punkt kontrolny. Co to jest, z czym się je, czyli krótko o najważniejszej rzeczy

Witajcie drodzy czytelnicy Habr! To jest blog firmowy firmy Rozwiązanie TS. Jesteśmy integratorem systemów i specjalizujemy się głównie w rozwiązaniach z zakresu bezpieczeństwa infrastruktury IT (Check Point, Fortinet) i systemy analizy danych maszynowych (Splunk). Nasz blog zaczniemy od krótkiego wprowadzenia do technologii Check Point.

Długo zastanawialiśmy się, czy warto pisać ten artykuł, bo... nie ma w nim nic nowego, czego nie można by znaleźć w Internecie. Jednak pomimo tak dużej ilości informacji, pracując z klientami i partnerami, dość często słyszymy te same pytania. Dlatego postanowiono napisać swego rodzaju wprowadzenie do świata technologii Check Point i przybliżyć istotę architektury ich rozwiązań. A wszystko to w ramach jednego „małego” wpisu, krótkiej wycieczki, że tak powiem. Co więcej, będziemy się starali nie wdawać w wojny marketingowe, bo... Nie jesteśmy sprzedawcą, ale po prostu integratorem systemów (chociaż naprawdę kochamy Check Point) i po prostu przyjrzymy się głównym punktom, bez porównywania ich z innymi producentami (takimi jak Palo Alto, Cisco, Fortinet itp.). Artykuł okazał się dość obszerny, ale zawiera większość pytań pojawiających się na etapie zapoznawania się z Check Pointem. Jeśli jesteś zainteresowany to zapraszamy do kota...

UTM/NGFW

Rozpoczynając rozmowę o Check Point, zacznijmy od wyjaśnienia, czym są UTM i NGFW i czym się różnią. Zrobimy to bardzo zwięźle, aby post nie okazał się zbyt długi (być może w przyszłości rozważymy tę kwestię nieco bardziej szczegółowo)

UTM – ujednolicone zarządzanie zagrożeniami

Krótko mówiąc, istotą UTM jest konsolidacja kilku narzędzi bezpieczeństwa w jednym rozwiązaniu. Te. wszystko w jednym pudełku lub coś w rodzaju all inclusive. Co oznacza „wiele środków zaradczych”? Najpopularniejszą opcją jest: Firewall, IPS, Proxy (filtrowanie adresów URL), antywirus do przesyłania strumieniowego, antyspam, VPN i tak dalej. Wszystko to jest połączone w jednym rozwiązaniu UTM, które jest łatwiejsze pod względem integracji, konfiguracji, administracji i monitorowania, a to z kolei pozytywnie wpływa na ogólne bezpieczeństwo sieci. Kiedy po raz pierwszy pojawiły się rozwiązania UTM, rozważano je wyłącznie dla małych firm, ponieważ... UTM nie były w stanie obsłużyć dużego natężenia ruchu. Stało się tak z dwóch powodów:

1. Metoda przetwarzania pakietów. Pierwsze wersje rozwiązań UTM przetwarzały pakiety sekwencyjnie, każdy „moduł”. Przykład: najpierw pakiet jest przetwarzany przez zaporę ogniową, następnie IPS, następnie skanowany przez program antywirusowy i tak dalej. Naturalnie taki mechanizm wprowadził poważne opóźnienia w ruchu i znacznie pochłonął zasoby systemowe (procesor, pamięć).
2. Słaby sprzęt. Jak wspomniano powyżej, sekwencyjne przetwarzanie pakietów znacznie pochłaniało zasoby, a sprzęt tamtych czasów (1995-2005) po prostu nie był w stanie poradzić sobie z dużym ruchem.

Ale postęp nie stoi w miejscu. Od tego czasu pojemność sprzętu znacznie wzrosła, zmieniło się przetwarzanie pakietów (trzeba przyznać, że nie wszyscy dostawcy to mają) i zaczęto umożliwiać niemal jednoczesną analizę w kilku modułach jednocześnie (ME, IPS, AntiVirus itp.). Nowoczesne rozwiązania UTM potrafią „przetrawić” dziesiątki, a nawet setki gigabitów w trybie głębokiej analizy, co pozwala na wykorzystanie ich w segmencie dużych przedsiębiorstw czy nawet centrów danych.

Poniżej znajduje się słynny raport Gartner Magic Quadrant dotyczący rozwiązań UTM za sierpień 2016 r.:

Nie będę wiele komentował tego zdjęcia, powiem tylko, że liderzy są w prawym górnym rogu.

