Sveiki, dÄrgie habr lasÄ«tÄji! Å is ir uzÅÄmuma korporatÄ«vais emuÄrs
MÄs ilgi domÄjÄm par to, vai rakstÄ«t Å”o rakstu, jo. tajÄ nav nekÄ jauna, ko nevarÄtu atrast internetÄ. TomÄr, neskatoties uz Å”Ädu informÄcijas pÄrbagÄtÄ«bu, strÄdÄjot ar klientiem un partneriem, bieži dzirdam vienus un tos paÅ”us jautÄjumus. TÄpÄc tika nolemts uzrakstÄ«t sava veida ievadu Check Point tehnoloÄ£iju pasaulÄ un atklÄt to risinÄjumu arhitektÅ«ras bÅ«tÄ«bu. Un tas viss viena ānelielaā ieraksta ietvaros, tÄ teikt, Ätra atkÄpe. Un mÄs centÄ«simies neielaisties mÄrketinga karos, jo. mÄs neesam pÄrdevÄjs, bet tikai sistÄmas integrators (lai gan mums ļoti patÄ«k Check Point) un vienkÄrÅ”i pÄrskatÄm galvenos punktus, nesalÄ«dzinot tos ar citiem ražotÄjiem (piemÄram, Palo Alto, Cisco, Fortinet utt.). Raksts izrÄdÄ«jÄs diezgan apjomÄ«gs, taÄu tas nogriež lielÄko daļu jautÄjumu iepazÄ«Å”anÄs posmÄ ar Check Point. Ja ir interese, laipni lÅ«dzam zem kaÄ·aā¦
UTM/NGFW
UzsÄkot sarunu par Check Point, vispirms ir jÄpaskaidro, kas ir UTM, NGFW un kÄ tie atŔķiras. MÄs to darÄ«sim ļoti kodolÄ«gi, lai ieraksts neizrÄdÄ«tos pÄrÄk liels (iespÄjams, nÄkotnÄ mÄs apsvÄrsim Å”o jautÄjumu nedaudz sÄ«kÄk)
UTM ā vienota draudu pÄrvaldÄ«ba
ÄŖsÄk sakot, UTM bÅ«tÄ«ba ir vairÄku droŔības rÄ«ku apvienoÅ”ana vienÄ risinÄjumÄ. Tie. viss vienÄ kastÄ vai daži viss iekļauts. Ko nozÄ«mÄ āvairÄki lÄ«dzekļiā? VisizplatÄ«tÄkÄ iespÄja ir: ugunsmÅ«ris, IPS, starpniekserveris (URL filtrÄÅ”ana), straumÄÅ”anas pretvÄ«russ, anti-spam, VPN un tÄ tÄlÄk. Tas viss ir apvienots viena UTM risinÄjuma ietvaros, kas ir vienkÄrÅ”Äks integrÄcijas, konfigurÄcijas, administrÄÅ”anas un uzraudzÄ«bas ziÅÄ, un tas, savukÄrt, pozitÄ«vi ietekmÄ kopÄjo tÄ«kla droŔību. Kad UTM risinÄjumi pirmo reizi parÄdÄ«jÄs, tie tika uzskatÄ«ti tikai par maziem uzÅÄmumiem, jo. UTM nespÄja apstrÄdÄt lielu trafika apjomu. Tas notika divu iemeslu dÄļ:
- PakeÅ”u apstrÄdes veids. PirmÄs UTM risinÄjumu versijas paketes apstrÄdÄja secÄ«gi, pa katru āmoduliā. PiemÄrs: vispirms paketi apstrÄdÄ ugunsmÅ«ris, tad IPS, pÄc tam to pÄrbauda Anti-Virus un tÄ tÄlÄk. Protams, Å”Äds mehÄnisms radÄ«ja nopietnus satiksmes kavÄjumus un ļoti patÄrÄja sistÄmas resursus (procesoru, atmiÅu).
- VÄja aparatÅ«ra. KÄ minÄts iepriekÅ”, secÄ«gÄ pakeÅ”u apstrÄde patÄrÄja resursus, un tÄ laika (1995-2005) aparatÅ«ra vienkÄrÅ”i nevarÄja tikt galÄ ar lielu trafiku.
