шалгах цэг. Энэ юу вэ, юугаар хооллодог, эсвэл гол зүйлийн талаар товчхон

Сайн байна уу, Хабрын эрхэм уншигчид! Энэ бол компанийн байгууллагын блог юм TS шийдэл. Бид системийн интегратор бөгөөд ихэвчлэн мэдээллийн технологийн дэд бүтцийн аюулгүй байдлын шийдлээр мэргэшсэн (Шалгах цэг, Fortinet) болон машины мэдээллийн шинжилгээний систем (Тасархай). Бид блогоо Check Point технологийн талаар товч танилцуулж эхлэх болно.

Бид энэ нийтлэлийг бичих нь зүйтэй болов уу гэж удаан бодсон, учир нь... Интернетээс олж чадаагүй шинэ зүйл байхгүй. Гэсэн хэдий ч ийм их мэдээлэл байгаа хэдий ч үйлчлүүлэгчид болон түншүүдтэй ажиллахдаа бид ижил асуултуудыг байнга сонсдог. Тиймээс Check Point технологийн ертөнцөд ямар нэгэн танилцуулга бичиж, тэдгээрийн шийдлүүдийн архитектурын мөн чанарыг илчлэхээр шийдсэн. Энэ бүхэн бол нэг "жижиг" бичлэгийн хүрээнд, хурдан аялалын хүрээнд юм. Түүнээс гадна бид маркетингийн дайнд оролцохгүй байхыг хичээх болно, учир нь... Бид борлуулагч биш, харин зүгээр л системийн интегратор (хэдийгээр бид Check Point-д үнэхээр дуртай) бөгөөд бусад үйлдвэрлэгчидтэй (Palo Alto, Cisco, Fortinet гэх мэт) харьцуулахгүйгээр үндсэн санааг нь авч үзэх болно. Нийтлэл нэлээд урт байсан ч Check Point-тэй танилцах үе шатанд байгаа ихэнх асуултуудыг багтаасан болно. Хэрэв та сонирхож байгаа бол мууранд тавтай морилно уу...

UTM/NGFW

Check Point-ийн тухай яриа эхлэхдээ эхлээд UTM болон NGFW гэж юу болох, тэдгээр нь хэрхэн ялгаатай болохыг тайлбарлах хэрэгтэй. Бичлэг хэтэрхий урт болж хувирахгүйн тулд бид үүнийг маш товчхон хийх болно (магадгүй ирээдүйд бид энэ асуудлыг илүү нарийвчлан авч үзэх болно)

UTM - Нэгдмэл аюулын менежмент

Товчхондоо, UTM-ийн мөн чанар нь хэд хэдэн хамгаалалтын хэрэгслийг нэг шийдэлд нэгтгэх явдал юм. Тэдгээр. бүх зүйл нэг хайрцагт эсвэл бүх зүйлийг багтаасан. "Олон төрлийн эмчилгээ" гэж юу гэсэн үг вэ? Хамгийн түгээмэл сонголт бол: Firewall, IPS, Proxy (URL шүүлтүүр), streaming Antivirus, Anti-Spam, VPN гэх мэт. Энэ бүхэн нь нэг UTM шийдэлд нэгтгэгдсэн бөгөөд энэ нь интеграцчлал, тохиргоо, удирдлага, хяналтын хувьд илүү хялбар бөгөөд энэ нь эргээд сүлжээний ерөнхий аюулгүй байдалд эерэг нөлөө үзүүлдэг. UTM шийдлүүд анх гарч ирэхдээ зөвхөн жижиг компаниудад зориулагдсан гэж үздэг байсан, учир нь... UTM-ууд их хэмжээний траффикийг тэсвэрлэх чадваргүй байв. Энэ нь хоёр шалтгаантай байсан:

1. Пакет боловсруулах арга. UTM шийдлүүдийн эхний хувилбарууд нь пакетуудыг "модуль" бүрээр дараалан боловсруулдаг. Жишээ нь: эхлээд пакетийг галт ханаар боловсруулдаг, дараа нь IPS, дараа нь вирусны эсрэг сканнердсан гэх мэт. Мэдээжийн хэрэг, ийм механизм нь замын хөдөлгөөнд ноцтой саатал үүсгэж, системийн нөөцийг (процессор, санах ой) их хэмжээгээр зарцуулсан.
2. Сул техник хангамж. Дээр дурьдсанчлан пакетуудыг дараалан боловсруулах нь нөөцийг их хэмжээгээр зарцуулж, тэр үеийн техник хангамж (1995-2005) их хэмжээний урсгалыг даван туулж чадахгүй байв.

