ProHoster > Blog > administração > ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal
Olá, queridos leitores do habr! Este é o blog corporativo da empresa Solução TS. Somos um integrador de sistemas e nos especializamos principalmente em soluções de segurança de infraestrutura de TI (Check Point, Fortinet) e sistemas de análise de dados de máquinas (Splunk). Começaremos nosso blog com uma breve introdução às tecnologias Check Point.

Pensamos muito em escrever este artigo, porque. não há nada de novo nele que não possa ser encontrado na Internet. No entanto, apesar da abundância de informações, ao trabalhar com clientes e parceiros, muitas vezes ouvimos as mesmas perguntas. Portanto, decidiu-se escrever algum tipo de introdução ao mundo das tecnologias Check Point e revelar a essência da arquitetura de suas soluções. E tudo isso no âmbito de um “pequeno” post, por assim dizer, uma rápida digressão. E tentaremos não entrar em guerras de marketing, porque. não somos um fornecedor, mas apenas um integrador de sistemas (embora gostemos muito da Check Point) e apenas repassamos os pontos principais sem compará-los com outros fabricantes (como Palo Alto, Cisco, Fortinet, etc.). O artigo acabou sendo bastante volumoso, mas elimina a maioria das perguntas na fase de familiarização com o Check Point. Se você estiver interessado, então seja bem-vindo sob o gato…

UTM/NGFW

Ao iniciar uma conversa sobre Check Point, a primeira coisa a começar é uma explicação do que são UTM, NGFW e como eles diferem. Faremos isso de forma muito concisa para que a postagem não fique muito grande (talvez no futuro consideremos esse assunto com um pouco mais de detalhes)

UTM - Gerenciamento Unificado de Ameaças

Resumindo, a essência do UTM é a consolidação de diversas ferramentas de segurança em uma única solução. Aqueles. tudo em uma caixa ou alguns com tudo incluído. O que se entende por “remédios múltiplos”? A opção mais comum é: Firewall, IPS, Proxy (filtragem de URL), Streaming Antivirus, Anti-Spam, VPN e assim por diante. Tudo isso combinado em uma solução UTM, que é mais fácil em termos de integração, configuração, administração e monitoramento, o que, por sua vez, tem um efeito positivo na segurança geral da rede. Quando as soluções UTM surgiram, elas foram consideradas exclusivamente para pequenas empresas, porque. Os UTMs não conseguiam lidar com grandes volumes de tráfego. Isso foi por duas razões:

  1. Manipulação de pacotes. As primeiras versões de soluções UTM processavam os pacotes sequencialmente, por cada “módulo”. Exemplo: primeiro o pacote é processado pelo firewall, depois pelo IPS, depois é verificado pelo Anti-Virus e assim por diante. Naturalmente, esse mecanismo introduziu sérios atrasos no tráfego e consumiu muito recursos do sistema (processador, memória).
  2. Hardware fraco. Como mencionado acima, o processamento sequencial de pacotes consumia recursos e o hardware da época (1995-2005) simplesmente não conseguia lidar com o alto tráfego.

Mas o progresso não pára. Desde então, as capacidades de hardware aumentaram significativamente e o processamento de pacotes mudou (deve-se admitir que nem todos os fornecedores o possuem) e passou a permitir análises quase simultâneas em vários módulos ao mesmo tempo (ME, IPS, AntiVirus, etc.). As soluções modernas de UTM podem “digerir” dezenas e até centenas de gigabits em modo de análise profunda, o que possibilita sua utilização no segmento de grandes empresas ou mesmo data centers.

Abaixo está o famoso Quadrante Mágico do Gartner para soluções UTM de agosto de 2016:

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

Não vou comentar fortemente sobre esta foto, apenas direi que existem líderes no canto superior direito.