TaÄu progress nestÄv uz vietas. KopÅ” tÄ laika aparatÅ«ras jaudas ir ievÄrojami palielinÄjuÅ”Äs, un pakeÅ”u apstrÄde ir mainÄ«jusies (jÄatzÄ«st, ka ne visiem piegÄdÄtÄjiem tÄ ir) un sÄka atļaut gandrÄ«z vienlaicÄ«gu analÄ«zi vairÄkos moduļos vienlaikus (ME, IPS, AntiVirus u.c.). MÅ«sdienu UTM risinÄjumi dziļÄs analÄ«zes režīmÄ spÄj āsagremotā desmitiem un pat simtiem gigabitu, kas ļauj tos izmantot lielu uzÅÄmumu vai pat datu centru segmentÄ.
TÄlÄk ir sniegts Gartner slavenais Magic Quadrant UTM risinÄjumiem 2016. gada augustam:
Å o bildi stipri nekomentÄÅ”u, tikai teikÅ”u, ka augÅ”ÄjÄ labajÄ stÅ«rÄ« ir lÄ«deri.
NGFW ā nÄkamÄs paaudzes ugunsmÅ«ris
Nosaukums runÄ pats par sevi ā nÄkamÄs paaudzes ugunsmÅ«ris. Å Ä« koncepcija parÄdÄ«jÄs daudz vÄlÄk nekÄ UTM. NGFW galvenÄ ideja ir dziļa pakeÅ”u pÄrbaude (DPI), izmantojot iebÅ«vÄto IPS un piekļuves kontroli lietojumprogrammas lÄ«menÄ« (Application Control). Å ajÄ gadÄ«jumÄ IPS ir tieÅ”i tas, kas nepiecieÅ”ams, lai pakeÅ”u plÅ«smÄ identificÄtu Å”o vai citu lietojumprogrammu, kas ļauj to atļaut vai liegt. PiemÄrs: mÄs varam atļaut Skype darboties, bet novÄrst failu pÄrsÅ«tÄ«Å”anu. MÄs varam aizliegt Torrent vai RDP izmantoÅ”anu. Tiek atbalstÄ«tas arÄ« tÄ«mekļa lietojumprogrammas: varat atļaut piekļuvi vietnei VK.com, bet neļaut spÄlÄm, sÅ«tÄ«t ziÅas vai skatÄ«ties videoklipus. BÅ«tÄ«bÄ NGFW kvalitÄte ir atkarÄ«ga no lietojumprogrammu skaita, ko tÄ var definÄt. Daudzi uzskata, ka NGFW koncepcijas raÅ”anÄs bija izplatÄ«ts mÄrketinga triks, pret kuru Palo Alto sÄka savu straujo izaugsmi.
2016. gada maijs Gartner Magic Quadrant for NGFW:
UTM pret NGFW
Ä»oti izplatÄ«ts jautÄjums, kas ir labÄks? Å eit nav vienas atbildes un nevar bÅ«t. It Ä«paÅ”i, ja Åem vÄrÄ faktu, ka gandrÄ«z visi mÅ«sdienu UTM risinÄjumi satur NGFW funkcionalitÄti un lielÄkÄ daļa NGFW satur UTM raksturÄ«gÄs funkcijas (Antivirus, VPN, Anti-Bot utt.). KÄ vienmÄr āvelns slÄpjas detaļÄsā, tÄpÄc vispirms ir jÄizlemj, kas tieÅ”i nepiecieÅ”ams, jÄizlemj par budžetu. Pamatojoties uz Å”iem lÄmumiem, var izvÄlÄties vairÄkas iespÄjas. Un viss ir nepÄrprotami jÄpÄrbauda, āānevis ticÄt mÄrketinga materiÄliem.
MÄs savukÄrt vairÄku rakstu ietvaros mÄÄ£inÄsim pastÄstÄ«t par Check Point, kÄ to var izmÄÄ£inÄt un ko principÄ var izmÄÄ£inÄt (gandrÄ«z visu funkcionalitÄti).