Гэвч ахиц дэвшил зогсохгүй байна. Түүнээс хойш техник хангамжийн хүчин чадал мэдэгдэхүйц нэмэгдэж, пакет боловсруулалт өөрчлөгдсөн (бүх үйлдвэрлэгчид ийм байдаггүй гэдгийг хүлээн зөвшөөрөх ёстой) хэд хэдэн модулиудад (ME, IPS, AntiVirus гэх мэт) бараг нэгэн зэрэг дүн шинжилгээ хийх боломжийг олгож эхэлсэн. Орчин үеийн UTM шийдлүүд нь гүнзгий дүн шинжилгээ хийх горимд хэдэн арван, бүр хэдэн зуун гигабитыг "шингээх" боломжтой бөгөөд энэ нь тэдгээрийг томоохон бизнесүүд эсвэл бүр мэдээллийн төвүүдийн сегментэд ашиглах боломжтой болгодог.

2016 оны XNUMX-р сарын UTM шийдэлд зориулсан алдарт Gartner Magic Quadrant-ийг доор харуулав.

Би энэ зураг дээр нэг их тайлбар хийхгүй, баруун дээд буланд удирдагчид байгаа гэж л хэлье.

NGFW - Дараагийн үеийн галт хана

Нэр нь өөрөө ярьдаг - дараагийн үеийн галт хана. Энэ ойлголт нь UTM-ээс хамаагүй хожуу гарч ирсэн. NGFW-ийн гол санаа нь програмын түвшинд (Application Control) суурилуулсан IPS болон хандалтын хяналтыг ашиглан гүн пакетийн шинжилгээ (DPI) юм. Энэ тохиолдолд IPS нь пакетийн урсгал дахь энэ эсвэл бусад програмыг тодорхойлоход яг хэрэгтэй зүйл бөгөөд үүнийг зөвшөөрөх эсвэл үгүйсгэх боломжийг олгодог. Жишээ: Бид Skype-д ажиллахыг зөвшөөрч болох ч файл дамжуулахыг хориглоно. Бид Torrent эсвэл RDP ашиглахыг хориглож болно. Мөн вэб програмуудыг дэмждэг: Та VK.com руу нэвтрэхийг зөвшөөрөх боловч тоглоом, мессеж, видео үзэхийг хориглоно. Үндсэндээ NGFW-ийн чанар нь түүний илрүүлж чадах програмуудын тооноос хамаардаг. NGFW үзэл баримтлал бий болсон нь Пало Алто компани хурдацтай өсөлтөө эхлүүлсэн маркетингийн нийтлэг арга байсан гэж олон хүн үзэж байна.

2016 оны XNUMX-р сарын NGFW-д зориулсан Gartner Magic Quadrant:

UTM эсрэг NGFW

Маш нийтлэг асуулт бол аль нь дээр вэ? Энд тодорхой хариулт байхгүй, байж ч болохгүй. Ялангуяа бараг бүх орчин үеийн UTM шийдлүүд нь NGFW функцийг агуулдаг бөгөөд ихэнх NGFW нь UTM (Антивирус, VPN, Anti-Bot гэх мэт) функцуудыг агуулдаг. "Чөтгөр нь нарийн ширийн зүйлд байдаг" гэж үргэлж байдаг тул юуны өмнө та юу хэрэгтэйг шийдэж, төсвөө шийдэх хэрэгтэй. Эдгээр шийдвэрүүд дээр үндэслэн хэд хэдэн сонголтыг сонгож болно. Мөн маркетингийн материалд итгэхгүйгээр бүх зүйлийг хоёрдмол утгагүй туршиж үзэх хэрэгтэй.

