Check Point. Што е тоа, со што се јаде или накратко за главното

Здраво, драги читатели на Хабр! Ова е корпоративниот блог на компанијата TS решение. Ние сме системски интегратор и најмногу сме специјализирани за безбедносни решенија за ИТ инфраструктура (Check Point, Fortinet) и системи за машинска анализа на податоци (Плускав). Ќе го започнеме нашиот блог со краток вовед во технологиите на Check Point.

Долго размислувавме дали вреди да се напише оваа статија, бидејќи ... нема ништо ново во него што не може да се најде на Интернет. Сепак, и покрај толкавото изобилство на информации, кога работиме со клиенти и партнери, доста често ги слушаме истите прашања. Затоа, беше одлучено да се напише некој вид вовед во светот на технологиите Check Point и да се открие суштината на архитектурата на нивните решенија. И сето тоа е во рамките на еден „мал“ пост, брза екскурзија, така да се каже. Згора на тоа, ќе се трудиме да не навлегуваме во маркетиншки војни, бидејќи ... Ние не сме продавач, туку едноставно системски интегратор (иако навистина го сакаме Check Point) и едноставно ќе ги разгледаме главните точки без да ги споредуваме со други производители (како што се Palo Alto, Cisco, Fortinet итн.). Статијата се покажа доста долга, но ги опфаќа повеќето прашања во фазата на запознавање со Check Point. Доколку сте заинтересирани, тогаш добредојде во мачката...

UTM/NGFW

Кога започнувате разговор за Check Point, првото место за почеток е со објаснување што се UTM и NGFW и како тие се разликуваат. Ќе го направиме ова многу концизно за да не испадне објавата предолга (можеби во иднина ќе го разгледаме ова прашање малку подетално)

UTM - Унифицирано управување со закани

Накратко, суштината на UTM е консолидација на неколку безбедносни алатки во едно решение. Оние. сè во една кутија или некој вид all inclusive. Што се подразбира под „повеќе лекови“? Најчеста опција е: Firewall, IPS, Proxy (филтрирање URL), стриминг антивирус, анти-спам, VPN и така натаму. Сето ова е комбинирано во едно UTM решение, што е полесно во однос на интеграцијата, конфигурацијата, администрацијата и следењето, а тоа пак има позитивен ефект врз целокупната безбедност на мрежата. Кога првпат се појавија UTM решенијата, тие се сметаа исклучиво за мали компании, бидејќи ... ОУЗ не можеа да се справат со голем обем на сообраќај. Ова беше од две причини:

1. Метод на обработка на пакети. Првите верзии на решенијата за UTM обработуваа пакети последователно, секој „модул“. Пример: прво пакетот го обработува заштитниот ѕид, потоа IPS, потоа се скенира со анти-вирус итн. Секако, таквиот механизам воведе сериозни доцнења во сообраќајот и во голема мера ги трошеше системските ресурси (процесор, меморија).
2. Слаб хардвер. Како што споменавме погоре, последователната обработка на пакети во голема мера трошеше ресурси и хардверот од тоа време (1995-2005) едноставно не можеше да се справи со големиот сообраќај.

Но, напредокот не застанува. Оттогаш, капацитетот на хардверот значително се зголеми, а обработката на пакети се промени (мора да се признае дека ја немаат сите продавачи) и почна да дозволува речиси истовремена анализа во неколку модули одеднаш (ME, IPS, AntiVirus итн.). Современите UTM решенија можат да „сварат“ десетици, па дури и стотици гигабити во режим на длабока анализа, што овозможува нивно користење во сегментот на големи бизниси или дури и центри за податоци.

Подолу е познатиот Gartner Magic Quadrant за UTM решенија за август 2016 година:

Нема да коментирам многу за оваа слика, само ќе кажам дека лидерите се во горниот десен агол.

