kontrollpunkt. Vad är det, vad äts det till eller kort om huvudsaken

Hej kära läsare av habr! Detta är företagets företagsblogg TS lösning. Vi är en systemintegratör och är främst specialiserade på säkerhetslösningar för IT-infrastruktur (Check Point, Fortinet) och maskindataanalyssystem (Splunk). Vi kommer att starta vår blogg med en kort introduktion till Check Points teknologier.

Vi funderade länge på om vi skulle skriva den här artikeln, eftersom. det finns inget nytt i det som inte kan hittas på Internet. Men trots ett sådant överflöd av information, när vi arbetar med kunder och partners, hör vi ofta samma frågor. Därför beslöts det att skriva någon form av introduktion till världen av Check Point-teknologier och avslöja kärnan i arkitekturen för deras lösningar. Och allt detta inom ramen för ett "litet" inlägg, så att säga, en snabb utvikning. Och vi kommer att försöka att inte gå in i marknadsföringskrig, eftersom. vi är inte en leverantör, utan bara en systemintegratör (även om vi älskar Check Point väldigt mycket) och går bara igenom huvudpunkterna utan att jämföra dem med andra tillverkare (som Palo Alto, Cisco, Fortinet, etc.). Artikeln visade sig vara ganska omfångsrik, men den klipper bort de flesta frågorna vid bekantskapsstadiet med Check Point. Om du är intresserad, välkommen under katten...

UTM/NGFW

När man startar en konversation om Check Point är det första man börjar med en förklaring av vad UTM, NGFW är och hur de skiljer sig åt. Vi kommer att göra detta mycket kortfattat så att inlägget inte visar sig vara för stort (kanske i framtiden kommer vi att överväga denna fråga lite mer detaljerat)

UTM - Unified Threat Management

Kort sagt, kärnan i UTM är konsolideringen av flera säkerhetsverktyg i en lösning. De där. allt i en låda eller något all inclusive. Vad menas med "flera botemedel"? Det vanligaste alternativet är: Brandvägg, IPS, Proxy (URL-filtrering), Streaming Antivirus, Anti-Spam, VPN och så vidare. Allt detta kombineras i en UTM-lösning, vilket är enklare när det gäller integration, konfiguration, administration och övervakning, och detta har i sin tur en positiv effekt på den övergripande säkerheten i nätverket. När UTM-lösningar först dök upp ansågs de uteslutande för små företag, eftersom. UTM:er kunde inte hantera stora trafikvolymer. Detta var av två anledningar:

1. Pakethantering. De första versionerna av UTM-lösningar behandlade paket sekventiellt, av varje "modul". Exempel: först bearbetas paketet av brandväggen, sedan av IPS, sedan kontrolleras det av Anti-Virus och så vidare. Naturligtvis introducerade en sådan mekanism allvarliga trafikförseningar och kraftigt förbrukade systemresurser (processor, minne).
2. Svag hårdvara. Som nämnts ovan äter sekventiell paketbearbetning upp resurser och den tidens hårdvara (1995-2005) klarade helt enkelt inte av hög trafik.

Men framstegen står inte stilla. Sedan dess har hårdvarukapaciteten ökat avsevärt, och paketbearbetningen har förändrats (det måste erkännas att inte alla leverantörer har det) och började tillåta nästan samtidig analys i flera moduler samtidigt (ME, IPS, AntiVirus, etc.). Moderna UTM-lösningar kan "smälta" tiotals och till och med hundratals gigabitar i djupanalysläge, vilket gör det möjligt att använda dem i segmentet stora företag eller till och med datacenter.

Nedan är Gartners berömda Magic Quadrant for UTM-lösningar för augusti 2016:

Jag ska inte kommentera den här bilden starkt, jag säger bara att det finns ledare i det övre högra hörnet.

