Controlepunt. Wat is het, waar wordt het mee gegeten, of kort over het belangrijkste

Hallo, lieve lezers van Habr! Dit is de bedrijfsblog van het bedrijf TS-oplossing. Wij zijn een systeemintegrator en zijn vooral gespecialiseerd in beveiligingsoplossingen voor de IT-infrastructuur (Check Point, Fortinet) en machinedata-analysesystemen (Splunk). We beginnen onze blog met een korte introductie over Check Point-technologieën.

We hebben er lang over nagedacht of het de moeite waard was om dit artikel te schrijven, want... er zit niets nieuws in dat niet op internet te vinden was. Ondanks deze overvloed aan informatie horen we echter vaak dezelfde vragen als we met klanten en partners werken. Daarom werd besloten om een ​​soort introductie in de wereld van Check Point-technologieën te schrijven en de essentie van de architectuur van hun oplossingen te onthullen. En dit alles valt binnen het kader van één “kleine” post, een snelle excursie, om zo te zeggen. Bovendien zullen we proberen niet in een marketingoorlog verwikkeld te raken, omdat... We zijn geen leverancier, maar gewoon een systeemintegrator (hoewel we echt dol zijn op Check Point) en zullen gewoon naar de hoofdpunten kijken zonder ze te vergelijken met andere fabrikanten (zoals Palo Alto, Cisco, Fortinet, enz.). Het artikel bleek behoorlijk lang te zijn, maar het behandelt de meeste vragen in de fase van kennismaking met Check Point. Als je geïnteresseerd bent, welkom bij de kat...

UTM/NGFW

Wanneer u een gesprek over Check Point begint, moet u eerst beginnen met een uitleg van wat UTM en NGFW zijn en hoe ze verschillen. We zullen dit heel beknopt doen, zodat het bericht niet te lang wordt (misschien zullen we dit onderwerp in de toekomst wat gedetailleerder bekijken)

UTM - Uniform dreigingsbeheer

Kortom, de essentie van UTM is de consolidatie van meerdere beveiligingstools in één oplossing. Die. alles in één doos of een soort all-inclusive. Wat wordt bedoeld met ‘meerdere rechtsmiddelen’? De meest voorkomende optie is: Firewall, IPS, Proxy (URL-filtering), streaming Antivirus, Anti-Spam, VPN enzovoort. Dit alles wordt gecombineerd binnen één UTM-oplossing, die eenvoudiger is qua integratie, configuratie, beheer en monitoring, en dit heeft weer een positief effect op de algehele veiligheid van het netwerk. Toen UTM-oplossingen voor het eerst verschenen, werden ze exclusief voor kleine bedrijven overwogen, omdat... UTM's konden grote hoeveelheden verkeer niet verwerken. Dit had twee redenen:

1. Pakketverwerkingsmethode. De eerste versies van UTM-oplossingen verwerkten pakketten opeenvolgend, elke “module”. Voorbeeld: eerst wordt het pakket verwerkt door de firewall, vervolgens door IPS, vervolgens gescand door Anti-Virus, enzovoort. Uiteraard zorgde een dergelijk mechanisme voor ernstige vertragingen in het verkeer en verbruikte het veel systeembronnen (processor, geheugen).
2. Zwakke hardware. Zoals hierboven vermeld, kostte de sequentiële verwerking van pakketten enorm veel middelen en kon de hardware van die tijd (1995-2005) eenvoudigweg het grote verkeer niet aan.

Maar de vooruitgang staat niet stil. Sindsdien is de hardwarecapaciteit aanzienlijk toegenomen en is de pakketverwerking veranderd (toegegeven moet worden dat niet alle leveranciers dit hebben) en is het bijna gelijktijdige analyse in verschillende modules tegelijk mogelijk geworden (ME, IPS, AntiVirus, enz.). Moderne UTM-oplossingen kunnen tientallen en zelfs honderden gigabits ‘verteren’ in een diepe analysemodus, wat het mogelijk maakt om ze te gebruiken in het segment van grote bedrijven of zelfs datacenters.

Hieronder vindt u het beroemde Gartner Magic Quadrant voor UTM-oplossingen voor augustus 2016:

Ik zal niet veel commentaar geven op deze foto, ik zeg alleen dat de leiders in de rechterbovenhoek staan.