NGFW - Заштитен ѕид од следната генерација

Името зборува само за себе - заштитниот ѕид од следната генерација. Овој концепт се појави многу подоцна од UTM. Главната идеја на NGFW е анализа на длабоки пакети (DPI) со помош на вграден IPS и контрола на пристап на ниво на апликација (Application Control). Во овој случај, IPS е токму она што е потребно за да се идентификува оваа или онаа апликација во протокот на пакети, што ви овозможува да го дозволите или одбиете. Пример: Можеме да дозволиме Skype да работи, но да забраниме пренос на датотеки. Можеме да ја забраниме употребата на Torrent или RDP. Поддржани се и веб-апликации: можете да дозволите пристап до VK.com, но да забраните игри, пораки или гледање видеа. Во суштина, квалитетот на NGFW зависи од бројот на апликации што може да ги открие. Многумина веруваат дека појавата на концептот NGFW беше вообичаен маркетиншки трик против чија позадина компанијата Пало Алто го започна својот брз раст.

Gartner Magic Quadrant за NGFW за мај 2016 година:

UTM наспроти NGFW

Многу често прашање е што е подобро? Овде нема дефинитивен одговор и не може да биде. Особено ако се земе предвид фактот дека скоро сите модерни UTM решенија содржат NGFW функционалност и повеќето NGFW содржат функции својствени за UTM (Антивирус, VPN, Anti-Bot, итн.). Како и секогаш, „ѓаволот е во деталите“, така што прво треба да одлучите што ви треба конкретно и да одлучите за вашиот буџет. Врз основа на овие одлуки, може да се изберат неколку опции. И сè треба да се тестира недвосмислено, без да се верува на маркетиншки материјали.

Ние, пак, во рамките на неколку написи, ќе се обидеме да кажеме за Check Point, како можете да го пробате и што, во принцип, можете да пробате (речиси целата функционалност).

Три контролни ентитети

Кога работите со Check Point, дефинитивно ќе наидете на три компоненти на овој производ:

1. Безбедносен портал (SG) — самата безбедносна порта, која обично се инсталира на мрежниот периметар и ги извршува функциите на заштитен ѕид, стриминг антивирус, антибот, IPS итн.
2. Сервер за управување со безбедноста (SMS) — Сервер за управување со портал. Речиси сите поставки на портата (SG) се вршат со помош на овој сервер. СМС може да дејствува и како сервер за евиденција и да ги обработува со вграден систем за анализа и корелација на настани - Паметен настан (сличен на SIEM за Check Point), но повеќе за тоа подоцна. СМС се користи за централизирано управување со неколку порти (бројот на портали зависи од моделот или лиценцата за СМС), но од вас се бара да го користите дури и ако имате само еден портал. Овде треба да се забележи дека Check Point беше еден од првите што користеше таков централизиран систем за управување, кој е признат како „златен стандард“ според извештаите на Гартнер многу години по ред. Има дури и шега: „Ако Cisco имаше нормален систем за управување, тогаш Check Point никогаш немаше да се појави“.
3. Паметна конзола — клиентска конзола за поврзување со серверот за управување (SMS). Обично се инсталира на компјутерот на администраторот. Сите промени на серверот за управување се прават преку оваа конзола, а потоа можете да ги примените поставките на безбедносните порти (Install Policy).

   

Оперативен систем Check Point

Зборувајќи за оперативниот систем Check Point, можеме да потсетиме на три одеднаш: IPSO, SPLAT и GAIA.

1. ИПСО - оперативен систем на Ipsilon Networks, кој и припаѓаше на Nokia. Во 2009 година, Check Point го купи овој бизнис. Повеќе не се развива.
2. ПЛАКНИЦА - Сопствениот развој на Check Point, базиран на кернелот RedHat. Повеќе не се развива.
3. Гаја - актуелниот оперативен систем од Check Point, кој се појави како резултат на спојувањето на IPSO и SPLAT, инкорпорирајќи се најдобро. Се појави во 2012 година и продолжува активно да се развива.

Зборувајќи за Gaia, треба да се каже дека во моментов најчестата верзија е R77.30. Релативно неодамна се појави верзијата R80, која значително се разликува од претходната (и во однос на функционалноста и контролата). Ќе посветиме посебен пост на темата за нивните разлики. Друга важна точка е дека моментално само верзијата R77.10 има FSTEC сертификат, а верзијата R77.30 се сертифицира.