NGFW – zapora ogniowa nowej generacji

Nazwa mówi sama za siebie – zapora ogniowa nowej generacji. Koncepcja ta pojawiła się znacznie później niż UTM. Główną ideą NGFW jest głęboka analiza pakietów (DPI) z wykorzystaniem wbudowanego IPS oraz kontrola dostępu na poziomie aplikacji (Application Control). W tym przypadku IPS jest dokładnie tym, czego potrzeba do zidentyfikowania tej lub innej aplikacji w strumieniu pakietów, co pozwala na jej zezwolenie lub odmowę. Przykład: Możemy zezwolić na działanie programu Skype, ale zabronić przesyłania plików. Możemy zabronić korzystania z Torrenta lub RDP. Obsługiwane są także aplikacje internetowe: możesz zezwolić na dostęp do VK.com, ale zabronić gier, wiadomości i oglądania filmów. Zasadniczo jakość NGFW zależy od liczby zastosowań, które może wykryć. Wielu uważa, że ​​pojawienie się koncepcji NGFW było powszechnym chwytem marketingowym, na tle którego firma Palo Alto rozpoczęła swój szybki rozwój.

Gartner Magic Quadrant dla NGFW za maj 2016 r.:

UTM vs NGFW

Bardzo częstym pytaniem jest: co jest lepsze? Nie ma tutaj jednoznacznej odpowiedzi i nie może być. Zwłaszcza biorąc pod uwagę fakt, że prawie wszystkie nowoczesne rozwiązania UTM zawierają funkcjonalność NGFW, a większość NGFW zawiera funkcje nieodłącznie związane z UTM (antywirus, VPN, Anti-Bot itp.). Jak zawsze „diabeł tkwi w szczegółach”, dlatego przede wszystkim musisz zdecydować, czego konkretnie potrzebujesz i określić swój budżet. Na podstawie tych decyzji można wybrać kilka opcji. I wszystko trzeba jednoznacznie przetestować, nie wierząc materiałom marketingowym.

My z kolei w ramach kilku artykułów postaramy się opowiedzieć o Check Point, jak można go wypróbować i czego w zasadzie można spróbować (prawie wszystkie funkcjonalności).

Trzy elementy punktu kontrolnego

Pracując z Check Point na pewno zetkniesz się z trzema składnikami tego produktu:

1. Brama bezpieczeństwa (SG) — sama brama bezpieczeństwa, która jest zwykle instalowana na obwodzie sieci i pełni funkcje zapory ogniowej, oprogramowania antywirusowego do transmisji strumieniowej, antybota, IPS itp.
2. Serwer zarządzania bezpieczeństwem (SMS) — serwer zarządzający bramą. Prawie wszystkie ustawienia bramy (SG) są wykonywane przy użyciu tego serwera. SMS może także pełnić funkcję Serwera Logów i przetwarzać je za pomocą wbudowanego systemu analizy i korelacji zdarzeń – Smart Event (podobnie jak SIEM dla Check Point), ale o tym później. SMS służy do scentralizowanego zarządzania kilkoma bramkami (liczba bramek zależy od modelu SMS lub licencji), ale musisz z niego korzystać, nawet jeśli masz tylko jedną bramkę. Warto w tym miejscu zaznaczyć, że Check Point jako jedna z pierwszych zastosowała taki scentralizowany system zarządzania, który od wielu lat z rzędu uznawany jest za „złoty standard” według raportów Gartnera. Jest nawet dowcip: „Gdyby Cisco miało normalny system zarządzania, Check Point nigdy by się nie pojawił”.
3. Inteligentna konsola — konsola klienta do połączenia z serwerem zarządzania (SMS). Zwykle instalowany na komputerze administratora. Wszystkie zmiany na serwerze zarządzania są wprowadzane za pośrednictwem tej konsoli, a następnie można zastosować ustawienia do bram bezpieczeństwa (Zasady instalacji).

   

Sprawdź system operacyjny punktu

Mówiąc o systemie operacyjnym Check Point, możemy od razu przypomnieć sobie trzy: IPSO, SPLAT i GAIA.

1. IPSO - system operacyjny firmy Ipsilon Networks, która należała do Nokii. W 2009 roku firma Check Point kupiła tę firmę. Już się nie rozwijam.
2. PLAŚNIĘCIE - Opracowanie własne firmy Check Point, oparte na jądrze RedHat. Już się nie rozwijam.
3. Gaia - aktualny system operacyjny firmy Check Point, który powstał w wyniku połączenia IPSO i SPLAT, zawierający wszystko, co najlepsze. Pojawił się w 2012 roku i nadal aktywnie się rozwija.

Mówiąc o Gai należy stwierdzić, że w tej chwili najpopularniejszą wersją jest R77.30. Stosunkowo niedawno pojawiła się wersja R80, która znacznie różni się od poprzedniej (zarówno pod względem funkcjonalności, jak i sterowania). Tematowi ich różnic poświęcimy osobny wpis. Kolejną ważną kwestią jest to, że obecnie tylko wersja R77.10 posiada certyfikat FSTEC, a wersja R77.30 jest w trakcie certyfikacji.

