ProHoster > Blog > Uprava > kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem
Pozdravljeni, dragi bralci Habra! To je poslovni blog podjetja Rešitev TS. Smo sistemski integrator in smo večinoma specializirani za varnostne rešitve IT infrastrukture (Check Point, Fortinet) in sistemi za analizo strojnih podatkov (Splunk). Naš blog bomo začeli s kratkim uvodom v tehnologije Check Point.

Dolgo smo razmišljali, ali je vredno napisati ta članek, saj... v njem ni nič novega, česar ne bi bilo mogoče najti na internetu. Kljub obilici informacij pa pri delu s strankami in partnerji nemalokrat slišimo ista vprašanja. Zato je bilo odločeno napisati nekakšen uvod v svet tehnologij Check Point in razkriti bistvo arhitekture njihovih rešitev. In vse to je v okviru ene "majhne" objave, tako rekoč hitre ekskurzije. Poleg tega se bomo trudili, da se ne bomo spuščali v marketinške vojne, saj... Nismo prodajalec, ampak samo sistemski integrator (čeprav imamo zelo radi Check Point) in si bomo preprosto ogledali glavne točke, ne da bi jih primerjali z drugimi proizvajalci (kot so Palo Alto, Cisco, Fortinet itd.). Izkazalo se je, da je članek precej obsežen, vendar pokriva večino vprašanj na stopnji seznanitve s Check Pointom. Če vas zanima, potem dobrodošli v mačji...

UTM/NGFW

Ko začnete pogovor o Check Pointu, morate najprej začeti z razlago, kaj sta UTM in NGFW in v čem se razlikujeta. To bomo storili zelo jedrnato, da se objava ne bo izkazala za predolgo (morda bomo v prihodnosti to vprašanje obravnavali nekoliko podrobneje)

UTM – poenoteno upravljanje groženj

Skratka, bistvo UTM je združitev več varnostnih orodij v eni rešitvi. Tisti. vse v eni škatli ali nekakšen all inclusive. Kaj pomeni "več zdravil"? Najpogostejša možnost je: požarni zid, IPS, proxy (filtriranje URL-jev), pretočni protivirusni program, zaščita pred neželeno pošto, VPN in tako naprej. Vse to je združeno v eni UTM rešitvi, ki je enostavnejša z vidika integracije, konfiguracije, administracije in spremljanja, kar posledično pozitivno vpliva na celotno varnost omrežja. Ko so se UTM rešitve prvič pojavile, so veljale izključno za mala podjetja, saj... UTM-ji niso mogli obvladati velikih količin prometa. To je bilo iz dveh razlogov:

  1. Metoda obdelave paketov. Prve različice rešitev UTM so pakete obdelovale zaporedno, vsak »modul«. Primer: najprej paket obdela požarni zid, nato IPS, nato ga pregleda protivirusni program in tako naprej. Seveda je tak mehanizem povzročil resne zamude v prometu in močno porabil sistemske vire (procesor, pomnilnik).
  2. Šibka strojna oprema. Kot je navedeno zgoraj, je zaporedna obdelava paketov močno porabila vire in strojna oprema tistih časov (1995-2005) preprosto ni bila kos velikemu prometu.

Toda napredek ne miruje. Od takrat se je močno povečala zmogljivost strojne opreme, spremenila pa se je tudi obdelava paketov (treba je priznati, da je nimajo vsi proizvajalci) in je začela omogočati skoraj hkratno analizo v več modulih hkrati (ME, IPS, AntiVirus itd.). Sodobne rešitve UTM lahko v načinu globoke analize »prebavijo« desetine in celo stotine gigabitov, kar omogoča njihovo uporabo v segmentu velikih podjetij ali celo podatkovnih centrov.

Spodaj je znameniti Gartnerjev magični kvadrant za rešitve UTM za avgust 2016:

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

Te slike ne bom veliko komentiral, rekel bom le, da so voditelji v zgornjem desnem kotu.