Опции за извршување (Check Point Appliance, Виртуелна машина, OpenServer)

Нема ништо изненадувачки овде, како и многу продавачи, Check Point има неколку опции за производи:

1. Апарати за домаќинство — хардверски и софтверски уред, т.е. сопственото „парче железо“. Има многу модели кои се разликуваат по перформанси, функционалност и дизајн (постојат опции за индустриски мрежи).

   

2. Виртуелна машина — Виртуелна машина Check Point со Gaia OS. Поддржани се хипервизори ESXi, Hyper-V, KVM. Лиценцирано според бројот на процесорски јадра.
3. OpenServer — инсталирање на Gaia директно на серверот како главен оперативен систем (т.н. „Гол метал“). Поддржан е само одреден хардвер. Постојат препораки за овој хардвер кои мора да се следат, во спротивно може да се појават проблеми со драјверите и техничката опрема. поддршката може да одбие да ве услужи.

Опции за имплементација (дистрибуирани или самостојни)

Малку повисоко веќе разговаравме што е портал (SG) и сервер за управување (SMS). Сега да разговараме за опциите за нивна имплементација. Постојат два главни начини:

1. Самостоен (SG+SMS) - опција кога и портата и серверот за управување се инсталирани во еден уред (или виртуелна машина).

   
   
   Оваа опција е погодна кога имате само една порта која е лесно оптоварена со кориснички сообраќај. Оваа опција е најекономична, бидејќи... нема потреба да купувате сервер за управување (SMS). Меѓутоа, ако портата е силно натоварена, може да завршите со „бавен“ контролен систем. Затоа, пред да изберете самостојно решение, најдобро е да се консултирате или дури и да ја тестирате оваа опција.

2. Дистрибуирани — серверот за управување е инсталиран одделно од портата.

   
   
   Најдобрата опција во однос на практичноста и перформансите. Се користи кога е неопходно да се управуваат неколку порти одеднаш, на пример централни и гранки. Во овој случај, треба да купите сервер за управување (SMS), кој исто така може да биде во форма на апарат или виртуелна машина.

Како што реков веднаш погоре, Check Point има свој SIEM систем - Smart Event. Можете да го користите само во случај на Дистрибуирана инсталација.

Режими на работа (мост, насочуван)
Безбедносниот портал (SG) може да работи во два главни режими:

• Рутирано - најчеста опција. Во овој случај, портата се користи како уред L3 и го насочува сообраќајот низ себе, т.е. Check Point е стандардната порта за заштитената мрежа.
• Мост — транспарентен режим. Во овој случај, портата е инсталирана како редовен „мост“ и поминува низ сообраќајот на второто ниво (OSI). Оваа опција обично се користи кога нема можност (или желба) за промена на постоечката инфраструктура. Практично не треба да ја менувате мрежната топологија и не мора да размислувате за промена на IP адресирањето.

Би сакал да забележам дека во режимот Bridge има одредени ограничувања во однос на функционалноста, па ние како интегратор ги советуваме сите наши клиенти да го користат режимот Routed, се разбира, доколку е можно.

Check Point Software Blades

Скоро стигнавме до најважната тема на Check Point, која покренува најмногу прашања кај клиентите. Кои се овие „софтверски сечила“? Сечилата се однесуваат на одредени функции на Check Point.

Овие функции може да се вклучат или исклучат во зависност од вашите потреби. Во исто време, има сечила кои се активираат исклучиво на портата (Network Security) и само на серверот за управување. Сликите подолу покажуваат примери за двата случаи:

1) За мрежна безбедност (функционалност на портата)

Да го опишеме накратко, бидејќи ... секое сечило заслужува свој напис.