NGFW - Firewall de Próxima Geração

O nome fala por si - firewall de próxima geração. Esse conceito apareceu muito depois do UTM. A ideia principal do NGFW é a inspeção profunda de pacotes (DPI) usando IPS integrado e controle de acesso no nível do aplicativo (Application Control). Nesse caso, o IPS é justamente o que falta para identificar esta ou aquela aplicação no fluxo de pacotes, que permite permitir ou negar. Exemplo: podemos permitir que o Skype funcione, mas impedir transferências de arquivos. Podemos proibir o uso de Torrent ou RDP. Aplicativos da Web também são suportados: você pode permitir o acesso ao VK.com, mas impedir jogos, mensagens ou assistir a vídeos. Essencialmente, a qualidade de um NGFW depende do número de aplicativos que ele pode definir. Muitos acreditam que o surgimento do conceito de NGFW foi uma jogada de marketing comum contra a qual Palo Alto iniciou seu rápido crescimento.

Quadrante Mágico do Gartner de maio de 2016 para NGFW:

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

UTM x NGFW

Uma pergunta muito comum, o que é melhor? Não há uma resposta única aqui e não pode ser. Especialmente quando você considera o fato de que quase todas as soluções UTM modernas contêm funcionalidade NGFW e a maioria dos NGFWs contém funções inerentes ao UTM (Antivírus, VPN, Anti-Bot, etc.). Como sempre, “o diabo está nos detalhes”, então antes de tudo você precisa decidir o que precisa especificamente, decidir o orçamento. Com base nessas decisões, várias opções podem ser selecionadas. E tudo precisa ser testado de forma inequívoca, sem acreditar nos materiais de marketing.

Nós, por sua vez, no âmbito de vários artigos, tentaremos falar sobre o Check Point, como você pode experimentá-lo e o que, em princípio, você pode experimentar (quase todas as funcionalidades).

Entidades de três pontos de verificação

Ao trabalhar com a Check Point, você certamente encontrará três componentes deste produto:

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

  1. Gateway de Segurança (SG) - o próprio gateway de segurança, que geralmente é colocado no perímetro da rede e executa as funções de firewall, antivírus de streaming, anti-bot, IPS, etc.
  2. Servidor de gerenciamento de segurança (SMS) - servidor de gerenciamento de gateway. Quase todas as configurações no gateway (SG) são realizadas usando este servidor. O SMS também pode atuar como um Log Server e processá-los com o sistema de análise e correlação de eventos integrado - Smart Event (semelhante ao SIEM para Check Point), mas falaremos mais sobre isso posteriormente. O SMS é usado para gerenciar centralmente vários gateways (o número de gateways depende do modelo ou licença do SMS), mas você deve usá-lo mesmo se tiver apenas um gateway. Deve-se notar aqui que a Check Point foi uma das primeiras a usar um sistema de gerenciamento tão centralizado, que foi reconhecido como o “padrão ouro” de acordo com os relatórios do Gartner por muitos anos consecutivos. Existe até uma piada: “Se a Cisco tivesse um sistema de controle normal, o Check Point nunca teria aparecido”.
  3. Consola Inteligente — console do cliente para conexão com o servidor de gerenciamento (SMS). Normalmente instalado no computador do administrador. Através deste console, todas as alterações são feitas no servidor de gerenciamento, e depois disso você pode aplicar as configurações aos gateways de segurança (Política de Instalação).

    ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

Sistema operacional Checkpoint

Falando sobre o sistema operacional Check Point, três podem ser lembrados ao mesmo tempo: IPSO, SPLAT e GAIA.

  1. IPSO é o sistema operacional da Ipsilon Networks, que era propriedade da Nokia. Em 2009, a Check Point comprou este negócio. Não mais desenvolvido.
  2. SPLAT - desenvolvimento próprio do Check Point, baseado no kernel RedHat. Não mais desenvolvido.
  3. Gaia - o atual sistema operacional da Check Point, que surgiu como resultado da fusão da IPSO e da SPLAT, incorporando o que há de melhor. Apareceu em 2012 e continua a se desenvolver ativamente.

Falando em Gaia, vale dizer que no momento a versão mais comum é a R77.30. Há relativamente pouco tempo, surgiu a versão R80, que difere significativamente da anterior (tanto em termos de funcionalidade quanto de controle). Vamos dedicar um post separado ao tópico de suas diferenças. Outro ponto importante é que no momento apenas a versão R77.10 possui o certificado FSTEC e a versão R77.30 está sendo certificada.

