ProHoster > blog > Amministrazzjoni > Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali
Hello, għeżież qarrejja ta' Habr! Dan huwa l-blog korporattiv tal-kumpanija Soluzzjoni TS. Aħna integratur tas-sistema u nispeċjalizzaw l-aktar f'soluzzjonijiet tas-sigurtà tal-infrastruttura tal-IT (Iċċekkja Punt, Fortinet) u sistemi ta' analiżi tad-data tal-magni (Splunk). Se nibdew il-blog tagħna b'introduzzjoni qasira għat-teknoloġiji Check Point.

Ħsibna għal żmien twil jekk kienx ta’ min niktbu dan l-artiklu, għax... m'hemm xejn ġdid fih li ma setax jinstab fuq l-Internet. Madankollu, minkejja tali abbundanza ta 'informazzjoni, meta naħdmu ma' klijenti u msieħba, spiss nisimgħu l-istess mistoqsijiet. Għalhekk, ġie deċiż li tikteb xi tip ta 'introduzzjoni għad-dinja tat-teknoloġiji Check Point u tiżvela l-essenza tal-arkitettura tas-soluzzjonijiet tagħhom. U dan kollu huwa fi ħdan il-qafas ta 'kariga waħda "żgħira", eskursjoni ta' malajr, biex ngħidu hekk. Barra minn hekk, se nippruvaw ma nidħlux fi gwerer tal-marketing, għax... Aħna m'aħniex bejjiegħ, iżda sempliċement integratur tas-sistema (għalkemm verament inħobbu Check Point) u sempliċement inħarsu lejn il-punti ewlenin mingħajr ma nqabbluhom ma 'manifatturi oħra (bħal Palo Alto, Cisco, Fortinet, eċċ.). L-artiklu rriżulta li kien twil pjuttost, iżda jkopri ħafna mill-mistoqsijiet fl-istadju tal-familjarizzazzjoni ma 'Check Point. Jekk inti interessat, allura merħba lill-qattus...

UTM/NGFW

Meta tibda konverżazzjoni dwar Check Point, l-ewwel post biex tibda huwa bi spjegazzjoni ta 'x'inhuma UTM u NGFW u kif huma differenti. Dan se nagħmluh b'mod konċiż ħafna biex il-post ma jirriżultax li jkun twil wisq (forsi fil-futur se nikkunsidraw din il-kwistjoni fi ftit aktar dettall)

UTM - Ġestjoni Unifikata tat-Theddida

Fil-qosor, l-essenza tal-UTM hija l-konsolidazzjoni ta 'diversi għodod ta' sigurtà f'soluzzjoni waħda. Dawk. kollox f’kaxxa waħda jew xi tip ta’ kollox inkluż. X'inhu mfisser b'"rimedji multipli"? L-iktar għażla komuni hija: Firewall, IPS, Proxy (filtrazzjoni tal-URL), streaming Antivirus, Anti-Spam, VPN eċċ. Dan kollu huwa kkombinat f'soluzzjoni UTM waħda, li hija aktar faċli f'termini ta 'integrazzjoni, konfigurazzjoni, amministrazzjoni u monitoraġġ, u dan imbagħad għandu effett pożittiv fuq is-sigurtà ġenerali tan-netwerk. Meta dehru l-ewwel soluzzjonijiet UTM, kienu kkunsidrati esklussivament għal kumpaniji żgħar, minħabba li... UTMs ma setgħux jimmaniġġjaw volumi kbar ta 'traffiku. Dan kien għal żewġ raġunijiet:

  1. Metodu tal-ipproċessar tal-pakkett. L-ewwel verżjonijiet tas-soluzzjonijiet UTM ipproċessaw pakketti b'mod sekwenzjali, kull "modulu". Eżempju: l-ewwel il-pakkett jiġi pproċessat mill-firewall, imbagħad IPS, imbagħad jiġi skennjat minn Anti-Virus, eċċ. Naturalment, mekkaniżmu bħal dan introduċa dewmien serju fit-traffiku u kkunsmat ħafna riżorsi tas-sistema (proċessur, memorja).
  2. Ħardwer dgħajjef. Kif imsemmi hawn fuq, l-ipproċessar sekwenzjali ta 'pakketti kkunsmat ħafna riżorsi u l-ħardwer ta' dawk iż-żminijiet (1995-2005) sempliċement ma setax ilaħħaq ma 'traffiku kbir.

