Dobrý deň, milí čitatelia habr! Toto je firemný blog spoločnosti . Sme systémový integrátor a špecializujeme sa najmä na riešenia bezpečnosti IT infraštruktúry (, ) a systémy na analýzu strojových dát (). Náš blog začneme krátkym úvodom do technológií Check Point.
Dlho sme rozmýšľali, či napísať tento článok, lebo. nie je v ňom nič nové, čo by sa nedalo nájsť na internete. Napriek takémuto množstvu informácií však pri práci s klientmi a partnermi často počúvame rovnaké otázky. Preto bolo rozhodnuté napísať akýsi úvod do sveta technológií Check Point a odhaliť podstatu architektúry ich riešení. A to všetko v rámci jedného „malého“ príspevku, takpovediac rýchlou odbočkou. A budeme sa snažiť neísť do marketingových vojen, pretože. nie sme predajcom, ale len systémovým integrátorom (hoci máme Check Point veľmi radi) a ideme len cez hlavné body bez toho, aby sme ich porovnávali s inými výrobcami (napríklad Palo Alto, Cisco, Fortinet atď.). Článok sa ukázal byť dosť objemný, ale prerušil väčšinu otázok vo fáze oboznámenia sa s Check Point. Ak máte záujem, vitajte pod mačkou…
UTM/NGFW
Keď začínate konverzáciu o Check Point, prvá vec, ktorú treba začať, je vysvetlenie, čo sú UTM, NGFW a ako sa líšia. Urobíme to veľmi stručne, aby sa príspevok neukázal ako príliš veľký (možno v budúcnosti túto otázku zvážime trochu podrobnejšie)
UTM – Unified Threat Management
Stručne povedané, podstatou UTM je konsolidácia niekoľkých bezpečnostných nástrojov v jednom riešení. Tie. všetko v jednej krabici alebo nejaké all inclusive. Čo znamená „viacnásobné opravné prostriedky“? Najbežnejšia možnosť je: Firewall, IPS, Proxy (filtrovanie URL), Streaming Antivirus, Anti-Spam, VPN atď. To všetko sa spája v rámci jedného UTM riešenia, ktoré je jednoduchšie z hľadiska integrácie, konfigurácie, správy a monitorovania, čo má zase pozitívny vplyv na celkovú bezpečnosť siete. Keď sa UTM riešenia prvýkrát objavili, považovali sa výlučne za malé spoločnosti, pretože. UTM nedokázali zvládnuť veľké objemy prevádzky. Bolo to z dvoch dôvodov:
- Spôsob spracovania paketov. Prvé verzie riešení UTM spracovávali pakety postupne, podľa každého „modulu“. Príklad: najprv paket spracuje firewall, potom IPS, potom ho skontroluje Anti-Virus atď. Prirodzene, takýto mechanizmus zapríčinil vážne zdržanie premávky a veľkú spotrebu systémových zdrojov (procesor, pamäť).
- Slabý hardvér. Ako už bolo spomenuté vyššie, sekvenčné spracovanie paketov pohlcovalo zdroje a vtedajší hardvér (1995-2005) jednoducho nezvládal vysokú prevádzku.
Pokrok však nestojí na mieste. Odvtedy sa výrazne zvýšili hardvérové kapacity a zmenilo sa spracovanie paketov (treba priznať, že nie všetci predajcovia ho majú) a začalo umožňovať takmer súčasnú analýzu vo viacerých moduloch naraz (ME, IPS, AntiVirus atď.). Moderné UTM riešenia dokážu „stráviť“ desiatky až stovky gigabitov v režime hĺbkovej analýzy, čo umožňuje ich využitie v segmente veľkých podnikov či dokonca dátových centier.
Nižšie je známy magický kvadrant spoločnosti Gartner pre riešenia UTM za august 2016:
Tento obrázok nebudem silno komentovať, len poviem, že v pravom hornom rohu sú lídri.