Бид эргээд хэд хэдэн нийтлэлийн хүрээнд Check Point-ийн талаар, та үүнийг хэрхэн туршиж үзэх, зарчмын хувьд юуг туршиж үзэх боломжтой (бараг бүх функц) талаар ярихыг хичээх болно.

Гурван шалгах цэгийн байгууллага

Check Point-тэй ажиллахдаа та энэ бүтээгдэхүүний гурван бүрэлдэхүүн хэсэгтэй тулгарах нь гарцаагүй.

1. Хамгаалалтын гарц (SG) - аюулгүй байдлын гарц нь өөрөө ихэвчлэн сүлжээний периметр дээр суурилагдсан бөгөөд галт хана, антивирус, антибот, IPS гэх мэт функцуудыг гүйцэтгэдэг.
2. Аюулгүй байдлын удирдлагын сервер (SMS) — гарцын удирдлагын сервер. Гарц (SG) дээрх бараг бүх тохиргоог энэ серверийг ашиглан гүйцэтгэдэг. SMS нь Бүртгэлийн серверийн үүрэг гүйцэтгэж, үйл явдлын дүн шинжилгээ, уялдаа холбоо бүхий ухаалаг үйл явдлын систем (Smart Event) (Check Point-д зориулсан SIEM-тэй төстэй), гэхдээ дараа нь илүү ихийг хийх боломжтой. SMS нь хэд хэдэн гарцын төвлөрсөн удирдлагад ашиглагддаг (гарцуудын тоо нь SMS загвар эсвэл лицензээс хамаарна), гэхдээ та зөвхөн нэг гарцтай байсан ч үүнийг ашиглах шаардлагатай. Гартнерийн тайлангаар олон жил дараалан "алтан стандарт" гэж хүлээн зөвшөөрөгдсөн ийм төвлөрсөн удирдлагын системийг анх удаагаа Check Point ашигласныг энд тэмдэглэх нь зүйтэй. "Хэрэв Cisco ердийн удирдлагын системтэй байсан бол Check Point хэзээ ч гарч ирэхгүй байсан" гэсэн хошигнол бий.
3. Ухаалаг консол — удирдлагын серверт (SMS) холбогдох үйлчлүүлэгчийн консол. Ихэвчлэн администраторын компьютер дээр суулгадаг. Удирдлагын сервер дээрх бүх өөрчлөлтийг энэ консолоор хийх бөгөөд үүний дараа та тохиргоог аюулгүй байдлын гарцуудад (Суулгах бодлого) ашиглаж болно.

   

Check Point үйлдлийн систем

Check Point үйлдлийн системийн тухай ярихад бид IPSO, SPLAT, GAIA гэсэн гурвыг нэг дор санаж болно.

1. IPSO - Nokia-гийн харьяалагддаг Ipsilon Networks үйлдлийн систем. 2009 онд Check Point энэ бизнесийг худалдаж авсан. Хөгжихөө больсон.
2. SPLAT - RedHat цөм дээр суурилсан Check Point-ийн өөрийн хөгжүүлэлт. Хөгжихөө больсон.
3. Гаиа - IPSO ба SPLAT-ийг нэгтгэсний үр дүнд гарч ирсэн Check Point-ийн одоогийн үйлдлийн систем нь хамгийн сайн бүхнийг агуулсан. Энэ нь 2012 онд гарч ирсэн бөгөөд идэвхтэй хөгжиж байна.

Gaia-ийн тухай ярихад одоогоор хамгийн түгээмэл хувилбар нь R77.30 гэдгийг хэлэх хэрэгтэй. Харьцангуй саяхан R80 хувилбар гарч ирсэн бөгөөд энэ нь өмнөх хувилбараас эрс ялгаатай (функциональ байдал, удирдлагын хувьд хоёулаа). Бид тэдний ялгааны сэдэвт тусдаа нийтлэл зориулах болно. Өөр нэг чухал зүйл бол одоогоор зөвхөн R77.10 хувилбар нь FSTEC гэрчилгээтэй бөгөөд R77.30 хувилбарыг баталгаажуулж байна.

