titik semak. Apa itu, dengan apa ia dimakan, atau secara ringkas tentang perkara utama

Halo, pembaca habr yang dikasihi! Ini adalah blog korporat syarikat Penyelesaian T.S. Kami adalah penyepadu sistem dan terutamanya pakar dalam penyelesaian keselamatan infrastruktur IT (Check Point, Fortinet) dan sistem analisis data mesin (Splunk). Kami akan memulakan blog kami dengan pengenalan ringkas kepada teknologi Check Point.

Kami berfikir untuk masa yang lama sama ada untuk menulis artikel ini, kerana. tiada perkara baru di dalamnya yang tidak boleh didapati di Internet. Walau bagaimanapun, walaupun begitu banyak maklumat, apabila bekerja dengan pelanggan dan rakan kongsi, kami sering mendengar soalan yang sama. Oleh itu, ia telah memutuskan untuk menulis beberapa jenis pengenalan kepada dunia teknologi Check Point dan mendedahkan intipati seni bina penyelesaian mereka. Dan semua ini dalam rangka satu jawatan "kecil", boleh dikatakan, penyimpangan yang cepat. Dan kami akan cuba untuk tidak pergi ke dalam peperangan pemasaran, kerana. kami bukan vendor, tetapi hanya penyepadu sistem (walaupun kami sangat menyukai Check Point) dan hanya menyemak perkara utama tanpa membandingkannya dengan pengeluar lain (seperti Palo Alto, Cisco, Fortinet, dll.). Artikel itu ternyata agak tebal, tetapi ia memotong kebanyakan soalan pada peringkat membiasakan diri dengan Check Point. Jika anda berminat, selamat datang di bawah kucing…

UTM/NGFW

Apabila memulakan perbualan tentang Check Point, perkara pertama yang perlu dimulakan ialah penjelasan tentang apa itu UTM, NGFW dan bagaimana ia berbeza. Kami akan melakukan ini dengan sangat ringkas supaya siaran tidak menjadi terlalu besar (mungkin pada masa akan datang kami akan mempertimbangkan isu ini dengan lebih terperinci)

UTM - Pengurusan Ancaman Bersatu

Ringkasnya, intipati UTM ialah penyatuan beberapa alat keselamatan dalam satu penyelesaian. Itu. semua dalam satu kotak atau beberapa semua termasuk. Apakah yang dimaksudkan dengan "pelbagai remedi"? Pilihan yang paling biasa ialah: Firewall, IPS, Proxy (penapisan URL), Antivirus Streaming, Anti-Spam, VPN dan sebagainya. Semua ini digabungkan dalam satu penyelesaian UTM, yang lebih mudah dari segi penyepaduan, konfigurasi, pentadbiran dan pemantauan, dan ini, seterusnya, mempunyai kesan positif ke atas keselamatan keseluruhan rangkaian. Apabila penyelesaian UTM mula-mula muncul, ia dianggap eksklusif untuk syarikat kecil, kerana. UTM tidak dapat mengendalikan jumlah lalu lintas yang besar. Ini kerana dua sebab:

1. Cara paket diproses. Versi pertama penyelesaian UTM memproses paket secara berurutan, mengikut setiap "modul". Contoh: pertama paket diproses oleh firewall, kemudian oleh IPS, kemudian ia diperiksa oleh Anti-Virus dan seterusnya. Sememangnya, mekanisme sedemikian memperkenalkan kelewatan lalu lintas yang serius dan sumber sistem yang banyak digunakan (pemproses, memori).
2. Perkakasan yang lemah. Seperti yang dinyatakan di atas, pemprosesan paket berurutan memakan sumber dan perkakasan pada masa itu (1995-2005) tidak dapat menampung trafik yang tinggi.

Tetapi kemajuan tidak berhenti. Sejak itu, kapasiti perkakasan telah meningkat dengan ketara, dan pemprosesan paket telah berubah (mesti diakui bahawa tidak semua vendor memilikinya) dan mula membenarkan analisis hampir serentak dalam beberapa modul sekaligus (ME, IPS, AntiVirus, dll.). Penyelesaian UTM moden boleh "mencerna" puluhan malah ratusan gigabit dalam mod analisis mendalam, yang memungkinkan untuk menggunakannya dalam segmen perniagaan besar atau pusat data.

Di bawah ialah Kuadran Ajaib Gartner yang terkenal untuk penyelesaian UTM untuk Ogos 2016:

Saya tidak akan mengulas kuat tentang gambar ini, saya hanya akan mengatakan bahawa ada pemimpin di sudut kanan atas.