NGFW - požarni zid naslednje generacije

Ime govori samo zase - požarni zid naslednje generacije. Ta koncept se je pojavil veliko kasneje kot UTM. Glavna ideja NGFW je globoka analiza paketov (DPI) z uporabo vgrajenega IPS in nadzor dostopa na ravni aplikacije (Application Control). V tem primeru je IPS točno tisto, kar je potrebno za identifikacijo te ali one aplikacije v paketnem toku, kar vam omogoča, da jo dovolite ali zavrnete. Primer: Skypeu lahko dovolimo delovanje, vendar prepovemo prenos datotek. Lahko prepovemo uporabo Torrenta ali RDP. Podprte so tudi spletne aplikacije: dovolite lahko dostop do VK.com, vendar prepoveste igre, sporočila ali gledanje videoposnetkov. V bistvu je kakovost NGFW odvisna od števila aplikacij, ki jih lahko zazna. Mnogi verjamejo, da je bil pojav koncepta NGFW običajna marketinška poteza, v ozadju katere je podjetje Palo Alto začelo svojo hitro rast.

Gartnerjev magični kvadrant za NGFW za maj 2016:

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

UTM proti NGFW

Zelo pogosto vprašanje je, kaj je bolje? Tukaj ni in ne more biti dokončnega odgovora. Še posebej glede na dejstvo, da skoraj vse sodobne rešitve UTM vsebujejo funkcionalnost NGFW in večina NGFW vsebuje funkcije, ki so lastne UTM (Antivirus, VPN, Anti-Bot itd.). Kot vedno je »hudič v podrobnostih«, zato se morate najprej odločiti, kaj konkretno potrebujete, in določiti svoj proračun. Na podlagi teh odločitev lahko izberete več možnosti. In vse je treba nedvoumno preizkusiti, ne da bi verjeli marketinškim gradivom.

Mi pa bomo v okviru več člankov poskušali povedati o Check Pointu, kako ga lahko preizkusite in kaj načeloma lahko poskusite (skoraj vse funkcionalnosti).

Tri entitete kontrolnih točk

Pri delu s Check Pointom boste zagotovo naleteli na tri komponente tega izdelka:

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

  1. Varnostni prehod (SG) — sam varnostni prehod, ki je običajno nameščen na omrežnem obodu in opravlja funkcije požarnega zidu, pretočnega antivirusa, antibota, IPS itd.
  2. Strežnik za upravljanje varnosti (SMS) — strežnik za upravljanje prehoda. Skoraj vse nastavitve na prehodu (SG) se izvedejo s pomočjo tega strežnika. SMS lahko deluje tudi kot strežnik dnevnika in jih obdeluje z vgrajenim sistemom za analizo dogodkov in korelacijo - Smart Event (podobno kot SIEM za Check Point), vendar o tem kasneje. SMS se uporablja za centralizirano upravljanje več prehodov (število prehodov je odvisno od modela SMS ali licence), vendar ga morate uporabljati tudi, če imate samo en prehod. Pri tem je treba poudariti, da je bil Check Point eden prvih, ki je uporabil tak centraliziran sistem upravljanja, ki je po poročilih Gartnerja že vrsto let zapored prepoznan kot »zlati standard«. Obstaja celo šala: "Če bi imel Cisco običajen sistem upravljanja, se Check Point ne bi nikoli pojavil."
  3. Pametna konzola — odjemalska konzola za povezavo s strežnikom za upravljanje (SMS). Običajno nameščen v skrbniškem računalniku. Vse spremembe na strežniku za upravljanje se izvedejo prek te konzole, nato pa lahko uporabite nastavitve za varnostne prehode (Install Policy).

    kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

Operacijski sistem Check Point

Ko govorimo o operacijskem sistemu Check Point, se lahko spomnimo treh naenkrat: IPSO, SPLAT in GAIA.

  1. IPSO - operacijski sistem Ipsilon Networks, ki je pripadal Nokii. Leta 2009 je Check Point kupil to podjetje. Ne razvija se več.
  2. SPLAT - Lasten razvoj podjetja Check Point, ki temelji na jedru RedHat. Ne razvija se več.
  3. Gaia - trenutni operacijski sistem Check Point, ki se je pojavil kot rezultat združitve IPSO in SPLAT, ki vključuje vse najboljše. Pojavil se je leta 2012 in se še naprej aktivno razvija.

Ko že govorimo o Gaiji, je treba povedati, da je trenutno najpogostejša različica R77.30. Relativno nedavno se je pojavila različica R80, ki se bistveno razlikuje od prejšnje (tako glede funkcionalnosti kot nadzora). Temi njihovih razlik bomo posvetili ločeno objavo. Druga pomembna točka je, da ima trenutno samo različica R77.10 certifikat FSTEC, različica R77.30 pa je v postopku certificiranja.

