ProHoster > Log > administrasjon > sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken
Hei, kjære lesere av habr! Dette er bedriftsbloggen til selskapet T.S Løsning. Vi er en systemintegrator og spesialiserer oss hovedsakelig på sikkerhetsløsninger for IT-infrastruktur (Check Point, Fortinet) og maskindataanalysesystemer (Splunk). Vi starter bloggen vår med en kort introduksjon til Check Point-teknologier.

Vi tenkte lenge på om vi skulle skrive denne artikkelen, pga. det er ikke noe nytt i det som ikke kan finnes på Internett. Men til tross for en slik overflod av informasjon, når vi jobber med kunder og partnere, hører vi ofte de samme spørsmålene. Derfor ble det besluttet å skrive en slags introduksjon til verden av Check Point-teknologier og avsløre essensen av arkitekturen til løsningene deres. Og alt dette innenfor rammen av ett "lite" innlegg, så å si, en rask digresjon. Og vi vil prøve å ikke gå inn i markedsføringskriger, fordi. vi er ikke en leverandør, men bare en systemintegrator (selv om vi elsker Check Point veldig mye) og går bare gjennom hovedpunktene uten å sammenligne dem med andre produsenter (som Palo Alto, Cisco, Fortinet, etc.). Artikkelen viste seg å være ganske omfangsrik, men den avskjærer de fleste spørsmålene på stadiet av å bli kjent med Check Point. Hvis du er interessert, så velkommen under katten...

UTM/NGFW

Når du starter en samtale om Check Point, er det første du kan begynne med en forklaring på hva UTM, NGFW er og hvordan de er forskjellige. Vi vil gjøre dette veldig konsist slik at innlegget ikke viser seg å være for stort (kanskje i fremtiden vil vi vurdere dette problemet litt mer detaljert)

UTM – Unified Threat Management

Kort sagt, essensen av UTM er konsolideringen av flere sikkerhetsverktøy i én løsning. De. alt i én boks eller noe alt inkludert. Hva menes med "flere rettsmidler"? Det vanligste alternativet er: Brannmur, IPS, Proxy (URL-filtrering), Streaming Antivirus, Anti-Spam, VPN og så videre. Alt dette er kombinert i én UTM-løsning, noe som er enklere med tanke på integrasjon, konfigurering, administrasjon og overvåking, og dette har igjen en positiv effekt på den generelle sikkerheten i nettverket. Da UTM-løsninger først dukket opp, ble de vurdert utelukkende for små bedrifter, pga. UTM-er kunne ikke håndtere store mengder trafikk. Dette var av to grunner:

  1. Måten pakker behandles på. De første versjonene av UTM-løsninger behandlet pakker sekvensielt, av hver "modul". Eksempel: først behandles pakken av brannmuren, deretter av IPS, deretter sjekkes den av Anti-Virus og så videre. Naturligvis introduserte en slik mekanisme alvorlige trafikkforsinkelser og sterkt forbrukte systemressurser (prosessor, minne).
  2. Svak maskinvare. Som nevnt ovenfor spiste sekvensiell pakkebehandling opp ressurser og maskinvaren fra den tiden (1995-2005) klarte rett og slett ikke høy trafikk.

Men fremgangen står ikke stille. Siden den gang har maskinvarekapasiteten økt betydelig, og pakkebehandlingen har endret seg (det må innrømmes at ikke alle leverandører har det) og begynte å tillate nesten samtidig analyse i flere moduler samtidig (ME, IPS, AntiVirus, etc.). Moderne UTM-løsninger kan "fordøye" titalls og til og med hundrevis av gigabit i dyp analysemodus, noe som gjør det mulig å bruke dem i segmentet av store bedrifter eller til og med datasentre.

Nedenfor er Gartners berømte Magic Quadrant for UTM-løsninger for august 2016:

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

Jeg skal ikke kommentere dette bildet sterkt, jeg vil bare si at det er ledere i øvre høyre hjørne.

