pikë kontrolli. Çfarë është ajo, me çfarë hahet, ose shkurtimisht për gjënë kryesore

Përshëndetje, të dashur lexues të habr! Ky është blogu i korporatës së kompanisë Zgjidhja T.S. Ne jemi një integrues sistemi dhe kryesisht jemi të specializuar në zgjidhjet e sigurisë së infrastrukturës IT (Kontrollo Point, Fortinet) dhe sistemet e analizës së të dhënave të makinës (Splunk). Ne do ta fillojmë blogun tonë me një hyrje të shkurtër në teknologjitë e Check Point.

Ne menduam për një kohë të gjatë nëse do ta shkruanim këtë artikull, sepse. nuk ka asgjë të re në të që nuk mund të gjendet në internet. Megjithatë, pavarësisht nga një bollëk i tillë informacioni, kur punojmë me klientët dhe partnerët, shpesh dëgjojmë të njëjtat pyetje. Prandaj, u vendos që të shkruhet një lloj hyrje në botën e teknologjive Check Point dhe të zbulohet thelbi i arkitekturës së zgjidhjeve të tyre. Dhe e gjithë kjo në kuadrin e një postimi "të vogël", si të thuash, një digresioni të shpejtë. Dhe ne do të përpiqemi të mos hyjmë në luftëra marketingu, sepse. ne nuk jemi një shitës, por thjesht një integrues i sistemit (edhe pse ne e duam shumë Check Point) dhe thjesht kalojmë pikat kryesore pa i krahasuar ato me prodhues të tjerë (si Palo Alto, Cisco, Fortinet, etj.). Artikulli doli të ishte mjaft voluminoz, por ndërpret shumicën e pyetjeve në fazën e njohjes me Check Point. Nëse jeni të interesuar, atëherë mirëpresim nën mace…

UTM/NGFW

Kur filloni një bisedë rreth Check Point, gjëja e parë me të cilën duhet të filloni është një shpjegim se çfarë janë UTM, NGFW dhe si ndryshojnë ato. Ne do ta bëjmë këtë në mënyrë shumë të përmbledhur në mënyrë që postimi të mos dalë shumë i madh (ndoshta në të ardhmen do ta shqyrtojmë këtë çështje pak më në detaje)

UTM - Menaxhimi i Unifikuar i Kërcënimeve

Me pak fjalë, thelbi i UTM është konsolidimi i disa mjeteve të sigurisë në një zgjidhje. ato. të gjitha në një kuti ose disa gjithëpërfshirëse. Çfarë nënkuptohet me "mjete të shumta juridike"? Opsioni më i zakonshëm është: Firewall, IPS, Proxy (filtrim URL), Streaming Antivirus, Anti-Spam, VPN etj. E gjithë kjo kombinohet brenda një zgjidhjeje UTM, e cila është më e lehtë për sa i përket integrimit, konfigurimit, administrimit dhe monitorimit, dhe kjo, nga ana tjetër, ka një efekt pozitiv në sigurinë e përgjithshme të rrjetit. Kur u shfaqën për herë të parë zgjidhjet UTM, ato u konsideruan ekskluzivisht për kompanitë e vogla, sepse. UTM-të nuk mund të përballonin vëllime të mëdha trafiku. Kjo ishte për dy arsye:

1. Trajtimi i paketave. Versionet e para të zgjidhjeve UTM përpunuan paketat në mënyrë sekuenciale, sipas secilit "modul". Shembull: së pari paketa përpunohet nga firewall-i, pastaj nga IPS, pastaj kontrollohet nga Anti-Virus etj. Natyrisht, një mekanizëm i tillë prezantoi vonesa serioze të trafikut dhe konsumoi shumë burime të sistemit (procesor, memorie).
2. Pajisje e dobët. Siç u përmend më lart, përpunimi vijues i paketave hëngri burimet dhe hardueri i atyre kohërave (1995-2005) thjesht nuk mund të përballonte trafikun e lartë.

