Check Point. Inona izany, inona no fihinanana azy, na fohy momba ny zava-dehibe indrindra

Salama ry mpamaky Habr malala! Ity ny bilaogin'ny orinasa TS Solution. Mpandrindra rafitra izahay ary manampahaizana manokana amin'ny vahaolana fiarovana amin'ny fotodrafitrasa IT (Check Point, Fortinet) sy rafitra famakafakana angon-drakitra milina (Splunk). Hanomboka ny bilaoginay amin'ny fampidirana fohy momba ny teknolojia Check Point izahay.

Nieritreritra ela izahay hoe mendrika ny hanoratana ity lahatsoratra ity, satria... tsy misy zava-baovao ao izay tsy hita amin'ny Internet. Na izany aza, na dia eo aza ny fampahalalana be dia be, rehefa miara-miasa amin'ny mpanjifa sy ny mpiara-miombon'antoka, dia matetika isika no mandre fanontaniana mitovy. Noho izany dia nanapa-kevitra ny hanoratra karazana fampidirana amin'ny tontolon'ny teknolojia Check Point ary manambara ny maha-zava-dehibe ny maritrano ny vahaolana. Ary izany rehetra izany dia ao anatin'ny rafitry ny lahatsoratra "kely", fitsangatsanganana haingana, raha lazaina. Ankoatr'izay, hiezaka ny tsy hiditra amin'ny ady varotra izahay, satria ... Tsy mpivarotra izahay fa mpandrindra rafitra tsotra (na dia tena tia ny Check Point aza) ary hijery fotsiny ireo hevi-dehibe fa tsy mampitaha azy ireo amin'ny mpanamboatra hafa (toy ny Palo Alto, Cisco, Fortinet, sns.). Nanjary lava be ilay lahatsoratra, saingy mirakitra ny ankamaroan'ny fanontaniana eo amin'ny sehatry ny fahafantarana ny Check Point. Raha liana ianao dia tongasoa eto amin'ny saka...

UTM/NGFW

Rehefa manomboka resaka momba ny Check Point, ny toerana voalohany hanombohana dia ny fanazavana ny atao hoe UTM sy NGFW ary ny mahasamihafa azy ireo. Amin'ny fomba fohy dia ataontsika izany mba tsy ho lava loatra ny lahatsoratra (angamba hodinihintsika amin'ny antsipiriany bebe kokoa ity olana ity amin'ny ho avy)

UTM - Fitantanana Fandrahonana Mitambatra

Raha fintinina, ny votoatin'ny UTM dia ny fanamafisana ny fitaovana fiarovana maromaro amin'ny vahaolana iray. Ireo. ny zava-drehetra ao anaty boaty iray na karazana rehetra tafiditra. Inona no dikan'ny hoe "fanafody maro"? Ny safidy mahazatra indrindra dia: Firewall, IPS, Proxy (URL filtering), streaming Antivirus, Anti-Spam, VPN sy ny sisa. Izany rehetra izany dia mitambatra ao anatin'ny vahaolana UTM iray, izay mora kokoa amin'ny resaka fampidirana, fanamafisana, fitantanana ary fanaraha-maso, ary izany indray dia misy fiantraikany tsara amin'ny fiarovana amin'ny tambajotra. Rehefa niseho voalohany ny vahaolana UTM dia noheverina ho an'ny orinasa madinika ihany izy ireo, satria... Tsy nahazaka fifamoivoizana be ny UTM. Izany dia noho ny antony roa:

1. Fomba fanodinana fonosana. Ny dikan-teny voalohany amin'ny vahaolana UTM dia manodina fonosana misesy, "module" tsirairay. Ohatra: voalohany ny fonosana dia nokarakarain'ny firewall, avy eo IPS, avy eo dia notarafina tamin'ny Anti-Virus, sy ny sisa. Mazava ho azy, ny rafitra toy izany dia nampiditra fahatarana lehibe amin'ny fifamoivoizana ary mandany be dia be ny loharanon'ny rafitra (processor, fahatsiarovana).
2. Fitaovana malemy. Araka ny voalaza etsy ambony, ny fanodinana ny fonosana dia nandany be dia be ny loharanon-karena ary ny fitaovana tamin'izany fotoana izany (1995-2005) dia tsy afaka niatrika fifamoivoizana be.