Opcje wykonania (urządzenie Check Point, maszyna wirtualna, OpenServer)

Nie ma tu nic zaskakującego, podobnie jak wielu dostawców, Check Point ma kilka opcji produktów:

1. Urządzenie — urządzenie sprzętowe i programowe, tj. swój własny „kawałek żelaza”. Istnieje wiele modeli różniących się wydajnością, funkcjonalnością i designem (istnieją opcje dla sieci przemysłowych).

   

2. Maszyna wirtualna — Maszyna wirtualna Check Point z systemem Gaia OS. Obsługiwane są hypervisory ESXi, Hyper-V, KVM. Licencjonowane według liczby rdzeni procesora.
3. Openserver — zainstalowanie Gai bezpośrednio na serwerze jako głównego systemu operacyjnego (tzw. „Bare metal”). Obsługiwany jest tylko określony sprzęt. Istnieją zalecenia dotyczące tego sprzętu, których należy przestrzegać, w przeciwnym razie mogą pojawić się problemy ze sterownikami i sprzętem technicznym. wsparcie może odmówić wykonania usługi.

Opcje wdrożenia (rozproszone lub samodzielne)

Nieco wyżej omawialiśmy już, czym jest brama (SG) i serwer zarządzania (SMS). Omówmy teraz możliwości ich wdrożenia. Istnieją dwa główne sposoby:

1. Samodzielny (SG+SMS) - opcja, gdy zarówno bramka, jak i serwer zarządzający są zainstalowane w jednym urządzeniu (lub maszynie wirtualnej).

   
   
   Ta opcja jest odpowiednia, jeśli masz tylko jedną bramę, która jest lekko obciążona ruchem użytkowników. Ta opcja jest najbardziej ekonomiczna, ponieważ... nie ma potrzeby kupowania serwera zarządzającego (SMS). Jeśli jednak brama jest mocno obciążona, może to skutkować „powolnym” systemem sterowania. Dlatego przed wyborem rozwiązania Standalone najlepiej skonsultować się lub nawet przetestować tę opcję.

2. Rozproszone — serwer zarządzania jest instalowany oddzielnie od bramy.

   
   
   Najlepsza opcja pod względem wygody i wydajności. Stosowane, gdy konieczne jest zarządzanie kilkoma bramami jednocześnie, np. bramami centralnymi i oddziałowymi. W takim przypadku należy zakupić serwer zarządzający (SMS), który może mieć także formę urządzenia lub maszyny wirtualnej.

Jak wspomniałem powyżej, Check Point posiada własny system SIEM – Smart Event. Można z niego skorzystać tylko w przypadku instalacji rozproszonej.

Tryby pracy (mostkowy, trasowany)
Security Gateway (SG) może działać w dwóch głównych trybach:

• Trasowane - najczęstsza opcja. Bramka pełni w tym przypadku rolę urządzenia L3 i kieruje ruchem przez siebie, tj. Check Point jest bramą domyślną dla chronionej sieci.
• Most — tryb przezroczysty. W tym przypadku bramka jest instalowana jako zwykły „most” i przechodzi przez ruch na drugim poziomie (OSI). Opcja ta stosowana jest najczęściej w sytuacji, gdy nie ma możliwości (lub chęci) zmiany istniejącej infrastruktury. Praktycznie nie musisz zmieniać topologii sieci i nie musisz myśleć o zmianie adresacji IP.

Pragnę zauważyć, że w trybie Bridge istnieją pewne ograniczenia w zakresie funkcjonalności, dlatego jako integrator doradzamy wszystkim naszym klientom, aby oczywiście w miarę możliwości korzystali z trybu Routed.

Oprogramowanie Check Point Blade

Dotarliśmy już niemal do najważniejszego tematu Check Point, który budzi najwięcej pytań wśród klientów. Czym są te „programowe ostrza”? Ostrza odnoszą się do niektórych funkcji Check Point.

Funkcje te można włączyć lub wyłączyć w zależności od potrzeb. Jednocześnie istnieją kasety, które są aktywowane wyłącznie na bramie (Network Security) i tylko na serwerze zarządzania. Poniższe zdjęcia przedstawiają przykłady dla obu przypadków:

1) Dla bezpieczeństwa sieci (funkcja bramy)

Opiszmy to krótko, bo... każde ostrze zasługuje na swój własny artykuł.