Opções (Check Point Appliance, máquina virtual, OpenServer)

Não há nada de surpreendente aqui, já que muitos fornecedores da Check Point têm várias opções de produtos:

  1. Utensílio - dispositivo de hardware e software, ou seja, próprio "pedaço de ferro". Existem muitos modelos que diferem em desempenho, funcionalidade e design (existem opções para redes industriais).

    ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

  2. Máquina virtual - Máquina virtual Check Point com Gaia OS. Hypervisors ESXi, Hyper-V, KVM são suportados. Licenciado pelo número de núcleos do processador.
  3. openserver - Instalar o Gaia diretamente no servidor como sistema operacional principal (o chamado "Bare metal"). Apenas determinado hardware é suportado. Existem recomendações para este hardware que devem ser seguidas, caso contrário pode haver problemas com drivers e outros. suporte pode recusar o serviço para você.

Opções de implementação (distribuída ou autônoma)

Um pouco mais acima, já discutimos o que são um gateway (SG) e um servidor de gerenciamento (SMS). Agora vamos discutir as opções para sua implementação. Existem duas maneiras principais:

  1. Autônomo (SG+SMS) - uma opção quando o gateway e o servidor de gerenciamento estão instalados no mesmo dispositivo (ou máquina virtual).

    ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

    Esta opção é adequada quando você tem apenas um gateway, que é levemente carregado com tráfego de usuários. Esta opção é a mais econômica, porque. não há necessidade de comprar um servidor de gerenciamento (SMS). No entanto, se o gateway estiver muito carregado, você pode acabar com um sistema de controle lento. Por isso, antes de optar por uma solução Standalone, o melhor é consultar ou mesmo testar esta opção.

  2. Distribuído — o servidor de gerenciamento é instalado separadamente do gateway.

    ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

    A melhor opção em termos de conforto e desempenho. É utilizado quando é necessário gerenciar vários gateways ao mesmo tempo, por exemplo, centrais e filiais. Nesse caso, é necessário adquirir um servidor de gerenciamento (SMS), que também pode ser na forma de um appliance (pedaço de ferro) ou de uma máquina virtual.

Como disse logo acima, a Check Point possui seu próprio sistema SIEM - Smart Event. Você pode usá-lo apenas no caso de instalação distribuída.

Modos de operação (Ponte, Roteado)
O Security Gateway (SG) pode operar em dois modos básicos:

  • Encaminhado - a opção mais comum. Nesse caso, o gateway é usado como um dispositivo L3 e direciona o tráfego por si mesmo, ou seja, Check Point é o gateway padrão para a rede protegida.
  • ponte - modo transparente. Nesse caso, o gateway é instalado como uma “ponte” normal e passa o tráfego por ele na segunda camada (OSI). Esta opção geralmente é utilizada quando não há possibilidade (ou desejo) de alterar a infraestrutura existente. Você praticamente não precisa alterar a topologia da rede e não precisa pensar em alterar o endereço IP.

Gostaria de observar que existem algumas limitações funcionais no modo Bridge, portanto, como integrador, aconselhamos todos os nossos clientes a usar o modo Roteado, é claro, se possível.

Lâminas de Software (Lâminas de Software Check Point)

Chegamos quase ao tópico mais importante da Check Point, que mais dúvidas levanta dos clientes. O que são essas “lâminas de software”? As lâminas referem-se a certas funções do Check Point.

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

Esses recursos podem ser ativados ou desativados, dependendo de suas necessidades. Ao mesmo tempo, existem blades que são ativados exclusivamente no gateway (Network Security) e somente no servidor de gerenciamento (Management). As imagens abaixo mostram exemplos para ambos os casos:

1) Para segurança de rede (funcionalidade de gateway)

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

Vamos descrever brevemente, porque cada lâmina merece um artigo separado.