NGFW - Nästa generations brandvägg

Namnet talar för sig självt - nästa generations brandvägg. Detta koncept dök upp mycket senare än UTM. Huvudidén med NGFW är djup paketinspektion (DPI) med inbyggd IPS och åtkomstkontroll på applikationsnivå (Application Control). I det här fallet är IPS precis vad som behövs för att identifiera den eller den applikationen i paketströmmen, vilket gör att du kan tillåta eller neka det. Exempel: Vi kan tillåta Skype att fungera men förhindra filöverföringar. Vi kan förbjuda användningen av Torrent eller RDP. Webbapplikationer stöds också: Du kan tillåta åtkomst till VK.com, men förhindra spel, meddelanden eller titta på videor. I grund och botten beror kvaliteten på en NGFW på antalet applikationer den kan definiera. Många tror att uppkomsten av konceptet NGFW var ett vanligt marknadsföringsknep mot vilket Palo Alto började sin snabba tillväxt.

Maj 2016 Gartner Magic Quadrant för NGFW:

UTM vs NGFW

En mycket vanlig fråga, vilket är bättre? Det finns inget entydigt svar här och kan inte vara det. Speciellt när man tänker på det faktum att nästan alla moderna UTM-lösningar innehåller NGFW-funktionalitet och de flesta NGFW innehåller funktioner som är inneboende i UTM (Antivirus, VPN, Anti-Bot, etc.). Som alltid är "djävulen i detaljerna", så först och främst måste du bestämma vad du behöver specifikt, bestämma budgeten. Baserat på dessa beslut kan flera alternativ väljas. Och allt måste testas entydigt, utan att tro på marknadsföringsmaterial.

Vi kommer i sin tur, inom ramen för flera artiklar, att försöka berätta om Check Point, hur du kan prova det och vad du i princip kan prova (nästan all funktionalitet).

Tre kontrollpunkter

När du arbetar med Check Point kommer du definitivt att stöta på tre komponenter i denna produkt:

1. Security Gateway (SG) - själva säkerhetsgatewayen, som vanligtvis placeras på nätverkets omkrets och utför funktionerna för en brandvägg, strömmande antivirus, anti-bot, IPS, etc.
2. Security Management Server (SMS) - gatewayhanteringsserver. Nästan alla inställningar på gatewayen (SG) utförs med denna server. SMS kan också fungera som en loggserver och bearbeta dem med det inbyggda händelseanalys- och korrelationssystemet - Smart Event (liknande SIEM för Check Point), men mer om det senare. SMS används för att centralt hantera flera gateways (antalet gateways beror på SMS-modellen eller licensen), men du måste använda den även om du bara har en gateway. Det bör noteras här att Check Point var en av de första att använda ett sådant centraliserat ledningssystem, som har erkänts som "guldstandarden" enligt Gartners rapporter under många år i rad. Det finns till och med ett skämt: "Om Cisco hade ett normalt ledningssystem, då skulle Check Point aldrig ha dykt upp."
3. Smart konsol — Klientkonsol för anslutning till hanteringsservern (SMS). Installeras vanligtvis på administratörens dator. Genom denna konsol görs alla ändringar på hanteringsservern och efter det kan du tillämpa inställningarna på säkerhetsgateways (Install Policy).

   

Check Point operativsystem

På tal om operativsystemet Check Point kan tre återkallas på en gång: IPSO, SPLAT och GAIA.

1. IPSO är operativsystemet för Ipsilon Networks, som ägdes av Nokia. 2009 köpte Check Point denna verksamhet. Inte längre utvecklad.
2. SPLAT - egen utveckling av Check Point, baserad på RedHat-kärnan. Inte längre utvecklad.
3. Gaia - det nuvarande operativsystemet från Check Point, som dök upp som ett resultat av sammanslagningen av IPSO och SPLAT, som innehåller allt det bästa. Dök upp 2012 och fortsätter att utvecklas aktivt.

På tal om Gaia så ska det sägas att för tillfället är den vanligaste versionen R77.30. Relativt nyligen har R80-versionen dykt upp, som skiljer sig markant från den tidigare (både vad gäller funktionalitet och kontroll). Vi kommer att ägna ett separat inlägg till ämnet för deras skillnader. En annan viktig punkt är att för närvarande endast version R77.10 har FSTEC-certifikatet och version R77.30 certifieras.

