Kontrol Noktası. Nedir, neyle yenir ya da kısaca asıl konusu

Merhaba sevgili Habr okuyucuları! Bu şirketin kurumsal blogu TS Çözümü. Biz bir sistem entegratörüyüz ve çoğunlukla BT altyapısı güvenlik çözümlerinde uzmanız (Check Point, Fortinet) ve makine veri analiz sistemleri (Splunk). Blogumuza Check Point teknolojilerine kısa bir giriş yaparak başlayacağız.

Bu makaleyi yazmaya değer mi diye uzun süre düşündük çünkü... İnternette bulunamayan yeni hiçbir şey yok. Ancak bu kadar çok bilgi olmasına rağmen, müşteriler ve ortaklarla çalışırken sıklıkla aynı soruları duyuyoruz. Bu nedenle Check Point teknolojileri dünyasına bir tür giriş yazmaya ve çözümlerinin mimarisinin özünü ortaya çıkarmaya karar verildi. Ve tüm bunlar tabiri caizse tek bir "küçük" gönderi, hızlı bir gezi çerçevesinde. Üstelik pazarlama savaşlarına girmemeye çalışacağız çünkü... Biz bir satıcı değiliz, sadece bir sistem entegratörüyüz (Check Point'i gerçekten sevmemize rağmen) ve diğer üreticilerle (Palo Alto, Cisco, Fortinet vb.) karşılaştırmadan sadece ana noktalara bakacağız. Makalenin oldukça uzun olduğu ortaya çıktı ancak Check Point'e alışma aşamasındaki soruların çoğunu kapsıyor. Eğer ilgileniyorsanız, kediye hoş geldiniz...

UTM/NGFW

Check Point hakkında bir konuşmaya başlarken ilk olarak UTM ve NGFW'nin ne olduğunu ve nasıl farklı olduklarını açıklayarak başlayabilirsiniz. Gönderinin çok uzun olmaması için bunu çok kısa bir şekilde yapacağız (belki gelecekte bu konuyu biraz daha ayrıntılı olarak ele alacağız)

UTM - Birleşik Tehdit Yönetimi

Kısacası UTM'nin özü, çeşitli güvenlik araçlarının tek bir çözümde birleştirilmesidir. Onlar. her şey tek bir kutuda veya bir çeşit her şey dahil. “Çoklu çareler” ile ne kastedilmektedir? En yaygın seçenek şunlardır: Güvenlik Duvarı, IPS, Proxy (URL filtreleme), akış Antivirüs, Anti-Spam, VPN vb. Tüm bunlar, entegrasyon, konfigürasyon, yönetim ve izleme açısından daha kolay olan tek bir UTM çözümünde birleştirilmiştir ve bu da ağın genel güvenliği üzerinde olumlu bir etkiye sahiptir. UTM çözümleri ilk ortaya çıktığında, yalnızca küçük şirketler için düşünülüyordu çünkü... UTM'ler büyük miktarda trafiği kaldıramadı. Bunun iki nedeni vardı:

1. Paket işleme yöntemi. UTM çözümlerinin ilk versiyonları, paketleri her bir “modül” olarak sırayla işlemekteydi. Örnek: paket önce güvenlik duvarı tarafından işlenir, ardından IPS, ardından Anti-Virüs tarafından taranır vb. Doğal olarak böyle bir mekanizma trafikte ciddi gecikmelere ve sistem kaynaklarının (işlemci, bellek) büyük ölçüde tüketilmesine neden oldu.
2. Zayıf donanım. Yukarıda belirtildiği gibi, paketlerin sıralı işlenmesi, kaynakları büyük ölçüde tüketiyordu ve o zamanların (1995-2005) donanımı, büyük trafikle baş edemiyordu.

Ancak ilerleme hala geçerli değil. O zamandan beri, donanım kapasitesi önemli ölçüde arttı ve paket işleme değişti (tüm satıcıların buna sahip olmadığını kabul etmek gerekir) ve aynı anda birkaç modülde (ME, IPS, AntiVirus, vb.) neredeyse eşzamanlı analize izin vermeye başladı. Modern UTM çözümleri, derin analiz modunda onlarca, hatta yüzlerce gigabit'i "sindirebilir", bu da bunların büyük işletmeler segmentinde ve hatta veri merkezleri segmentinde kullanılmasını mümkün kılar.

