Check Point. Ano ito, kung ano ang kinakain nito, o sa madaling sabi tungkol sa pangunahing bagay

Kumusta, mahal na mga mambabasa ng Habr! Ito ang corporate blog ng kumpanya TS Solution. Kami ay isang system integrator at karamihan ay dalubhasa sa mga solusyon sa seguridad sa imprastraktura ng IT (Suriin ang Point, Fortinet) at machine data analysis system (Splunk). Sisimulan namin ang aming blog sa isang maikling panimula sa mga teknolohiya ng Check Point.

Matagal naming pinag-isipan kung sulit bang isulat ang artikulong ito, dahil... walang bago dito na hindi mahahanap sa Internet. Gayunpaman, sa kabila ng napakaraming impormasyon, kapag nagtatrabaho sa mga kliyente at kasosyo, madalas naming marinig ang parehong mga tanong. Samakatuwid, napagpasyahan na magsulat ng ilang uri ng pagpapakilala sa mundo ng mga teknolohiya ng Check Point at ihayag ang kakanyahan ng arkitektura ng kanilang mga solusyon. At lahat ng ito ay nasa loob ng balangkas ng isang "maliit" na post, isang mabilis na iskursiyon, wika nga. Bukod dito, susubukan naming huwag pumasok sa mga digmaan sa marketing, dahil... Hindi kami isang vendor, ngunit isang system integrator lamang (bagaman talagang mahal namin ang Check Point) at titingnan lang ang mga pangunahing punto nang hindi inihahambing ang mga ito sa iba pang mga tagagawa (tulad ng Palo Alto, Cisco, Fortinet, atbp.). Ang artikulo ay naging medyo mahaba, ngunit ito ay sumasaklaw sa karamihan ng mga tanong sa yugto ng pamilyar sa Check Point. Kung interesado ka, maligayang pagdating sa pusa...

UTM/NGFW

Kapag nagsisimula ng isang pag-uusap tungkol sa Check Point, ang unang lugar na magsisimula ay sa isang paliwanag kung ano ang UTM at NGFW at kung paano sila naiiba. Gagawin namin ito nang napaka-concise upang ang post ay hindi maging masyadong mahaba (marahil sa hinaharap ay isasaalang-alang namin ang isyung ito nang mas detalyado)

UTM - Pinag-isang Pamamahala ng Banta

Sa madaling salita, ang kakanyahan ng UTM ay ang pagsasama-sama ng ilang mga tool sa seguridad sa isang solusyon. Yung. lahat sa isang kahon o ilang uri ng lahat ng kasama. Ano ang ibig sabihin ng "maraming remedyo"? Ang pinakakaraniwang opsyon ay: Firewall, IPS, Proxy (URL filtering), streaming Antivirus, Anti-Spam, VPN at iba pa. Ang lahat ng ito ay pinagsama sa loob ng isang solusyon sa UTM, na mas madali sa mga tuntunin ng pagsasama, pagsasaayos, pangangasiwa at pagsubaybay, at ito naman ay may positibong epekto sa pangkalahatang seguridad ng network. Noong unang lumitaw ang mga solusyon sa UTM, itinuring silang eksklusibo para sa maliliit na kumpanya, dahil... Hindi nakayanan ng mga UTM ang malalaking volume ng trapiko. Ito ay para sa dalawang kadahilanan:

1. Paraan ng pagproseso ng pakete. Ang mga unang bersyon ng mga solusyon sa UTM ay nagproseso ng mga packet nang sunud-sunod, bawat "module". Halimbawa: una ang packet ay pinoproseso ng firewall, pagkatapos ay IPS, pagkatapos ay ini-scan ng Anti-Virus, at iba pa. Naturally, ang gayong mekanismo ay nagpakilala ng mga seryosong pagkaantala sa trapiko at lubos na natupok ang mga mapagkukunan ng system (processor, memorya).
2. Mahina ang hardware. Tulad ng nabanggit sa itaas, ang sunud-sunod na pagpoproseso ng mga packet ay lubos na natupok ng mga mapagkukunan at ang hardware ng mga panahong iyon (1995-2005) ay hindi lamang nakayanan ang malaking trapiko.