NGFW - Firewall van de volgende generatie

De naam spreekt voor zich: de volgende generatie firewall. Dit concept verscheen veel later dan UTM. Het hoofdidee van NGFW is deep packet analyse (DPI) met behulp van ingebouwde IPS en toegangscontrole op applicatieniveau (Application Control). In dit geval is IPS precies wat nodig is om deze of gene toepassing in de pakketstroom te identificeren, waardoor u deze kunt toestaan ​​of weigeren. Voorbeeld: We kunnen Skype laten werken, maar bestandsoverdracht verbieden. We kunnen het gebruik van Torrent of RDP verbieden. Webapplicaties worden ook ondersteund: u kunt toegang tot VK.com toestaan, maar games, berichten of het bekijken van video's verbieden. In wezen hangt de kwaliteit van een NGFW af van het aantal toepassingen dat het kan detecteren. Velen geloven dat de opkomst van het NGFW-concept een veel voorkomende marketingtruc was tegen de achtergrond waarvan het bedrijf Palo Alto zijn snelle groei begon.

Gartner Magic Quadrant voor NGFW voor mei 2016:

UTM versus NGFW

Een veel voorkomende vraag is: wat is beter? Er is hier geen definitief antwoord en dat kan ook niet. Vooral gezien het feit dat vrijwel alle moderne UTM-oplossingen NGFW-functionaliteit bevatten en de meeste NGFW's functies bevatten die inherent zijn aan UTM (Antivirus, VPN, Anti-Bot, etc.). Zoals altijd: “de duivel zit in de details”, dus eerst en vooral moet u beslissen wat u specifiek nodig heeft en uw budget bepalen. Op basis van deze beslissingen kunnen verschillende opties worden geselecteerd. En alles moet ondubbelzinnig worden getest, zonder marketingmateriaal te geloven.

Wij zullen op onze beurt in het kader van verschillende artikelen proberen te vertellen over Check Point, hoe u het kunt proberen en wat u in principe kunt proberen (bijna alle functionaliteit).

Drie controlepuntentiteiten

Wanneer u met Check Point werkt, zult u zeker drie componenten van dit product tegenkomen:

1. Beveiligingsgateway (SG) — de beveiligingsgateway zelf, die meestal aan de netwerkrand wordt geïnstalleerd en de functies van een firewall, streaming antivirus, antibot, IPS, enz. vervult.
2. Beveiligingsbeheerserver (SMS) — gatewaybeheerserver. Bijna alle instellingen op de gateway (SG) worden via deze server uitgevoerd. SMS kan ook fungeren als logserver en deze verwerken met een ingebouwd gebeurtenisanalyse- en correlatiesysteem - Smart Event (vergelijkbaar met SIEM voor Check Point), maar daarover later meer. SMS wordt gebruikt voor het gecentraliseerd beheer van meerdere gateways (het aantal gateways is afhankelijk van het SMS-model of de licentie), maar u bent verplicht dit te gebruiken, zelfs als u slechts één gateway heeft. Hierbij moet worden opgemerkt dat Check Point een van de eersten was die een dergelijk gecentraliseerd beheersysteem gebruikte, dat volgens Gartner-rapporten al vele jaren op rij wordt erkend als de “gouden standaard”. Er zit zelfs een grapje in: “Als Cisco een normaal managementsysteem had gehad, dan was Check Point nooit verschenen.”
3. Slimme console — clientconsole voor verbinding met de beheerserver (SMS). Meestal geïnstalleerd op de computer van de beheerder. Alle wijzigingen op de beheerserver worden via deze console aangebracht en daarna kunt u de instellingen toepassen op de beveiligingsgateways (Installatiebeleid).

   

Check Point-besturingssysteem

Over het Check Point-besturingssysteem gesproken, we kunnen er drie tegelijk herinneren: IPSO, SPLAT en GAIA.

1. IPSO - besturingssysteem van Ipsilon Networks, eigendom van Nokia. In 2009 kocht Check Point dit bedrijf. Ontwikkelt zich niet meer.
2. SPLAT - Check Point's eigen ontwikkeling, gebaseerd op de RedHat-kernel. Ontwikkelt zich niet meer.
3. Gaia - het huidige besturingssysteem van Check Point, dat verscheen als resultaat van de fusie van IPSO en SPLAT, waarin het beste is verwerkt. Het verscheen in 2012 en blijft zich actief ontwikkelen.

Over Gaia gesproken, het moet gezegd worden dat op dit moment de meest voorkomende versie R77.30 is. Relatief recent verscheen de R80-versie, die aanzienlijk verschilt van de vorige (zowel qua functionaliteit als qua bediening). We zullen een apart bericht wijden aan het onderwerp van hun verschillen. Een ander belangrijk punt is dat momenteel alleen versie R77.10 een FSTEC-certificaat heeft en versie R77.30 wordt gecertificeerd.