Saingy tsy mijanona ny fandrosoana. Nanomboka teo dia nitombo be ny fahafahan'ny fitaovana, ary niova ny fanodinana fonosana (tsy maintsy ekena fa tsy ny mpivarotra rehetra no manana izany) ary nanomboka namela ny famakafakana saika miaraka amin'ny maodely maromaro indray mandeha (ME, IPS, AntiVirus, sns.). Ny vahaolana UTM maoderina dia afaka "mandevona" gigabits am-polony ary na dia an-jatony aza amin'ny fomba famakafakana lalina, izay ahafahana mampiasa azy ireo amin'ny ampahany amin'ny orinasa lehibe na ivontoerana data.

Ity ambany ity ny Gartner Magic Quadrant malaza ho an'ny vahaolana UTM ho an'ny Aogositra 2016:

Tsy haneho hevitra firy amin'ity sary ity aho fa ny mpitondra no eo amin'ny zoro ambony havanana.

NGFW - Firewall Generation manaraka

Miteny ho azy ny anarana - ny firewall taranaka manaraka. Ity hevitra ity dia niseho taty aoriana lavitra noho ny UTM. Ny hevi-dehibe amin'ny NGFW dia ny fandalinana fonosana lalina (DPI) amin'ny alàlan'ny IPS naorina sy ny fanaraha-maso ny fidirana amin'ny ambaratonga fampiharana (Application Control). Amin'ity tranga ity, ny IPS no tena ilaina mba hamantarana an'io na io fampiharana io ao amin'ny packet stream, izay ahafahanao mamela na mandà izany. Ohatra: Afaka mamela ny Skype hiasa isika, fa mandrara ny famindrana rakitra. Afaka mandrara ny fampiasana Torrent na RDP izahay. Tohanana ihany koa ny fampiharana amin'ny Internet: Azonao atao ny mamela ny fidirana amin'ny VK.com, saingy mandrara lalao, hafatra na fijerena horonan-tsary. Amin'ny ankapobeny, ny kalitaon'ny NGFW dia miankina amin'ny isan'ny fampiharana hitany. Maro no mino fa ny fipoiran'ny foto-kevitra NGFW dia tetika ara-barotra mahazatra manoloana ny lafin-javatra izay nanombohan'ny orinasa Palo Alto ny fitomboany haingana.

Gartner Magic Quadrant ho an'ny NGFW ho an'ny Mey 2016:

UTM vs NGFW

Ny fanontaniana mahazatra dia hoe, iza no tsara kokoa? Tsy misy valiny mazava eto ary tsy mety. Indrindra fa raha jerena fa saika ny vahaolana UTM maoderina rehetra dia misy fampiasa NGFW ary ny ankamaroan'ny NGFW dia misy fiasa ao amin'ny UTM (Antivirus, VPN, Anti-Bot, sns.). Toy ny mahazatra, "ny devoly dia ao amin'ny antsipiriany", ka voalohany indrindra dia mila manapa-kevitra izay ilainao manokana ianao ary manapa-kevitra amin'ny teti-bolanao. Mifototra amin'ireo fanapahan-kevitra ireo, misy safidy maromaro azo safidiana. Ary ny zava-drehetra dia mila andrana tsy misy dikany, tsy mino ny fitaovana ara-barotra.

Izahay kosa, ao anatin'ny sehatry ny lahatsoratra maromaro, dia hiezaka hiresaka momba ny Check Point, ny fomba ahafahanao manandrana azy ary inona, amin'ny ankapobeny, azonao andramana (saika ny fiasa rehetra).

Entity Check Point telo

Rehefa miasa miaraka amin'ny Check Point ianao dia hahita singa telo amin'ity vokatra ity:

1. Vavahadin'ny fiarovana (SG) - ny vavahadin'ny fiarovana, izay matetika apetraka amin'ny perimeter tambajotra ary manatanteraka ny asan'ny firewall, streaming antivirus, antibot, IPS, sns.
2. Mpizara fitantanana fiarovana (SMS) — mpizara fitantanana vavahady. Saika ny fandrindrana rehetra ao amin'ny vavahady (SG) dia atao amin'ny fampiasana ity mpizara ity. Ny SMS dia afaka miasa ho Log Server ihany koa ary manodina azy ireo miaraka amin'ny rafitra famakafakana hetsika sy fifandraisana - Smart Event (mitovy amin'ny SIEM ho an'ny Check Point), fa bebe kokoa amin'izany any aoriana. Ny SMS dia ampiasaina amin'ny fitantanana foibe amin'ny vavahady maromaro (ny isan'ny vavahady dia miankina amin'ny maodely SMS na fahazoan-dàlana), saingy tsy maintsy mampiasa azy ianao na dia manana vavahady tokana aza ianao. Marihina eto fa ny Check Point dia iray amin'ireo voalohany nampiasa rafitra fitantanana foibe toy izany, izay nekena ho "standard volamena" araka ny tatitry ny Gartner nandritra ny taona maro nifanesy. Misy mihitsy aza vazivazy hoe: “Raha nanana rafitra fitantanana ara-dalàna ny Cisco dia tsy ho niseho mihitsy ny Check Point.”
3. Smart Console - fampiononana mpanjifa ho an'ny fifandraisana amin'ny mpizara fitantanana (SMS). Apetraka amin'ny ordinateran'ny mpitantana matetika. Ny fanovana rehetra ao amin'ny lohamilina fitantanana dia atao amin'ny alàlan'ity console ity, ary aorian'izany dia azonao atao ny mampihatra ny fanovana amin'ny vavahadin'ny fiarovana (Politika fametrahana).

   

Check Point Operating System

Raha miresaka momba ny rafitra fandidiana Check Point, dia afaka mahatsiaro telo indray mandeha isika: IPSO, SPLAT ary GAIA.

1. IPSO - rafitra fiasan'ny Ipsilon Networks, izay an'ny Nokia. Tamin'ny taona 2009, nividy ity orinasa ity ny Check Point. Tsy mivoatra intsony.
2. SPLAT - Ny fivoaran'ny Check Point manokana, mifototra amin'ny kernel RedHat. Tsy mivoatra intsony.
3. Gaia - ny rafitra miasa amin'izao fotoana izao avy amin'ny Check Point, izay niseho vokatry ny fampifangaroana ny IPSO sy ny SPLAT, mampiditra ny tsara indrindra. Nipoitra tamin'ny taona 2012 izy io ary mbola mivoatra mavitrika.

Raha miresaka momba an'i Gaia dia tokony holazaina fa amin'izao fotoana izao ny dikan-teny mahazatra indrindra dia R77.30. Vao haingana no niseho ny dikan-R80, izay tsy mitovy amin'ny teo aloha (na eo amin'ny fiasa sy ny fanaraha-maso). Hametraka lahatsoratra mitokana ho an'ny lohahevitry ny fahasamihafan'izy ireo isika. Hevi-dehibe iray hafa dia ny dikan-teny R77.10 ihany no manana taratasy fanamarinana FSTEC amin'izao fotoana izao, ary ny dikan-teny R77.30 dia voamarina.

Safidy famonoana (Check Point Appliance, milina virtoaly, OpenServer)

Tsy misy mahagaga eto, toy ny mpivarotra maro, ny Check Point dia manana safidy vokatra maromaro:

1. Appliance - fitaovana sy rindrambaiko, i.e. ny “tapa-vy” azy manokana. Betsaka ny modely tsy mitovy amin'ny fampisehoana, ny fiasa ary ny famolavolana (misy safidy ho an'ny tambajotra indostrialy).

   

2. Virtual Machine - milina virtoaly Check Point miaraka amin'ny Gaia OS. Ny Hypervisors ESXi, Hyper-V, KVM dia tohana. Nahazo alalana tamin'ny isan'ny cores processeur.
3. OpenServer — fametrahana Gaia mivantana eo amin'ny mpizara ho toy ny rafitra fandidiana lehibe (ilay antsoina hoe "Bare metal"). Fitaovana sasany ihany no tohana. Misy soso-kevitra momba ity fitaovana ity izay tsy maintsy arahina, raha tsy izany dia mety hisy olana amin'ny mpamily sy ny fitaovana ara-teknika. ny fanohanana dia mety handà tsy hanompo anao.

Safidy fampiharana (Mizara na Mijoro)

Avo kokoa kely dia efa niresaka momba ny atao hoe vavahady (SG) sy server server (SMS). Andeha isika hiresaka momba ny safidy amin'ny fampiharana azy ireo. Misy fomba roa lehibe:

1. Mitokana (SG+SMS) - safidy rehefa apetraka ao anatin'ny fitaovana iray (na milina virtoaly) ny vavahady sy ny mpizara fitantanana.