Možnosti izvedbe (Check Point Appliance, Virtual machine, OpenServer)

Tukaj ni nič presenetljivega, tako kot mnogi prodajalci ima Check Point več možnosti izdelkov:

  1. Appliance — naprava strojne in programske opreme, tj. svoj »kos železa«. Obstaja veliko modelov, ki se razlikujejo po zmogljivosti, funkcionalnosti in dizajnu (obstajajo možnosti za industrijska omrežja).

    kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

  2. Navidezni stroj — Virtualni stroj Check Point z OS Gaia. Podprti so hipervizorji ESXi, Hyper-V, KVM. Licencirano glede na število procesorskih jeder.
  3. Odprti strežnik — namestitev Gaie neposredno na strežnik kot glavnega operacijskega sistema (tako imenovani »Bare metal«). Podprta je samo določena strojna oprema. Za to strojno opremo obstajajo priporočila, ki jih je treba upoštevati, sicer lahko pride do težav z gonilniki in tehnično opremo. podpora vam lahko zavrne storitev.

Možnosti implementacije (distribuirana ali samostojna)

Malo višje smo že razpravljali o tem, kaj sta prehod (SG) in strežnik za upravljanje (SMS). Zdaj pa se pogovorimo o možnostih za njihovo izvedbo. Obstajata dva glavna načina:

  1. Samostojno (SG+SMS) - možnost, ko sta tako prehod kot upravljalni strežnik nameščena znotraj ene naprave (ali virtualnega stroja).

    kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

    Ta možnost je primerna, če imate le en prehod, ki je malo obremenjen z uporabniškim prometom. Ta možnost je najbolj ekonomična, saj ... ni potrebe po nakupu strežnika za upravljanje (SMS). Če pa je prehod močno obremenjen, lahko na koncu dobite "počasen" nadzorni sistem. Zato je najbolje, da se pred izbiro samostojne rešitve posvetujete ali celo preizkusite to možnost.

  2. Porazdeljeno — strežnik za upravljanje je nameščen ločeno od prehoda.

    kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

    Najboljša možnost v smislu udobja in zmogljivosti. Uporablja se, ko je potrebno upravljati več prehodov hkrati, na primer centralne in podružnice. V tem primeru morate kupiti upravljalni strežnik (SMS), ki je lahko tudi v obliki naprave ali virtualnega stroja.

Kot sem rekel zgoraj, ima Check Point svoj sistem SIEM - Smart Event. Uporabite ga lahko samo v primeru porazdeljene namestitve.

Načini delovanja (most, usmerjen)
Varnostni prehod (SG) lahko deluje v dveh glavnih načinih:

  • Usmerjena - najpogostejša možnost. V tem primeru se prehod uporablja kot naprava L3 in usmerja promet skozi sebe, tj. Check Point je privzeti prehod za zaščiteno omrežje.
  • Bridge — pregleden način. V tem primeru je prehod nameščen kot običajni "most" in prehaja skozi promet na drugem nivoju (OSI). Ta možnost se običajno uporablja, ko ni možnosti (ali želje) za spremembo obstoječe infrastrukture. Praktično vam ni treba spreminjati topologije omrežja in vam ni treba razmišljati o spremembi naslavljanja IP.

Opozarjam, da so v načinu Bridge nekatere omejitve glede funkcionalnosti, zato kot integrator vsem naročnikom svetujemo uporabo načina Routed, seveda če je le možno.

Programske rezine Check Point

Skoraj smo prišli do najpomembnejše teme Check Pointa, ki med strankami sproža največ vprašanj. Kaj so te "programske rezine"? Rezila se nanašajo na določene funkcije Check Point.

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

Te funkcije lahko vklopite ali izklopite glede na vaše potrebe. Hkrati obstajajo rezila, ki se aktivirajo izključno na prehodu (Network Security) in samo na upravljalnem strežniku. Spodnje slike prikazujejo primere za oba primera:

1) Za varnost omrežja (funkcionalnost prehoda)

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

Naj ga na kratko opišemo, saj... vsako rezilo si zasluži svoj članek.