  • Firewall - funcionalidade de firewall;
  • VPN IPSec - construção de redes virtuais privadas;
  • Mobile Access - acesso remoto a partir de dispositivos móveis;
  • IPS - sistema de prevenção de intrusão;
  • Anti-Bot - proteção contra redes botnet;
  • AntiVirus - antivírus de streaming;
  • AntiSpam & Email Security - proteção do correio corporativo;
  • Identity Awareness - integração com o serviço Active Directory;
  • Monitoramento - monitoramento de quase todos os parâmetros do gateway (carga, largura de banda, status da VPN, etc.)
  • Controle de aplicativos - firewall em nível de aplicativo (funcionalidade NGFW);
  • Filtragem de URL - Segurança da Web (+funcionalidade de proxy);
  • Data Loss Prevention - proteção contra vazamento de informações (DLP);
  • Threat Emulation - tecnologia sandbox (SandBox);
  • Extração de ameaças - tecnologia de limpeza de arquivos;
  • QoS - priorização de tráfego.

Em apenas alguns artigos, veremos mais de perto os blades Threat Emulation e Threat Extraction, tenho certeza que será interessante.

2) Para Gestão (funcionalidade do servidor de gerenciamento)

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

  • Gerenciamento de políticas de rede - gerenciamento de políticas centralizado;
  • Endpoint Policy Management - gerenciamento centralizado dos agentes Check Point (sim, a Check Point produz soluções não só para proteção de rede, mas também para proteção de estações de trabalho (PCs) e smartphones);
  • Logging & Status - coleta centralizada e processamento de logs;
  • Portal de Gestão - gestão de segurança a partir do navegador;
  • Fluxo de trabalho - controle sobre mudanças de política, auditoria de mudanças, etc.;
  • Diretório de usuários - integração com LDAP;
  • Provisionamento - automatização da gestão do gateway;
  • Smart Reporter - sistema de relatórios;
  • Smart Event - análise e correlação de eventos (SIEM);
  • Conformidade - verificação automática das configurações e emissão de recomendações.

Não vamos considerar agora os problemas de licenciamento em detalhes, para não inflar o artigo e confundir o leitor. Provavelmente iremos retirá-lo em um post separado.

A arquitetura blade permite usar apenas as funções que você realmente precisa, o que afeta o orçamento da solução e o desempenho geral do dispositivo. É lógico que quanto mais lâminas você ativar, menos tráfego poderá ser “afastado”. É por isso que a seguinte tabela de desempenho é anexada a cada modelo Check Point (por exemplo, pegamos as características do modelo 5400):

ponto de verificação. O que é, com o que se come ou brevemente sobre o principal

Como você pode ver, existem duas categorias de testes aqui: no tráfego sintético e no real - misto. De um modo geral, a Check Point é simplesmente forçada a publicar testes sintéticos, porque. alguns fornecedores usam esses testes como benchmarks sem examinar o desempenho de suas soluções no tráfego real (ou ocultam deliberadamente esses dados devido à sua insatisfação).

Em cada tipo de teste, você pode observar várias opções:

  1. teste apenas para Firewall;
  2. Teste de firewall + IPS;
  3. Teste de Firewall+IPS+NGFW (controle de aplicativos);
  4. Firewall+Controle de aplicativos+Filtragem de URL+IPS+Antivírus+Anti-Bot+Teste SandBlast (sandbox)

Observe atentamente esses parâmetros ao escolher sua solução ou entre em contato para consulta.

Acho que este é o fim do artigo introdutório sobre as tecnologias Check Point. A seguir, veremos como você pode testar o Check Point e como lidar com ameaças modernas à segurança da informação (vírus, phishing, ransomware, dia zero).

PS Um ponto importante. Apesar da origem estrangeira (israelense), a solução é certificada na Federação Russa por autoridades supervisoras, o que legaliza automaticamente sua presença em instituições estatais (comentário de Negar).

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Quais ferramentas UTM/NGFW você usa?

  • Check Point

  • poder de fogo cisco

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • Vigia

  • Zimbro

  • UserGate

  • inspetor de trânsito

  • Rubicon

  • ideco

  • solução de código aberto

  • Outro

134 usuários votaram. 78 usuários se abstiveram.

Fonte: habr.com

Adicionar um comentário