Alternativ (Check Point Appliance, Virtuell maskin, OpenServer)

Det är inget överraskande här, eftersom många Check Point-leverantörer har flera produktalternativ:

1. Appliance - hård- och mjukvaruenhet, dvs. egen "järnbit". Det finns många modeller som skiljer sig åt i prestanda, funktionalitet och design (det finns alternativ för industriella nätverk).

   

2. Virtuell maskin - Check Point virtuell maskin med Gaia OS. Hypervisorerna ESXi, Hyper-V, KVM stöds. Licensierad av antalet processorkärnor.
3. Openserver - Installera Gaia direkt på servern som huvudoperativsystem (den så kallade "Bare metal"). Endast viss hårdvara stöds. Det finns rekommendationer för denna hårdvara som måste följas, annars kan det bli problem med drivrutiner och sådana. support kan avvisa service till dig.

Implementeringsalternativ (Distribuerat eller Fristående)

Lite högre har vi redan diskuterat vad en gateway (SG) och en hanteringsserver (SMS) är. Låt oss nu diskutera alternativ för deras genomförande. Det finns två huvudsakliga sätt:

1. Fristående (SG+SMS) - ett alternativ när både gatewayen och hanteringsservern är installerade inom samma enhet (eller virtuell maskin).

   
   
   Det här alternativet är lämpligt när du bara har en gateway, som är lätt belastad med användartrafik. Detta alternativ är det mest ekonomiska, eftersom. du behöver inte köpa en hanteringsserver (SMS). Men om gatewayen är hårt belastad kan du sluta med ett långsamt kontrollsystem. Därför, innan du väljer en fristående lösning, är det bäst att konsultera eller till och med testa detta alternativ.

2. Distribuerad — hanteringsservern installeras separat från gatewayen.

   
   
   Det bästa alternativet när det gäller bekvämlighet och prestanda. Den används när det är nödvändigt att hantera flera gateways samtidigt, till exempel centrala och filialer. I det här fallet måste du köpa en hanteringsserver (SMS), som också kan vara i form av en apparat (järnbit) eller en virtuell maskin.

Som jag sa precis ovan så har Check Point ett eget SIEM-system - Smart Event. Du kan endast använda den vid distribuerad installation.

Driftlägen (bro, dirigerad)
Security Gateway (SG) kan fungera i två grundläggande lägen:

• Dirigerad - det vanligaste alternativet. I detta fall används gatewayen som en L3-enhet och dirigerar trafik genom sig själv, d.v.s. Check Point är standardgatewayen för det skyddade nätverket.
• bro - transparent läge. I det här fallet installeras gatewayen som en normal "bro" och passerar trafik genom den vid det andra lagret (OSI). Detta alternativ används vanligtvis när det inte finns någon möjlighet (eller önskan) att ändra den befintliga infrastrukturen. Du behöver praktiskt taget inte ändra nätverkstopologin och behöver inte tänka på att ändra IP-adressering.

Jag skulle vilja notera att det finns några funktionella begränsningar i Bridge-läget, därför rekommenderar vi, som integratör, alla våra kunder att använda Routed-läget, naturligtvis, om möjligt.

Mjukvarublad (Check Point Software Blades)

Vi kom nästan till det viktigaste Check Point-ämnet, som väcker flest frågor från kunder. Vad är dessa "mjukvarublad"? Blad hänvisar till vissa Check Point-funktioner.

Dessa funktioner kan slås på eller av beroende på dina behov. Samtidigt finns det blad som är aktiverade uteslutande på gatewayen (Network Security) och endast på managementservern (Management). Bilderna nedan visar exempel för båda fallen:

1) För nätverkssäkerhet (gateway-funktionalitet)

Låt oss kort beskriva, eftersom varje blad förtjänar en separat artikel.