Por progresi nuk qëndron ende. Që atëherë, kapacitetet e harduerit janë rritur ndjeshëm, dhe përpunimi i paketave ka ndryshuar (duhet pranuar që jo të gjithë shitësit e kanë) dhe filloi të lejojë analiza pothuajse të njëkohshme në disa module menjëherë (ME, IPS, AntiVirus, etj.). Zgjidhjet moderne UTM mund të "tretin" dhjetëra dhe madje qindra gigabit në modalitetin e analizës së thellë, gjë që bën të mundur përdorimin e tyre në segmentin e bizneseve të mëdha apo edhe qendrave të të dhënave.

Më poshtë është kuadrati i famshëm Magjik i Gartner për zgjidhjet UTM për gusht 2016:

Nuk do ta komentoj fort këtë foto, do të them vetëm se ka drejtues në këndin e sipërm djathtas.

NGFW - Firewall i gjeneratës së ardhshme

Emri flet vetë - firewall i gjeneratës së ardhshme. Ky koncept u shfaq shumë më vonë se UTM. Ideja kryesore e NGFW është inspektimi i thellë i paketave (DPI) duke përdorur IPS të integruar dhe kontrollin e aksesit në nivelin e aplikacionit (Kontrolli i aplikacionit). Në këtë rast, IPS është pikërisht ajo që nevojitet për të identifikuar këtë apo atë aplikacion në rrjedhën e paketave, gjë që ju lejon ta lejoni ose mohoni atë. Shembull: Ne mund të lejojmë Skype të funksionojë, por të parandalojmë transferimet e skedarëve. Ne mund të ndalojmë përdorimin e Torrent ose RDP. Aplikacionet në ueb mbështeten gjithashtu: Mund të lejoni hyrjen në VK.com, por të parandaloni lojërat, mesazhet ose shikimin e videove. Në thelb, cilësia e një NGFW varet nga numri i aplikacioneve që mund të përcaktojë. Shumë besojnë se shfaqja e konceptit të NGFW ishte një mashtrim i zakonshëm marketingu kundër të cilit Palo Alto filloi rritjen e tij të shpejtë.

Maj 2016 Gartner Magic Quadrant për NGFW:

UTM vs NGFW

Një pyetje shumë e zakonshme, cila është më mirë? Nuk ka asnjë përgjigje të vetme këtu dhe nuk mund të jetë. Sidomos kur merrni parasysh faktin se pothuajse të gjitha zgjidhjet moderne UTM përmbajnë funksionalitet NGFW dhe shumica e NGFW përmbajnë funksione të qenësishme në UTM (Antivirus, VPN, Anti-Bot, etj.). Si gjithmonë, "djalli është në detaje", kështu që para së gjithash duhet të vendosni se çfarë ju nevojitet konkretisht, të vendosni për buxhetin. Bazuar në këto vendime, mund të zgjidhen disa opsione. Dhe gjithçka duhet të testohet pa mëdyshje, duke mos besuar materialet e marketingut.

Ne, nga ana tjetër, në kuadrin e disa artikujve, do të përpiqemi t'ju tregojmë për Check Point, si mund ta provoni dhe çfarë, në parim, mund të provoni (pothuajse të gjithë funksionalitetin).

Tre entitete të pikave të kontrollit

Kur punoni me Check Point, patjetër do të hasni në tre komponentë të këtij produkti:

1. Porta e Sigurisë (SG) - vetë porta e sigurisë, e cila zakonisht vendoset në perimetrin e rrjetit dhe kryen funksionet e një muri zjarri, antivirus streaming, anti-bot, IPS, etj.
2. Serveri i menaxhimit të sigurisë (SMS) - Serveri i menaxhimit të portës. Pothuajse të gjitha cilësimet në portë (SG) kryhen duke përdorur këtë server. SMS mund të veprojë gjithashtu si një Server Log dhe t'i përpunojë ato me sistemin e integruar të analizës dhe korrelacionit të ngjarjeve - Ngjarja inteligjente (e ngjashme me SIEM për Check Point), por më shumë për këtë më vonë. SMS përdoret për të menaxhuar në mënyrë qendrore porta të shumta (numri i portave varet nga modeli ose licenca SMS), por ju duhet ta përdorni atë edhe nëse keni vetëm një portë. Duhet të theksohet këtu se Check Point ishte një nga të parët që përdori një sistem të tillë të centralizuar të menaxhimit, i cili është njohur si "standardi i artë" sipas raporteve të Gartner për shumë vite me radhë. Ekziston edhe një shaka: "Nëse Cisco do të kishte një sistem normal kontrolli, atëherë Check Point nuk do të ishte shfaqur kurrë."
3. Smart Console — tastiera e klientit për t'u lidhur me serverin e menaxhimit (SMS). Zakonisht instalohet në kompjuterin e administratorit. Nëpërmjet kësaj tastierë, të gjitha ndryshimet bëhen në serverin e menaxhimit, dhe pas kësaj mund të aplikoni cilësimet në portat e sigurisë (Install Policy).

   

Sistemi operativ Check Point

Duke folur për sistemin operativ Check Point, tre mund të kujtohen menjëherë: IPSO, SPLAT dhe GAIA.

1. IPSO është sistemi operativ i Ipsilon Networks, i cili zotërohej nga Nokia. Në vitin 2009, Check Point e bleu këtë biznes. Nuk është më i zhvilluar.
2. SPLAT - zhvillimi i vet i Check Point, bazuar në kernelin RedHat. Nuk është më i zhvilluar.
3. Gaia - Sistemi aktual operativ nga Check Point, i cili u shfaq si rezultat i bashkimit të IPSO dhe SPLAT, duke përfshirë të gjitha më të mirat. U shfaq në 2012 dhe vazhdon të zhvillohet në mënyrë aktive.

Duke folur për Gaia, duhet thënë se për momentin versioni më i zakonshëm është R77.30. Relativisht kohët e fundit, është shfaqur versioni R80, i cili ndryshon ndjeshëm nga ai i mëparshmi (si në aspektin e funksionalitetit ashtu edhe të kontrollit). Ne do t'i kushtojmë një postim të veçantë temës së dallimeve të tyre. Një pikë tjetër e rëndësishme është se për momentin vetëm versioni R77.10 ka certifikatën FSTEC dhe versioni R77.30 është duke u certifikuar.

Opsionet (Check Point Appliance, Virtual Machine, OpenServer)

Nuk ka asgjë për t'u habitur këtu, pasi shumë shitës të Check Point kanë disa opsione produktesh:

1. aplikim - pajisje harduerike dhe softuerike, d.m.th. vet "copë hekuri". Ka shumë modele që ndryshojnë në performancën, funksionalitetin dhe dizajnin (ka mundësi për rrjetet industriale).

   

2. Makine virtuale - Makina virtuale Check Point me Gaia OS. Mbështeten hipervizorët ESXi, Hyper-V, KVM. Licencuar nga numri i bërthamave të procesorit.
3. serveri i hapur - Instalimi i Gaia direkt në server si sistemi kryesor operativ (i ashtuquajturi "Bare metal"). Mbështetet vetëm disa pajisje. Ka rekomandime për këtë harduer që duhen ndjekur, përndryshe mund të ketë probleme me drejtuesit dhe ato. mbështetja mund të refuzojë shërbimin për ju.

Opsionet e zbatimit (të shpërndara ose të pavarura)

Pak më lart, ne kemi diskutuar tashmë se çfarë janë një portë (SG) dhe një server menaxhimi (SMS). Tani le të diskutojmë opsionet për zbatimin e tyre. Ka dy mënyra kryesore:

1. E pavarur (SG+SMS) - një opsion kur si porta dhe serveri i menaxhimit janë instaluar brenda së njëjtës pajisje (ose makinë virtuale).