NGFW - Firewall novej generácie
Názov hovorí sám za seba – firewall novej generácie. Tento koncept sa objavil oveľa neskôr ako UTM. Hlavnou myšlienkou NGFW je hĺbková kontrola paketov (DPI) pomocou vstavaného IPS a riadenie prístupu na aplikačnej úrovni (Application Control). V tomto prípade je IPS práve to, čo je potrebné na identifikáciu tej či onej aplikácie v toku paketov, čo vám umožňuje povoliť alebo zakázať. Príklad: Môžeme povoliť, aby Skype fungoval, ale zabrániť prenosu súborov. Môžeme zakázať používanie Torrentu alebo RDP. Podporované sú aj webové aplikácie: Môžete povoliť prístup na VK.com, ale zabrániť hrám, správam alebo sledovaniu videí. Kvalita NGFW v podstate závisí od počtu aplikácií, ktoré môže definovať. Mnohí veria, že vznik konceptu NGFW bol bežným marketingovým trikom, proti ktorému Palo Alto začalo svoj rýchly rast.
Máj 2016 Gartner Magic Quadrant pre NGFW:
UTM vs NGFW
Veľmi častá otázka, čo je lepšie? Jednotná odpoveď tu neexistuje a ani nemôže byť. Najmä ak vezmeme do úvahy skutočnosť, že takmer všetky moderné riešenia UTM obsahujú funkčnosť NGFW a väčšina NGFW obsahuje funkcie vlastné UTM (antivírus, VPN, Anti-Bot atď.). Ako vždy, „diabol je v detailoch“, takže v prvom rade sa musíte rozhodnúť, čo konkrétne potrebujete, rozhodnúť sa o rozpočte. Na základe týchto rozhodnutí je možné vybrať niekoľko možností. A všetko treba jednoznačne otestovať, neveriť marketingovým materiálom.
My sa vám zase v rámci niekoľkých článkov pokúsime priblížiť Check Point, ako ho môžete vyskúšať a čo v zásade môžete vyskúšať (takmer všetky funkcie).
Tri entity kontrolného bodu
Pri práci s Check Point určite narazíte na tri zložky tohto produktu:
- Bezpečnostná brána (SG) - samotná bezpečnostná brána, ktorá je zvyčajne umiestnená na perimetri siete a plní funkcie firewallu, streamovacieho antivírusu, anti-bota, IPS atď.
- Server správy zabezpečenia (SMS) - server správy brány. Takmer všetky nastavenia na bráne (SG) sa vykonávajú pomocou tohto servera. SMS môžu fungovať aj ako Log Server a spracovávať ich pomocou vstavaného systému analýzy a korelácie udalostí – Smart Event (podobne ako SIEM pre Check Point), ale o tom neskôr. SMS sa používa na centrálne spravovanie viacerých brán (počet brán závisí od modelu SMS alebo licencie), ale musíte ju používať, aj keď máte len jednu bránu. Tu je potrebné poznamenať, že Check Point bol jedným z prvých, ktorí použili takýto centralizovaný systém riadenia, ktorý je podľa správ Gartner už mnoho rokov po sebe uznávaný ako „zlatý štandard“. Existuje dokonca vtip: „Ak by Cisco malo normálny riadiaci systém, potom by sa Check Point nikdy neobjavil.
- Smart Console — klientska konzola na pripojenie k riadiacemu serveru (SMS). Zvyčajne sa inštaluje na počítači správcu. Prostredníctvom tejto konzoly sa vykonajú všetky zmeny na správcovskom serveri a potom môžete použiť nastavenia na bezpečnostné brány (Install Policy).
Operačný systém Check Point
Keď už hovoríme o operačnom systéme Check Point, možno si spomenúť na tri naraz: IPSO, SPLAT a GAIA.
- IPSO je operačný systém spoločnosti Ipsilon Networks, ktorú vlastnila Nokia. V roku 2009 Check Point kúpil tento podnik. Už sa nevyvíja.
- SPLAT - vlastný vývoj Check Point, založený na jadre RedHat. Už sa nevyvíja.
- Gaia - aktuálny operačný systém od spoločnosti Check Point, ktorý sa objavil ako výsledok zlúčenia IPSO a SPLAT, zahŕňajúci všetko najlepšie. Objavil sa v roku 2012 a naďalej sa aktívne rozvíja.
Keď už sme pri Gaii, treba povedať, že momentálne je najrozšírenejšia verzia R77.30. Pomerne nedávno sa objavila verzia R80, ktorá sa od predchádzajúcej výrazne líši (funkčnosťou aj ovládaním). Téme ich rozdielov budeme venovať samostatný príspevok. Ďalším dôležitým bodom je, že v súčasnosti má certifikát FSTEC iba verzia R77.10 a verzia R77.30 sa certifikuje.