NGFW – neste generasjons brannmur

Navnet taler for seg selv – neste generasjons brannmur. Dette konseptet dukket opp mye senere enn UTM. Hovedideen til NGFW er dyp pakkeinspeksjon (DPI) ved hjelp av innebygd IPS og tilgangskontroll på applikasjonsnivå (Application Control). I dette tilfellet er IPS akkurat det som trengs for å identifisere denne eller den applikasjonen i pakkestrømmen, som lar deg tillate eller nekte det. Eksempel: Vi kan la Skype fungere, men forhindre filoverføringer. Vi kan forby bruk av Torrent eller RDP. Nettapplikasjoner støttes også: Du kan tillate tilgang til VK.com, men forhindre spill, meldinger eller se på videoer. I hovedsak avhenger kvaliteten på en NGFW av antall applikasjoner den kan definere. Mange tror at fremveksten av konseptet NGFW var et vanlig markedsføringsknep som Palo Alto begynte sin raske vekst mot.

Mai 2016 Gartner Magic Quadrant for NGFW:

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

UTM vs NGFW

Et veldig vanlig spørsmål, hvilket er bedre? Det er ikke noe enkelt svar her og kan ikke være det. Spesielt når du tenker på det faktum at nesten alle moderne UTM-løsninger inneholder NGFW-funksjonalitet og de fleste NGFW-er inneholder funksjoner som er iboende i UTM (Antivirus, VPN, Anti-Bot, etc.). Som alltid, "djevelen er i detaljene", så først og fremst må du bestemme hva du trenger spesifikt, bestemme budsjettet. Basert på disse avgjørelsene kan flere alternativer velges. Og alt må testes utvetydig, uten å tro på markedsføringsmateriell.

Vi vil på sin side, innenfor rammen av flere artikler, prøve å fortelle deg om Check Point, hvordan du kan prøve det og hva du i prinsippet kan prøve (nesten all funksjonalitet).

Tre sjekkpunktenheter

Når du arbeider med Check Point, vil du definitivt komme over tre komponenter i dette produktet:

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

  1. Security Gateway (SG) - selve sikkerhetsgatewayen, som vanligvis er plassert på nettverksperimeteren og utfører funksjonene til en brannmur, streaming antivirus, anti-bot, IPS, etc.
  2. Security Management Server (SMS) - gatewayadministrasjonsserver. Nesten alle innstillinger på gatewayen (SG) utføres ved hjelp av denne serveren. SMS kan også fungere som en loggserver og behandle dem med det innebygde hendelsesanalyse- og korrelasjonssystemet – Smart Event (ligner på SIEM for Check Point), men mer om det senere. SMS brukes til å administrere flere gatewayer sentralt (antall gatewayer avhenger av SMS-modellen eller lisensen), men du må bruke den selv om du bare har én gateway. Det skal bemerkes her at Check Point var en av de første som brukte et slikt sentralisert styringssystem, som har blitt anerkjent som "gullstandarden" ifølge Gartner-rapporter i mange år på rad. Det er til og med en vits: "Hvis Cisco hadde et normalt styringssystem, ville Check Point aldri ha dukket opp."
  3. Smart konsoll — klientkonsoll for tilkobling til administrasjonsserveren (SMS). Vanligvis installert på administratorens datamaskin. Gjennom denne konsollen gjøres alle endringer på administrasjonsserveren, og etter det kan du bruke innstillingene til sikkerhetsgatewayene (Install Policy).

    sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

Check Point operativsystem

Når vi snakker om Check Point-operativsystemet, kan tre tilbakekalles på en gang: IPSO, SPLAT og GAIA.

  1. IPSO er operativsystemet til Ipsilon Networks, som var eid av Nokia. I 2009 kjøpte Check Point denne virksomheten. Ikke lenger utviklet.
  2. SPLAT - egen utvikling av Check Point, basert på RedHat-kjernen. Ikke lenger utviklet.
  3. Gaia - det nåværende operativsystemet fra Check Point, som dukket opp som et resultat av sammenslåingen av IPSO og SPLAT, med alt det beste. Dukket opp i 2012 og fortsetter å utvikle seg aktivt.

Når vi snakker om Gaia, skal det sies at for øyeblikket er den vanligste versjonen R77.30. Relativt nylig har R80-versjonen dukket opp, som skiller seg betydelig fra den forrige (både når det gjelder funksjonalitet og kontroll). Vi vil vie et eget innlegg til temaet deres forskjeller. Et annet viktig poeng er at for øyeblikket er det kun versjon R77.10 som har FSTEC-sertifikatet og versjon R77.30 sertifiseres.