   
   
   Ky opsion është i përshtatshëm kur keni vetëm një portë, e cila është e ngarkuar lehtë me trafikun e përdoruesve. Ky opsion është më ekonomik, sepse. nuk ka nevojë të blini një server menaxhimi (SMS). Megjithatë, nëse porta është e ngarkuar shumë, mund të përfundoni me një sistem kontrolli të ngadaltë. Prandaj, përpara se të zgjidhni një zgjidhje të pavarur, është më mirë të konsultoheni apo edhe ta provoni këtë opsion.

2. shpërndarë — Serveri i menaxhimit është instaluar veçmas nga porta.

   
   
   Opsioni më i mirë për sa i përket komoditetit dhe performancës. Përdoret kur është e nevojshme të menaxhoni disa porta në të njëjtën kohë, për shembull, ato qendrore dhe degë. Në këtë rast, duhet të blini një server menaxhimi (SMS), i cili gjithashtu mund të jetë në formën e një pajisjeje (copë hekuri) ose një makine virtuale.

Siç thashë pak më lart, Check Point ka sistemin e vet SIEM - Smart Event. Mund ta përdorni vetëm në rast instalimi të shpërndarë.

Mënyrat e funksionimit (urë, me rrugë)
Porta e Sigurisë (SG) mund të funksionojë në dy mënyra themelore:

• Rrugëzuar - opsioni më i zakonshëm. Në këtë rast, gateway përdoret si një pajisje L3 dhe drejton trafikun përmes vetvetes, d.m.th. Check Point është porta e paracaktuar për rrjetin e mbrojtur.
• Urë - modaliteti transparent. Në këtë rast, porta instalohet si një "urë" normale dhe kalon trafikun përmes saj në shtresën e dytë (OSI). Ky opsion zakonisht përdoret kur nuk ka mundësi (ose dëshirë) për të ndryshuar infrastrukturën ekzistuese. Praktikisht nuk duhet të ndryshoni topologjinë e rrjetit dhe nuk duhet të mendoni për ndryshimin e adresimit IP.

Do të doja të theksoja se ka disa kufizime funksionale në modalitetin Bridge, prandaj, si integrues, ne këshillojmë të gjithë klientët tanë të përdorin modalitetin Routed, natyrisht, nëse është e mundur.

Tehët e softuerit (Bladat e softuerit të pikës së kontrollit)

Ne arritëm pothuajse te tema më e rëndësishme e Check Point, e cila ngre më shumë pyetje nga klientët. Cilat janë këto "blade softuerësh"? Blades i referohen disa funksioneve të pikës së kontrollit.

Këto veçori mund të aktivizohen ose çaktivizohen në varësi të nevojave tuaja. Në të njëjtën kohë, ka blade që aktivizohen ekskluzivisht në gateway (Network Security) dhe vetëm në serverin e menaxhimit (Management). Fotografitë e mëposhtme tregojnë shembuj për të dy rastet:

1) Për sigurinë e rrjetit (funksionaliteti i portës)

Le të përshkruajmë shkurtimisht, sepse çdo teh meriton një artikull të veçantë.

• Firewall - funksionaliteti i murit të zjarrit;
• IPSec VPN - ndërtimi i rrjeteve private virtuale;
• Qasja në celular - akses në distancë nga pajisjet mobile;
• IPS - sistemi i parandalimit të ndërhyrjeve;
• Anti-Bot - mbrojtje kundër rrjeteve botnet;
• AntiVirus - antivirus streaming;
• AntiSpam & Email Security - mbrojtja e postës së korporatës;
• Identity Awareness - integrim me shërbimin Active Directory;
• Monitorimi - monitorimi i pothuajse të gjithë parametrave të portës (ngarkesa, gjerësia e brezit, statusi i VPN, etj.)
• Kontrolli i aplikacionit - muri i zjarrit i nivelit të aplikacionit (funksionaliteti NGFW);
• Filtrimi i URL - Siguria në ueb (+funksionaliteti i përfaqësuesit);
• Parandalimi i humbjes së të dhënave - mbrojtje nga rrjedhja e informacionit (DLP);
• Emulation Threat - teknologji sandbox (SandBox);
• Threat Extraction - teknologjia e pastrimit të skedarëve;
• QoS - prioritizimi i trafikut.