Гүйцэтгэх сонголтууд (Check Point Appliance, Virtual machine, OpenServer)

Энд гайхах зүйл алга, олон борлуулагчдын нэгэн адил Check Point хэд хэдэн бүтээгдэхүүний сонголттой байдаг.

1. хэрэгсэл — техник хангамж, програм хангамжийн төхөөрөмж, өөрөөр хэлбэл. өөрийн гэсэн "төмрийн хэсэг". Гүйцэтгэл, функциональ байдал, дизайны хувьд ялгаатай маш олон загвар байдаг (үйлдвэрлэлийн сүлжээнд зориулсан сонголтууд байдаг).

   

2. Виртуал машин — Gaia үйлдлийн системтэй Check Point виртуал машин. Hypervisors ESXi, Hyper-V, KVM дэмждэг. Процессорын цөмийн тоогоор лицензлэгдсэн.
3. OpenServer програм - Gaia-г үндсэн үйлдлийн систем болгон сервер дээр шууд суулгах ("Нүцгэн металл" гэж нэрлэдэг). Зөвхөн тодорхой техник хангамжийг дэмждэг. Энэхүү техник хангамжийн талаархи зөвлөмжийг дагаж мөрдөх ёстой бөгөөд эс тэгвээс жолооч болон техникийн тоног төхөөрөмжид асуудал үүсч болзошгүй юм. дэмжлэг танд үйлчлэхээс татгалзаж магадгүй.

Хэрэгжүүлэх сонголтууд (тархсан эсвэл бие даасан)

Бага зэрэг өндөрт бид гарц (SG) болон удирдлагын сервер (SMS) гэж юу болохыг аль хэдийн хэлэлцсэн. Одоо тэдгээрийг хэрэгжүүлэх хувилбаруудын талаар ярилцъя. Хоёр үндсэн арга байдаг:

1. Бие даасан (SG+SMS) - гарц болон удирдлагын сервер хоёуланг нь нэг төхөөрөмжид (эсвэл виртуал машин) суулгасан тохиолдолд сонголт.

   
   
   Энэ сонголт нь хэрэглэгчийн ачаалал багатай ганцхан гарцтай үед тохиромжтой. Энэ сонголт нь хамгийн хэмнэлттэй, учир нь... удирдлагын сервер (SMS) худалдаж авах шаардлагагүй. Гэсэн хэдий ч хэрэв гарц маш их ачаалалтай бол та "удаан" хяналтын системтэй болж магадгүй юм. Тиймээс бие даасан шийдлийг сонгохын өмнө энэ сонголтыг зөвлөлдөх эсвэл бүр туршиж үзэх нь дээр.

2. Тараасан — удирдлагын серверийг гарцаас тусад нь суулгасан.

   
   
   Тохиромжтой байдал, гүйцэтгэлийн хувьд хамгийн сайн сонголт. Төв болон салбар гэх мэт хэд хэдэн гарцыг нэгэн зэрэг удирдах шаардлагатай үед хэрэглэнэ. Энэ тохиолдолд та удирдлагын сервер (SMS) худалдаж авах хэрэгтэй бөгөөд энэ нь мөн төхөөрөмж эсвэл виртуал машин хэлбэртэй байж болно.

Дээр хэлсэнчлэн Check Point нь өөрийн гэсэн SIEM систем буюу Smart Event-тэй. Та үүнийг зөвхөн Distributed суулгацын үед ашиглах боломжтой.

Үйлдлийн горимууд (гүүр, чиглүүлэлт)
Хамгаалалтын гарц (SG) нь хоёр үндсэн горимд ажиллах боломжтой.