Možnosti (Check Point Appliance, Virtual Machine, OpenServer)
Nie je tu nič prekvapujúce, pretože mnohí predajcovia Check Point majú niekoľko možností produktov:
- Spotrebič - hardvérové a softvérové zariadenie, t.j. vlastný „kus železa“. Existuje veľa modelov, ktoré sa líšia výkonom, funkčnosťou a dizajnom (existujú možnosti pre priemyselné siete).
- Virtuálny prístroj - Virtuálny stroj Check Point s operačným systémom Gaia. Podporované sú hypervízory ESXi, Hyper-V, KVM. Licencované podľa počtu procesorových jadier.
- openserver - Inštalácia Gaia priamo na server ako hlavný operačný systém (tzv. "Holý kov"). Podporovaný je len určitý hardvér. Existujú odporúčania pre tento hardvér, ktoré je potrebné dodržiavať, inak môžu nastať problémy s ovládačmi a pod. podpora vám môže odmietnuť službu.
Možnosti implementácie (distribuované alebo samostatné)
O niečo vyššie sme už diskutovali o tom, čo je brána (SG) a server na správu (SMS). Teraz poďme diskutovať o možnostiach ich implementácie. Existujú dva hlavné spôsoby:
- Samostatne (SG+SMS) - možnosť, keď sú brána aj server na správu nainštalované na rovnakom zariadení (alebo virtuálnom počítači).
Táto možnosť je vhodná, keď máte len jednu bránu, ktorá je málo zaťažená návštevnosťou používateľov. Táto možnosť je najekonomickejšia, pretože. nie je potrebné kupovať server na správu (SMS). Ak je však brána veľmi zaťažená, môžete skončiť s pomalým riadiacim systémom. Preto pred výberom Samostatného riešenia je najlepšie túto možnosť konzultovať alebo dokonca otestovať. - Distribuované — riadiaci server je nainštalovaný oddelene od brány.
Najlepšia voľba z hľadiska pohodlia a výkonu. Používa sa, keď je potrebné spravovať niekoľko brán naraz, napríklad centrálnu a pobočkovú. V takom prípade si musíte zakúpiť správcovský server (SMS), ktorý môže byť aj vo forme zariadenia (kus železa) alebo virtuálneho stroja.
Ako som už povedal vyššie, Check Point má svoj vlastný SIEM systém – Smart Event. Môžete ho použiť iba v prípade distribuovanej inštalácie.
Prevádzkové režimy (Bridge, Routed)
Bezpečnostná brána (SG) môže fungovať v dvoch základných režimoch:
- smerované - najbežnejšia možnosť. V tomto prípade sa brána používa ako zariadenie L3 a smeruje prevádzku cez seba, t.j. Check Point je predvolená brána pre chránenú sieť.
- Mostík - transparentný režim. V tomto prípade je brána nainštalovaná ako normálny „most“ a prechádza cez ňu na druhej vrstve (OSI). Táto možnosť sa zvyčajne používa, keď neexistuje možnosť (alebo túžba) zmeniť existujúcu infraštruktúru. Prakticky nemusíte meniť topológiu siete a nemusíte myslieť na zmenu IP adresy.
Chcel by som poznamenať, že v režime Bridge existujú určité funkčné obmedzenia, a preto ako integrátor odporúčame všetkým našim klientom používať režim Routed, samozrejme, ak je to možné.
Softvérové čepele (softvérové čepele Check Point)
Dostali sme sa takmer k najdôležitejšej téme Check Point, ktorá vyvoláva u zákazníkov najviac otázok. Čo sú tieto „softvérové čepele“? Čepele odkazujú na určité funkcie Check Point.
Tieto funkcie je možné zapnúť alebo vypnúť v závislosti od vašich potrieb. Zároveň existujú blade servery, ktoré sa aktivujú výlučne na bráne (Network Security) a iba na serveri správy (Management). Na obrázkoch nižšie sú príklady pre oba prípady:
1) Pre bezpečnosť siete (funkčnosť brány)
Stručne popíšme, pretože každá čepeľ si zaslúži samostatný článok.
