Check Point. Що це, з чим його їдять чи коротко про головне

Здрастуйте, шановні читачі хабра! Це корпоративний блог компанії TS Solution. Ми є системним інтегратором і здебільшого спеціалізуємося на рішеннях безпеки ІТ-інфраструктури (Пункт контролю, Fortinet) та системах аналізу машинних даних (Сплин). Почнемо ми наш блог із невеликого введення у технології Check Point.

Ми довго міркували з того, чи варто писати цю статтю, т.к. в ній немає нічого нового, чого не можна було б знайти в Інтернеті. Однак, незважаючи на таку велику кількість інформації при роботі з клієнтами та партнерами, ми досить часто чуємо одні й ті самі питання. Тому було вирішено написати певне введення у світ технологій Check Point та розкрити суть архітектури їхніх рішень. І все це в рамках одного "невеликого" поста, так би мовити швидкий екскурс. Причому ми постараємося не вдаватися до маркетингових війн, т.к. ми не вендор, а просто системний інтегратор (хоч ми і дуже любимо Check Point) і просто розглянемо основні моменти без порівняння з іншими виробниками (таких як Palo Alto, Cisco, Fortinet і т.д.). Стаття вийшла досить об'ємною, проте відсікає більшу частину питань на етапі ознайомлення з Check Point. Якщо вам це цікаво, то ласкаво просимо під кат.

UTM/NGFW

Починаючи розмову про Check Point, перше з чого варто почати, так це з пояснення, що таке UTM, NGFW і чим вони відрізняються. Зробимо ми це дуже лаконічно, щоб пост не вийшов надто великим (можливо в майбутньому ми розглянемо це питання трохи докладніше)

UTM - Unified Threat Management

Якщо коротко, то суть UTM – консолідація кількох засобів захисту в одному рішенні. Тобто. все в одній коробці або якийсь all inclusive. Що розуміється під “кілька засобів захисту”? Найпоширеніший варіант це: Міжмережевий екран, IPS, Proxy (URL-фільтрація), потоковий Antivirus, Anti-Spam, VPN і так далі. Все це об'єднується в рамках одного UTM рішення, що простіше з точки зору інтеграції, налаштування, адміністрування та моніторингу, а це своєю чергою позитивно позначається на загальній захищеності мережі. Коли UTM рішення лише з'явилися, їх розглядали виключно для невеликих компаній, т.к. UTM не справлялися з великими обсягами трафіку. Це було з двох причин:

1. Спосіб обробки пакетів. Перші версії UTM рішень обробляли пакети послідовно, кожним "модулем". Приклад: спочатку пакет обробляється міжмережевим екраном, потім IPS, потім перевіряє Антивірус і так далі. Природно, такий механізм вносив серйозні затримки в трафік і сильно витрачав ресурси системи (процесор, пам'ять).
2. Слабке "залізо". Як було сказано вище, послідовна обробка пакетів сильно від'їдала ресурси і "залізо" тих часів (1995-2005) просто не справлялося з великим трафіком.

Але прогрес не стоїть на місці. З того часу значно збільшилися апаратні потужності, а обробка пакетів змінилася (треба визнати, що далеко не у всіх вендорів) і стала дозволяти практично одночасний аналіз відразу в кількох модулях (МЕ, IPS, AntiVirus і т.д.). Сучасні UTM рішення можуть "перетравлювати" десятки і навіть сотні гігабіт у режимі глибокого аналізу, що дає можливість використовувати їх у сегменті великого бізнесу або навіть датацентів.

Нижче представлений знаменитий магічний квадрант Гартнера для UTM рішень за серпень 2016 року:

Не сильно коментуватиму цю картинку, просто скажу, що у верхньому правому кутку знаходяться лідери.