Uitvoeringsopties (Check Point Appliance, Virtual machine, OpenServer)

Er is hier niets verrassends, zoals veel leveranciers heeft Check Point verschillende productopties:

1. Toestel — hardware- en softwareapparaat, d.w.z. zijn eigen “stuk ijzer”. Er zijn veel modellen die verschillen qua prestaties, functionaliteit en ontwerp (er zijn opties voor industriële netwerken).

   

2. Virtuele machine — Check Point virtuele machine met Gaia OS. Hypervisors ESXi, Hyper-V, KVM worden ondersteund. Gelicentieerd op basis van het aantal processorkernen.
3. OpenServer — Gaia rechtstreeks op de server installeren als het belangrijkste besturingssysteem (het zogenaamde “Bare metal”). Alleen bepaalde hardware wordt ondersteund. Er zijn aanbevelingen voor deze hardware die moeten worden opgevolgd, anders kunnen er problemen met stuurprogramma's en technische apparatuur ontstaan. ondersteuning kan weigeren u van dienst te zijn.

Implementatieopties (gedistribueerd of standalone)

Iets hoger hebben we al besproken wat een gateway (SG) en een beheerserver (SMS) zijn. Laten we nu de opties voor hun implementatie bespreken. Er zijn twee belangrijke manieren:

1. Standalone (SG+SMS) - een optie wanneer zowel de gateway als de beheerserver op één apparaat (of virtuele machine) zijn geïnstalleerd.

   
   
   Deze optie is geschikt als u slechts één gateway heeft die weinig gebruikersverkeer heeft. Deze optie is het meest economisch, omdat... het is niet nodig om een ​​beheerserver (SMS) aan te schaffen. Als de gateway echter zwaar wordt belast, kan het zijn dat u een “traag” besturingssysteem krijgt. Voordat u voor een Standalone-oplossing kiest, kunt u deze optie daarom het beste raadplegen of zelfs testen.

2. Distributed — de beheerserver wordt afzonderlijk van de gateway geïnstalleerd.

   
   
   De beste optie qua gemak en prestaties. Wordt gebruikt wanneer het nodig is om meerdere gateways tegelijk te beheren, bijvoorbeeld centrale en filiaalgateways. In dit geval moet u een beheerserver (SMS) aanschaffen, die ook de vorm kan hebben van een apparaat of een virtuele machine.

Zoals ik hierboven al zei, heeft Check Point zijn eigen SIEM-systeem: Smart Event. U kunt het alleen gebruiken bij een gedistribueerde installatie.

Bedrijfsmodi (brug, route)
De Security Gateway (SG) kan in twee hoofdmodi werken:

• Gerouteerd - de meest voorkomende optie. In dit geval wordt de gateway gebruikt als een L3-apparaat en stuurt het verkeer door zichzelf, d.w.z. Check Point is de standaardgateway voor het beveiligde netwerk.
• Brug — transparante modus. In dit geval wordt de gateway geïnstalleerd als een gewone “brug” en passeert het verkeer op het tweede niveau (OSI). Deze optie wordt meestal gebruikt wanneer er geen mogelijkheid (of wens) is om de bestaande infrastructuur te wijzigen. U hoeft de netwerktopologie praktisch niet te wijzigen en hoeft niet na te denken over het wijzigen van de IP-adressering.

Ik wil graag opmerken dat er in de Bridge-modus enkele beperkingen zijn qua functionaliteit, daarom adviseren wij als integrator al onze klanten om, indien mogelijk, uiteraard de Routed-modus te gebruiken.

Check Point-softwareblades

We zijn bijna bij het belangrijkste onderwerp van Check Point aangekomen, dat de meeste vragen bij klanten oproept. Wat zijn deze “softwareblades”? Blades verwijzen naar bepaalde Check Point-functies.

Deze functies kunnen afhankelijk van uw behoeften worden in- of uitgeschakeld. Tegelijkertijd zijn er blades die uitsluitend op de gateway (Netwerkbeveiliging) en alleen op de beheerserver worden geactiveerd. De onderstaande afbeeldingen tonen voorbeelden voor beide gevallen:

1) Voor netwerkbeveiliging (gatewayfunctionaliteit)

Laten we het kort beschrijven, want... elk mes verdient zijn eigen artikel.

