punct de control. Ce este, cu ce se mănâncă sau pe scurt despre principalul lucru

Bună ziua, dragi cititori ai habr! Acesta este blogul corporativ al companiei Soluția T.S. Suntem un integrator de sisteme și suntem specializați în principal în soluții de securitate a infrastructurii IT (Check Point, Fortinet) și sisteme de analiză a datelor mașinii (Splunk). Vom începe blogul nostru cu o scurtă introducere în tehnologiile Check Point.

Ne-am gândit multă vreme dacă să scriem acest articol, pentru că. nu există nimic nou în el care să nu poată fi găsit pe Internet. Cu toate acestea, în ciuda abundenței de informații, atunci când lucrăm cu clienți și parteneri, auzim adesea aceleași întrebări. Prin urmare, s-a decis să se scrie un fel de introducere în lumea tehnologiilor Check Point și să dezvăluie esența arhitecturii soluțiilor lor. Și toate acestea în cadrul unei „mici” postări, ca să spunem așa, o digresiune rapidă. Și vom încerca să nu intrăm în războaie de marketing, pentru că. nu suntem un furnizor, ci doar un integrator de sisteme (deși ne place foarte mult Check Point) și doar trecem peste punctele principale fără a le compara cu alți producători (cum ar fi Palo Alto, Cisco, Fortinet etc.). Articolul s-a dovedit a fi destul de voluminos, dar oprește majoritatea întrebărilor din etapa de familiarizare cu Check Point. Dacă ești interesat, atunci bine ai venit sub pisica...

UTM/NGFW

Când începeți o conversație despre Check Point, primul lucru cu care trebuie să începeți este o explicație a ce sunt UTM, NGFW și cum diferă. Vom face acest lucru foarte concis, astfel încât postarea să nu se dovedească a fi prea mare (poate că în viitor vom lua în considerare această problemă mai detaliat)

UTM - Managementul unificat al amenințărilor

Pe scurt, esența UTM este consolidarea mai multor instrumente de securitate într-o singură soluție. Acestea. toate într-o singură cutie sau unele all inclusive. Ce se înțelege prin „remedii multiple”? Cea mai comună opțiune este: Firewall, IPS, Proxy (filtrare URL), Streaming Antivirus, Anti-Spam, VPN și așa mai departe. Toate acestea sunt combinate într-o singură soluție UTM, care este mai ușoară în ceea ce privește integrarea, configurarea, administrarea și monitorizarea, iar aceasta, la rândul său, are un efect pozitiv asupra securității generale a rețelei. Când au apărut soluțiile UTM, acestea au fost considerate exclusiv pentru companiile mici, deoarece. UTM-urile nu au putut gestiona volume mari de trafic. Acest lucru a fost din două motive:

1. Manipularea pachetelor. Primele versiuni ale soluțiilor UTM procesau pachetele secvenţial, de către fiecare „modul”. Exemplu: mai întâi pachetul este procesat de firewall, apoi de IPS, apoi este verificat de Anti-Virus și așa mai departe. Desigur, un astfel de mecanism a introdus întârzieri serioase în trafic și au consumat foarte mult resursele de sistem (procesor, memorie).
2. Hardware slab. După cum am menționat mai sus, procesarea secvențială a pachetelor consuma resurse și hardware-ul acelor vremuri (1995-2005) pur și simplu nu putea face față unui trafic ridicat.

Dar progresul nu stă pe loc. De atunci, capacitățile hardware au crescut semnificativ, iar procesarea pachetelor s-a schimbat (trebuie să admitem că nu toți vânzătorii o au) și au început să permită analiza aproape simultană în mai multe module deodată (ME, IPS, AntiVirus etc.). Soluțiile UTM moderne pot „digera” zeci și chiar sute de gigabiți în modul de analiză profundă, ceea ce face posibilă utilizarea lor în segmentul afacerilor mari sau chiar al centrelor de date.

Mai jos este faimosul Magic Quadrant al Gartner pentru soluții UTM pentru august 2016:

Nu voi comenta tare această poză, voi spune doar că sunt lideri în colțul din dreapta sus.