   
   
   Ity safidy ity dia mety raha tsy manana vavahady iray ihany ianao izay mora entina amin'ny fifamoivoizana mpampiasa. Ity safidy ity no tena ara-toekarena, satria... tsy ilaina ny mividy mpizara fitantanana (SMS). Na izany aza, raha be entana ny vavahady, dia mety hiafara amin'ny rafitra fanaraha-maso "miadana". Noho izany, alohan'ny hisafidianana vahaolana Standalone, tsara kokoa ny manadihady na manandrana ity safidy ity.

2. nozaraina - ny mpizara fitantanana dia napetraka misaraka amin'ny vavahady.

   
   
   Ny safidy tsara indrindra amin'ny lafiny fampiononana sy fampisehoana. Ampiasaina rehefa ilaina ny mitantana vavahady maromaro indray mandeha, ohatra ny afovoany sy ny sampana. Amin'ity tranga ity, mila mividy mpizara fitantanana (SMS) ianao, izay mety amin'ny endrika fitaovana na milina virtoaly.

Araka ny nolazaiko tetsy ambony, ny Check Point dia manana ny rafitra SIEM azy manokana - Smart Event. Azonao ampiasaina izany raha tsy misy fametrahana Distributed.

Fomba fiasa (Bridge, Routed)
Ny Security Gateway (SG) dia afaka miasa amin'ny fomba roa lehibe:

• resy - ny safidy mahazatra indrindra. Amin'ity tranga ity, ny vavahady dia ampiasaina ho fitaovana L3 ary mandeha amin'ny fifamoivoizana amin'ny tenany, izany hoe. Check Point no vavahadin'ny tambajotra voaaro.
• Bridge - fomba mangarahara. Amin'ity tranga ity, ny vavahady dia napetraka ho "tetezana" mahazatra ary mandalo fifamoivoizana amin'ny ambaratonga faharoa (OSI). Ity safidy ity dia matetika ampiasaina rehefa tsy misy ny fahafahana (na faniriana) hanova ny fotodrafitrasa efa misy. Tsy mila manova ny topologie tambajotra ianao ary tsy mila mieritreritra ny hanova ny adiresy IP.

Tiako ny manamarika fa ao amin'ny Bridge mode dia misy fetrany amin'ny lafiny fampiasa, noho izany izahay, amin'ny maha-mpikambana azy, dia manoro hevitra ny mpanjifanay rehetra hampiasa ny mode Routed, mazava ho azy, raha azo atao.

Check Point Software Blades

Saika nahatratra ny lohahevitra manan-danja indrindra momba ny Check Point izahay, izay mametraka fanontaniana be indrindra amin'ny mpanjifa. Inona avy ireo "blades lozisialy" ireo? Ny lelany dia manondro ny fiasa Check Point sasany.

Ireo fiasa ireo dia azo alefa na vonoina arakaraka ny filanao. Amin'izay fotoana izay ihany koa dia misy lelany izay mihetsika manokana amin'ny vavahady (Security Network) ary amin'ny mpizara fitantanana ihany. Ireo sary etsy ambany dia mampiseho ohatra ho an'ireo tranga roa ireo:

1) Ho an'ny fiarovana ny tambajotra (fampiasana vavahady)

Andeha hofaritantsika fohifohy izany, satria... ny lelany tsirairay dia mendrika ny lahatsorany manokana.

• Firewall - fiasan'ny firewall;
• IPSec VPN - fananganana tambajotra virtoaly manokana;
• Mobile Access - fidirana lavitra avy amin'ny fitaovana finday;
• IPS - rafitra fisorohana ny fidirana;
• Anti-Bot - fiarovana amin'ny tambajotra botnet;
• AntiVirus - streaming antivirus;
• AntiSpam & Email Security - fiarovana ny mailaka orinasa;
• Identity Awareness - fampidirana amin'ny serivisy Active Directory;
• Fanaraha-maso - fanaraha-maso saika ny masontsivana vavahady rehetra (enta-mavesatra, bandwidth, sata VPN, sns.)
• Fanaraha-maso ny fampiharana - firewall ambaratonga fampiharana (fampiasana NGFW);
• Sivana URL - Fiarovana amin'ny Internet (+fampiasana proxy);
• Fisorohana ny fahaverezan'ny angona - fiarovana amin'ny fiparitahan'ny vaovao (DLP);
• Fandrahonana Emulation - teknolojia sandbox (SandBox);
• Fandrahonana fitrandrahana - teknolojia fanadiovana rakitra;
• QoS - laharam-pahamehana ny fifamoivoizana.