• Чиглүүлэв - хамгийн түгээмэл сонголт. Энэ тохиолдолд гарцыг L3 төхөөрөмж болгон ашигладаг бөгөөд урсгалыг өөрөө дамжуулдаг, өөрөөр хэлбэл. Check Point нь хамгаалагдсан сүлжээний анхдагч гарц юм.
• гүүр - ил тод горим. Энэ тохиолдолд гарцыг ердийн "гүүр" болгон суурилуулсан бөгөөд хоёрдугаар түвшний (OSI) замын хөдөлгөөнийг дамжуулдаг. Энэ сонголтыг ихэвчлэн одоо байгаа дэд бүтцийг өөрчлөх боломж (эсвэл хүсэл) байхгүй үед ашигладаг. Та сүлжээний топологийг өөрчлөх шаардлагагүй бөгөөд IP хаягийг өөрчлөх талаар бодох шаардлагагүй болно.

Bridge горимд функциональ байдлын хувьд зарим хязгаарлалтууд байдаг тул бид интеграторын хувьд бүх үйлчлүүлэгчиддээ мэдээж боломжтой бол Routed горимыг ашиглахыг зөвлөж байна.

Check Point програм хангамжийн ир

Үйлчлүүлэгчдийн дунд хамгийн их асуулт тавьдаг Check Point-ийн хамгийн чухал сэдэвт бид бараг хүрлээ. Эдгээр "програм хангамжийн ир" гэж юу вэ? Ир нь Check Point-ийн тодорхой функцуудыг хэлдэг.

Эдгээр функцийг таны хэрэгцээ шаардлагаас хамааран асааж, унтрааж болно. Үүний зэрэгцээ зөвхөн гарц дээр (Сүлжээний аюулгүй байдал) болон зөвхөн удирдлагын сервер дээр идэвхждэг ирүүд байдаг. Доорх зургууд нь хоёр тохиолдлын жишээг харуулж байна:

1) Сүлжээний аюулгүй байдлын хувьд (гарцны функц)

Үүнийг товчхон тайлбарлая, учир нь... ир бүр өөрийн гэсэн нийтлэлийг хүртэх ёстой.

• Галт хана - галт хананы функц;
• IPSec VPN - хувийн виртуал сүлжээг бий болгох;
• Гар утасны хандалт - хөдөлгөөнт төхөөрөмжөөс алсаас хандах;
• IPS - халдлагаас урьдчилан сэргийлэх систем;
• Anti-Bot - ботнет сүлжээнээс хамгаалах;
• AntiVirus - урсгалын эсрэг вирус;
• AntiSpam & Email Security - байгууллагын имэйлийг хамгаалах;
• Identity Awareness - Active Directory үйлчилгээтэй нэгтгэх;
• Хяналт - гарцын бараг бүх параметрүүдийг (ачаалал, зурвасын өргөн, VPN статус гэх мэт) хянах.
• Хэрэглээний хяналт - хэрэглээний түвшний галт хана (NGFW функц);
• URL шүүлтүүр - Вэбийн аюулгүй байдал (+прокси функц);
• Мэдээллийн алдагдлаас урьдчилан сэргийлэх - мэдээлэл алдагдахаас хамгаалах (DLP);
• Threat Emulation - хамгаалагдсан хязгаарлагдмал орчинд ашиглах технологи (SandBox);
• Threat Extraction - файл цэвэрлэх технологи;
• QoS - замын хөдөлгөөний тэргүүлэх чиглэл.

Цөөн хэдэн өгүүллээр бид аюул заналхийллийн эмуляц болон аюулыг арилгах ирийг нарийвчлан авч үзэх болно, энэ нь сонирхолтой байх болно гэдэгт би итгэлтэй байна.