Aşağıda Ağustos 2016'ya ait UTM çözümleri için ünlü Gartner Magic Quadrant'ı bulabilirsiniz:

Bu resme çok fazla yorum yapmayacağım, sadece liderlerin sağ üst köşede olduğunu söyleyeceğim.

NGFW - Yeni Nesil Güvenlik Duvarı

Adı kendini anlatıyor; yeni nesil güvenlik duvarı. Bu kavram UTM'den çok daha sonra ortaya çıktı. NGFW'nin ana fikri, yerleşik IPS'yi ve uygulama düzeyinde erişim kontrolünü (Uygulama Kontrolü) kullanan derin paket analizidir (DPI). Bu durumda IPS, paket akışındaki şu veya bu uygulamayı tanımlamak için tam olarak gerekli olan şeydir; bu, buna izin vermenize veya reddetmenize olanak tanır. Örnek: Skype'ın çalışmasına izin verebiliriz ancak dosya aktarımını yasaklayabiliriz. Torrent veya RDP kullanımını yasaklayabiliriz. Web uygulamaları da desteklenmektedir: VK.com'a erişime izin verebilirsiniz ancak oyunları, mesajları veya video izlemeyi yasaklayabilirsiniz. Temel olarak bir NGFW'nin kalitesi algılayabildiği uygulama sayısına bağlıdır. Pek çok kişi, NGFW konseptinin ortaya çıkmasının, Palo Alto şirketinin hızlı büyümeye başlamasına zemin hazırlayan ortak bir pazarlama taktiği olduğuna inanıyor.

NGFW için Mayıs 2016 Gartner Magic Quadrant:

UTM ve NGFW

Çok yaygın bir soru şudur: Hangisi daha iyi? Burada kesin bir cevap yok ve olamaz. Özellikle neredeyse tüm modern UTM çözümlerinin NGFW işlevselliği içerdiği ve çoğu NGFW'nin UTM'ye özgü işlevler (Antivirüs, VPN, Anti-Bot, vb.) içerdiği göz önüne alındığında. Her zaman olduğu gibi “şeytan ayrıntıda gizlidir”, bu yüzden öncelikle özel olarak neye ihtiyacınız olduğuna karar vermeniz ve bütçenize karar vermeniz gerekiyor. Bu kararlara dayanarak çeşitli seçenekler seçilebilir. Ve pazarlama materyallerine inanmadan her şeyin açık bir şekilde test edilmesi gerekiyor.

Biz de birkaç makale çerçevesinde Check Point'i, onu nasıl deneyebileceğinizi ve prensip olarak neyi deneyebileceğinizi (neredeyse tüm işlevsellik) anlatmaya çalışacağız.

Üç Kontrol Noktası Varlığı

Check Point ile çalışırken kesinlikle bu ürünün üç bileşeniyle karşılaşacaksınız:

1. Güvenlik Ağ Geçidi (SG) — genellikle ağ çevresine kurulu olan ve güvenlik duvarı, antivirüs akışı, antibot, IPS vb. işlevlerini yerine getiren güvenlik ağ geçidinin kendisi.
2. Güvenlik Yönetimi Sunucusu (SMS) — ağ geçidi yönetim sunucusu. Ağ geçidindeki (SG) hemen hemen tüm ayarlar bu sunucu kullanılarak gerçekleştirilir. SMS ayrıca bir Günlük Sunucusu görevi görebilir ve bunları yerleşik bir olay analizi ve korelasyon sistemi - Akıllı Olay (Check Point için SIEM'e benzer) ile işleyebilir, ancak bu konuda daha sonra daha fazla bilgi verilecektir. SMS, birden fazla ağ geçidinin merkezi yönetimi için kullanılır (ağ geçitlerinin sayısı SMS modeline veya lisansına bağlıdır), ancak yalnızca bir ağ geçidiniz olsa bile onu kullanmanız gerekir. Burada Check Point'in Gartner raporlarına göre uzun yıllar üst üste "altın standart" olarak kabul edilen bu tür merkezi yönetim sistemini ilk kullananlardan biri olduğunu belirtmekte fayda var. Hatta şöyle bir şaka bile var: "Cisco'nun normal bir yönetim sistemi olsaydı Check Point asla ortaya çıkmazdı."
3. Akıllı Konsol — yönetim sunucusuna (SMS) bağlanmak için istemci konsolu. Genellikle yöneticinin bilgisayarına yüklenir. Yönetim sunucusundaki tüm değişiklikler bu konsol aracılığıyla yapılır ve bundan sonra ayarları güvenlik ağ geçitlerine uygulayabilirsiniz (Yükleme Politikası).