  • Požarni zid - funkcionalnost požarnega zidu;
  • IPSec VPN - gradnja zasebnih virtualnih omrežij;
  • Mobilni dostop - oddaljeni dostop iz mobilnih naprav;
  • IPS - sistem za preprečevanje vdorov;
  • Anti-Bot - zaščita pred omrežji botnetov;
  • AntiVirus - pretočni protivirusni program;
  • AntiSpam & Email Security - zaščita poslovne e-pošte;
  • Identity Awareness - integracija s storitvijo Active Directory;
  • Spremljanje - spremljanje skoraj vseh parametrov prehoda (obremenitev, pasovna širina, stanje VPN itd.)
  • Nadzor aplikacij - požarni zid na ravni aplikacije (funkcionalnost NGFW);
  • Filtriranje URL-jev - spletna varnost (+proxy funkcija);
  • Preprečevanje izgube podatkov - zaščita pred uhajanjem informacij (DLP);
  • Threat Emulation - tehnologija peskovnika (SandBox);
  • Threat Extraction - tehnologija čiščenja datotek;
  • QoS - prioriteta prometa.

V samo nekaj člankih si bomo podrobno ogledali rezila Threat Emulation in Threat Extraction, prepričan sem, da bo zanimivo.

2) Za upravljanje (nadzorna funkcija strežnika)

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

  • Upravljanje omrežnih politik – centralizirano upravljanje politik;
  • Endpoint Policy Management - centralizirano upravljanje agentov Check Point (da, Check Point proizvaja rešitve ne le za zaščito omrežja, ampak tudi za zaščito delovnih postaj (PC) in pametnih telefonov);
  • Logging & Status - centralizirano zbiranje in obdelava dnevnikov;
  • Management Portal - upravljanje varnosti iz brskalnika;
  • Potek dela - nadzor nad spremembami politike, revizija sprememb itd.;
  • Uporabniški imenik - integracija z LDAP;
  • Provisioning - avtomatizacija upravljanja prehodov;
  • Smart Reporter - sistem poročanja;
  • Smart Event - analiza in korelacija dogodkov (SIEM);
  • Skladnost - samodejno preverja nastavitve in daje priporočila.

Zdaj ne bomo podrobno obravnavali vprašanj licenciranja, da ne bi napihnili članka in ne zmedli bralca. Najverjetneje bomo to objavili v ločeni objavi.

Arhitektura rezil vam omogoča uporabo samo funkcij, ki jih resnično potrebujete, kar vpliva na proračun rešitve in splošno zmogljivost naprave. Logično je, da več rezil kot aktivirate, manj prometa lahko »prevozite«. Zato je vsakemu modelu Check Point priložena naslednja tabela zmogljivosti (za primer smo vzeli karakteristike modela 5400):

kontrolna točka. Kaj je, s čim se jedo ali na kratko o glavnem

Kot lahko vidite, obstajata dve kategoriji testov: na sintetičnem prometu in na realnem prometu - mešani. Na splošno je Check Point enostavno prisiljen objavljati sintetične teste, ker ... nekateri ponudniki uporabljajo takšne teste kot merila uspešnosti, ne da bi preučili uspešnost svojih rešitev v realnem prometu (ali pa takšne podatke namerno skrivajo zaradi njihove nezadovoljive narave).

Pri vsaki vrsti testa lahko opazite več možnosti:

  1. preizkus samo za požarni zid;
  2. Test požarnega zidu+IPS;
  3. Test požarnega zidu+IPS+NGFW (nadzor aplikacij);
  4. preizkusite požarni zid+nadzor aplikacij+filtriranje URL-jev+IPS+protivirusni+protivirusni+proti-boti+peskovnik (peskovnik)

Pri izbiri rešitve ali kontakta natančno preglejte te parametre posvetovanje.

Mislim, da tukaj lahko zaključimo uvodni članek o tehnologijah Check Point. Nato si bomo ogledali, kako lahko preizkusite Check Point in kako se soočiti s sodobnimi grožnjami varnosti informacij (virusi, lažno predstavljanje, izsiljevalska programska oprema, zero-day).

PS Pomembna točka. Kljub tujemu (izraelskemu) izvoru je rešitev v Ruski federaciji certificirana s strani regulativnih organov, kar samodejno legalizira njeno prisotnost v državnih institucijah (komentar Denyemall).

V anketi lahko sodelujejo samo registrirani uporabniki. Prijaviti se, prosim.

Katera orodja UTM/NGFW uporabljate?

  • Check Point

  • Cisco Firepower

  • Fortinet

  • Palo Alto

  • Sophos

  • Dell SonicWALL

  • Huawei

  • WatchGuard

  • Juniper

  • Uporabniška vrata

  • Prometni inšpektor

  • Rubicon

  • Ideco

  • Odprtokodna rešitev

  • Drugo

Glasovalo je 134 uporabnikov. 78 uporabnikov se je vzdržalo.

Vir: www.habr.com

Dodaj komentar