ПроХостер > блог > Администрација > Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари
Здраво, драги читаоци Хабра! Ово је корпоративни блог компаније ТС Солутион. Ми смо систем интегратор и углавном смо специјализовани за безбедносна решења ИТ инфраструктуре (Цхецк Поинт, Fortinet ) и системи за анализу машинских података (Сплунк). Наш блог ћемо започети кратким уводом у Цхецк Поинт технологије.

Дуго смо размишљали да ли вреди писати овај чланак, јер... у њему нема ничег новог што се не би могло наћи на интернету. Међутим, и поред толиког обиља информација, у раду са клијентима и партнерима често чујемо иста питања. Стога је одлучено да се напише нека врста увода у свет Цхецк Поинт технологија и открије суштина архитектуре њихових решења. И све је то у оквиру једног „малог” поста, брзог излета, да тако кажем. Штавише, трудићемо се да не улазимо у маркетиншке ратове, јер... Ми нисмо добављач, већ само системски интегратор (иако заиста волимо Цхецк Поинт) и једноставно ћемо погледати главне тачке без упоређивања са другим произвођачима (као што су Пало Алто, Цисцо, Фортинет, итд.). Испоставило се да је чланак прилично дугачак, али покрива већину питања у фази упознавања са Цхецк Поинт-ом. Ако сте заинтересовани, добродошли у мачку...

УТМ/НГФВ

Када започнете разговор о Цхецк Поинт-у, прво место за почетак је објашњење шта су УТМ и НГФВ и по чему се разликују. Урадићемо то врло сажето како се пост не би показао предугачким (можда ћемо у будућности ово питање размотрити мало детаљније)

УТМ – Унифиед Тхреат Манагемент

Укратко, суштина УТМ-а је консолидација неколико безбедносних алата у једном решењу. Оне. све у једној кутији или нека врста алл инцлусиве. Шта се подразумева под „вишеструким лековима“? Најчешћа опција је: Фиревалл, ИПС, Проки (филтрирање УРЛ-а), стреаминг Антивирус, Анти-Спам, ВПН и тако даље. Све ово је комбиновано у оквиру једног УТМ решења, које је лакше у смислу интеграције, конфигурисања, администрације и надгледања, а то заузврат има позитиван ефекат на укупну безбедност мреже. Када су се УТМ решења први пут појавила, размишљала су искључиво о малим компанијама, јер... УТМ-ови нису могли да поднесу велике количине саобраћаја. Ово је било из два разлога:

  1. Метода обраде пакета. Прве верзије УТМ решења обрађивале су пакете секвенцијално, сваки „модул“. Пример: прво пакет обрађује заштитни зид, затим ИПС, затим га скенира Анти-Вирус и тако даље. Наравно, такав механизам је увео озбиљна кашњења у саобраћају и велику потрошњу системских ресурса (процесор, меморија).
  2. Слаб хардвер. Као што је горе поменуто, секвенцијална обрада пакета је у великој мери трошила ресурсе и хардвер тог времена (1995-2005) једноставно није могао да се носи са великим саобраћајем.

Али напредак не стоји мирно. Од тада је капацитет хардвера значајно повећан, а процесирање пакета се променило (мора се признати да га немају сви произвођачи) и почело је да дозвољава скоро истовремену анализу у неколико модула одједном (МЕ, ИПС, АнтиВирус итд.). Савремена УТМ решења могу да „сваре” десетине, па чак и стотине гигабита у режиму дубоке анализе, што им омогућава да се користе у сегменту великих предузећа или чак дата центара.

Испод је чувени Гартнер Магиц Куадрант за УТМ решења за август 2016:

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Нећу много коментарисати ову слику, само ћу рећи да су лидери у горњем десном углу.