NGFW - Firewall de generație următoare

Numele vorbește de la sine - firewall de generație următoare. Acest concept a apărut mult mai târziu decât UTM. Ideea principală a NGFW este inspecția profundă a pachetelor (DPI) folosind IPS încorporat și controlul accesului la nivel de aplicație (Application Control). În acest caz, IPS este exact ceea ce este necesar pentru a identifica această sau acea aplicație în fluxul de pachete, ceea ce vă permite să o permiteți sau să o refuzați. Exemplu: putem permite Skype să funcționeze, dar împiedicăm transferurile de fișiere. Putem interzice utilizarea Torrentului sau RDP. Aplicațiile web sunt, de asemenea, acceptate: puteți permite accesul la VK.com, dar împiedicați jocurile, mesajele sau vizionarea videoclipurilor. În esență, calitatea unui NGFW depinde de numărul de aplicații pe care le poate defini. Mulți cred că apariția conceptului de NGFW a fost un strat de marketing comun împotriva căruia Palo Alto și-a început creșterea rapidă.

Mai 2016 Gartner Magic Quadrant pentru NGFW:

UTM vs NGFW

O întrebare foarte frecventă, care este mai bună? Nu există un singur răspuns aici și nu poate fi. Mai ales când iei în considerare faptul că aproape toate soluțiile UTM moderne conțin funcționalitate NGFW și majoritatea NGFW-urilor conțin funcții inerente UTM (Antivirus, VPN, Anti-Bot etc.). Ca întotdeauna, „diavolul este în detalii”, așa că în primul rând trebuie să decideți de ce aveți nevoie în mod specific, să decideți bugetul. Pe baza acestor decizii, pot fi selectate mai multe opțiuni. Și totul trebuie testat fără ambiguitate, fără a crede materialele de marketing.

Noi, la rândul nostru, în cadrul mai multor articole, vom încerca să vă spunem despre Check Point, cum îl puteți încerca și ce, în principiu, puteți încerca (aproape toată funcționalitatea).

Trei entități punct de control

Când lucrați cu Check Point, veți întâlni cu siguranță trei componente ale acestui produs:

1. Gateway de securitate (SG) - gateway-ul de securitate în sine, care este plasat de obicei pe perimetrul rețelei și îndeplinește funcțiile de firewall, antivirus de streaming, anti-bot, IPS etc.
2. Server de management al securității (SMS) - server de management gateway. Aproape toate setările de pe gateway (SG) sunt efectuate folosind acest server. SMS poate acționa, de asemenea, ca un server de jurnal și le poate procesa cu sistemul de analiză și corelare a evenimentelor încorporat - Smart Event (similar cu SIEM pentru Check Point), dar mai multe despre asta mai târziu. SMS-ul este folosit pentru a gestiona centralizat mai multe gateway-uri (numărul de gateway-uri depinde de modelul sau licența SMS), dar trebuie să îl utilizați chiar dacă aveți un singur gateway. Trebuie remarcat aici că Check Point a fost unul dintre primii care a folosit un astfel de sistem de management centralizat, care a fost recunoscut drept „standardul de aur” conform rapoartelor Gartner de mulți ani la rând. Există chiar și o glumă: „Dacă Cisco ar fi avut un sistem de control normal, atunci Check Point nu ar fi apărut niciodată”.
3. Consolă inteligentă — consola client pentru conectarea la serverul de management (SMS). Instalat de obicei pe computerul administratorului. Prin această consolă, toate modificările se fac pe serverul de management, iar după aceea puteți aplica setările la gateway-urile de securitate (Politica de instalare).

   

Sistemul de operare Check Point

Vorbind despre sistemul de operare Check Point, trei pot fi rechemați simultan: IPSO, SPLAT și GAIA.

1. IPSO este sistemul de operare al Ipsilon Networks, care a fost deținut de Nokia. În 2009, Check Point a cumpărat această afacere. Nu se mai dezvolta.
2. SPLAT - dezvoltare proprie a Check Point, bazată pe kernelul RedHat. Nu se mai dezvolta.
3. Gaia - sistemul de operare actual de la Check Point, care a apărut ca urmare a fuziunii IPSO și SPLAT, încorporând tot ce este mai bun. A apărut în 2012 și continuă să se dezvolte activ.