• Заштитен ѕид - функционалност на заштитен ѕид;
• IPSec VPN - градење приватни виртуелни мрежи;
• Мобилен пристап - далечински пристап од мобилни уреди;
• IPS - систем за спречување на упад;
• Анти-Бот - заштита од мрежи на ботнет;
• Антивирус - стриминг антивирус;
• AntiSpam & безбедност на е-пошта - заштита на корпоративна е-пошта;
• Свесност за идентитетот - интеграција со услугата Active Directory;
• Мониторинг - следење на речиси сите параметри на порталот (оптоварување, пропусен опсег, статус на VPN, итн.)
• Контрола на апликации - заштитен ѕид на ниво на апликација (функционалност NGFW);
• Филтрирање URL - безбедност на веб (+функционалност на прокси);
• Превенција на загуба на податоци - заштита од протекување информации (DLP);
• Емулација на закани - технологија за песок (SandBox);
• Threat Extraction - технологија за чистење датотеки;
• QoS - приоритизација на сообраќајот.

Во само неколку написи детално ќе ги разгледаме сечилата за емулација на закани и за екстракција на закани, сигурен сум дека ќе биде интересно.

2) За управување (контрола на функционалноста на серверот)

• Управување со мрежна политика - централизирано управување со политики;
• Управување со политиката на крајната точка - централизирано управување со агентите на Check Point (да, Check Point произведува решенија не само за заштита на мрежата, туку и за заштита на работни станици (компјутери) и паметни телефони);
• Логирање и статус - централизирано собирање и обработка на дневници;
• Портал за управување - управување со безбедноста од прелистувачот;
• Работен тек - контрола врз промените на политиките, ревизија на промени итн.;
• Директориум на корисници - интеграција со LDAP;
• Обезбедување - автоматизација на управување со портите;
• Smart Reporter - систем за известување;
• Smart Event - анализа и корелација на настани (SIEM);
• Усогласеност - автоматски ги проверува поставките и дава препораки.

Сега нема детално да ги разгледуваме прашањата за лиценцирање, за да не ја надуеме статијата и да не го збуниме читателот. Најверојатно ова ќе го објавиме во посебен пост.

Архитектурата на сечилата ви овозможува да ги користите само функциите што навистина ви се потребни, што влијае на буџетот на решението и на севкупните перформанси на уредот. Логично е дека колку повеќе сечила активирате, толку помалку сообраќај можете да „возите низ“. Затоа, следнава табела за перформанси е прикачена на секој модел на Check Point (ги земавме карактеристиките на моделот 5400 како пример):

Како што можете да видите, тука има две категории на тестови: на синтетички сообраќај и на реален сообраќај - мешан. Општо земено, Check Point е едноставно принуден да објавува синтетички тестови, бидејќи ... некои продавачи користат такви тестови како репери, без да ги испитаат перформансите на нивните решенија во реалниот сообраќај (или намерно ги кријат таквите податоци поради нивната незадоволителна природа).

Во секој тип на тест, можете да забележите неколку опции:

1. тест само за Firewall;
2. Firewall+IPS тест;
3. Тест за заштитен ѕид+IPS+NGFW (Контрола на апликации);
4. тестирајте огнен ѕид+контрола на апликации+филтрирање на URL+IPS+Антивирус+Анти-бот+SandBlast (песок)

Погледнете ги внимателно овие параметри при изборот на вашето решение или контакт консултација.

Мислам дека тука можеме да ја завршиме воведната статија за технологиите на Check Point. Следно, ќе погледнеме како можете да тестирате Check Point и како да се справите со современите закани за безбедноста на информациите (вируси, фишинг, откупнина, нула-ден).

PS Важна точка. И покрај неговото странско (израелско) потекло, решението е сертифицирано во Руската Федерација од страна на регулаторните органи, што автоматски го легализира неговото присуство во владините институции (коментар од Denyemall).

Само регистрирани корисници можат да учествуваат во анкетата. Најави се, вие сте добредојдени.

Кои UTM/NGFW алатки ги користите?

• Check Point

• Cisco Firepower

• Fortinet

• Пало Алто

• Sophos

• Dell SonicWALL

• Huawei

• Часовник

• Смрека

• UserGate

• Сообраќаен инспектор

• Рубикон

• Идеко

• OpenSource решение

• Останати

Гласале 134 корисници. 78 корисници беа воздржани.

Извор: www.habr.com