Iżda l-progress ma jieqafx. Minn dakinhar, il-kapaċità tal-hardware żdiedet b'mod sinifikanti, u l-ipproċessar tal-pakketti nbidel (għandu jiġi ammess li mhux il-bejjiegħa kollha għandhom) u bdiet tippermetti analiżi kważi simultanja f'diversi moduli f'daqqa (ME, IPS, AntiVirus, eċċ.). Is-soluzzjonijiet UTM moderni jistgħu "diġerixxu" għexieren u anke mijiet ta 'gigabits fil-modalità ta' analiżi profonda, li jagħmilha possibbli li jintużaw fis-segment ta 'negozji kbar jew saħansitra ċentri tad-dejta.

Hawn taħt hemm il-famuż Gartner Magic Quadrant għal soluzzjonijiet UTM għal Awwissu 2016:

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Mhux se nikkummenta ħafna fuq din l-istampa, ngħid biss li l-mexxejja qegħdin fir-rokna ta’ fuq tal-lemin.

NGFW - Firewall tal-Ġenerazzjoni li Jmiss

L-isem jitkellem waħdu - il-firewall tal-ġenerazzjoni li jmiss. Dan il-kunċett deher ħafna aktar tard minn UTM. L-idea ewlenija ta 'NGFW hija analiżi profonda tal-pakketti (DPI) bl-użu ta' IPS integrati u kontroll tal-aċċess fil-livell tal-applikazzjoni (Kontroll tal-Applikazzjoni). F'dan il-każ, IPS huwa preċiżament dak li huwa meħtieġ biex tidentifika din jew dik l-applikazzjoni fil-fluss tal-pakketti, li jippermettilek tippermetti jew tiċħadha. Eżempju: Nistgħu nħallu Skype jaħdem, iżda jipprojbixxu t-trasferiment tal-fajls. Nistgħu nipprojbixxu l-użu ta' Torrent jew RDP. L-applikazzjonijiet tal-web huma appoġġjati wkoll: Tista' tippermetti aċċess għal VK.com, iżda tipprojbixxi logħob, messaġġi jew tara vidjows. Essenzjalment, il-kwalità ta 'NGFW tiddependi fuq in-numru ta' applikazzjonijiet li jista 'jsib. Ħafna jemmnu li l-ħolqien tal-kunċett NGFW kien strateġika ta 'kummerċjalizzazzjoni komuni fl-isfond li l-kumpanija Palo Alto bdiet it-tkabbir mgħaġġel tagħha.

Gartner Magic Quadrant għal NGFW għal Mejju 2016:

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

UTM vs NGFW

Mistoqsija komuni ħafna hija, liema hija aħjar? M'hemm l-ebda tweġiba definita hawn u ma jistax ikun. Speċjalment meta wieħed iqis il-fatt li kważi s-soluzzjonijiet UTM moderni kollha fihom funzjonalità NGFW u ħafna NGFWs fihom funzjonijiet inerenti għal UTM (Antivirus, VPN, Anti-Bot, eċċ.). Bħal dejjem, "ix-xitan jinsab fid-dettalji," għalhekk l-ewwelnett trid tiddeċiedi x'għandek bżonn speċifikament u tiddeċiedi fuq il-baġit tiegħek. Ibbażat fuq dawn id-deċiżjonijiet, jistgħu jintgħażlu diversi għażliet. U kollox jeħtieġ li jiġi ttestjat mingħajr ambigwità, mingħajr ma nemmnu materjali ta 'kummerċjalizzazzjoni.

Aħna, min-naħa tagħhom, f'diversi artikoli, nippruvaw nitkellmu dwar Check Point, kif tista 'tipprovah u x'tista' tipprova, fil-prinċipju, (kważi l-funzjonalità kollha).

Tliet Entitajiet Punti ta' Kontroll

Meta taħdem ma 'Check Point, żgur li se tiltaqa' ma' tliet komponenti ta' dan il-prodott:

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

  1. Gateway tas-Sigurtà (SG) — il-portal tas-sigurtà innifsu, li normalment ikun installat fuq il-perimetru tan-netwerk u jwettaq il-funzjonijiet ta’ firewall, streaming antivirus, antibot, IPS, eċċ.
  2. Server ta' Ġestjoni tas-Sigurtà (SMS) — server ta' ġestjoni tal-gateway. Kważi s-settings kollha fuq il-gateway (SG) isiru bl-użu ta 'dan is-server. L-SMS jista 'wkoll jaġixxi bħala Log Server u jipproċessahom b'analiżi tal-avvenimenti u sistema ta' korrelazzjoni integrata - Smart Event (simili għal SIEM għal Check Point), iżda aktar dwar dan aktar tard. L-SMS jintuża għall-ġestjoni ċentralizzata ta 'diversi gateways (in-numru ta' gateways jiddependi fuq il-mudell jew il-liċenzja tal-SMS), iżda inti mitlub li tużah anki jekk għandek gateway wieħed biss. Għandu jiġi nnutat hawnhekk li Check Point kien wieħed mill-ewwel li uża sistema ta 'ġestjoni ċentralizzata bħal din, li ġiet rikonoxxuta bħala l-"istandard tad-deheb" skont ir-rapporti Gartner għal ħafna snin konsekuttivi. Saħansitra hemm ċajta: "Kieku Cisco kellu sistema ta 'ġestjoni normali, allura Check Point qatt ma kien jidher."
  3. Smart Console — client console għall-konnessjoni mas-server ta' ġestjoni (SMS). Tipikament installat fuq il-kompjuter tal-amministratur. Il-bidliet kollha fuq is-server tal-ġestjoni jsiru permezz ta 'din il-console, u wara dan tista' tapplika s-settings għall-bibien tas-sigurtà (Politika ta 'Installazzjoni).

    Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Sistema Operattiva tal-Punt ta' Kontroll

Meta nitkellmu dwar is-sistema operattiva Check Point, nistgħu nfakkru tlieta f'daqqa: IPSO, SPLAT u GAIA.

  1. IPSO - is-sistema operattiva ta' Ipsilon Networks, li kienet ta' Nokia. Fl-2009, Check Point xtrat dan in-negozju. M'għadhiex tiżviluppa.
  2. SPLAT - L-iżvilupp ta' Check Point stess, ibbażat fuq il-qalba RedHat. M'għadhiex tiżviluppa.
  3. Gaia - is-sistema operattiva attwali minn Check Point, li dehret bħala riżultat tal-għaqda tal-IPSO u SPLAT, li tinkorpora l-aħjar. Deher fl-2012 u qed ikompli jiżviluppa b'mod attiv.

Meta wieħed jitkellem dwar Gaia, għandu jingħad li bħalissa l-aktar verżjoni komuni hija R77.30. Relattivament reċentement, dehret il-verżjoni R80, li tvarja b'mod sinifikanti minn dik ta 'qabel (kemm f'termini ta' funzjonalità kif ukoll ta 'kontroll). Se niddedikaw post separat għas-suġġett tad-differenzi tagħhom. Punt importanti ieħor huwa li bħalissa l-verżjoni R77.10 biss għandha ċertifikat FSTEC, u l-verżjoni R77.30 qed tiġi ċċertifikata.

Għażliet ta’ eżekuzzjoni (Check Point Appliance, magna virtwali, OpenServer)

M'hemm xejn sorprendenti hawnhekk, bħal ħafna bejjiegħa, Check Point għandu diversi għażliet ta 'prodotti:

  1. Appliance — apparat ta’ ħardwer u softwer, i.e. "biċċa tal-ħadid" tagħha stess. Hemm ħafna mudelli li jvarjaw fil-prestazzjoni, il-funzjonalità u d-disinn (hemm għażliet għal netwerks industrijali).

    Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

  2. Magni Virtwali — Magna virtwali tal-Punt ta' Kontroll b'Gaia OS. Hypervisors ESXi, Hyper-V, KVM huma appoġġjati. Liċenzjat skond in-numru ta' cores tal-proċessur.
  3. OpenServer — l-installazzjoni ta’ Gaia direttament fuq is-server bħala s-sistema operattiva ewlenija (l-hekk imsejjaħ “Bare metal”). Ċertu hardware biss huwa appoġġjat. Hemm rakkomandazzjonijiet għal dan il-ħardwer li jridu jiġu segwiti, inkella jistgħu jinqalgħu problemi bis-sewwieqa u t-tagħmir tekniku. appoġġ jista' jirrifjuta li jagħtik servizz.

Għażliet ta' implimentazzjoni (Distribuiti jew Standalone)

Ftit ogħla diġà ddiskutejna x'inhuma gateway (SG) u server ta 'ġestjoni (SMS). Issa ejja niddiskutu l-għażliet għall-implimentazzjoni tagħhom. Hemm żewġ modi ewlenin:

  1. Alone (SG+SMS) - għażla meta kemm il-portal kif ukoll is-server tal-ġestjoni huma installati f'apparat wieħed (jew magna virtwali).

    Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

    Din l-għażla hija adattata meta jkollok portal wieħed biss li jkun mgħobbi ħafif bit-traffiku tal-utent. Din l-għażla hija l-aktar ekonomika, għaliex... m'hemmx bżonn li tixtri server ta 'ġestjoni (SMS). Madankollu, jekk il-portal ikun mgħobbi ħafna, tista 'tispiċċa b'sistema ta' kontroll "bil-mod". Għalhekk, qabel ma tagħżel soluzzjoni Standalone, huwa aħjar li tikkonsulta jew saħansitra tittestja din l-għażla.

  2. Imqassam — is-server tal-ġestjoni huwa installat separatament mill-gateway.

    Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

    L-aħjar għażla f'termini ta 'konvenjenza u prestazzjoni. Użat meta jkun meħtieġ li jiġu mmaniġġjati diversi gateways f'daqqa, pereżempju dawk ċentrali u tal-fergħat. F'dan il-każ, għandek bżonn tixtri server ta 'ġestjoni (SMS), li jista' jkun ukoll fil-forma ta 'apparat jew magna virtwali.

Kif għidt eżatt fuq, Check Point għandu s-sistema SIEM tiegħu stess - Smart Event. Tista' tużah biss f'każ ta' installazzjoni mqassma.

Modi ta' tħaddim (Bridge, Routed)
Is-Security Gateway (SG) jista’ jaħdem f’żewġ modi ewlenin:

  • Rottat - l-aktar għażla komuni. F'dan il-każ, il-portal jintuża bħala apparat L3 u jmexxi t-traffiku minnu nnifsu, i.e. Check Point huwa l-portal default għan-netwerk protett.
  • Bridge — mod trasparenti. F'dan il-każ, il-portal huwa installat bħala "pont" regolari u jgħaddi mit-traffiku fit-tieni livell (OSI). Din l-għażla normalment tintuża meta ma jkun hemm l-ebda possibbiltà (jew xewqa) li tinbidel l-infrastruttura eżistenti. Int prattikament m'għandekx għalfejn tibdel it-topoloġija tan-netwerk u m'għandekx għalfejn taħseb biex tibdel l-indirizzar tal-IP.

Nixtieq ninnota li fil-modalità Bridge hemm xi limitazzjonijiet f'termini ta 'funzjonalità, għalhekk aħna, bħala integratur, nagħtu parir lill-klijenti kollha tagħna biex jużaw il-modalità Routed, ovvjament, jekk possibbli.

Check Point Software Blades

Kważi wasalna l-aktar suġġett importanti ta 'Check Point, li jqajjem l-aktar mistoqsijiet fost il-klijenti. X'inhuma dawn "xfafar tas-softwer"? Ix-xfafar jirreferu għal ċerti funzjonijiet ta' Check Point.

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Dawn il-funzjonijiet jistgħu jinxtegħlu jew jintfew skont il-bżonnijiet tiegħek. Fl-istess ħin, hemm xfafar li huma attivati ​​esklussivament fuq il-portal (Sigurtà tan-Netwerk) u biss fuq is-server ta 'ġestjoni. L-istampi hawn taħt juru eżempji għaż-żewġ każijiet:

1) Għas-Sigurtà tan-Netwerk (funzjonalità tal-gateway)

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Ejja niddeskrivuha fil-qosor, għax... kull xafra jistħoqqilha l-artiklu tagħha stess.

  • Firewall - funzjonalità tal-firewall;
  • IPSec VPN - bini ta' netwerks virtwali privati;
  • Mobile Access - aċċess mill-bogħod minn apparat mobbli;
  • IPS - sistema ta 'prevenzjoni ta' intrużjoni;
  • Anti-Bot - protezzjoni kontra netwerks botnet;
  • AntiVirus - streaming antivirus;
  • AntiSpam & Email Security - protezzjoni tal-email korporattiva;
  • Għarfien tal-Identità - integrazzjoni mas-servizz ta' Active Directory;
  • Monitoraġġ - monitoraġġ ta' kważi l-parametri kollha tal-gateway (tagħbija, bandwidth, status VPN, eċċ.)
  • Kontroll tal-Applikazzjoni - firewall fil-livell tal-applikazzjoni (funzjonalità NGFW);
  • Iffiltrar tal-URL - Sigurtà tal-Web (+ funzjonalità tal-proxy);
  • Prevenzjoni ta' Telf ta' Data - protezzjoni kontra tnixxijiet ta' informazzjoni (DLP);
  • Threat Emulation - teknoloġija sandbox (SandBox);
  • Threat Extraction - teknoloġija tat-tindif tal-fajls;
  • QoS - prijoritizzazzjoni tat-traffiku.