Alternativer (Check Point Appliance, Virtuell maskin, OpenServer)

Det er ikke noe overraskende her, siden mange Check Point-leverandører har flere produktalternativer:

  1. Appliance - maskinvare- og programvareenhet, dvs. eget "jernstykke". Det er mange modeller som er forskjellige i ytelse, funksjonalitet og design (det er alternativer for industrielle nettverk).

    sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

  2. Virtuell maskin - Check Point virtuell maskin med Gaia OS. Hypervisorer ESXi, Hyper-V, KVM støttes. Lisensiert av antall prosessorkjerner.
  3. Openserver - Installere Gaia direkte på serveren som hovedoperativsystem (det såkalte "Bare metal"). Bare viss maskinvare støttes. Det er anbefalinger for denne maskinvaren som må følges, ellers kan det være problemer med drivere og de. kundestøtte kan nekte deg service.

Implementeringsalternativer (distribuert eller frittstående)

Litt høyere har vi allerede diskutert hva en gateway (SG) og en administrasjonsserver (SMS) er. La oss nå diskutere alternativer for implementeringen deres. Det er to hovedmåter:

  1. Frittstående (SG+SMS) - et alternativ når både gatewayen og administrasjonsserveren er installert på samme enhet (eller virtuelle maskin).

    sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

    Dette alternativet passer når du bare har én gateway, som er lett belastet med brukertrafikk. Dette alternativet er det mest økonomiske, fordi. ikke nødvendig å kjøpe en administrasjonsserver (SMS). Men hvis gatewayen er tungt belastet, kan du ende opp med et tregt kontrollsystem. Derfor, før du velger en frittstående løsning, er det best å konsultere eller til og med teste dette alternativet.

  2. distribuert — administrasjonsserveren er installert separat fra gatewayen.

    sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

    Det beste alternativet når det gjelder bekvemmelighet og ytelse. Den brukes når det er nødvendig å administrere flere gatewayer på en gang, for eksempel sentrale og filialer. I dette tilfellet må du kjøpe en administrasjonsserver (SMS), som også kan være i form av et apparat (jernstykke) eller en virtuell maskin.

Som jeg sa rett ovenfor, har Check Point sitt eget SIEM-system – Smart Event. Du kan bare bruke den i tilfelle distribuert installasjon.

Driftsmoduser (bro, rutet)
Security Gateway (SG) kan operere i to grunnleggende moduser:

  • Rute - det vanligste alternativet. I dette tilfellet brukes gatewayen som en L3-enhet og ruter trafikk gjennom seg selv, dvs. Check Point er standard gateway for det beskyttede nettverket.
  • Bro - gjennomsiktig modus. I dette tilfellet er gatewayen installert som en vanlig "bro" og passerer trafikk gjennom den i det andre laget (OSI). Dette alternativet brukes vanligvis når det ikke er noen mulighet (eller ønske) om å endre eksisterende infrastruktur. Du trenger praktisk talt ikke å endre nettverkstopologien og ikke tenke på å endre IP-adressering.

Jeg vil merke meg at det er noen funksjonelle begrensninger i Bridge-modusen, derfor anbefaler vi, som en integrator, alle våre kunder å bruke rutet-modus, selvfølgelig, hvis mulig.

Programvareblad (Check Point Software Blades)

Vi kom nesten til det viktigste Check Point-emnet, som reiser flest spørsmål fra kunder. Hva er disse "programvarebladene"? Blader refererer til visse Check Point-funksjoner.

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

Disse funksjonene kan slås på eller av avhengig av dine behov. Samtidig er det blader som er aktivert utelukkende på gatewayen (Network Security) og kun på administrasjonsserveren (Management). Bildene nedenfor viser eksempler for begge tilfeller:

1) For nettverkssikkerhet (gateway-funksjonalitet)

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

La oss beskrive kort, fordi hvert blad fortjener en egen artikkel.