• Zapora sieciowa - funkcjonalność zapory ogniowej;
• IPSec VPN - budowanie prywatnych sieci wirtualnych;
• Dostęp Mobilny – zdalny dostęp z urządzeń mobilnych;
• IPS – system zapobiegania włamaniom;
• Anti-Bot - ochrona przed sieciami botnetowymi;
• AntiVirus - program antywirusowy do przesyłania strumieniowego;
• AntiSpam & Email Security - ochrona firmowej poczty elektronicznej;
• Identity Awareness - integracja z usługą Active Directory;
• Monitoring - monitorowanie prawie wszystkich parametrów bramy (obciążenie, przepustowość, status VPN itp.)
• Kontrola aplikacji - zapora sieciowa na poziomie aplikacji (funkcja NGFW);
• Filtrowanie adresów URL - bezpieczeństwo sieci (+funkcja proxy);
• Data Loss Prevention - ochrona przed wyciekiem informacji (DLP);
• Emulacja zagrożeń - technologia sandbox (SandBox);
• Threat Extraction - technologia czyszczenia plików;
• QoS - priorytetyzacja ruchu.

W zaledwie kilku artykułach szczegółowo przyjrzymy się modułom Threat Emulation i Threat Extraction, jestem pewien, że będzie to interesujące.

2) Dla Zarządu (funkcja serwera sterującego)

• Zarządzanie polityką sieciową - scentralizowane zarządzanie polityką;
• Endpoint Policy Management - scentralizowane zarządzanie agentami Check Point (tak, Check Point produkuje rozwiązania nie tylko do ochrony sieci, ale także do ochrony stacji roboczych (PC) i smartfonów);
• Logging & Status – scentralizowane gromadzenie i przetwarzanie logów;
• Portal Zarządzania - zarządzanie bezpieczeństwem z poziomu przeglądarki;
• Workflow – kontrola nad zmianami polityk, audyt zmian, itp.;
• Katalog Użytkowników - integracja z LDAP;
• Provisioning - automatyzacja zarządzania bramami;
• Smart Reporter - system raportowania;
• Smart Event - analiza i korelacja zdarzeń (SIEM);
• Zgodność - automatycznie sprawdza ustawienia i wydaje rekomendacje.

Nie będziemy teraz szczegółowo omawiać kwestii licencyjnych, aby nie nadymać artykułu i nie dezorientować czytelnika. Najprawdopodobniej opublikujemy to w osobnym poście.

Architektura blade pozwala na wykorzystanie tylko tych funkcji, których naprawdę potrzebujesz, co wpływa na budżet rozwiązania i ogólną wydajność urządzenia. Logiczne jest, że im więcej serwerów typu blade aktywujesz, tym mniejszy ruch możesz „przejechać”. Dlatego do każdego modelu Check Point dołączona jest poniższa tabela wydajności (jako przykład wzięliśmy charakterystykę modelu 5400):

Jak widać mamy tu do czynienia z dwiema kategoriami testów: na ruchu syntetycznym oraz na ruchu rzeczywistym – mieszanym. Generalnie Check Point jest po prostu zmuszony do publikowania testów syntetycznych, bo... niektórzy dostawcy wykorzystują takie testy jako benchmarki, nie badając wydajności swoich rozwiązań na rzeczywistym ruchu (lub celowo ukrywają takie dane ze względu na ich niezadowalający charakter).

W każdym typie testu można zauważyć kilka opcji:

1. przetestuj tylko dla zapory sieciowej;
2. Test zapory sieciowej+IPS;
3. Test Firewall+IPS+NGFW (kontrola aplikacji);
4. przetestuj Firewall+Kontrola Aplikacji+Filtrowanie URL+IPS+Antywirus+Anty-Bot+SandBlast (sandbox)

Przy wyborze rozwiązania lub kontaktu należy dokładnie przyjrzeć się tym parametrom konsultacja.

Myślę, że na tym możemy zakończyć artykuł wprowadzający na temat technologii Check Point. Następnie przyjrzymy się, jak możesz przetestować Check Point i jak radzić sobie ze współczesnymi zagrożeniami bezpieczeństwa informacji (wirusy, phishing, oprogramowanie ransomware, zero-day).

PS Ważna uwaga. Rozwiązanie, pomimo swojego zagranicznego (izraelskiego) pochodzenia, jest certyfikowane w Federacji Rosyjskiej przez organy regulacyjne, co automatycznie legalizuje jego obecność w instytucjach rządowych (komentarz Odmów wszystkiemu).

W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. Zaloguj się, Proszę.

Z jakich narzędzi UTM/NGFW korzystasz?

• Check Point

• Siła ognia Cisco

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• Strażnik

• Jałowiec

• Brama użytkownika

• Inspektor ruchu

• Rubicon

• Ideco

• Rozwiązanie OpenSource

• Inny

Głosowało 134 użytkowników. 78 użytkowników wstrzymało się od głosu.

Źródło: www.habr.com