti „Check Point“ ir kaip susidoroti su šiuolaikinėmis informacijos saugumo grėsmėmis (virusais, sukčiavimu, „ransomware“, „zero-day“).

PS Svarbus dalykas. Nepaisant užsienio (Izraelio) kilmės, sprendimas Rusijos Federacijoje yra sertifikuotas priežiūros institucijų, o tai automatiškai įteisina jų buvimą valstybės institucijose (komentaras Denyemall).

Apklausoje gali dalyvauti tik registruoti vartotojai. Prisijungti, Prašau.

Kokius UTM/NGFW įrankius naudojate?

• Check Point

• Cisco ugnies galia

• Fortinetas

• Palo Alto

• "Sophos"

• Dell SonicWALL

• "Huawei"

• „WatchGuard“

• Kadagys

• Vartotojo vartai

• eismo inspektorius

• „Rubicon“

• Ideco

• atvirojo kodo sprendimas

• Kitas

Balsavo 134 vartotojai. 78 vartotojų susilaikė.

Šaltinis: www.habr.com