   

Kontrol Noktası İşletim Sistemi

Check Point işletim sisteminden bahsetmişken üçünü birden hatırlayabiliriz: IPSO, SPLAT ve GAIA.

1. IPSO - Nokia'ya ait Ipsilon Networks'ün işletim sistemi. 2009 yılında Check Point bu işletmeyi satın aldı. Artık gelişmiyor.
2. SLAT - Check Point'in RedHat çekirdeğini temel alan kendi gelişimi. Artık gelişmiyor.
3. Gaia - IPSO ve SPLAT'ın birleşmesinin bir sonucu olarak ortaya çıkan ve en iyileri içeren Check Point'in mevcut işletim sistemi. 2012 yılında ortaya çıktı ve aktif olarak gelişmeye devam ediyor.

Gaia'dan bahsetmişken şu anda en yaygın sürümün R77.30 olduğunu söylemek gerekir. Nispeten yakın zamanda, öncekinden önemli ölçüde farklı olan (hem işlevsellik hem de kontrol açısından) R80 sürümü ortaya çıktı. Farklılıkları konusuna ayrı bir yazı ayıracağız. Bir diğer önemli nokta ise şu anda sadece R77.10 versiyonunun FSTEC sertifikasına sahip olması ve R77.30 versiyonunun sertifikalandırılmasıdır.

Yürütme seçenekleri (Check Point Appliance, Sanal makine, OpenServer)

Burada şaşırtıcı bir şey yok, birçok satıcı gibi Check Point'in de çeşitli ürün seçenekleri var:

1. cihaz - donanım ve yazılım cihazı, yani. kendi “demir parçası”. Performans, işlevsellik ve tasarım açısından farklılık gösteren birçok model vardır (endüstriyel ağlar için seçenekler vardır).

   

2. Sanal makine — Gaia işletim sistemine sahip Check Point sanal makinesi. Hipervizörler ESXi, Hyper-V, KVM desteklenir. İşlemci çekirdeği sayısına göre lisanslanır.
3. Sunucuyu aç — Gaia'nın ana işletim sistemi olarak doğrudan sunucuya kurulması (“Çıplak metal” olarak adlandırılır). Yalnızca belirli donanımlar desteklenir. Bu donanıma ilişkin mutlaka uyulması gereken öneriler bulunmaktadır, aksi takdirde sürücülerde ve teknik ekipmanlarda sorunlar ortaya çıkabilir. destek size hizmet vermeyi reddedebilir.

Uygulama seçenekleri (Dağıtılmış veya Bağımsız)

Biraz daha yukarıda, bir ağ geçidinin (SG) ve bir yönetim sunucusunun (SMS) ne olduğunu zaten tartıştık. Şimdi bunların uygulanmasına yönelik seçenekleri tartışalım. İki ana yol vardır:

1. Bağımsız (SG+SMS) - hem ağ geçidinin hem de yönetim sunucusunun tek bir cihaza (veya sanal makineye) kurulduğu bir seçenek.

   
   
   Bu seçenek, kullanıcı trafiğinin az yüklü olduğu tek bir ağ geçidiniz olduğunda uygundur. Bu seçenek en ekonomik olanıdır, çünkü... yönetim sunucusu (SMS) satın almanıza gerek yoktur. Ancak ağ geçidi aşırı yüklüyse, "yavaş" bir kontrol sistemiyle karşı karşıya kalabilirsiniz. Bu nedenle, Bağımsız bir çözüm seçmeden önce bu seçeneğe danışmak ve hatta test etmek en iyisidir.