Apropo de Gaia, trebuie spus că în acest moment cea mai comună versiune este R77.30. Relativ recent a apărut versiunea R80, care diferă semnificativ de precedenta (atât ca funcționalitate, cât și ca control). Vom dedica o postare separată subiectului diferențelor lor. Un alt punct important este că în momentul de față doar versiunea R77.10 are certificatul FSTEC și versiunea R77.30 este în curs de certificare.

Opțiuni (Check Point Appliance, mașină virtuală, OpenServer)

Nu este nimic surprinzător aici, deoarece mulți furnizori Check Point au mai multe opțiuni de produse:

1. Aparat - dispozitiv hardware și software, de ex. propria „bucată de fier”. Există o mulțime de modele care diferă ca performanță, funcționalitate și design (există opțiuni pentru rețelele industriale).

   

2. Mașină virtuală - Mașină virtuală Check Point cu sistemul de operare Gaia. Hypervisorii ESXi, Hyper-V, KVM sunt acceptați. Licențiat după numărul de nuclee de procesor.
3. Deschideți serverul - Instalarea Gaia direct pe server ca sistem de operare principal (așa-numitul „Bare metal”). Numai anumite componente hardware sunt acceptate. Există recomandări pentru acest hardware care trebuie urmate, altfel pot apărea probleme cu driverele și acelea. asistența vă poate refuza serviciul.

Opțiuni de implementare (Distribuite sau Standalone)

Puțin mai sus, am discutat deja ce sunt un gateway (SG) și un server de management (SMS). Acum să discutăm despre opțiunile pentru implementarea lor. Există două moduri principale:

1. Standalone (SG+SMS) - o opțiune când atât gateway-ul, cât și serverul de management sunt instalate în același dispozitiv (sau mașină virtuală).

   
   
   Această opțiune este potrivită atunci când aveți un singur gateway, care este ușor încărcat cu trafic de utilizatori. Această opțiune este cea mai economică, deoarece. nu este nevoie să cumpărați un server de management (SMS). Cu toate acestea, dacă gateway-ul este încărcat puternic, este posibil să ajungeți cu un sistem de control lent. Prin urmare, înainte de a alege o soluție Standalone, cel mai bine este să consultați sau chiar să testați această opțiune.

2. distribuit — serverul de management este instalat separat de gateway.

   
   
   Cea mai bună opțiune în ceea ce privește confortul și performanța. Este folosit atunci când este necesar să gestionați mai multe gateway-uri simultan, de exemplu, centrale și sucursale. În acest caz, trebuie să achiziționați un server de management (SMS), care poate fi și sub forma unui aparat (piesă de fier) ​​sau a unei mașini virtuale.

După cum spuneam mai sus, Check Point are propriul său sistem SIEM - Smart Event. Îl puteți folosi numai în cazul instalării distribuite.

Moduri de operare (Pont, Rutat)
Gateway-ul de securitate (SG) poate funcționa în două moduri de bază:

• rutate - cea mai comună variantă. În acest caz, gateway-ul este folosit ca dispozitiv L3 și direcționează traficul prin el însuși, de exemplu. Check Point este gateway-ul implicit pentru rețeaua protejată.
• Bridge - modul transparent. În acest caz, gateway-ul este instalat ca un „pod” normal și trece traficul prin el la al doilea strat (OSI). Această opțiune este de obicei folosită atunci când nu există nicio posibilitate (sau dorință) de a schimba infrastructura existentă. Practic, nu trebuie să schimbați topologia rețelei și nu trebuie să vă gândiți la schimbarea adresei IP.

Aș dori să remarc că există unele limitări funcționale în modul Bridge, prin urmare, în calitate de integrator, sfătuim toți clienții noștri să folosească modul Routed, desigur, dacă este posibil.

Lame software (Lame software Check Point)

Am ajuns aproape la cel mai important subiect Check Point, care ridică cele mai multe întrebări din partea clienților. Ce sunt aceste „lame software”? Lamele se referă la anumite funcții Check Point.

Aceste funcții pot fi activate sau dezactivate în funcție de nevoile dvs. În același timp, există blade care sunt activate exclusiv pe gateway (Network Security) și doar pe serverul de management (Management). Imaginile de mai jos prezintă exemple pentru ambele cazuri:

1) Pentru securitatea rețelei (funcționalitate gateway)

Să descriem pe scurt, pentru că fiecare lamă merită un articol separat.