TrÄ«s pÄrbaudes punktu entÄ«tijas
StrÄdÄjot ar Check Point, jÅ«s noteikti saskarsities ar trim Ŕī produkta sastÄvdaļÄm:
- DroŔības vÄrteja (SG) - pati droŔības vÄrteja, kas parasti tiek novietota tÄ«kla perimetrÄ un pilda ugunsmÅ«ra, straumÄÅ”anas antivÄ«rusa, anti-bot, IPS u.c.
- DroŔības pÄrvaldÄ«bas serveris (SMS) - vÄrtejas pÄrvaldÄ«bas serveris. GandrÄ«z visi vÄrtejas (SG) iestatÄ«jumi tiek veikti, izmantojot Å”o serveri. SMS var darboties arÄ« kÄ Å¾urnÄlu serveris un apstrÄdÄt tos, izmantojot iebÅ«vÄto notikumu analÄ«zes un korelÄcijas sistÄmu - Smart Event (lÄ«dzÄ«gi kÄ SIEM for Check Point), bet par to vairÄk vÄlÄk. SMS tiek izmantota, lai centralizÄti pÄrvaldÄ«tu vairÄkas vÄrtejas (vÄrteju skaits ir atkarÄ«gs no SMS modeļa vai licences), taÄu jums tÄ ir jÄizmanto pat tad, ja jums ir tikai viena vÄrteja. Te gan jÄatzÄ«mÄ, ka Check Point bija viens no pirmajiem, kas izmantoja Å”Ädu centralizÄtu vadÄ«bas sistÄmu, kas pÄc Gartner ziÅojumiem jau daudzus gadus pÄc kÄrtas ir atzÄ«ta par āzelta standartuā. Ir pat joks: "Ja Cisco bÅ«tu normÄla vadÄ«bas sistÄma, tad Check Point nekad nebÅ«tu parÄdÄ«jies."
- ViedÄ konsole ā klienta konsole savienojuma izveidei ar pÄrvaldÄ«bas serveri (SMS). Parasti instalÄta administratora datorÄ. Izmantojot Å”o konsoli, visas izmaiÅas tiek veiktas pÄrvaldÄ«bas serverÄ«, un pÄc tam varat lietot iestatÄ«jumus droŔības vÄrtejÄm (instalÄÅ”anas politika).
Check Point operÄtÄjsistÄma
RunÄjot par Check Point operÄtÄjsistÄmu, var atsaukt uzreiz trÄ«s: IPSO, SPLAT un GAIA.
- IPSO ir Ipsilon Networks operÄtÄjsistÄma, kas piederÄja Nokia. 2009. gadÄ Check Point iegÄdÄjÄs Å”o uzÅÄmumu. Vairs nav izstrÄdÄts.
- SPLAT - paÅ”u izstrÄdÄta Check Point, kuras pamatÄ ir RedHat kodols. Vairs nav izstrÄdÄts.
- Gaia - paÅ”reizÄjÄ operÄtÄjsistÄma no Check Point, kas parÄdÄ«jÄs IPSO un SPLAT apvienoÅ”anas rezultÄtÄ, iekļaujot visu labÄko. ParÄdÄ«jÄs 2012. gadÄ un turpina aktÄ«vi attÄ«stÄ«ties.
RunÄjot par Gaia, jÄsaka, ka Å”obrÄ«d visizplatÄ«tÄkÄ versija ir R77.30. SalÄ«dzinoÅ”i nesen parÄdÄ«jÄs R80 versija, kas bÅ«tiski atŔķiras no iepriekÅ”ÄjÄs (gan funkcionalitÄtes, gan vadÄ«bas ziÅÄ). To atŔķirÄ«bu tÄmai mÄs veltÄ«sim atseviŔķu ziÅu. VÄl viens svarÄ«gs aspekts ir tas, ka Å”obrÄ«d tikai versijai R77.10 ir FSTEC sertifikÄts un versija R77.30 tiek sertificÄta.