НГФВ – заштитни зид следеће генерације

Име говори само за себе - заштитни зид следеће генерације. Овај концепт се појавио много касније од УТМ-а. Главна идеја НГФВ-а је дубока анализа пакета (ДПИ) користећи уграђени ИПС и контролу приступа на нивоу апликације (Апплицатион Цонтрол). У овом случају, ИПС је управо оно што је потребно за идентификацију ове или оне апликације у стреаму пакета, што вам омогућава да то дозволите или одбијете. Пример: Можемо дозволити Скајпу да ради, али забранити пренос датотека. Можемо забранити употребу Торрент-а или РДП-а. Подржане су и веб апликације: Можете дозволити приступ ВК.цом, али забранити игре, поруке или гледање видео записа. У суштини, квалитет НГФВ зависи од броја апликација које може да открије. Многи верују да је појава концепта НГФВ била уобичајен маркетиншки трик на чијој позадини је компанија Пало Алто започела свој брзи раст.

Гартнер Магиц Куадрант за НГФВ за мај 2016:

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

УТМ против НГФВ

Врло често питање је шта је боље? Дефинитивног одговора овде нема и не може бити. Посебно имајући у виду чињеницу да скоро сва модерна УТМ решења садрже НГФВ функционалност, а већина НГФВ-ова садржи функције инхерентне УТМ-у (Антивирус, ВПН, Анти-Бот, итд.). Као и увек, „ђаво је у детаљима“, па пре свега треба да одлучите шта вам је конкретно потребно и да одлучите о свом буџету. На основу ових одлука, можете изабрати неколико опција. И све треба тестирати недвосмислено, без веровања маркетиншким материјалима.

Ми ћемо, пак, у неколико чланака покушати да причамо о Цхецк Поинт-у, како га можете испробати и шта, у принципу, можете испробати (скоро све функционалности).

Три ентитета контролне тачке

Када радите са Цхецк Поинт-ом, сигурно ћете наићи на три компоненте овог производа:

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

  1. Сецурити Гатеваи (СГ) — сам безбедносни гатеваи, који се обично инсталира на периметру мреже и обавља функције заштитног зида, стриминг антивируса, антибота, ИПС-а итд.
  2. Сервер за управљање безбедношћу (СМС) — сервер за управљање мрежним пролазом. Скоро сва подешавања на мрежном пролазу (СГ) се врше помоћу овог сервера. СМС такође може да делује као Лог Сервер и да их обрађује помоћу уграђеног система за анализу догађаја и корелације – Смарт Евент (слично СИЕМ-у за Цхецк Поинт), али више о томе касније. СМС се користи за централизовано управљање неколико мрежних пролаза (број гејтвеја зависи од СМС модела или лиценце), али морате да га користите чак и ако имате само један гејтвеј. Овде треба напоменути да је Цхецк Поинт био један од првих који је користио такав централизовани систем управљања, који је према извештајима Гартнера годинама за редом препознат као „златни стандард“. Постоји чак и шала: „Да је Цисцо имао нормалан систем управљања, Цхецк Поинт се никада не би појавио.
  3. Смарт Цонсоле — клијентска конзола за повезивање са сервером за управљање (СМС). Обично се инсталира на рачунар администратора. Све промене на серверу за управљање се врше преко ове конзоле, а након тога можете применити подешавања на безбедносне гатеваие (Инсталл Полици).

    Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Оперативни систем Цхецк Поинт

Говорећи о оперативном систему Цхецк Поинт, можемо се подсетити три одједном: ИПСО, СПЛАТ и ГАИА.

  1. ИПСО - оперативни систем Ипсилон Нетворкс, који је припадао Нокији. 2009. године, Цхецк Поинт је купио овај посао. Више се не развија.
  2. МРЉА - Сопствени развој компаније Цхецк Поинт, заснован на РедХат кернелу. Више се не развија.
  3. гаиа - актуелни оперативни систем компаније Цхецк Поинт, који се појавио као резултат спајања ИПСО-а и СПЛАТ-а, који укључује све најбоље. Појавио се 2012. године и наставља да се активно развија.

Говорећи о Гаиа-и, треба рећи да је тренутно најчешћа верзија Р77.30. Релативно недавно се појавила верзија Р80, која се значајно разликује од претходне (и по функционалности и по контроли). Теми њихових разлика посветићемо посебан пост. Још једна важна ствар је да тренутно само верзија Р77.10 има ФСТЕЦ сертификат, а верзија Р77.30 се сертификује.

