ProHoster > Blogs > Administrācija > pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno
Sveiki, dārgie habr lasÄ«tāji! Å is ir uzņēmuma korporatÄ«vais emuārs T.S risinājums. Mēs esam sistēmu integrators un galvenokārt specializējamies IT infrastruktÅ«ras droŔības risinājumos (Check Point, Fortinetun maŔīnu datu analÄ«zes sistēmas (Plankumains). Mēs sāksim savu emuāru ar Ä«su ievadu Check Point tehnoloÄ£ijās.

Mēs ilgi domājām par to, vai rakstÄ«t Å”o rakstu, jo. tajā nav nekā jauna, ko nevarētu atrast internetā. Tomēr, neskatoties uz Ŕādu informācijas pārbagātÄ«bu, strādājot ar klientiem un partneriem, bieži dzirdam vienus un tos paÅ”us jautājumus. Tāpēc tika nolemts uzrakstÄ«t sava veida ievadu Check Point tehnoloÄ£iju pasaulē un atklāt to risinājumu arhitektÅ«ras bÅ«tÄ«bu. Un tas viss viena ā€œnelielaā€ ieraksta ietvaros, tā teikt, ātra atkāpe. Un mēs centÄ«simies neielaisties mārketinga karos, jo. mēs neesam pārdevējs, bet tikai sistēmas integrators (lai gan mums ļoti patÄ«k Check Point) un vienkārÅ”i pārskatām galvenos punktus, nesalÄ«dzinot tos ar citiem ražotājiem (piemēram, Palo Alto, Cisco, Fortinet utt.). Raksts izrādÄ«jās diezgan apjomÄ«gs, taču tas nogriež lielāko daļu jautājumu iepazÄ«Å”anās posmā ar Check Point. Ja ir interese, laipni lÅ«dzam zem kaÄ·aā€¦

UTM/NGFW

Uzsākot sarunu par Check Point, vispirms ir jāpaskaidro, kas ir UTM, NGFW un kā tie atŔķiras. Mēs to darÄ«sim ļoti kodolÄ«gi, lai ieraksts neizrādÄ«tos pārāk liels (iespējams, nākotnē mēs apsvērsim Å”o jautājumu nedaudz sÄ«kāk)

UTM ā€” vienota draudu pārvaldÄ«ba

ÄŖsāk sakot, UTM bÅ«tÄ«ba ir vairāku droŔības rÄ«ku apvienoÅ”ana vienā risinājumā. Tie. viss vienā kastē vai daži viss iekļauts. Ko nozÄ«mē ā€œvairāki lÄ«dzekļiā€? VisizplatÄ«tākā iespēja ir: ugunsmÅ«ris, IPS, starpniekserveris (URL filtrÄ“Å”ana), straumÄ“Å”anas pretvÄ«russ, anti-spam, VPN un tā tālāk. Tas viss ir apvienots viena UTM risinājuma ietvaros, kas ir vienkārŔāks integrācijas, konfigurācijas, administrÄ“Å”anas un uzraudzÄ«bas ziņā, un tas, savukārt, pozitÄ«vi ietekmē kopējo tÄ«kla droŔību. Kad UTM risinājumi pirmo reizi parādÄ«jās, tie tika uzskatÄ«ti tikai par maziem uzņēmumiem, jo. UTM nespēja apstrādāt lielu trafika apjomu. Tas notika divu iemeslu dēļ:

  1. PakeÅ”u apstrādes veids. Pirmās UTM risinājumu versijas paketes apstrādāja secÄ«gi, pa katru ā€œmoduliā€. Piemērs: vispirms paketi apstrādā ugunsmÅ«ris, tad IPS, pēc tam to pārbauda Anti-Virus un tā tālāk. Protams, Ŕāds mehānisms radÄ«ja nopietnus satiksmes kavējumus un ļoti patērēja sistēmas resursus (procesoru, atmiņu).
  2. Vāja aparatÅ«ra. Kā minēts iepriekÅ”, secÄ«gā pakeÅ”u apstrāde patērēja resursus, un tā laika (1995-2005) aparatÅ«ra vienkārÅ”i nevarēja tikt galā ar lielu trafiku.