NGFW - Next Generation Firewall

Назва говорить сама за себе – міжмережевий екран наступного покоління. Цей концепт з'явився значно пізніше, ніж UTM. Головна ідея NGFW – глибокий аналіз пакетів (DPI) за допомогою вбудованого IPS та розмежування доступу на рівні додатків (Application Control). У цьому випадку IPS якраз і потрібен, щоб у потоці пакетів виявляти ту чи іншу програму, що дозволяє дозволити або заборонити його. Приклад: Ми можемо дозволити Skype, але заборонити передачу файлів. Можемо заборонити використання Torrent або RDP. Також підтримуються веб-програми: Можна дозволити доступ до VK.com, але заборонити ігри, повідомлення або перегляд відео. Насправді, якість NGFW залежить від кількості додатків, які він може визначати. Багато хто вважає, що поява поняття NGFW була звичайним маркетинговим ходом на тлі якого розпочала своє бурхливе зростання компанія Palo Alto.

Магічний квадрант Гартнера для NGFW за травень 2016:

UTM vs NGFW

Дуже часто питання, що ж краще? Однозначної відповіді тут немає і не може бути. Особливо якщо зважати на той факт, що майже всі сучасні UTM рішення містять функціонал NGFW і більшість NGFW містять функції властиві UTM (Antivirus, VPN, Anti-Bot і т.д.). Як завжди "диявол криється в дрібницях", тому в першу чергу потрібно вирішити, що потрібно саме Вам, визначитися з бюджетом. На основі цих рішень можна вибрати декілька варіантів. І все потрібно однозначно тестувати, не вірячи рекламним матеріалам.

Ми, у свою чергу, в рамках кількох статей спробуємо розповісти про Check Point, як його можна спробувати і що в принципі можна спробувати (практично весь функціонал).

Три сутності Check Point

При роботі з Check Point ви обов'язково зіткнетеся з трьома складовими цього продукту:

1. Security Gateway (SG) - власне сам шлюз безпеки, який зазвичай ставиться на периметр мережі і виконує функції міжмережевого екрану, потокового антивіруса, антибота, IPS і т.д.
2. Security Management Server (SMS) - Сервер управління шлюзами. Практично всі налаштування на шлюзі (SG) виконуються за допомогою сервера. SMS також може виступати як Лог-сервер і обробляти їх вбудованою системою аналізу та кореляції подій - Smart Event (подібність SIEM для Check Point), але про це трохи пізніше. SMS використовується для централізованого керування кількома шлюзами (кількість шлюзів залежить від моделі SMS, або від ліцензії), однак ви зобов'язані його використовувати, навіть якщо у вас всього один шлюз. Тут слід зазначити, що Check Point одні з перших почали застосовувати подібну централізовану систему управління, яка вже багато років поспіль визнається золотим стандартом за звітами компанії Gartner. Є навіть жарт: "Якби у Cisco була нормальна система управління, то Check Point б ніколи не з'явився".
3. Розумна консоль — клієнтська консоль для підключення до сервера керування (SMS). Як правило, встановлюється на комп'ютер адміністратора. Через цю консоль здійснюються всі зміни на сервері керування, а вже після цього можна застосувати налаштування до шлюзів безпеки (Install Policy).

   

Операційна система Check Point

Говорячи про операційну систему Check Point можна згадати відразу три: IPSO, SPLAT та GAIA.

1. IPSO - Операційна система компанії Ipsilon Networks, яка належала компанії Nokia. У 2009 році Check Point купила цей бізнес. Більше не розвивається.
2. SPLAT - Власна технологія Check Point, заснована на ядрі RedHat. Більше не розвивається.
3. Гайя - Актуальна операційна система від Check Point, яка з'явилася в результаті злиття IPSO і SPLAT, увібравши в себе все найкраще. З'явилася у 2012 році та продовжує активно розвиватися.