  • Brannmur - brannmurfunksjonalitet;
  • IPSec VPN - bygge private virtuelle nettverk;
  • Mobiltilgang - ekstern tilgang fra mobile enheter;
  • IPS - inntrengingsforebyggende system;
  • Anti-Bot - beskyttelse mot botnett-nettverk;
  • AntiVirus - streaming antivirus;
  • AntiSpam & Email Security - beskyttelse av bedriftspost;
  • Identitetsbevissthet - integrasjon med Active Directory-tjenesten;
  • Overvåking - overvåking av nesten alle gatewayparametere (belastning, båndbredde, VPN-status, etc.)
  • Applikasjonskontroll - brannmur på applikasjonsnivå (NGFW-funksjonalitet);
  • URL-filtrering - Websikkerhet (+proxy-funksjonalitet);
  • Forebygging av datatap - beskyttelse mot informasjonslekkasje (DLP);
  • Threat Emulation - sandkasseteknologi (SandBox);
  • Threat Extraction - filrenseteknologi;
  • QoS - trafikkprioritering.

I bare noen få artikler skal vi se nærmere på Threat Emulation og Threat Extraction bladene, jeg er sikker på at det blir interessant.

2) For ledelsen (administrasjonsserverfunksjonalitet)

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

  • Nettverkspolicystyring - sentralisert policystyring;
  • Endpoint Policy Management - sentralisert administrasjon av Check Point-agenter (ja, Check Point produserer løsninger ikke bare for nettverksbeskyttelse, men også for å beskytte arbeidsstasjoner (PCer) og smarttelefoner);
  • Logging og status - sentralisert innsamling og behandling av logger;
  • Management Portal - sikkerhetsstyring fra nettleseren;
  • Arbeidsflyt - kontroll over policyendringer, revisjon av endringer osv.;
  • Brukerkatalog - integrasjon med LDAP;
  • Provisioning - automatisering av gateway-administrasjon;
  • Smart Reporter - rapporteringssystem;
  • Smart Event - analyse og korrelasjon av hendelser (SIEM);
  • Samsvar - automatisk kontroll av innstillinger og utstedelse av anbefalinger.

Vi vil ikke nå vurdere lisensieringsspørsmål i detalj, for ikke å blåse opp artikkelen og forvirre leseren. Mest sannsynlig tar vi det ut i et eget innlegg.

Bladarkitekturen lar deg bruke bare de funksjonene du virkelig trenger, noe som påvirker budsjettet til løsningen og den generelle ytelsen til enheten. Det er logisk at jo flere blader du aktiverer, jo mindre trafikk kan "kjøres bort". Det er grunnen til at følgende ytelsestabell er knyttet til hver Check Point-modell (vi tok for eksempel egenskapene til 5400-modellen):

sjekkpunkt. Hva er det, hva spises det til, eller kort om hovedsaken

Som du kan se, er det to kategorier av tester her: på syntetisk trafikk og på ekte - blandet. Generelt sett er Check Point rett og slett tvunget til å publisere syntetiske tester, fordi. noen leverandører bruker slike tester som benchmarks uten å undersøke ytelsen til løsningene deres på reell trafikk (eller bevisst skjule slike data på grunn av deres utilfredsstillende).

I hver type test kan du legge merke til flere alternativer:

  1. test kun for brannmur;
  2. Brannmur + IPS test;
  3. Brannmur+IPS+NGFW (applikasjonskontroll) test;
  4. Brannmur+Programkontroll+URL-filtrering+IPS+Antivirus+Anti-Bot+SandBlast-test (sandkasse)

Se nøye på disse parameterne når du velger din løsning, eller kontakt for konsultasjon.

Jeg tror dette er slutten på den innledende artikkelen om Check Point-teknologier. Deretter skal vi se på hvordan du kan teste Check Point og hvordan du håndterer moderne informasjonssikkerhetstrusler (virus, phishing, løsepengeprogramvare, zero-day).

PS Et viktig poeng. Til tross for den utenlandske (israelske) opprinnelsen, er løsningen sertifisert i Russland av tilsynsmyndigheter, som automatisk legaliserer deres tilstedeværelse i statlige institusjoner (kommentar av Denyemall).

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Hvilke UTM/NGFW-verktøy bruker du?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Watchguard

  • Juniper

  • UserGate

  • trafikkinspektør

  • Rubicon

  • Ideco

  • åpen kildekode-løsning

  • andre

134 brukere stemte. 78 brukere avsto.

Kilde: www.habr.com

Legg til en kommentar