Opcijas (Check Point Appliance, virtuÄlÄ maŔīna, OpenServer)
Å eit nav nekÄ pÄrsteidzoÅ”a, jo daudziem Check Point pÄrdevÄjiem ir vairÄkas produktu iespÄjas:
- ierÄ«ce - aparatÅ«ras un programmatÅ«ras ierÄ«ce, t.i. paÅ”u "dzelzs gabals". Ir daudz modeļu, kas atŔķiras pÄc veiktspÄjas, funkcionalitÄtes un dizaina (ir iespÄjas rÅ«pnieciskiem tÄ«kliem).
- VirtuÄlÄ iekÄrta - Check Point virtuÄlÄ maŔīna ar Gaia OS. Tiek atbalstÄ«ti hipervizori ESXi, Hyper-V, KVM. LicencÄts pÄc procesora kodolu skaita.
- atvÄrtais serveris - Gaia kÄ galvenÄs operÄtÄjsistÄmas instalÄÅ”ana tieÅ”i serverÄ« (tÄ sauktais "bezmetÄls"). Tiek atbalstÄ«ta tikai noteikta aparatÅ«ra. Å ai aparatÅ«rai ir ieteikumi, kas jÄievÄro, pretÄjÄ gadÄ«jumÄ var rasties problÄmas ar draiveriem un tiem. atbalsts var jums atteikt pakalpojumu.
IevieÅ”anas iespÄjas (izplatÄ«tas vai atseviŔķas)
Nedaudz augstÄk, mÄs jau esam apsprieduÅ”i, kas ir vÄrteja (SG) un pÄrvaldÄ«bas serveris (SMS). Tagad apspriedÄ«sim to Ä«stenoÅ”anas iespÄjas. Ir divi galvenie veidi:
- Savrups (SG+SMS) - opcija, kad gan vÄrteja, gan pÄrvaldÄ«bas serveris ir instalÄti vienÄ ierÄ«cÄ (vai virtuÄlajÄ maŔīnÄ).
Å Ä« opcija ir piemÄrota, ja jums ir tikai viena vÄrteja, kas ir nedaudz noslogota ar lietotÄju trafiku. Å Ä« iespÄja ir visekonomiskÄkÄ, jo. nav nepiecieÅ”ams iegÄdÄties pÄrvaldÄ«bas serveri (SMS). TomÄr, ja vÄrteja ir ļoti noslogota, jÅ«s varat beigties ar lÄnu vadÄ«bas sistÄmu. TÄpÄc, pirms izvÄlaties Standalone risinÄjumu, vislabÄk ir konsultÄties vai pat pÄrbaudÄ«t Å”o iespÄju. - SadalÄ«ts ā pÄrvaldÄ«bas serveris ir instalÄts atseviŔķi no vÄrtejas.
LabÄkais risinÄjums ÄrtÄ«bas un veiktspÄjas ziÅÄ. To izmanto, ja nepiecieÅ”ams vienlaikus pÄrvaldÄ«t vairÄkas vÄrtejas, piemÄram, centrÄlÄs un filiÄles. Å ajÄ gadÄ«jumÄ jums ir jÄiegÄdÄjas pÄrvaldÄ«bas serveris (SMS), kas var bÅ«t arÄ« ierÄ«ces (dzelzs gabala) vai virtuÄlÄs maŔīnas veidÄ.
KÄ jau teicu iepriekÅ”, Check Point ir sava SIEM sistÄma - Smart Event. Varat to izmantot tikai izplatÄ«tÄs instalÄcijas gadÄ«jumÄ.
DarbÄ«bas režīmi (tilts, marÅ”rutÄts)
DroŔības vÄrteja (SG) var darboties divos pamatrežīmos:
- MarÅ”rutÄts - visizplatÄ«tÄkÄ iespÄja. Å ajÄ gadÄ«jumÄ vÄrteja tiek izmantota kÄ L3 ierÄ«ce un marÅ”rutÄ trafiku caur sevi, t.i. PÄrbaudes punkts ir aizsargÄtÄ tÄ«kla noklusÄjuma vÄrteja.