Ngunit ang pag-unlad ay hindi tumitigil. Simula noon, ang kapasidad ng hardware ay tumaas nang malaki, at ang pagproseso ng packet ay nagbago (dapat aminin na hindi lahat ng mga vendor ay mayroon nito) at nagsimulang payagan ang halos sabay-sabay na pagsusuri sa ilang mga module nang sabay-sabay (ME, IPS, AntiVirus, atbp.). Ang mga modernong solusyon sa UTM ay maaaring "digest" ng sampu at kahit na daan-daang gigabit sa malalim na mode ng pagsusuri, na ginagawang posible na gamitin ang mga ito sa segment ng malalaking negosyo o kahit na mga data center.

Nasa ibaba ang sikat na Gartner Magic Quadrant para sa mga solusyon sa UTM para sa Agosto 2016:

Hindi na ako magkokomento ng marami sa larawang ito, sasabihin ko lang na ang mga pinuno ay nasa kanang sulok sa itaas.

NGFW - Next Generation Firewall

Ang pangalan ay nagsasalita para sa sarili nito - ang susunod na henerasyon ng firewall. Ang konseptong ito ay lumitaw nang mas huli kaysa sa UTM. Ang pangunahing ideya ng NGFW ay malalim na packet analysis (DPI) gamit ang built-in na IPS at access control sa antas ng aplikasyon (Application Control). Sa kasong ito, ang IPS ay tiyak kung ano ang kinakailangan upang makilala ito o ang application na iyon sa packet stream, na nagpapahintulot sa iyo na payagan o tanggihan ito. Halimbawa: Maaari naming payagan ang Skype na gumana, ngunit ipagbawal ang paglipat ng file. Maaari naming ipagbawal ang paggamit ng Torrent o RDP. Sinusuportahan din ang mga web application: Maaari mong payagan ang pag-access sa VK.com, ngunit ipagbawal ang mga laro, mensahe o panonood ng mga video. Sa esensya, ang kalidad ng isang NGFW ay nakasalalay sa bilang ng mga application na maaari nitong makita. Marami ang naniniwala na ang paglitaw ng konsepto ng NGFW ay isang pangkaraniwang pakana sa marketing laban sa background kung saan nagsimula ang mabilis na paglago ng kumpanya ng Palo Alto.

Gartner Magic Quadrant para sa NGFW para sa Mayo 2016:

UTM vs NGFW

Ang isang napaka-karaniwang tanong ay, alin ang mas mahusay? Walang tiyak na sagot dito at hindi maaaring maging. Lalo na kung isasaalang-alang ang katotohanan na halos lahat ng modernong solusyon sa UTM ay naglalaman ng pag-andar ng NGFW at karamihan sa mga NGFW ay naglalaman ng mga function na likas sa UTM (Antivirus, VPN, Anti-Bot, atbp.). Gaya ng dati, "ang diyablo ay nasa mga detalye," kaya una sa lahat kailangan mong magpasya kung ano ang partikular na kailangan mo at magpasya sa iyong badyet. Batay sa mga desisyong ito, maraming mga opsyon ang maaaring piliin. At lahat ng bagay ay kailangang masuri nang hindi malabo, nang hindi naniniwala sa mga materyales sa marketing.

Kami naman, sa balangkas ng ilang mga artikulo, ay susubukan na sabihin ang tungkol sa Check Point, kung paano mo ito masubukan at kung ano, sa prinsipyo, maaari mong subukan (halos lahat ng pag-andar).

Tatlong Check Point Entity

Kapag nagtatrabaho sa Check Point, tiyak na makakatagpo ka ng tatlong bahagi ng produktong ito:

1. Security Gateway (SG) — ang gateway ng seguridad mismo, na karaniwang naka-install sa perimeter ng network at gumaganap ng mga function ng isang firewall, streaming antivirus, antibot, IPS, atbp.
2. Security Management Server (SMS) — server ng pamamahala ng gateway. Halos lahat ng mga setting sa gateway (SG) ay ginagawa gamit ang server na ito. Ang SMS ay maaari ding kumilos bilang Log Server at iproseso ang mga ito gamit ang isang built-in na event analysis at correlation system - Smart Event (katulad ng SIEM para sa Check Point), ngunit higit pa doon sa ibang pagkakataon. Ginagamit ang SMS para sa sentralisadong pamamahala ng ilang gateway (depende ang bilang ng mga gateway sa modelo o lisensya ng SMS), ngunit kinakailangan mong gamitin ito kahit na mayroon ka lamang isang gateway. Dapat pansinin dito na ang Check Point ay isa sa mga unang gumamit ng naturang sentralisadong sistema ng pamamahala, na kinilala bilang "pamantayan ng ginto" ayon sa mga ulat ng Gartner sa maraming magkakasunod na taon. Mayroong kahit isang biro: "Kung ang Cisco ay may isang normal na sistema ng pamamahala, kung gayon ang Check Point ay hindi kailanman lilitaw."
3. Smart Console — client console para sa pagkonekta sa management server (SMS). Karaniwang naka-install sa computer ng administrator. Ang lahat ng mga pagbabago sa server ng pamamahala ay ginawa sa pamamagitan ng console na ito, at pagkatapos nito ay maaari mong ilapat ang mga setting sa mga gateway ng seguridad (Patakaran sa Pag-install).

   

Check Point Operating System

Sa pagsasalita tungkol sa operating system ng Check Point, maaari nating maalala ang tatlo nang sabay-sabay: IPSO, SPLAT at GAIA.

1. IPSO - operating system ng Ipsilon Networks, na pag-aari ng Nokia. Noong 2009, binili ng Check Point ang negosyong ito. Hindi na umuunlad.
2. SPLAT - Ang sariling pag-unlad ng Check Point, batay sa kernel ng RedHat. Hindi na umuunlad.
3. Gaia - ang kasalukuyang operating system mula sa Check Point, na lumitaw bilang resulta ng pagsasama ng IPSO at SPLAT, na isinasama ang lahat ng pinakamahusay. Lumitaw ito noong 2012 at patuloy na aktibong umuunlad.

Sa pagsasalita tungkol sa Gaia, dapat sabihin na sa ngayon ang pinakakaraniwang bersyon ay R77.30. Kamakailan lamang, lumitaw ang bersyon ng R80, na naiiba nang malaki mula sa nauna (kapwa sa mga tuntunin ng pag-andar at kontrol). Maglalaan kami ng isang hiwalay na post sa paksa ng kanilang mga pagkakaiba. Ang isa pang mahalagang punto ay ang kasalukuyang bersyon lamang ng R77.10 ang may sertipiko ng FSTEC, at ang bersyong R77.30 ay na-certify.

Mga opsyon sa pagpapatupad (Check Point Appliance, Virtual machine, OpenServer)

Walang nakakagulat dito, tulad ng maraming vendor, ang Check Point ay may ilang mga opsyon sa produkto:

1. kagamitan — hardware at software device, i.e. sarili nitong "pirasong bakal". Mayroong maraming mga modelo na naiiba sa pagganap, pag-andar at disenyo (may mga pagpipilian para sa mga pang-industriyang network).

   

2. Virtual Machine — Check Point virtual machine na may Gaia OS. Ang mga Hypervisors ESXi, Hyper-V, KVM ay suportado. Lisensyado ng bilang ng mga core ng processor.
3. Openserver — direktang pag-install ng Gaia sa server bilang pangunahing operating system (ang tinatawag na "Bare metal"). Ilang partikular na hardware lang ang sinusuportahan. Mayroong mga rekomendasyon para sa hardware na ito na dapat sundin, kung hindi man ay maaaring lumitaw ang mga problema sa mga driver at teknikal na kagamitan. maaaring tumanggi ang suporta sa serbisyo sa iyo.

Mga opsyon sa pagpapatupad (Ibinahagi o Standalone)

Medyo mataas, napag-usapan na natin kung ano ang gateway (SG) at management server (SMS). Ngayon talakayin natin ang mga opsyon para sa kanilang pagpapatupad. Mayroong dalawang pangunahing paraan:

1. Standalone (SG+SMS) - isang opsyon kapag parehong naka-install ang gateway at ang management server sa loob ng isang device (o virtual machine).