NGFW - Firewall Generasi Seterusnya

Nama itu bercakap untuk dirinya sendiri - tembok api generasi akan datang. Konsep ini muncul lebih lewat daripada UTM. Idea utama NGFW ialah pemeriksaan paket dalam (DPI) menggunakan IPS terbina dalam dan kawalan akses pada peringkat aplikasi (Kawalan Aplikasi). Dalam kes ini, IPS hanyalah apa yang diperlukan untuk mengenal pasti aplikasi ini atau itu dalam aliran paket, yang membolehkan anda membenarkan atau menafikannya. Contoh: Kami boleh membenarkan Skype berfungsi tetapi menghalang pemindahan fail. Kami boleh melarang penggunaan Torrent atau RDP. Aplikasi web juga disokong: Anda boleh membenarkan akses kepada VK.com, tetapi menghalang permainan, mesej atau menonton video. Pada asasnya, kualiti NGFW bergantung pada bilangan aplikasi yang boleh ditentukannya. Ramai yang percaya bahawa kemunculan konsep NGFW adalah muslihat pemasaran biasa yang menentang Palo Alto memulakan pertumbuhan pesatnya.

Mei 2016 Gartner Magic Quadrant untuk NGFW:

UTM lwn NGFW

Soalan yang sangat biasa, yang mana lebih baik? Tiada jawapan tunggal di sini dan tidak boleh. Terutama apabila anda mempertimbangkan hakikat bahawa hampir semua penyelesaian UTM moden mengandungi fungsi NGFW dan kebanyakan NGFW mengandungi fungsi yang wujud dalam UTM (Antivirus, VPN, Anti-Bot, dll.). Seperti biasa, "syaitan ada dalam butiran", jadi pertama sekali anda perlu memutuskan apa yang anda perlukan secara khusus, tentukan bajet. Berdasarkan keputusan ini, beberapa pilihan boleh dipilih. Dan segala-galanya perlu diuji dengan jelas, tidak mempercayai bahan pemasaran.

Kami pula, dalam rangka beberapa artikel, akan cuba memberitahu anda tentang Check Point, bagaimana anda boleh mencubanya dan apa, pada dasarnya, anda boleh cuba (hampir semua fungsi).

Tiga Entiti Check Point

Apabila bekerja dengan Check Point, anda pasti akan menemui tiga komponen produk ini:

1. Gerbang Keselamatan (SG) - gerbang keselamatan itu sendiri, yang biasanya diletakkan pada perimeter rangkaian dan melaksanakan fungsi firewall, penstriman antivirus, anti-bot, IPS, dll.
2. Pelayan Pengurusan Keselamatan (SMS) - pelayan pengurusan pintu masuk. Hampir semua tetapan pada get laluan (SG) dilakukan menggunakan pelayan ini. SMS juga boleh bertindak sebagai Pelayan Log dan memprosesnya dengan analisis acara terbina dalam dan sistem korelasi - Acara Pintar (serupa dengan SIEM untuk Check Point), tetapi lebih lanjut mengenainya kemudian. SMS digunakan untuk mengurus berbilang get laluan secara berpusat (bilangan get laluan bergantung pada model atau lesen SMS), tetapi anda mesti menggunakannya walaupun anda hanya mempunyai satu get laluan. Perlu diingatkan di sini bahawa Check Point adalah salah satu yang pertama menggunakan sistem pengurusan berpusat sedemikian, yang telah diiktiraf sebagai "standard emas" menurut laporan Gartner selama bertahun-tahun berturut-turut. Malah ada jenaka: "Jika Cisco mempunyai sistem kawalan biasa, maka Check Point tidak akan pernah muncul."
3. Konsol Pintar — konsol pelanggan untuk menyambung ke pelayan pengurusan (SMS). Biasanya dipasang pada komputer pentadbir. Melalui konsol ini, semua perubahan dibuat pada pelayan pengurusan, dan selepas itu anda boleh menggunakan tetapan pada gerbang keselamatan (Dasar Pemasangan).

   

Sistem pengendalian Check Point

Bercakap tentang sistem pengendalian Check Point, tiga boleh dipanggil semula sekali gus: IPSO, SPLAT dan GAIA.

1. IPSO ialah sistem pengendalian Ipsilon Networks, yang dimiliki oleh Nokia. Pada tahun 2009, Check Point membeli perniagaan ini. Tidak berkembang lagi.
2. SPLAT - pembangunan sendiri Check Point, berdasarkan kernel RedHat. Tidak berkembang lagi.
3. Gaia - sistem pengendalian semasa dari Check Point, yang muncul sebagai hasil penggabungan IPSO dan SPLAT, menggabungkan semua yang terbaik. Muncul pada tahun 2012 dan terus berkembang secara aktif.

Bercakap tentang Gaia, harus dikatakan bahawa pada masa ini versi yang paling biasa ialah R77.30. Baru-baru ini, versi R80 telah muncul, yang berbeza dengan ketara daripada yang sebelumnya (kedua-duanya dari segi fungsi dan kawalan). Kami akan menumpukan jawatan berasingan untuk topik perbezaan mereka. Satu lagi perkara penting ialah pada masa ini hanya versi R77.10 mempunyai sijil FSTEC dan versi R77.30 sedang diperakui.