- Tilts - caurspÄ«dÄ«gs režīms. Å ajÄ gadÄ«jumÄ vÄrteja tiek uzstÄdÄ«ta kÄ parasts ātiltsā un caur to ŔķÄrso satiksmi otrajÄ slÄnÄ« (OSI). Å o iespÄju parasti izmanto, ja nav iespÄjas (vai vÄlmes) mainÄ«t esoÅ”o infrastruktÅ«ru. Praktiski nav jÄmaina tÄ«kla topoloÄ£ija un nav jÄdomÄ par IP adreses maiÅu.
VÄlos atzÄ«mÄt, ka tilta režīmÄ ir daži funkcionÄli ierobežojumi, tÄpÄc kÄ integrators iesakÄm visiem mÅ«su klientiem izmantot marÅ”rutÄto režīmu, protams, ja iespÄjams.
ProgrammatÅ«ras asmeÅi (Check Point Software Blades)
NonÄcÄm gandrÄ«z lÄ«dz vissvarÄ«gÄkajai Check Point tÄmai, kas klientiem rada visvairÄk jautÄjumu. Kas ir Å”ie "programmatÅ«ras asmeÅi"? AsmeÅi attiecas uz noteiktÄm Check Point funkcijÄm.
Å Ä«s funkcijas var ieslÄgt vai izslÄgt atkarÄ«bÄ no jÅ«su vajadzÄ«bÄm. TajÄ paÅ”Ä laikÄ ir asmeÅi, kas tiek aktivizÄti tikai vÄrtejÄ (tÄ«kla droŔība) un tikai pÄrvaldÄ«bas serverÄ« (pÄrvaldÄ«ba). TÄlÄk redzamajos attÄlos ir parÄdÄ«ti piemÄri abiem gadÄ«jumiem:
1) TÄ«kla droŔībai (vÄrtejas funkcionalitÄte)
Ļaujiet mums īsi aprakstīt, jo katrs asmens ir pelnījis atseviŔķu rakstu.
- Firewall - ugunsmÅ«ra funkcionalitÄte;
- IPSec VPN - privÄto virtuÄlo tÄ«klu veidoÅ”ana;
- MobilÄ piekļuve - attÄlinÄta piekļuve no mobilajÄm ierÄ«cÄm;
- IPS - ielauÅ”anÄs novÄrÅ”anas sistÄma;
- Anti-Bot - aizsardzība pret robottīklu tīkliem;
- AntiVirus - straumÄÅ”anas antivÄ«russ;
- AntiSpam & Email Security - korporatÄ«vÄ pasta aizsardzÄ«ba;
- Identity Awareness - integrÄcija ar Active Directory servisu;
- UzraudzÄ«ba - gandrÄ«z visu vÄrtejas parametru uzraudzÄ«ba (slodze, joslas platums, VPN statuss utt.)
- Application Control - lietojumprogrammu lÄ«meÅa ugunsmÅ«ris (NGFW funkcionalitÄte);
- URL filtrÄÅ”ana - Web droŔība (+proxy funkcionalitÄte);
- Datu zudumu novÄrÅ”ana ā aizsardzÄ«ba pret informÄcijas noplÅ«di (DLP);
- Threat Emulation - smilŔkastes tehnoloģija (SandBox);
- Threat Extraction - failu tīrīŔanas tehnoloģija;
- QoS - satiksmes prioritÄÅ”u noteikÅ”ana.
Tikai dažos rakstos mÄs sÄ«kÄk aplÅ«kosim draudu emulÄcijas un draudu ekstrakcijas asmeÅus, esmu pÄrliecinÄts, ka tas bÅ«s interesanti.