2. Dağıtılmış — yönetim sunucusu ağ geçidinden ayrı olarak kurulur.

   
   
   Kolaylık ve performans açısından en iyi seçenek. Merkezi ve şube ağ geçitleri gibi birden fazla ağ geçidini aynı anda yönetmek gerektiğinde kullanılır. Bu durumda, bir cihaz veya sanal makine biçiminde de olabilen bir yönetim sunucusu (SMS) satın almanız gerekir.

Yukarıda da söylediğim gibi Check Point'in kendi SIEM sistemi var - Smart Event. Yalnızca Dağıtılmış kurulum durumunda kullanabilirsiniz.

Çalışma modları (Köprü, Yönlendirilmiş)
Security Gateway (SG) iki ana modda çalışabilir:

• yönlendirilmiş - en yaygın seçenek. Bu durumda ağ geçidi bir L3 cihazı olarak kullanılır ve trafiği kendi üzerinden yönlendirir; Check Point, korumalı ağ için varsayılan ağ geçididir.
• Briç — şeffaf mod. Bu durumda ağ geçidi normal bir "köprü" olarak kurulur ve ikinci seviyedeki (OSI) trafiğin içinden geçer. Bu seçenek genellikle mevcut altyapıyı değiştirme olanağı (veya isteği) olmadığında kullanılır. Pratik olarak ağ topolojisini değiştirmenize ve IP adresini değiştirmeyi düşünmenize gerek yoktur.

Köprü modunda işlevsellik açısından bazı sınırlamalar bulunduğunu belirtmek isterim, bu nedenle entegratör olarak tüm müşterilerimize elbette mümkünse Yönlendirilmiş modu kullanmalarını tavsiye ediyoruz.

Check Point Yazılım Blade'leri

Müşterilerin en çok merak ettiği konu olan Check Point'in en önemli konusuna neredeyse geldik. Bu “yazılım bıçakları” nedir? Bıçaklar belirli Kontrol Noktası işlevlerini ifade eder.

Bu işlevler ihtiyaçlarınıza bağlı olarak açılıp kapatılabilir. Aynı zamanda yalnızca ağ geçidinde (Ağ Güvenliği) ve yalnızca yönetim sunucusunda etkinleştirilen blade'ler vardır. Aşağıdaki resimler her iki duruma ilişkin örnekleri göstermektedir:

1) Ağ Güvenliği İçin (ağ geçidi işlevi)

Kısaca anlatalım çünkü... her bıçak kendi makalesini hak ediyor.

• Güvenlik Duvarı - güvenlik duvarı işlevselliği;
• IPSec VPN - özel sanal ağlar oluşturma;
• Mobil Erişim - mobil cihazlardan uzaktan erişim;
• IPS - izinsiz giriş önleme sistemi;
• Anti-Bot - botnet ağlarına karşı koruma;
• AntiVirus - akışlı antivirüs;
• AntiSpam ve E-posta Güvenliği - kurumsal e-postanın korunması;
• Kimlik Farkındalığı - Active Directory hizmetiyle entegrasyon;
• İzleme - neredeyse tüm ağ geçidi parametrelerinin izlenmesi (yük, bant genişliği, VPN durumu vb.)
• Uygulama Kontrolü - uygulama düzeyinde güvenlik duvarı (NGFW işlevselliği);
• URL Filtreleme - Web güvenliği (+proxy işlevi);
• Veri Kaybını Önleme - bilgi sızıntılarına karşı koruma (DLP);
• Tehdit Emülasyonu - korumalı alan teknolojisi (SandBox);
• Tehdit Çıkarma - dosya temizleme teknolojisi;
• QoS - trafik önceliklendirmesi.

Sadece birkaç yazıda Tehdit Emülasyonu ve Tehdit Çıkarma bıçaklarına detaylı bir şekilde bakacağız, ilgi çekici olacağına eminim.