Taču progress nestāv uz vietas. KopÅ” tā laika aparatÅ«ras jaudas ir ievērojami palielinājuŔās, un pakeÅ”u apstrāde ir mainÄ«jusies (jāatzÄ«st, ka ne visiem piegādātājiem tā ir) un sāka atļaut gandrÄ«z vienlaicÄ«gu analÄ«zi vairākos moduļos vienlaikus (ME, IPS, AntiVirus u.c.). MÅ«sdienu UTM risinājumi dziļās analÄ«zes režīmā spēj ā€œsagremotā€ desmitiem un pat simtiem gigabitu, kas ļauj tos izmantot lielu uzņēmumu vai pat datu centru segmentā.

Tālāk ir sniegts Gartner slavenais Magic Quadrant UTM risinājumiem 2016. gada augustam:

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

Å o bildi stipri nekomentÄ“Å”u, tikai teikÅ”u, ka augŔējā labajā stÅ«rÄ« ir lÄ«deri.

NGFW ā€” nākamās paaudzes ugunsmÅ«ris

Nosaukums runā pats par sevi ā€“ nākamās paaudzes ugunsmÅ«ris. Å Ä« koncepcija parādÄ«jās daudz vēlāk nekā UTM. NGFW galvenā ideja ir dziļa pakeÅ”u pārbaude (DPI), izmantojot iebÅ«vēto IPS un piekļuves kontroli lietojumprogrammas lÄ«menÄ« (Application Control). Å ajā gadÄ«jumā IPS ir tieÅ”i tas, kas nepiecieÅ”ams, lai pakeÅ”u plÅ«smā identificētu Å”o vai citu lietojumprogrammu, kas ļauj to atļaut vai liegt. Piemērs: mēs varam atļaut Skype darboties, bet novērst failu pārsÅ«tÄ«Å”anu. Mēs varam aizliegt Torrent vai RDP izmantoÅ”anu. Tiek atbalstÄ«tas arÄ« tÄ«mekļa lietojumprogrammas: varat atļaut piekļuvi vietnei VK.com, bet neļaut spēlēm, sÅ«tÄ«t ziņas vai skatÄ«ties videoklipus. BÅ«tÄ«bā NGFW kvalitāte ir atkarÄ«ga no lietojumprogrammu skaita, ko tā var definēt. Daudzi uzskata, ka NGFW koncepcijas raÅ”anās bija izplatÄ«ts mārketinga triks, pret kuru Palo Alto sāka savu straujo izaugsmi.

2016. gada maijs Gartner Magic Quadrant for NGFW:

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

UTM pret NGFW

Ä»oti izplatÄ«ts jautājums, kas ir labāks? Å eit nav vienas atbildes un nevar bÅ«t. It Ä«paÅ”i, ja ņem vērā faktu, ka gandrÄ«z visi mÅ«sdienu UTM risinājumi satur NGFW funkcionalitāti un lielākā daļa NGFW satur UTM raksturÄ«gās funkcijas (Antivirus, VPN, Anti-Bot utt.). Kā vienmēr ā€œvelns slēpjas detaļāsā€, tāpēc vispirms ir jāizlemj, kas tieÅ”i nepiecieÅ”ams, jāizlemj par budžetu. Pamatojoties uz Å”iem lēmumiem, var izvēlēties vairākas iespējas. Un viss ir nepārprotami jāpārbauda, ā€‹ā€‹nevis ticēt mārketinga materiāliem.

Mēs savukārt vairāku rakstu ietvaros mēģināsim pastāstīt par Check Point, kā to var izmēģināt un ko principā var izmēģināt (gandrīz visu funkcionalitāti).

Trīs pārbaudes punktu entītijas

Strādājot ar Check Point, jūs noteikti saskarsities ar trim Ŕī produkta sastāvdaļām:

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

  1. DroŔības vārteja (SG) - pati droŔības vārteja, kas parasti tiek novietota tÄ«kla perimetrā un pilda ugunsmÅ«ra, straumÄ“Å”anas antivÄ«rusa, anti-bot, IPS u.c.
  2. DroŔības pārvaldÄ«bas serveris (SMS) - vārtejas pārvaldÄ«bas serveris. GandrÄ«z visi vārtejas (SG) iestatÄ«jumi tiek veikti, izmantojot Å”o serveri. SMS var darboties arÄ« kā žurnālu serveris un apstrādāt tos, izmantojot iebÅ«vēto notikumu analÄ«zes un korelācijas sistēmu - Smart Event (lÄ«dzÄ«gi kā SIEM for Check Point), bet par to vairāk vēlāk. SMS tiek izmantota, lai centralizēti pārvaldÄ«tu vairākas vārtejas (vārteju skaits ir atkarÄ«gs no SMS modeļa vai licences), taču jums tā ir jāizmanto pat tad, ja jums ir tikai viena vārteja. Te gan jāatzÄ«mē, ka Check Point bija viens no pirmajiem, kas izmantoja Ŕādu centralizētu vadÄ«bas sistēmu, kas pēc Gartner ziņojumiem jau daudzus gadus pēc kārtas ir atzÄ«ta par ā€œzelta standartuā€. Ir pat joks: "Ja Cisco bÅ«tu normāla vadÄ«bas sistēma, tad Check Point nekad nebÅ«tu parādÄ«jies."
  3. Viedā konsole ā€” klienta konsole savienojuma izveidei ar pārvaldÄ«bas serveri (SMS). Parasti instalēta administratora datorā. Izmantojot Å”o konsoli, visas izmaiņas tiek veiktas pārvaldÄ«bas serverÄ«, un pēc tam varat lietot iestatÄ«jumus droŔības vārtejām (instalÄ“Å”anas politika).

    pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

Check Point operētājsistēma

Runājot par Check Point operētājsistēmu, var atsaukt uzreiz trīs: IPSO, SPLAT un GAIA.

  1. IPSO ir Ipsilon Networks operētājsistēma, kas piederēja Nokia. 2009. gadā Check Point iegādājās Å”o uzņēmumu. Vairs nav izstrādāts.
  2. SPLAT - paŔu izstrādāta Check Point, kuras pamatā ir RedHat kodols. Vairs nav izstrādāts.
  3. Gaia - paÅ”reizējā operētājsistēma no Check Point, kas parādÄ«jās IPSO un SPLAT apvienoÅ”anas rezultātā, iekļaujot visu labāko. ParādÄ«jās 2012. gadā un turpina aktÄ«vi attÄ«stÄ«ties.

Runājot par Gaia, jāsaka, ka Å”obrÄ«d visizplatÄ«tākā versija ir R77.30. SalÄ«dzinoÅ”i nesen parādÄ«jās R80 versija, kas bÅ«tiski atŔķiras no iepriekŔējās (gan funkcionalitātes, gan vadÄ«bas ziņā). To atŔķirÄ«bu tēmai mēs veltÄ«sim atseviŔķu ziņu. Vēl viens svarÄ«gs aspekts ir tas, ka Å”obrÄ«d tikai versijai R77.10 ir FSTEC sertifikāts un versija R77.30 tiek sertificēta.

Opcijas (Check Point Appliance, virtuālā maŔīna, OpenServer)

Å eit nav nekā pārsteidzoÅ”a, jo daudziem Check Point pārdevējiem ir vairākas produktu iespējas:

  1. ierÄ«ce - aparatÅ«ras un programmatÅ«ras ierÄ«ce, t.i. paÅ”u "dzelzs gabals". Ir daudz modeļu, kas atŔķiras pēc veiktspējas, funkcionalitātes un dizaina (ir iespējas rÅ«pnieciskiem tÄ«kliem).

    pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

  2. Virtuālā iekārta - Check Point virtuālā maŔīna ar Gaia OS. Tiek atbalstÄ«ti hipervizori ESXi, Hyper-V, KVM. Licencēts pēc procesora kodolu skaita.
  3. atvērtais serveris - Gaia kā galvenās operētājsistēmas instalÄ“Å”ana tieÅ”i serverÄ« (tā sauktais "bezmetāls"). Tiek atbalstÄ«ta tikai noteikta aparatÅ«ra. Å ai aparatÅ«rai ir ieteikumi, kas jāievēro, pretējā gadÄ«jumā var rasties problēmas ar draiveriem un tiem. atbalsts var jums atteikt pakalpojumu.

IevieÅ”anas iespējas (izplatÄ«tas vai atseviŔķas)

Nedaudz augstāk, mēs jau esam apsprieduÅ”i, kas ir vārteja (SG) un pārvaldÄ«bas serveris (SMS). Tagad apspriedÄ«sim to Ä«stenoÅ”anas iespējas. Ir divi galvenie veidi:

  1. Savrups (SG+SMS) - opcija, kad gan vārteja, gan pārvaldÄ«bas serveris ir instalēti vienā ierÄ«cē (vai virtuālajā maŔīnā).

    pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

    Å Ä« opcija ir piemērota, ja jums ir tikai viena vārteja, kas ir nedaudz noslogota ar lietotāju trafiku. Å Ä« iespēja ir visekonomiskākā, jo. nav nepiecieÅ”ams iegādāties pārvaldÄ«bas serveri (SMS). Tomēr, ja vārteja ir ļoti noslogota, jÅ«s varat beigties ar lēnu vadÄ«bas sistēmu. Tāpēc, pirms izvēlaties Standalone risinājumu, vislabāk ir konsultēties vai pat pārbaudÄ«t Å”o iespēju.