• Firewall - funcționalitate firewall;
• IPSec VPN - construirea de rețele virtuale private;
• Acces mobil - acces la distanță de pe dispozitive mobile;
• IPS - sistem de prevenire a intruziunilor;
• Anti-Bot - protecție împotriva rețelelor botnet;
• AntiVirus - antivirus de streaming;
• AntiSpam & Email Security - protejarea corespondenței corporative;
• Identity Awareness - integrare cu serviciul Active Directory;
• Monitorizare - monitorizarea aproape tuturor parametrilor gateway-ului (încărcare, lățime de bandă, stare VPN etc.)
• Application Control - firewall la nivel de aplicație (funcționalitate NGFW);
• URL Filtering - Securitate web (+funcționalitate proxy);
• Data Loss Prevention - protecția împotriva scurgerilor de informații (DLP);
• Threat Emulation - tehnologie sandbox (SandBox);
• Threat Extraction - tehnologie de curățare a fișierelor;
• QoS - prioritizarea traficului.

În doar câteva articole, vom arunca o privire mai atentă asupra lamelor Threat Emulation și Threat Extraction, sunt sigur că va fi interesant.

2) Pentru management (funcționalitate server de management)

• Network Policy Management - management centralizat al politicii;
• Endpoint Policy Management - management centralizat al agenților Check Point (da, Check Point produce soluții nu numai pentru protecția rețelei, ci și pentru protejarea stațiilor de lucru (PC-uri) și a smartphone-urilor);
• Logging & Status - colectarea și procesarea centralizată a jurnalelor;
• Portal de management - managementul securității din browser;
• Flux de lucru - control asupra modificărilor de politică, audit al modificărilor etc.;
• Director de utilizatori - integrare cu LDAP;
• Aprovizionare - automatizarea managementului gateway-ului;
• Smart Reporter - sistem de raportare;
• Smart Event - analiza și corelarea evenimentelor (SIEM);
• Conformitate - verificare automată a setărilor și emiterea de recomandări.

Nu vom lua în considerare acum problemele de licențiere în detaliu, pentru a nu umfla articolul și a deruta cititorul. Cel mai probabil îl vom scoate într-o postare separată.

Arhitectura blade vă permite să utilizați doar funcțiile de care aveți cu adevărat nevoie, ceea ce afectează bugetul soluției și performanța generală a dispozitivului. Este logic că cu cât activați mai multe lame, cu atât mai puțin trafic poate fi „alungat”. De aceea, următorul tabel de performanță este atașat fiecărui model Check Point (de exemplu, am luat caracteristicile modelului 5400):

După cum puteți vedea, există două categorii de teste aici: pe trafic sintetic și pe real - mixt. În general, Check Point este pur și simplu obligat să publice teste sintetice, deoarece. unii vânzători folosesc astfel de teste ca repere fără a examina performanța soluțiilor lor în trafic real (sau ascund în mod deliberat astfel de date din cauza nesatisfăcătorului lor).

În fiecare tip de test, puteți observa mai multe opțiuni:

1. testați numai pentru firewall;
2. Firewall + test IPS;
3. Test Firewall+IPS+NGFW (Control aplicație);
4. Firewall+Control aplicație+Filtrare URL+IPS+Antivirus+Anti-Bot+Test SandBlast (sandbox)

Priviți cu atenție acești parametri atunci când alegeți soluția dvs. sau contactați pentru consultare.

Cred că acesta este sfârșitul articolului introductiv despre tehnologiile Check Point. În continuare, vom analiza cum puteți testa Check Point și cum să faceți față amenințărilor moderne de securitate a informațiilor (viruși, phishing, ransomware, zero-day).

PS Un punct important. În ciuda originii străine (israeliene), soluția este certificată în Federația Rusă de autoritățile de supraveghere, care legalizează automat prezența acestora în instituțiile statului (comentar de Denyemall).

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Ce instrumente UTM/NGFW folosiți?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• paznic ceas

• Ienupăr

• UserGate

• inspector de trafic

• Rubicon

• Ideco

• soluție opensource

• Alte

Au votat 134 de utilizatori. 78 utilizatori s-au abținut.

Sursa: www.habr.com