Pilihan (Perkakas Titik Semak, Mesin Maya, OpenServer)

Tiada apa yang mengejutkan di sini, kerana banyak vendor Check Point mempunyai beberapa pilihan produk:

1. Appliance - peranti perkakasan dan perisian, i.e. "sepotong besi" sendiri. Terdapat banyak model yang berbeza dalam prestasi, fungsi dan reka bentuk (terdapat pilihan untuk rangkaian industri).

   

2. Mesin maya - Mesin maya Check Point dengan OS Gaia. Hypervisor ESXi, Hyper-V, KVM disokong. Dilesenkan oleh bilangan teras pemproses.
3. pelayan terbuka - Memasang Gaia secara langsung pada pelayan sebagai sistem pengendalian utama (yang dipanggil "Bare metal"). Hanya perkakasan tertentu yang disokong. Terdapat cadangan untuk perkakasan ini yang mesti diikuti, jika tidak, mungkin terdapat masalah dengan pemandu dan mereka. sokongan mungkin menolak perkhidmatan kepada anda.

Pilihan pelaksanaan (Diedarkan atau Kendiri)

Lebih tinggi sedikit, kami telah membincangkan apa itu gerbang (SG) dan pelayan pengurusan (SMS). Sekarang mari kita bincangkan pilihan untuk pelaksanaannya. Terdapat dua cara utama:

1. Kendiri (SG+SMS) - pilihan apabila kedua-dua get laluan dan pelayan pengurusan dipasang dalam peranti yang sama (atau mesin maya).

   
   
   Pilihan ini sesuai apabila anda hanya mempunyai satu get laluan, yang sarat dengan trafik pengguna. Pilihan ini adalah yang paling menjimatkan, kerana. tidak perlu membeli pelayan pengurusan (SMS). Walau bagaimanapun, jika pintu masuk banyak dimuatkan, anda mungkin mengalami sistem kawalan yang perlahan. Oleh itu, sebelum memilih penyelesaian Standalone, adalah lebih baik untuk berunding atau menguji pilihan ini.

2. Diagihkan — pelayan pengurusan dipasang secara berasingan daripada get laluan.

   
   
   Pilihan terbaik dari segi kemudahan dan prestasi. Ia digunakan apabila perlu untuk menguruskan beberapa pintu masuk sekaligus, contohnya, pusat dan cawangan. Dalam kes ini, anda perlu membeli pelayan pengurusan (SMS), yang juga boleh dalam bentuk perkakas (kepingan besi) atau mesin maya.

Seperti yang saya katakan di atas, Check Point mempunyai sistem SIEM sendiri - Acara Pintar. Anda boleh menggunakannya hanya dalam kes pemasangan Diedarkan.

Mod pengendalian (Jambatan, Dihalakan)
Gerbang Keselamatan (SG) boleh beroperasi dalam dua mod asas:

• Dihidupkan - pilihan yang paling biasa. Dalam kes ini, get laluan digunakan sebagai peranti L3 dan laluan trafik melalui dirinya sendiri, i.e. Check Point ialah pintu masuk lalai untuk rangkaian yang dilindungi.
• Bridge - mod telus. Dalam kes ini, pintu masuk dipasang sebagai "jambatan" biasa dan melalui trafik melaluinya pada lapisan kedua (OSI). Pilihan ini biasanya digunakan apabila tiada kemungkinan (atau keinginan) untuk menukar infrastruktur sedia ada. Anda boleh dikatakan tidak perlu menukar topologi rangkaian dan tidak perlu berfikir tentang menukar pengalamatan IP.

Saya ingin ambil perhatian bahawa terdapat beberapa batasan fungsi dalam mod Jambatan, oleh itu, sebagai penyepadu, kami menasihati semua pelanggan kami untuk menggunakan mod Laluan, sudah tentu, jika boleh.

Bilah Perisian (Bilah Perisian Check Point)

Kami hampir mencapai topik Check Point yang paling penting, yang menimbulkan paling banyak soalan daripada pelanggan. Apakah "bilah perisian" ini? Bilah merujuk kepada fungsi Check Point tertentu.

Ciri ini boleh dihidupkan atau dimatikan bergantung pada keperluan anda. Pada masa yang sama, terdapat bilah yang diaktifkan secara eksklusif pada gerbang (Keselamatan Rangkaian) dan hanya pada pelayan pengurusan (Pengurusan). Gambar di bawah menunjukkan contoh untuk kedua-dua kes:

1) Untuk Keselamatan Rangkaian (fungsi pintu masuk)

Mari kita huraikan secara ringkas, kerana setiap bilah berhak mendapat artikel yang berasingan.