2) PÄrvaldÄ«bai (pÄrvaldÄ«bas servera funkcionalitÄte)
- Network Policy Management - centralizÄta politikas vadÄ«ba;
- Endpoint Policy Management - centralizÄta Check Point aÄ£entu pÄrvaldÄ«ba (jÄ, Check Point ražo risinÄjumus ne tikai tÄ«kla aizsardzÄ«bai, bet arÄ« darbstaciju (personÄlo datoru) un viedtÄlruÅu aizsardzÄ«bai);
- Logging & Status - centralizÄta baļķu vÄkÅ”ana un apstrÄde;
- PÄrvaldÄ«bas portÄls - droŔības pÄrvaldÄ«ba no pÄrlÅ«kprogrammas;
- DarbplÅ«sma - politikas izmaiÅu kontrole, izmaiÅu audits utt.;
- User Directory - integrÄcija ar LDAP;
- NodroÅ”inÄÅ”ana - vÄrtejas vadÄ«bas automatizÄcija;
- Smart Reporter - ziÅoÅ”anas sistÄma;
- Smart Event - notikumu analÄ«ze un korelÄcija (SIEM);
- AtbilstÄ«ba - automÄtiska iestatÄ«jumu pÄrbaude un ieteikumu izsniegÅ”ana.
Tagad mÄs sÄ«kÄk neapskatÄ«sim licencÄÅ”anas jautÄjumus, lai neradÄ«tu rakstu un nemulsinÄtu lasÄ«tÄju. VisticamÄk, mÄs to izÅemsim atseviÅ”Ä·Ä ierakstÄ.
Blade arhitektÅ«ra ļauj izmantot tikai patieÅ”Äm nepiecieÅ”amÄs funkcijas, kas ietekmÄ risinÄjuma budžetu un kopÄjo ierÄ«ces veiktspÄju. LoÄ£iski, ka jo vairÄk lÄpstiÅu aktivizÄjat, jo mazÄka satiksme var tikt āaizdzÄ«taā. TÄpÄc katram Check Point modelim ir pievienota Å”Äda veiktspÄjas tabula (piemÄram, mÄs ÅÄmÄm 5400 modeļa raksturlielumus):
KÄ redzat, Å”eit ir divu kategoriju testi: par sintÄtisko trafiku un reÄlo - jauktu. VispÄrÄ«gi runÄjot, Check Point vienkÄrÅ”i ir spiests publicÄt sintÄtiskos testus, jo. daži pÄrdevÄji izmanto Å”Ädus testus kÄ etalonus, nepÄrbaudot savu risinÄjumu veiktspÄju reÄlajÄ datplÅ«smÄ (vai apzinÄti slÄpj Å”Ädus datus to neapmierinoŔības dÄļ).
KatrÄ testa veidÄ varat pamanÄ«t vairÄkas iespÄjas:
- pÄrbaudÄ«t tikai ugunsmÅ«ri;
- Ugunsmūris + IPS tests;
- Firewall+IPS+NGFW (Application Control) tests;
- Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast test (smilŔkaste)
UzmanÄ«gi apskatiet Å”os parametrus, izvÄloties risinÄjumu vai sazinieties ar to
Es domÄju, ka ar Å”o ir beigas ievadraksts par Check Point tehnoloÄ£ijÄm. TÄlÄk apskatÄ«sim, kÄ var pÄrbaudÄ«t Check Point un kÄ tikt galÄ ar mÅ«sdienu informÄcijas droŔības apdraudÄjumiem (vÄ«rusi, pikŔķerÄÅ”ana, izpirkuma programmatÅ«ra, nulles diena).
PS SvarÄ«gs punkts. Neskatoties uz Ärzemju (IzraÄlas) izcelsmi, risinÄjums ir sertificÄts Krievijas FederÄcijÄ ar uzraudzÄ«bas iestÄdÄm, kas automÄtiski legalizÄ to atraÅ”anos valsts institÅ«cijÄs (komentÄ
AptaujÄ var piedalÄ«ties tikai reÄ£istrÄti lietotÄji.
KÄdus UTM/NGFW rÄ«kus jÅ«s izmantojat?
-
Check Point
-
Cisco Firepower
-
Fortinet
-
Palo Alto
-
Sophos
-
Dell SonicWALL
-
Huawei
-
WatchGuard
-
KadiÄ·is
-
UserGate
-
satiksmes inspektors
-
Rubikons
-
Ideco
-
atvÄrtÄ pirmkoda risinÄjums
-
Cits
Nobalsoja 134 lietotÄji. 78 lietotÄji atturÄjÄs.
Avots: www.habr.com