• Brandvägg - brandväggsfunktionalitet;
• IPSec VPN - bygga privata virtuella nätverk;
• Mobil åtkomst - fjärråtkomst från mobila enheter;
• IPS - intrångsskyddssystem;
• Anti-Bot - skydd mot botnätnätverk;
• AntiVirus - strömmande antivirus;
• AntiSpam & Email Security - skydd av företagspost;
• Identitetsmedvetenhet - integration med Active Directory-tjänsten;
• Övervakning - övervakning av nästan alla gatewayparametrar (belastning, bandbredd, VPN-status, etc.)
• Application Control - brandvägg på applikationsnivå (NGFW-funktionalitet);
• URL-filtrering - Webbsäkerhet (+proxyfunktionalitet);
• Förebyggande av dataförlust - skydd mot informationsläckage (DLP);
• Threat Emulation - sandlådeteknik (SandBox);
• Hotextraktion - filrengöringsteknik;
• QoS - trafikprioritering.

I bara några artiklar kommer vi att titta närmare på Threat Emulation och Threat Extraction bladen, jag är säker på att det kommer att bli intressant.

2) För ledningen (hanteringsserverfunktioner)

• Nätverkspolicyhantering - centraliserad policyhantering;
• Endpoint Policy Management - centraliserad hantering av Check Point-agenter (ja, Check Point producerar lösningar inte bara för nätverksskydd utan också för att skydda arbetsstationer (PC) och smartphones);
• Loggning & status - centraliserad insamling och bearbetning av loggar;
• Management Portal - säkerhetshantering från webbläsaren;
• Arbetsflöde - kontroll över policyändringar, revision av ändringar etc.;
• Användarkatalog - integration med LDAP;
• Provisioning - automatisering av gatewayhantering;
• Smart Reporter - rapporteringssystem;
• Smart Event - analys och korrelation av händelser (SIEM);
• Överensstämmelse - automatisk kontroll av inställningar och utfärdande av rekommendationer.

Vi kommer nu inte att överväga licensfrågor i detalj, för att inte blåsa upp artikeln och förvirra läsaren. Troligtvis tar vi ut det i ett separat inlägg.

Bladarkitekturen gör att du bara kan använda de funktioner du verkligen behöver, vilket påverkar budgeten för lösningen och enhetens övergripande prestanda. Det är logiskt att ju fler blad du aktiverar, desto mindre trafik kan ”köras iväg”. Det är därför följande prestandatabell är bifogad till varje Check Point-modell (vi tog till exempel egenskaperna hos 5400-modellen):

Som du kan se finns det två kategorier av tester här: på syntetisk trafik och på verklig - blandad. Generellt sett är Check Point helt enkelt tvungen att publicera syntetiska tester, pga. vissa leverantörer använder sådana tester som riktmärken utan att undersöka prestanda för sina lösningar på verklig trafik (eller medvetet dölja sådan data på grund av att de inte är tillfredsställande).

I varje typ av test kan du märka flera alternativ:

1. testa endast för brandvägg;
2. Brandvägg + IPS-test;
3. Brandvägg+IPS+NGFW (programkontroll) test;
4. Brandvägg+Programkontroll+URL-filtrering+IPS+Antivirus+Anti-Bot+SandBlast-test (sandlåda)

Titta noga på dessa parametrar när du väljer din lösning, eller kontakta för samråd.

Jag tror att detta är slutet på den inledande artikeln om Check Point-teknik. Därefter kommer vi att titta på hur du kan testa Check Point och hur du hanterar moderna informationssäkerhetshot (virus, nätfiske, ransomware, zero-day).

PS En viktig punkt. Trots det utländska (israeliska) ursprunget är lösningen certifierad i Ryska federationen av tillsynsmyndigheter, som automatiskt legaliserar deras närvaro i statliga institutioner (kommentar av Denyemall).

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Vilka UTM/NGFW-verktyg använder du?

• Check Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• huawei

• Watchguard

• Juniper

• Usergate

• trafikinspektör

• Rubicon

• Ideco

• öppen källkodslösning

• Andra

134 användare röstade. 78 användare avstod från att rösta.

Källa: will.com