2) Yönetim İçin (sunucu işlevselliğini kontrol etme)

• Ağ Politikası Yönetimi - merkezi politika yönetimi;
• Uç Nokta Politikası Yönetimi - Check Point temsilcilerinin merkezi yönetimi (evet, Check Point yalnızca ağ koruması için değil, aynı zamanda iş istasyonlarını (PC'ler) ve akıllı telefonları korumak için de çözümler üretir);
• Günlüğe Kaydetme ve Durum - günlüklerin merkezi olarak toplanması ve işlenmesi;
• Yönetim Portalı - tarayıcıdan güvenlik yönetimi;
• İş akışı - politika değişiklikleri üzerinde kontrol, değişikliklerin denetimi vb.;
• Kullanıcı Dizini - LDAP ile entegrasyon;
• Sağlama - ağ geçidi yönetiminin otomasyonu;
• Akıllı Muhabir - raporlama sistemi;
• Akıllı Olay - olayların analizi ve korelasyonu (SIEM);
• Uyumluluk - ayarları otomatik olarak kontrol eder ve önerilerde bulunur.

Makaleyi şişirmemek ve okuyucunun kafasını karıştırmamak için lisans sorunlarını şimdi ayrıntılı olarak ele almayacağız. Büyük olasılıkla bunu ayrı bir yazıda yayınlayacağız.

Blade'lerin mimarisi yalnızca gerçekten ihtiyaç duyduğunuz işlevleri kullanmanıza olanak tanır; bu da çözümün bütçesini ve cihazın genel performansını etkiler. Ne kadar çok bıçağı etkinleştirirseniz, o kadar az trafiği "geçebileceğiniz" mantıklıdır. Bu nedenle her Check Point modeline aşağıdaki performans tablosu eklenmiştir (örnek olarak 5400 modelinin özelliklerini aldık):

Gördüğünüz gibi burada iki kategoride test var: sentetik trafikte ve gerçek trafikte - karma. Genel olarak konuşursak, Check Point sentetik testleri yayınlamak zorunda kalıyor çünkü... Bazı satıcılar, çözümlerinin gerçek trafikteki performansını incelemeden bu tür testleri kıyaslama olarak kullanır (veya bu tür verileri yetersiz doğaları nedeniyle kasıtlı olarak gizler).

Her test türünde birkaç seçenek görebilirsiniz:

1. yalnızca Güvenlik Duvarı için test edin;
2. Güvenlik Duvarı+IPS testi;
3. Güvenlik Duvarı+IPS+NGFW (Uygulama kontrolü) testi;
4. test Güvenlik Duvarı+Uygulama Kontrolü+URL Filtreleme+IPS+Antivirüs+Anti-Bot+SandBlast (sanal alan)

Çözümünüzü seçerken bu parametrelere dikkatlice bakın veya iletişime geçin. istişare.

Check Point teknolojileri hakkındaki giriş yazımızı burada bitirebiliriz sanırım. Daha sonra Check Point'i nasıl test edebileceğinize ve modern bilgi güvenliği tehditleriyle (virüsler, kimlik avı, fidye yazılımı, sıfır gün) nasıl başa çıkacağınıza bakacağız.

PS Önemli bir nokta. Yabancı (İsrail) menşeli olmasına rağmen, çözüm Rusya Federasyonu'nda düzenleyici makamlar tarafından onaylanmıştır ve bu da devlet kurumlarındaki varlığını otomatik olarak yasallaştırmaktadır (yorumu yapan kişi) Denyemall).

Ankete sadece kayıtlı kullanıcılar katılabilir. Giriş yapLütfen.

Hangi UTM/NGFW araçlarını kullanıyorsunuz?

• Check Point

• Cisco Ateş Gücü

• Fortinet

• Palo Alto

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard'da

• Ardıç

• UserGate

• Trafik müfettişi

• Rubicon

• ideco

• Açık Kaynak çözümü

• Diğer

134 kullanıcı oy kullandı. 78 kişi çekimser kaldı.

Kaynak: habr.com