   
   
   Ang pagpipiliang ito ay angkop kapag mayroon ka lamang isang gateway na bahagyang puno ng trapiko ng user. Ang pagpipiliang ito ay ang pinaka-ekonomiko, dahil... hindi na kailangang bumili ng management server (SMS). Gayunpaman, kung ang gateway ay mabigat na na-load, maaari kang magkaroon ng "mabagal" na sistema ng kontrol. Samakatuwid, bago pumili ng isang Standalone na solusyon, pinakamahusay na kumunsulta o subukan ang pagpipiliang ito.

2. Ibinahagi — ang server ng pamamahala ay naka-install nang hiwalay sa gateway.

   
   
   Ang pinakamahusay na pagpipilian sa mga tuntunin ng kaginhawahan at pagganap. Ginagamit kapag kinakailangan upang pamahalaan ang ilang mga gateway nang sabay-sabay, halimbawa ang mga sentral at sangay. Sa kasong ito, kailangan mong bumili ng isang server ng pamamahala (SMS), na maaari ding nasa anyo ng isang appliance o isang virtual machine.

Gaya ng sinabi ko sa itaas, ang Check Point ay may sariling SIEM system - Smart Event. Magagamit mo lamang ito sa kaso ng Distributed installation.

Mga operating mode (Bridge, Routed)
Ang Security Gateway (SG) ay maaaring gumana sa dalawang pangunahing mode:

• Naka-ruta - ang pinakakaraniwang opsyon. Sa kasong ito, ang gateway ay ginagamit bilang isang L3 device at ruta ng trapiko sa pamamagitan ng sarili nito, i.e. Ang Check Point ay ang default na gateway para sa protektadong network.
• Bridge - transparent na mode. Sa kasong ito, ang gateway ay naka-install bilang isang regular na "tulay" at dumadaan sa trapiko sa ikalawang antas (OSI). Karaniwang ginagamit ang opsyong ito kapag walang posibilidad (o pagnanais) na baguhin ang kasalukuyang imprastraktura. Halos hindi mo kailangang baguhin ang topology ng network at hindi mo kailangang mag-isip tungkol sa pagpapalit ng IP addressing.

Gusto kong tandaan na sa Bridge mode mayroong ilang mga limitasyon sa mga tuntunin ng pag-andar, kaya kami, bilang isang integrator, pinapayuhan ang lahat ng aming mga kliyente na gamitin ang Routed mode, siyempre, kung maaari.

Check Point Software Blades

Halos naabot na namin ang pinakamahalagang paksa ng Check Point, na nagtataas ng pinakamaraming tanong sa mga customer. Ano ang mga "software blades" na ito? Ang mga blades ay tumutukoy sa ilang mga function ng Check Point.

Maaaring i-on o i-off ang mga function na ito depende sa iyong mga pangangailangan. Kasabay nito, may mga blades na eksklusibong naka-activate sa gateway (Network Security) at sa server ng pamamahala lamang. Ang mga larawan sa ibaba ay nagpapakita ng mga halimbawa para sa parehong mga kaso:

1) Para sa Network Security (paggana ng gateway)

Ilarawan natin ito nang maikli, dahil... bawat talim ay nararapat sa sarili nitong artikulo.

• Firewall - pag-andar ng firewall;
• IPSec VPN - pagbuo ng mga pribadong virtual network;
• Mobile Access - malayuang pag-access mula sa mga mobile device;
• IPS - sistema ng pag-iwas sa panghihimasok;
• Anti-Bot - proteksyon laban sa mga botnet network;
• AntiVirus - streaming antivirus;
• AntiSpam & Email Security - proteksyon ng corporate email;
• Identity Awareness - pagsasama sa serbisyo ng Active Directory;
• Pagsubaybay - pagsubaybay sa halos lahat ng mga parameter ng gateway (load, bandwidth, status ng VPN, atbp.)
• Application Control - application level firewall (NGFW functionality);
• Pag-filter ng URL - Seguridad sa web (+proxy functionality);
• Pag-iwas sa Pagkawala ng Data - proteksyon laban sa pagtagas ng impormasyon (DLP);
• Pagtulad sa Banta - teknolohiya ng sandbox (SandBox);
• Threat Extraction - teknolohiya sa paglilinis ng file;
• QoS - prioritization ng trapiko.

Sa ilang artikulo lamang ay titingnan natin ang detalyadong pagtingin sa Threat Emulation at Threat Extraction blades, sigurado akong magiging kawili-wili ito.