  2. SadalÄ«ts ā€” pārvaldÄ«bas serveris ir instalēts atseviŔķi no vārtejas.

    pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

    Labākais risinājums ērtÄ«bas un veiktspējas ziņā. To izmanto, ja nepiecieÅ”ams vienlaikus pārvaldÄ«t vairākas vārtejas, piemēram, centrālās un filiāles. Å ajā gadÄ«jumā jums ir jāiegādājas pārvaldÄ«bas serveris (SMS), kas var bÅ«t arÄ« ierÄ«ces (dzelzs gabala) vai virtuālās maŔīnas veidā.

Kā jau teicu iepriekÅ”, Check Point ir sava SIEM sistēma - Smart Event. Varat to izmantot tikai izplatÄ«tās instalācijas gadÄ«jumā.

DarbÄ«bas režīmi (tilts, marÅ”rutēts)
DroŔības vārteja (SG) var darboties divos pamatrežīmos:

  • MarÅ”rutēts - visizplatÄ«tākā iespēja. Å ajā gadÄ«jumā vārteja tiek izmantota kā L3 ierÄ«ce un marÅ”rutē trafiku caur sevi, t.i. Pārbaudes punkts ir aizsargātā tÄ«kla noklusējuma vārteja.
  • Tilts - caurspÄ«dÄ«gs režīms. Å ajā gadÄ«jumā vārteja tiek uzstādÄ«ta kā parasts ā€œtiltsā€ un caur to Ŕķērso satiksmi otrajā slānÄ« (OSI). Å o iespēju parasti izmanto, ja nav iespējas (vai vēlmes) mainÄ«t esoÅ”o infrastruktÅ«ru. Praktiski nav jāmaina tÄ«kla topoloÄ£ija un nav jādomā par IP adreses maiņu.

Vēlos atzÄ«mēt, ka tilta režīmā ir daži funkcionāli ierobežojumi, tāpēc kā integrators iesakām visiem mÅ«su klientiem izmantot marÅ”rutēto režīmu, protams, ja iespējams.

Programmatūras asmeņi (Check Point Software Blades)

Nonācām gandrÄ«z lÄ«dz vissvarÄ«gākajai Check Point tēmai, kas klientiem rada visvairāk jautājumu. Kas ir Å”ie "programmatÅ«ras asmeņi"? Asmeņi attiecas uz noteiktām Check Point funkcijām.

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

Å Ä«s funkcijas var ieslēgt vai izslēgt atkarÄ«bā no jÅ«su vajadzÄ«bām. Tajā paŔā laikā ir asmeņi, kas tiek aktivizēti tikai vārtejā (tÄ«kla droŔība) un tikai pārvaldÄ«bas serverÄ« (pārvaldÄ«ba). Tālāk redzamajos attēlos ir parādÄ«ti piemēri abiem gadÄ«jumiem:

1) Tīkla droŔībai (vārtejas funkcionalitāte)

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

Ļaujiet mums īsi aprakstīt, jo katrs asmens ir pelnījis atseviŔķu rakstu.

  • Firewall - ugunsmÅ«ra funkcionalitāte;
  • IPSec VPN - privāto virtuālo tÄ«klu veidoÅ”ana;
  • Mobilā piekļuve - attālināta piekļuve no mobilajām ierÄ«cēm;
  • IPS - ielauÅ”anās novērÅ”anas sistēma;
  • Anti-Bot - aizsardzÄ«ba pret robottÄ«klu tÄ«kliem;
  • AntiVirus - straumÄ“Å”anas antivÄ«russ;
  • AntiSpam & Email Security - korporatÄ«vā pasta aizsardzÄ«ba;
  • Identity Awareness - integrācija ar Active Directory servisu;
  • UzraudzÄ«ba - gandrÄ«z visu vārtejas parametru uzraudzÄ«ba (slodze, joslas platums, VPN statuss utt.)
  • Application Control - lietojumprogrammu lÄ«meņa ugunsmÅ«ris (NGFW funkcionalitāte);
  • URL filtrÄ“Å”ana - Web droŔība (+proxy funkcionalitāte);
  • Datu zudumu novērÅ”ana ā€“ aizsardzÄ«ba pret informācijas noplÅ«di (DLP);
  • Threat Emulation - smilÅ”kastes tehnoloÄ£ija (SandBox);
  • Threat Extraction - failu tÄ«rÄ«Å”anas tehnoloÄ£ija;
  • QoS - satiksmes prioritāŔu noteikÅ”ana.