Në vetëm disa artikuj, ne do t'i hedhim një vështrim më të afërt blades Emulation dhe Threat Extraction, jam i sigurt se do të jetë interesante.

2) Për Menaxhimin (funksionaliteti i serverit të menaxhimit)

• Menaxhimi i politikave të rrjetit - menaxhim i centralizuar i politikave;
• Menaxhimi i Politikave Endpoint - menaxhimi i centralizuar i agjentëve të Check Point (po, Check Point prodhon zgjidhje jo vetëm për mbrojtjen e rrjetit, por edhe për mbrojtjen e stacioneve të punës (PC) dhe smartfonëve);
• Regjistrimi dhe statusi - grumbullimi dhe përpunimi i centralizuar i regjistrave;
• Portali i Menaxhimit - menaxhimi i sigurisë nga shfletuesi;
• Rrjedha e punës - kontrolli mbi ndryshimet e politikave, auditimi i ndryshimeve, etj.;
• Drejtoria e përdoruesve - integrimi me LDAP;
• Sigurimi - automatizimi i menaxhimit të portës;
• Smart Reporter - sistemi i raportimit;
• Ngjarja e zgjuar - analiza dhe korrelacioni i ngjarjeve (SIEM);
• Pajtueshmëria - kontroll automatik i cilësimeve dhe lëshimi i rekomandimeve.

Tani nuk do të shqyrtojmë në detaje çështjet e licencimit, në mënyrë që të mos fryjmë artikullin dhe të mos ngatërrojmë lexuesin. Me shumë mundësi do ta nxjerrim në një postim të veçantë.

Arkitektura e tehut ju lejon të përdorni vetëm funksionet që ju nevojiten vërtet, gjë që ndikon në buxhetin e zgjidhjes dhe performancën e përgjithshme të pajisjes. Është logjike që sa më shumë tehe të aktivizoni, aq më pak trafik mund të "përzënë". Kjo është arsyeja pse tabela e mëposhtme e performancës i është bashkangjitur secilit model Check Point (për shembull, ne morëm karakteristikat e modelit 5400):

Siç mund ta shihni, ekzistojnë dy kategori testesh këtu: në trafikun sintetik dhe në real - të përzier. Në përgjithësi, Check Point është thjesht i detyruar të publikojë teste sintetike, sepse. disa shitës përdorin teste të tilla si standarde pa shqyrtuar performancën e zgjidhjeve të tyre në trafikun real (ose fshehin qëllimisht të dhëna të tilla për shkak të pakënaqësisë së tyre).

Në secilin lloj testi, mund të vëreni disa opsione:

1. test vetëm për Firewall;
2. Firewall + test IPS;
3. Testi Firewall+IPS+NGFW (Kontrolli i aplikacionit);
4. Firewall+Kontrolli i aplikacionit+Filtrim URL+IPS+Antivirus+Anti-Bot+Testi SandBlast (sandbox)

Shikoni me kujdes këto parametra kur zgjidhni zgjidhjen tuaj ose kontaktoni për konsultimi.

Mendoj se ky është fundi i artikullit hyrës mbi teknologjitë Check Point. Më pas, ne do të shikojmë se si mund të testoni Check Point dhe si të merreni me kërcënimet moderne të sigurisë së informacionit (viruset, phishing, ransomware, zero-day).

PS Një pikë e rëndësishme. Pavarësisht origjinës së huaj (izraelite), zgjidhja është e certifikuar në Federatën Ruse nga autoritetet mbikëqyrëse, të cilat legalizojnë automatikisht praninë e tyre në institucionet shtetërore (koment nga Denyemall).

Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. Hyni, te lutem

Cilat mjete UTM/NGFW përdorni?

• Kontrollo Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGard

• Dëllinjë

• UserGate

• inspektor trafiku

• Rubikon

• Ideco

• zgjidhje me burim të hapur

• Tjetër

134 përdorues kanë votuar. 78 përdorues abstenuan.

Burimi: www.habr.com