Опције извршења (Цхецк Поинт Апплианце, виртуелна машина, ОпенСервер)

Овде нема ништа изненађујуће, као и многи добављачи, Цхецк Поинт има неколико опција производа:

  1. Уређај — хардверски и софтверски уређај, тј. свој „комад гвожђа“. Постоји много модела који се разликују по перформансама, функционалности и дизајну (постоје опције за индустријске мреже).

    Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

  2. Виртуелна машина — Цхецк Поинт виртуелна машина са Гаиа ОС. Подржани су хипервизори ЕСКСи, Хипер-В, КВМ. Лиценцирано по броју процесорских језгара.
  3. ОпенСервер — инсталирање Гаие директно на сервер као главног оперативног система (тзв. „Баре метал“). Подржан је само одређени хардвер. Постоје препоруке за овај хардвер које се морају поштовати, иначе могу настати проблеми са драјверима и техничком опремом. подршка може одбити да вам пружи услуге.

Опције имплементације (Дистрибуирано или самостално)

Мало више смо већ говорили шта су мрежни пролаз (СГ) и сервер за управљање (СМС). Хајде сада да разговарамо о опцијама за њихову имплементацију. Постоје два главна начина:

  1. Самостално (СГ+СМС) - опција када су и мрежни пролаз и сервер за управљање инсталирани у оквиру једног уређаја (или виртуелне машине).

    Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

    Ова опција је погодна када имате само један гатеваи који је мало оптерећен корисничким саобраћајем. Ова опција је најекономичнија, јер... нема потребе за куповином сервера за управљање (СМС). Међутим, ако је мрежни пролаз јако оптерећен, можете завршити са „спорим“ системом контроле. Стога, пре него што изаберете самостално решење, најбоље је да се консултујете или чак тестирате ову опцију.

  2. Дистрибутед — сервер за управљање се инсталира одвојено од мрежног пролаза.

    Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

    Најбоља опција у смислу погодности и перформанси. Користи се када је потребно управљати са неколико капија одједном, на пример централним и огранцима. У овом случају, потребно је да купите сервер за управљање (СМС), који такође може бити у облику уређаја или виртуелне машине.

Као што сам већ рекао, Цхецк Поинт има сопствени СИЕМ систем - Смарт Евент. Можете га користити само у случају дистрибуиране инсталације.

Режими рада (мост, рутирани)
Безбедносни пролаз (СГ) може да ради у два главна режима:

  • Преусмерени - најчешћа опција. У овом случају, гејтвеј се користи као Л3 уређај и усмерава саобраћај кроз себе, тј. Цхецк Поинт је подразумевани гатеваи за заштићену мрежу.
  • Бриџ — транспарентан режим. У овом случају, капија је инсталирана као обичан „мост“ и пролази кроз саобраћај на другом нивоу (ОСИ). Ова опција се обично користи када не постоји могућност (или жеља) да се промени постојећа инфраструктура. Практично не морате да мењате топологију мреже и не морате да размишљате о промени ИП адресирања.

Желео бих да напоменем да у Бридге режиму постоје нека ограничења у погледу функционалности, па ми као интегратор саветујемо свим нашим клијентима да користе Роутед мод, наравно, ако је могуће.

Цхецк Поинт Софтваре Бладес

Скоро смо стигли до најважније теме Цхецк Поинт-а, која изазива највише питања међу купцима. Шта су то „софтверски блејдови“? Оштрице се односе на одређене функције Цхецк Поинт-а.

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Ове функције се могу укључити или искључити у зависности од ваших потреба. Истовремено, постоје блејдови који се активирају искључиво на мрежном пролазу (Нетворк Сецурити) и само на серверу за управљање. Слике испод показују примере за оба случаја:

1) За мрежну безбедност (функционалност пролаза)

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Хајде да то укратко опишемо, јер... свака оштрица заслужује свој артикал.