• Firewall - firewallfunctionaliteit;
• IPSec VPN - bouwen van particuliere virtuele netwerken;
• Mobiele toegang - toegang op afstand vanaf mobiele apparaten;
• IPS - inbraakpreventiesysteem;
• Anti-Bot - bescherming tegen botnetnetwerken;
• AntiVirus - antivirus voor streaming;
• AntiSpam & E-mailbeveiliging - bescherming van zakelijke e-mail;
• Identity Awareness - integratie met Active Directory-service;
• Monitoring - monitoring van bijna alle gatewayparameters (belasting, bandbreedte, VPN-status, etc.)
• Applicatiecontrole - firewall op applicatieniveau (NGFW-functionaliteit);
• URL-filtering - Webbeveiliging (+proxyfunctionaliteit);
• Preventie van gegevensverlies - bescherming tegen informatielekken (DLP);
• Bedreigingsemulatie - sandbox-technologie (SandBox);
• Threat Extraction - technologie voor het opschonen van bestanden;
• QoS - verkeersprioritering.

In slechts een paar artikelen zullen we gedetailleerd kijken naar de Blades Threat Emulation en Threat Extraction. Ik weet zeker dat het interessant zal zijn.

2) Voor beheer (controleserverfunctionaliteit)

• Netwerkbeleidsbeheer - gecentraliseerd beleidsbeheer;
• Endpoint Policy Management - gecentraliseerd beheer van Check Point-agents (ja, Check Point produceert niet alleen oplossingen voor netwerkbescherming, maar ook voor het beschermen van werkstations (pc's) en smartphones);
• Logging & Status - gecentraliseerde verzameling en verwerking van logs;
• Management Portal - beveiligingsbeheer vanuit de browser;
• Workflow - controle over beleidswijzigingen, audit van wijzigingen, enz.;
• Gebruikerslijst - integratie met LDAP;
• Provisioning - automatisering van gatewaybeheer;
• Smart Reporter - rapportagesysteem;
• Smart Event - analyse en correlatie van gebeurtenissen (SIEM);
• Compliance - controleert automatisch de instellingen en doet aanbevelingen.

We zullen nu niet in detail op licentiekwesties ingaan, om het artikel niet opgeblazen te maken en de lezer niet in verwarring te brengen. Waarschijnlijk zullen we dit in een apart bericht plaatsen.

Dankzij de architectuur van de blades kunt u alleen de functies gebruiken die u echt nodig heeft, wat van invloed is op het budget van de oplossing en de algehele prestaties van het apparaat. Het is logisch dat hoe meer bladen je activeert, hoe minder verkeer je kunt ‘doorrijden’. Daarom is aan elk Check Point-model de volgende prestatietabel toegevoegd (we hebben de kenmerken van het 5400-model als voorbeeld genomen):

Zoals u kunt zien, zijn er hier twee categorieën tests: op synthetisch verkeer en op echt verkeer - gemengd. Over het algemeen is Check Point eenvoudigweg gedwongen synthetische tests te publiceren, omdat... sommige leveranciers gebruiken dergelijke tests als benchmarks, zonder de prestaties van hun oplossingen op echt verkeer te onderzoeken (of verbergen dergelijke gegevens opzettelijk vanwege hun onbevredigende aard).

Bij elk type test kunt u verschillende opties opmerken:

1. alleen testen voor Firewall;
2. Firewall+IPS-test;
3. Firewall+IPS+NGFW (Applicatiebeheer)-test;
4. test Firewall+Applicatiebeheer+URL-filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Kijk goed naar deze parameters bij het kiezen van uw oplossing of neem contact op overleg.

Ik denk dat we hier het inleidende artikel over Check Point-technologieën kunnen afronden. Vervolgens bekijken we hoe u Check Point kunt testen en hoe u om kunt gaan met moderne bedreigingen voor de informatiebeveiliging (virussen, phishing, ransomware, zero-day).

PS Een belangrijk punt. Ondanks de buitenlandse (Israëlische) oorsprong wordt de oplossing in de Russische Federatie gecertificeerd door regelgevende instanties, waardoor de aanwezigheid ervan in overheidsinstellingen automatisch wordt gelegaliseerd (commentaar van Denyemal).

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Welke UTM/NGFW-tools gebruik je?

• Check Point

• Cisco vuurkracht

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Juniper

• Gebruikerspoort

• Verkeersinspecteur

• Rubicon

• Ideco

• OpenSource-oplossing

• Ander

134 gebruikers hebben gestemd. 78 gebruikers onthielden zich van stemming.

Bron: www.habr.com