2) Para sa Pamamahala (kontrolin ang functionality ng server)

• Pamamahala ng Patakaran sa Network - sentralisadong pamamahala ng patakaran;
• Pamamahala ng Patakaran sa Endpoint - sentralisadong pamamahala ng mga ahente ng Check Point (oo, gumagawa ang Check Point ng mga solusyon hindi lamang para sa proteksyon ng network, kundi pati na rin sa pagprotekta sa mga workstation (PC) at smartphone);
• Pag-log at Katayuan - sentralisadong koleksyon at pagproseso ng mga log;
• Portal ng Pamamahala - pamamahala ng seguridad mula sa browser;
• Daloy ng Trabaho - kontrol sa mga pagbabago sa patakaran, pag-audit ng mga pagbabago, atbp.;
• Direktoryo ng User - pagsasama sa LDAP;
• Provisioning - automation ng pamamahala ng gateway;
• Smart Reporter - sistema ng pag-uulat;
• Smart Event - pagsusuri at ugnayan ng mga kaganapan (SIEM);
• Pagsunod - awtomatikong sinusuri ang mga setting at gumagawa ng mga rekomendasyon.

Hindi namin isasaalang-alang nang detalyado ang mga isyu sa paglilisensya ngayon, upang hindi mabulok ang artikulo at hindi malito ang mambabasa. Malamang na ipo-post natin ito sa isang hiwalay na post.

Ang arkitektura ng mga blades ay nagpapahintulot sa iyo na gamitin lamang ang mga pag-andar na talagang kailangan mo, na nakakaapekto sa badyet ng solusyon at ang pangkalahatang pagganap ng aparato. Ito ay lohikal na ang mas maraming mga blades na iyong ina-activate, mas kaunting trapiko ang maaari mong "pagdaanan". Iyon ang dahilan kung bakit ang sumusunod na talahanayan ng pagganap ay nakalakip sa bawat modelo ng Check Point (kinuha namin ang mga katangian ng modelong 5400 bilang isang halimbawa):

Tulad ng nakikita mo, mayroong dalawang kategorya ng mga pagsubok dito: sa sintetikong trapiko at sa totoong trapiko - halo-halong. Sa pangkalahatan, ang Check Point ay napipilitang mag-publish ng mga sintetikong pagsubok, dahil... ang ilang mga vendor ay gumagamit ng mga naturang pagsubok bilang mga benchmark, nang hindi sinusuri ang pagganap ng kanilang mga solusyon sa totoong trapiko (o sadyang itago ang naturang data dahil sa kanilang hindi kasiya-siyang katangian).

Sa bawat uri ng pagsubok, mapapansin mo ang ilang mga opsyon:

1. pagsubok lamang para sa Firewall;
2. Pagsubok sa Firewall+IPS;
3. Pagsubok sa Firewall+IPS+NGFW (Application control);
4. subukan ang Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Tingnang mabuti ang mga parameter na ito kapag pumipili ng iyong solusyon, o makipag-ugnayan konsultasyon.

Sa tingin ko dito natin matatapos ang panimulang artikulo sa mga teknolohiya ng Check Point. Susunod, titingnan namin kung paano mo masusubok ang Check Point at kung paano haharapin ang mga modernong banta sa seguridad ng impormasyon (mga virus, phishing, ransomware, zero-day).

PS Isang mahalagang punto. Sa kabila ng pinagmulan nito sa dayuhan (Israeli), ang solusyon ay pinatunayan sa Russian Federation ng mga awtoridad sa regulasyon, na awtomatikong ginagawang legal ang presensya nito sa mga institusyon ng gobyerno (komento ni Denyemall).

Ang mga rehistradong user lamang ang maaaring lumahok sa survey. Mag-sign in, pakiusap

Anong mga tool ng UTM/NGFW ang ginagamit mo?

• Suriin ang Point

• Cisco Firepower

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• HUAWEI

• Bantayan

• Halaman ng dyuniper

• UserGate

• Inspektor ng trapiko

• Rubicon

• Ideco

• Solusyon sa OpenSource

• Iba

134 na user ang bumoto. 78 user ang umiwas.

Pinagmulan: www.habr.com