Fi ftit artikoli biss se nagħtu ħarsa dettaljata lejn ix-xfafar tal-Emulazzjoni tat-Theddida u l-Estrazzjoni tat-Theddida, jien ċert li se jkun interessanti.

2) Għall-Ġestjoni (kontroll tal-funzjonalità tas-server)

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

  • Ġestjoni tal-Politika tan-Netwerk - ġestjoni ċentralizzata tal-politika;
  • Ġestjoni tal-Politika tal-Endpoint - ġestjoni ċentralizzata tal-aġenti tal-Check Point (iva, Check Point jipproduċi soluzzjonijiet mhux biss għall-protezzjoni tan-netwerk, iżda wkoll għall-protezzjoni ta' workstations (PCs) u smartphones);
  • Logging & Status - ġbir ċentralizzat u pproċessar ta 'zkuk;
  • Portal ta' Ġestjoni - ġestjoni tas-sigurtà mill-browser;
  • Fluss tax-xogħol - kontroll fuq bidliet fil-politika, verifika tal-bidliet, eċċ.;
  • Direttorju tal-Utenti - integrazzjoni ma 'LDAP;
  • Provvista - awtomazzjoni tal-ġestjoni tal-gateways;
  • Smart Reporter - sistema ta' rappurtar;
  • Avveniment intelliġenti - analiżi u korrelazzjoni ta' avvenimenti (SIEM);
  • Konformità - awtomatikament jikkontrolla s-settings u jagħmel rakkomandazzjonijiet.

Aħna mhux se nikkunsidraw kwistjonijiet ta 'liċenzjar fid-dettall issa, sabiex ma nefħux l-artiklu u ma nħawdux lill-qarrej. X'aktarx se npoġġu dan f'post separat.

L-arkitettura tax-xfafar tippermetti li tuża biss il-funzjonijiet li verament għandek bżonn, li taffettwa l-baġit tas-soluzzjoni u l-prestazzjoni ġenerali tal-apparat. Huwa loġiku li aktar ma tattiva xfafar, inqas traffiku tista '"ssuq minnu". Huwa għalhekk li t-tabella tal-prestazzjoni li ġejja hija mehmuża ma 'kull mudell ta' Check Point (ħadna l-karatteristiċi tal-mudell 5400 bħala eżempju):

Check Point. X'inhu, ma 'xiex jittiekel, jew fil-qosor dwar il-ħaġa prinċipali

Kif tistgħu taraw, hawn żewġ kategoriji ta' testijiet: fuq traffiku sintetiku u fuq traffiku reali - imħallat. B'mod ġenerali, Check Point huwa sempliċement sfurzat jippubblika testijiet sintetiċi, għaliex... xi bejjiegħa jużaw tali testijiet bħala punti ta' referenza, mingħajr ma jeżaminaw il-prestazzjoni tas-soluzzjonijiet tagħhom fuq traffiku reali (jew jaħbu deliberatament tali data minħabba n-natura mhux sodisfaċenti tagħhom).

F'kull tip ta 'test, tista' tinnota diversi għażliet:

  1. test biss għal Firewall;
  2. Firewall + test IPS;
  3. Test tal-Firewall+IPS+NGFW (kontroll tal-applikazzjoni);
  4. test Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Ħares sew lejn dawn il-parametri meta tagħżel is-soluzzjoni tiegħek, jew ikkuntattja konsultazzjoni.

Naħseb li dan huwa fejn nistgħu nispiċċaw l-artiklu introduttorju dwar it-teknoloġiji tal-Check Point. Sussegwentement, se nħarsu lejn kif tista' tittestja Check Point u kif tittratta theddid modern għas-sigurtà tal-informazzjoni (viruses, phishing, ransomware, zero-day).

PS Punt importanti. Minkejja l-oriġini barranija tagħha (Iżraeljana), is-soluzzjoni hija ċċertifikata fil-Federazzjoni Russa minn awtoritajiet regolatorji, li awtomatikament jillegalizzaw il-preżenza tagħha fl-istituzzjonijiet tal-gvern (kumment minn Denyemall).

Utenti reġistrati biss jistgħu jipparteċipaw fl-istħarriġ. Idħol, ta 'xejn.

Liema għodod UTM/NGFW tuża?

  • Iċċekkja Punt

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Gwardja tal-Għassa

  • Juniper

  • UserGate

  • Spettur tat-traffiku

  • Rubicon

  • Ideco

  • Soluzzjoni OpenSource

  • Oħra

134 utent ivvutaw. 78-il utent astjenew.

Sors: www.habr.com

Żid kumment