Ao anatin'ny lahatsoratra vitsivitsy monja dia hojerentsika amin'ny antsipiriany ny lelan'ny Fandrahonana Fandrahonana sy ny Fandrahonana Fandrahonana, azoko antoka fa hahaliana izany.

2) Ho an'ny Fitantanana (manara-maso ny asan'ny mpizara)

• Fitantanana ny politikan'ny tambajotra - fitantanana politika afovoany;
• Fitantanana Politika Endpoint - fitantanana foibe ny mpiasan'ny Check Point (eny, ny Check Point dia mamokatra vahaolana tsy ho an'ny fiarovana ny tambajotra ihany, fa koa ho an'ny fiarovana ny toeram-piasana (PC) sy smartphones);
• Logging & Status - fanangonana sy fanodinana logs amin'ny foibe;
• Management Portal - fitantanana fiarovana avy amin'ny navigateur;
• Workflow - fanaraha-maso ny fanovana politika, fanaraha-maso ny fanovana, sns.;
• User Directory - fampidirana amin'ny LDAP;
• Fanomezana - automatique ny fitantanana ny vavahady;
• Smart Reporter - rafitra fanaovana tatitra;
• Smart Event - famakafakana sy fampifandraisana ireo hetsika (SIEM);
• Fanaraha-maso - manara-maso ho azy ny fanovana ary manome soso-kevitra.

Tsy hodinihintsika amin'ny an-tsipiriany ny olana momba ny fahazoan-dàlana amin'izao fotoana izao, mba tsy hanakorontana ny lahatsoratra ary tsy hanakorontana ny mpamaky. Azo inoana fa halefantsika amin'ny lahatsoratra mitokana izany.

Ny maritrano ny lelany dia ahafahanao mampiasa afa-tsy ny asa tena ilainao, izay misy fiantraikany amin'ny teti-bolan'ny vahaolana sy ny fahombiazan'ny fitaovana. Ara-dalàna ny hoe arakaraka ny lelafo ahetsiketanao, dia mihena ny fifamoivoizana azonao "mandroso". Izany no mahatonga an'ity tabilao fampisehoana manaraka ity ampifandraisina amin'ny modely Check Point tsirairay (nalainay ohatra ny toetran'ny modely 5400):

Araka ny hitanao dia misy sokajy roa ny fitsapana eto: momba ny fifamoivoizana synthetic sy ny fifamoivoizana tena izy - mifangaro. Amin'ny ankapobeny, ny Check Point dia voatery mamoaka fitsapana synthetic, satria ... Ny mpivarotra sasany dia mampiasa fitsapana toy izany ho toy ny mari-pamantarana, nefa tsy mandinika ny fahombiazan'ny vahaolana amin'ny fifamoivoizana tena izy (na minia manafina ny angona toy izany noho ny toetrany tsy mahafa-po).

Ao amin'ny karazana fitsapana tsirairay dia afaka mahita safidy maromaro ianao:

1. fitsapana ho an'ny Firewall ihany;
2. Fitsapana Firewall+IPS;
3. Fitsapana Firewall+IPS+NGFW (Application control);
4. andrana Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Jereo tsara ireo masontsivana ireo rehefa misafidy ny vahaolana, na ny fifandraisana fakan-kevitra.

Heveriko fa eto no ahafahantsika mamarana ny lahatsoratra fampidirana momba ny teknolojia Check Point. Manaraka izany, hojerentsika ny fomba ahafahanao mitsapa ny Check Point sy ny fomba hiatrehana ireo fandrahonana fiarovana amin'ny fampahalalam-baovao maoderina (virus, phishing, ransomware, zero-day).

PS Hevi-dehibe iray. Na dia eo aza ny fiaviany avy any ivelany (Israeliana), ny vahaolana dia voamarina ao amin'ny Federasiona Rosiana avy amin'ny manampahefana ara-dalàna, izay manara-dalàna ho azy ny fisiany any amin'ny andrim-panjakana (fanehoan-kevitry ny Denyemall).

Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. HiditraPlease.

Inona no fitaovana UTM/NGFW ampiasainao?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• zenevrie

• UserGate

• Inspektera fifamoivoizana

• Rubicon

• Ideco

• Vahaolana OpenSource

• hafa

Mpampiasa 134 no nifidy. Mpampiasa 78 no nifady.

Source: www.habr.com