- Firewall - funkčnosť brány firewall;
- IPSec VPN - budovanie súkromných virtuálnych sietí;
- Mobile Access - vzdialený prístup z mobilných zariadení;
- IPS - systém prevencie vniknutia;
- Anti-Bot - ochrana pred sieťami botnetov;
- AntiVirus - streamingový antivírus;
- AntiSpam & Email Security - ochrana firemnej pošty;
- Identity Awareness – integrácia so službou Active Directory;
- Monitoring - sledovanie takmer všetkých parametrov brány (zaťaženie, šírka pásma, stav VPN atď.)
- Kontrola aplikácií - firewall na úrovni aplikácie (funkcia NGFW);
- URL Filtering - Webová bezpečnosť (+proxy funkcionalita);
- Data Loss Prevention - ochrana pred únikom informácií (DLP);
- Emulácia hrozieb – technológia sandbox (SandBox);
- Threat Extraction - technológia čistenia súborov;
- QoS - prioritizácia prevádzky.
Len v niekoľkých článkoch sa bližšie pozrieme na čepele Threat Emulation a Threat Extraction, určite to bude zaujímavé.
2) Pre manažment (funkcia riadiaceho servera)
- Network Policy Management – centralizované riadenie politík;
- Endpoint Policy Management - centralizovaná správa agentov Check Point (áno, Check Point vyrába riešenia nielen na ochranu siete, ale aj na ochranu pracovných staníc (PC) a smartfónov);
- Logging & Status – centralizovaný zber a spracovanie protokolov;
- Management Portal - správa bezpečnosti z prehliadača;
- Workflow – kontrola nad zmenami politiky, audit zmien a pod.;
- Užívateľský adresár - integrácia s LDAP;
- Provisioning - automatizácia správy brán;
- Smart Reporter - systém podávania správ;
- Smart Event - analýza a korelácia udalostí (SIEM);
- Compliance - automatická kontrola nastavení a vydávanie odporúčaní.
Nebudeme sa teraz podrobne zaoberať licenčnými otázkami, aby sme nenafúkli článok a nezmiatli čitateľa. S najväčšou pravdepodobnosťou to rozoberieme v samostatnom príspevku.
Blade architektúra umožňuje využívať len tie funkcie, ktoré skutočne potrebujete, čo ovplyvňuje rozpočet riešenia a celkový výkon zariadenia. Je logické, že čím viac lopatiek aktivujete, tým menej premávky môže byť „zahnané“. Preto je ku každému modelu Check Point pripojená nasledujúca tabuľka výkonu (prevzali sme napríklad charakteristiky modelu 5400):
Ako vidíte, existujú dve kategórie testov: na syntetickej premávke a na skutočnej – zmiešanej. Vo všeobecnosti je Check Point jednoducho nútený zverejňovať syntetické testy, pretože. niektorí predajcovia používajú takéto testy ako benchmarky bez toho, aby skúmali výkon svojich riešení na reálnej prevádzke (alebo takéto údaje zámerne skrývajú kvôli ich nevyhovujúcej kvalite).
V každom type testu si môžete všimnúť niekoľko možností:
- testovať len pre bránu firewall;
- Firewall + test IPS;
- test brány firewall+IPS+NGFW (kontrola aplikácií);
- Firewall+Ovládanie aplikácie+Filtrovanie adries URL+IPS+Antivírus+Anti-Bot+Test SandBlast (sandbox)
Pri výbere vášho riešenia si pozorne prezrite tieto parametre, prípadne sa obráťte na .
Myslím, že toto je koniec úvodného článku o technológiách Check Point. Ďalej sa pozrieme na to, ako môžete testovať Check Point a ako sa vysporiadať s modernými hrozbami informačnej bezpečnosti (vírusy, phishing, ransomware, zero-day).
PS Dôležitý bod. Napriek zahraničnému (izraelskému) pôvodu je riešenie v Ruskej federácii certifikované dozornými orgánmi, čím sa automaticky legalizuje ich prítomnosť v štátnych inštitúciách (komentár č. ).
Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prosím.
Aké nástroje UTM/NGFW používate?
-
Check Point
-
Cisco Firepower
-
Fortinet
-
Palo Alto
-
Sophos
-
Dell SonicWALL
-
Huawei
-
strážiť hodinky
-
Jalovec
-
UserGate
-
dopravný inšpektor
-
Rubicon
-
Ideco
-
opensource riešenie
-
Ďalšie
Hlasovalo 134 užívateľov. 78 užívateľov sa zdržalo hlasovania.
Zdroj: hab.com