2) Удирдлагын хувьд (серверийн ажиллагааг хянах)

• Сүлжээний бодлогын менежмент - бодлогын төвлөрсөн удирдлага;
• Төгсгөлийн бодлогын менежмент - Check Point агентуудын төвлөрсөн удирдлага (тиймээ, Check Point нь зөвхөн сүлжээг хамгаалах төдийгүй ажлын станц (PC) болон ухаалаг гар утсыг хамгаалах шийдлүүдийг гаргадаг);
• Бүртгэл ба статус - бүртгэлийг төвлөрсөн цуглуулах, боловсруулах;
• Удирдлагын портал - хөтөчөөс аюулгүй байдлын удирдлага;
• Ажлын урсгал - бодлогын өөрчлөлтийг хянах, өөрчлөлтийн аудит гэх мэт;
• Хэрэглэгчийн лавлах - LDAP-тай нэгтгэх;
• Хангамж - гарцын удирдлагын автоматжуулалт;
• Ухаалаг сурвалжлагч - тайлангийн систем;
• Smart Event - үйл явдлын дүн шинжилгээ ба хамаарал (SIEM);
• Дагаж мөрдөх - тохиргоог автоматаар шалгаж, зөвлөмж гаргадаг.

Нийтлэлийг бүдгэрүүлж, уншигчдыг төөрөгдүүлэхгүйн тулд бид лицензийн асуудлыг одоо нарийвчлан авч үзэхгүй. Магадгүй бид үүнийг тусдаа нийтлэлд оруулах болно.

Хутганы архитектур нь зөвхөн танд хэрэгтэй функцуудыг ашиглах боломжийг олгодог бөгөөд энэ нь шийдлийн төсөв болон төхөөрөмжийн ерөнхий гүйцэтгэлд нөлөөлдөг. Та хэдий чинээ олон ирийг идэвхжүүлнэ, төдий чинээ бага замын хөдөлгөөнийг "давих" нь логик юм. Ийм учраас Check Point загвар бүрт дараах гүйцэтгэлийн хүснэгтийг хавсаргасан болно (бид 5400 загварын шинж чанарыг жишээ болгон авсан).

Таны харж байгаагаар энд хоёр төрлийн туршилтууд байдаг: синтетик хөдөлгөөн ба бодит хөдөлгөөн дээр - холимог. Ерөнхийдөө Check Point нь синтетик туршилтуудыг нийтлэхээс өөр аргагүй болдог, учир нь... Зарим борлуулагчид бодит траффик дээрх шийдлийнхээ гүйцэтгэлийг шалгахгүйгээр ийм туршилтыг жишиг болгон ашигладаг (эсвэл сэтгэл ханамжгүй байдлаас шалтгаалан ийм өгөгдлийг санаатайгаар нуудаг).

Туршилтын төрөл бүрт та хэд хэдэн сонголтыг анзаарч болно.

1. зөвхөн галт ханыг турших;
2. Галт хана+IPS тест;
3. Галт хана+IPS+NGFW (Програмын хяналт) тест;
4. тест Галт хана+Програмын хяналт+URL шүүлтүүр+IPS+Антивирус+Анти-Бот+Элсний тэсэлгээ (sandbox)

Өөрийн шийдлийг сонгохдоо эдгээр параметрүүдийг анхааралтай ажиглаж эсвэл холбоо барина уу зөвлөлдөх.

Эндээс бид Check Point технологийн талаархи танилцуулга нийтлэлийг дуусгаж болно гэж би бодож байна. Дараа нь бид Check Point-ийг хэрхэн туршиж үзэх, мэдээллийн аюулгүй байдлын орчин үеийн аюул занал (вирус, фишинг, ransomware, XNUMX-day) -тай хэрхэн тэмцэх талаар авч үзэх болно.

Жич чухал зүйл. Гадаадын (Израиль) гарал үүсэлтэй хэдий ч уг шийдэл нь ОХУ-д зохицуулалтын байгууллагуудаар баталгаажсан бөгөөд энэ нь төрийн байгууллагуудад автоматаар хууль ёсны болгодог (тайлбар Denyemall).

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Та ямар UTM/NGFW хэрэгслийг ашигладаг вэ?

• Шалгах цэг

• Cisco Firepower

• Fortinet

• Palo Alto

• Софос

• Dell SonicWALL

• Huawei

• WatchGard

• Арц

• UserGate

• Замын байцаагч

• Рубикон

• Ideco

• OpenSource шийдэл

• Бусад

134 хэрэглэгч санал өгсөн. 78 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com