Говорячи про Gaia, слід сказати, що на даний момент найпоширеніша версія це R77.30. Відносно недавно з'явилася версія R80, яка суттєво відрізняється від попередньої (як у плані функціональності, так і управління). Темі їхніх відмінностей ми присвятимо окрему посаду. Ще один важливий момент – на даний момент сертифікат ФСТЕК має тільки версія R77.10 та йде сертифікація версії R77.30.

Варіанти виконання (Check Point Appliance, Virtual machine, OpenSerever)

Тут немає нічого дивного, як і багато вендори Check Point має кілька варіантів продукту:

1. прилад - Програмно-апаратний пристрій, тобто. своя "залізниця". Моделів дуже багато, які відрізняються за продуктивністю, функціоналом та виконанням (є варіанти для промислових мереж).

   

2. Віртуальна машина - Віртуальна машина Check Point з ОС Gaia. Підтримуються гіпервізори ESXi, Hyper-V, KVM. Ліцензуються за кількістю ядер процесора.
3. OpenServer — установка Gaia безпосередньо на сервер як основна операційна система (так званий “Bare metal”). Підтримується лише певне "залізо". Є рекомендації щодо цього заліза, яких потрібно дотримуватися, інакше можуть виникнути проблеми з драйверами і тех. підтримка може відмовити в обслуговуванні.

Варіанти впровадження (Distributed чи Standalone)

Трохи вище ми вже обговорили, що таке шлюз (SG) і сервер управління (SMS). Тепер обговоримо варіанти їхнього впровадження. Є два основні способи:

1. Standalone (SG+SMS) - Варіант, коли і шлюз і сервер управління встановлюються в рамках одного пристрою (або віртуальної машини).

   
   
   Такий варіант підходить коли у вас всього один шлюз, який слабо навантажений користувальницьким трафіком. Цей варіант найекономічніший, т.к. немає необхідності купувати сервер керування (SMS). Однак при серйозному навантаженні шлюзу ви можете отримати систему управління, що гальмує. Тому перед вибором Standalone рішення найкраще проконсультуватися чи навіть протестувати цей варіант.

2. Розподілений — сервер керування встановлюється окремо від шлюзу.

   
   
   Оптимальний варіант у плані зручності та продуктивності. Використовується коли необхідно керувати відразу кількома шлюзами, наприклад, центральним і філіальними. У цьому випадку потрібна покупка сервера керування (SMS), який також може бути у вигляді appliance (залізниці) або віртуальної машини.

Як я вже говорив трохи вище, Check Point має власну SIEM систему — Smart Event. Використовувати її ви зможете тільки у випадку Distributed установки.

Режими роботи (Bridge, Routed)
Шлюз безпеки (SG) може працювати у двох основних режимах:

• Маршрут - Найпоширеніший варіант. І тут шлюз використовується як L3 пристрій і маршрутизує трафік через себе, тобто. Check Point є шлюзом за замовчуванням для мережі, що захищається.
• Міст - Прозорий режим. У цьому випадку шлюз встановлюється як звичайний "міст" та пропускає через себе трафік на другому рівні (OSI). Такий варіант зазвичай застосовується, коли немає можливості (або бажання) змінити існуючу інфраструктуру. Вам практично не доведеться змінювати топологію мережі і не треба замислюватися про зміну IP-адресації.

Хотілося б відзначити, що в Bridge режимі є деякі обмеження щодо функціоналу, тому ми як інтегратор радимо всім своїм клієнтам використовувати саме Routed режим, звичайно, якщо це можливо.

Програмні блейди (Check Point Software Blades)

Ми дісталися чи не найголовнішої теми Check Point, яка викликає найбільше запитань у клієнтів. Що таке ці “програмні блейди”? Під блейдами маються на увазі певні функції Check Point.

Ці функції можуть включатися або вимикатися залежно від потреб. При цьому є блейди, які активуються виключно на шлюзі (Network Security) і тільки на сервері управління (Management). Нижче наведено приклади для обох випадків:

1) Для Network Security (функціонал шлюзу)

Опишемо коротко, т.к. кожен блейд заслуговує на окрему статтю.