  • Заштитни зид - функционалност заштитног зида;
  • ИПСец ВПН - изградња приватних виртуелних мрежа;
  • Мобилни приступ - даљински приступ са мобилних уређаја;
  • ИПС - систем за спречавање упада;
  • Анти-Бот - заштита од ботнет мрежа;
  • АнтиВирус - стриминг антивирус;
  • АнтиСпам & Емаил Сецурити - заштита корпоративне е-поште;
  • Идентити Аваренесс - интеграција са сервисом Ацтиве Дирецтори;
  • Мониторинг - праћење скоро свих параметара мрежног пролаза (оптерећење, пропусни опсег, ВПН статус, итд.)
  • Контрола апликација - заштитни зид на нивоу апликације (НГФВ функционалност);
  • Филтрирање УРЛ-а - Веб безбедност (+прокси функционалност);
  • Дата Лосс Превентион - заштита од цурења информација (ДЛП);
  • Емулација претње - технологија сандбок-а (СандБок);
  • Тхреат Ектрацтион - технологија чишћења датотека;
  • КоС - приоритет саобраћаја.

У само неколико чланака ћемо детаљно погледати оштрице за емулацију претње и за уклањање претњи, сигуран сам да ће бити занимљиво.

2) За менаџмент (контролна функционалност сервера)

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

  • Управљање мрежном политиком – централизовано управљање политикама;
  • Ендпоинт Полици Манагемент – централизовано управљање Цхецк Поинт агентима (да, Цхецк Поинт производи решења не само за заштиту мреже, већ и за заштиту радних станица (ПЦ) и паметних телефона);
  • Логгинг & Статус - централизовано прикупљање и обрада дневника;
  • Портал за управљање - управљање безбедношћу из претраживача;
  • Ток рада – контрола промена политике, ревизија промена итд.;
  • Кориснички именик - интеграција са ЛДАП-ом;
  • Обезбеђивање - аутоматизација управљања гатеваи-ом;
  • Смарт Репортер - систем извештавања;
  • Смарт Евент - анализа и корелација догађаја (СИЕМ);
  • Усклађеност - аутоматски проверава подешавања и даје препоруке.

Нећемо сада детаљно разматрати питања лиценцирања, како не бисмо надували чланак и не збунили читаоца. Највероватније ћемо ово објавити у посебном посту.

Архитектура лопатица вам омогућава да користите само функције које су вам заиста потребне, што утиче на буџет решења и укупне перформансе уређаја. Логично је да што више оштрица активирате, мање саобраћаја можете да „прођете“. Због тога је следећа табела перформанси приложена сваком Цхецк Поинт моделу (за пример смо узели карактеристике модела 5400):

Цхецк Поинт. Шта је, са чиме се једе, или укратко о главној ствари

Као што видите, овде постоје две категорије тестова: на синтетичком саобраћају и на стварном саобраћају - мешовити. Уопштено говорећи, Цхецк Поинт је једноставно принуђен да објављује синтетичке тестове, јер... неки продавци користе такве тестове као бенцхмарк, без испитивања перформанси својих решења у стварном саобраћају (или намерно сакривају такве податке због њихове незадовољавајуће природе).

У свакој врсти теста можете приметити неколико опција:

  1. тест само за заштитни зид;
  2. Фиревалл+ИПС тест;
  3. Фиревалл+ИПС+НГФВ (контрола апликације) тест;
  4. тестирајте заштитни зид+контролу апликације+филтрирање УРЛ-ова+ИПС+Антивирус+Анти-Бот+СандБласт (сандбок)

Пажљиво погледајте ове параметре када бирате решење или контактирајте консултације.

Мислим да је ово место где можемо да завршимо уводни чланак о Цхецк Поинт технологијама. Затим ћемо погледати како можете да тестирате Цхецк Поинт и како да се носите са савременим претњама безбедности информација (вируси, пхисхинг, рансомваре, зеро-даи).

ПС Важна тачка. Упркос страном (израелском) пореклу, решење је у Руској Федерацији сертификовано од стране регулаторних органа, чиме се аутоматски легализује његово присуство у државним институцијама (коментар од Дениемалл).

Само регистровани корисници могу учествовати у анкети. Пријавите се, Добродошао си.

Које УТМ/НГФВ алате користите?

  • Цхецк Поинт

  • Цисцо Фиреповер

  • Fortinet

  • Пало Алто

  • Сопхос

  • Делл СоницВАЛЛ

  • хуавеи

  • ВатцхГуард

  • Клека

  • УсерГате

  • Саобраћајни инспектор

  • Рубикон

  • Идецо

  • ОпенСоурце решење

  • други

134 корисника је гласало. 78 корисника је било уздржано.

Извор: ввв.хабр.цом

Додај коментар