Tikai dažos rakstos mēs sīkāk aplūkosim draudu emulācijas un draudu ekstrakcijas asmeņus, esmu pārliecināts, ka tas būs interesanti.

2) Pārvaldībai (pārvaldības servera funkcionalitāte)

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

  • Network Policy Management - centralizēta politikas vadÄ«ba;
  • Endpoint Policy Management - centralizēta Check Point aÄ£entu pārvaldÄ«ba (jā, Check Point ražo risinājumus ne tikai tÄ«kla aizsardzÄ«bai, bet arÄ« darbstaciju (personālo datoru) un viedtālruņu aizsardzÄ«bai);
  • Logging & Status - centralizēta baļķu vākÅ”ana un apstrāde;
  • PārvaldÄ«bas portāls - droŔības pārvaldÄ«ba no pārlÅ«kprogrammas;
  • DarbplÅ«sma - politikas izmaiņu kontrole, izmaiņu audits utt.;
  • User Directory - integrācija ar LDAP;
  • NodroÅ”ināŔana - vārtejas vadÄ«bas automatizācija;
  • Smart Reporter - ziņoÅ”anas sistēma;
  • Smart Event - notikumu analÄ«ze un korelācija (SIEM);
  • AtbilstÄ«ba - automātiska iestatÄ«jumu pārbaude un ieteikumu izsniegÅ”ana.

Tagad mēs sÄ«kāk neapskatÄ«sim licencÄ“Å”anas jautājumus, lai neradÄ«tu rakstu un nemulsinātu lasÄ«tāju. Visticamāk, mēs to izņemsim atseviŔķā ierakstā.

Blade arhitektÅ«ra ļauj izmantot tikai patieŔām nepiecieÅ”amās funkcijas, kas ietekmē risinājuma budžetu un kopējo ierÄ«ces veiktspēju. LoÄ£iski, ka jo vairāk lāpstiņu aktivizējat, jo mazāka satiksme var tikt ā€œaizdzÄ«taā€. Tāpēc katram Check Point modelim ir pievienota Ŕāda veiktspējas tabula (piemēram, mēs ņēmām 5400 modeļa raksturlielumus):

pārbaudes punkts. Kas tas ir, ar ko ēd, vai īsumā par galveno

Kā redzat, Å”eit ir divu kategoriju testi: par sintētisko trafiku un reālo - jauktu. VispārÄ«gi runājot, Check Point vienkārÅ”i ir spiests publicēt sintētiskos testus, jo. daži pārdevēji izmanto Ŕādus testus kā etalonus, nepārbaudot savu risinājumu veiktspēju reālajā datplÅ«smā (vai apzināti slēpj Ŕādus datus to neapmierinoŔības dēļ).

Katrā testa veidā varat pamanīt vairākas iespējas:

  1. pārbaudīt tikai ugunsmūri;
  2. Ugunsmūris + IPS tests;
  3. Firewall+IPS+NGFW (Application Control) tests;
  4. Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast test (smilŔkaste)

UzmanÄ«gi apskatiet Å”os parametrus, izvēloties risinājumu vai sazinieties ar to konsultācija.

Es domāju, ka ar Å”o ir beigas ievadraksts par Check Point tehnoloÄ£ijām. Tālāk apskatÄ«sim, kā var pārbaudÄ«t Check Point un kā tikt galā ar mÅ«sdienu informācijas droŔības apdraudējumiem (vÄ«rusi, pikŔķerÄ“Å”ana, izpirkuma programmatÅ«ra, nulles diena).

PS SvarÄ«gs punkts. Neskatoties uz ārzemju (Izraēlas) izcelsmi, risinājums ir sertificēts Krievijas Federācijā ar uzraudzÄ«bas iestādēm, kas automātiski legalizē to atraÅ”anos valsts institÅ«cijās (komentē Denyemall).

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Kādus UTM/NGFW rīkus jūs izmantojat?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • KadiÄ·is

  • UserGate

  • satiksmes inspektors

  • Rubikons

  • Ideco

  • atvērtā pirmkoda risinājums

  • Cits

Nobalsoja 134 lietotāji. 78 lietotāji atturējās.

Avots: www.habr.com

Pievieno komentāru