• Firewall - fungsi firewall;
• IPSec VPN - membina rangkaian maya peribadi;
• Akses Mudah Alih - capaian jauh dari peranti mudah alih;
• IPS - sistem pencegahan pencerobohan;
• Anti-Bot - perlindungan terhadap rangkaian botnet;
• AntiVirus - penstriman antivirus;
• AntiSpam & Keselamatan E-mel - perlindungan mel korporat;
• Kesedaran Identiti - integrasi dengan perkhidmatan Active Directory;
• Pemantauan - pemantauan hampir semua parameter get laluan (beban, lebar jalur, status VPN, dll.)
• Kawalan Aplikasi - firewall peringkat aplikasi (fungsi NGFW);
• Penapisan URL - Keselamatan web (+fungsi proksi);
• Pencegahan Kehilangan Data - perlindungan kebocoran maklumat (DLP);
• Emulasi Ancaman - teknologi kotak pasir (Kotak Pasir);
• Pengekstrakan Ancaman - teknologi pembersihan fail;
• QoS - keutamaan trafik.

Hanya dalam beberapa artikel, kita akan melihat dengan lebih dekat bilah Emulasi Ancaman dan Pengekstrakan Ancaman, saya pasti ia akan menarik.

2) Untuk Pengurusan (fungsi pelayan pengurusan)

• Pengurusan Dasar Rangkaian - pengurusan dasar berpusat;
• Pengurusan Dasar Titik Akhir - pengurusan berpusat ejen Check Point (ya, Check Point menghasilkan penyelesaian bukan sahaja untuk perlindungan rangkaian, tetapi juga untuk melindungi stesen kerja (PC) dan telefon pintar);
• Pembalakan & Status - pengumpulan dan pemprosesan log berpusat;
• Portal Pengurusan - pengurusan keselamatan daripada pelayar;
• Aliran kerja - kawalan ke atas perubahan dasar, audit perubahan, dsb.;
• Direktori Pengguna - penyepaduan dengan LDAP;
• Peruntukan - automasi pengurusan pintu masuk;
• Wartawan Pintar - sistem pelaporan;
• Acara Pintar - analisis dan korelasi peristiwa (SIEM);
• Pematuhan - semakan automatik tetapan dan pengeluaran pengesyoran.

Kini kami tidak akan mempertimbangkan isu pelesenan secara terperinci, supaya tidak mengembang artikel dan mengelirukan pembaca. Kemungkinan besar kami akan mengeluarkannya dalam jawatan berasingan.

Seni bina bilah membolehkan anda menggunakan hanya fungsi yang anda perlukan, yang mempengaruhi belanjawan penyelesaian dan prestasi keseluruhan peranti. Adalah logik bahawa semakin banyak bilah yang anda aktifkan, semakin sedikit trafik yang boleh "dihalau". Itulah sebabnya jadual prestasi berikut dilampirkan pada setiap model Check Point (contohnya, kami mengambil ciri model 5400):

Seperti yang anda lihat, terdapat dua kategori ujian di sini: pada trafik sintetik dan pada sebenar - campuran. Secara umumnya, Check Point hanya dipaksa untuk menerbitkan ujian sintetik, kerana. sesetengah vendor menggunakan ujian tersebut sebagai penanda aras tanpa memeriksa prestasi penyelesaian mereka pada trafik sebenar (atau sengaja menyembunyikan data sedemikian kerana ketidakpuasannya).

Dalam setiap jenis ujian, anda boleh melihat beberapa pilihan:

1. ujian hanya untuk Firewall;
2. Tembok api + ujian IPS;
3. Ujian Firewall+IPS+NGFW (Kawalan aplikasi);
4. Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast test (kotak pasir)

Berhati-hati melihat parameter ini apabila memilih penyelesaian anda, atau hubungi untuk perundingan.

Saya rasa ini adalah penghujung artikel pengenalan mengenai teknologi Check Point. Seterusnya, kami akan melihat bagaimana anda boleh menguji Check Point dan cara menangani ancaman keselamatan maklumat moden (virus, pancingan data, perisian tebusan, zero-day).

PS Satu perkara penting. Walaupun asal asing (Israel), penyelesaian itu disahkan di Persekutuan Rusia oleh pihak berkuasa penyeliaan, yang secara automatik menghalalkan kehadiran mereka di institusi negara (komen oleh Denyemall).

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Apakah alatan UTM/NGFW yang anda gunakan?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• Pengawal Pengawal

• Juniper

• UserGate

• pemeriksa trafik

• Rubicon

• Ideco

• penyelesaian sumber terbuka

• Lain-lain

134 pengguna telah mengundi. 78 pengguna berpantang.

Sumber: www.habr.com