• Firewall - функціонал міжмережевого екрану;
• IPSec VPN - побудова приватних віртуальних мереж;
• Mobile Access – віддалений доступ з мобільних пристроїв;
• IPS - система запобігання вторгненням;
• Anti-Bot - захист від ботнет мереж;
• AntiVirus – потоковий антивірус;
• AntiSpam & Email Security - захист корпоративної пошти;
• Identity Awareness - інтеграція зі службою Active Directory;
• Monitoring - моніторинг практично всіх параметрів шлюзу (load, bandwidth, VPN статус і т.д.)
• Application Control - міжмережевий екран рівня додатків (функціонал NGFW);
• URL Filtering - безпека Web (+функціонал proxy);
• Data Loss Prevention – захист від витоків інформації (DLP);
• Threat Emulation - технологія пісочниць (SandBox);
• Threat Extraction – технологія очищення файлів;
• QoS - пріоритезація трафіку.

Буквально через кілька статей ми докладно розглянемо блейди Threat Emulation та Threat Extraction, впевнений, що буде цікаво.

2) Для Management (функціонал сервера управління)

• Network Policy Management - централізоване управління політиками;
• Endpoint Policy Management - централізоване управління агентами Check Point (так, Check Point робить рішення не тільки для мережного захисту, а й для захисту робочих станцій (ПК) та смартфонів);
• Logging & Status - централізований збір та обробка логів;
• Management Portal - управління безпекою з браузера;
• Workflow - контроль над зміною політик, аудит змін тощо;
• User Directory - інтеграція з LDAP;
• Provisioning - автоматизація управління шлюзами;
• Smart Reporter – система звітності;
• Smart Event - аналіз та кореляція подій (SIEM);
• Compliance – автоматична перевірка налаштувань та видача рекомендацій.

Ми не будемо докладно розглядати питання ліцензування, щоб не роздмухувати статтю і не заплутати читача. Швидше за все, ми винесемо це в окрему посаду.

Архітектура блейдів дозволяє використовувати тільки дійсно необхідні функції, що позначається на бюджеті рішення та загальної продуктивності пристрою. Логічно, що чим більше блейдів ви активуєте, тим менше трафіку можна прогнати. Саме тому до кожної моделі Check Point додається наступна таблиця продуктивності (наприклад взяли характеристики моделі 5400):

Як бачите тут, наводяться дві категорії тестів: на синтетичному трафіку і на реальному — змішаному. Взагалі, Check Point просто змушений публікувати синтетичні тести, т.к. деякі вендори використовують подібні тести як еталонні, не досліджуючи продуктивність своїх рішень на реальному трафіку (або навмисно приховують подібні дані через їхню незадовільність).

У кожному типі тесту можна побачити кілька варіантів:

1. тест лише для Firewall;
2. тест Firewall + IPS;
3. тест Firewall+IPS+NGFW (Application control);
4. тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (пісочниця)

Уважно дивіться на ці параметри при виборі свого рішення або зверніться за консультацією.

Думаю на цьому можна закінчити вступну статтю, присвячену технологіям Check Point. Далі ми розглянемо, як можна протестувати Check Point та як боротися із сучасними загрозами інформаційній безпеці (віруси, фішинг, шифрувальники, zero-day).

PS Важливий момент. Незважаючи на закордонне (ізраїльське) походження, рішення має сертифікацію в РФ у наглядових органах, що автоматично легалізує їх наявність у держ.установах (коментар Denyemall).

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

А які UTM/NGFW кошти ви використовуєте?

• Пункт контролю

• вогнева міць cisco

• Fortinet

• Пало-Альто

• Sophos

• Dell SonicWALL

• Huawei

• WatchGuard

• Ялівець

• UserGate

• Traffic inspector

• Рубікон

• Ideco

• OpenSource рішення

• Інше

Проголосували 134 користувачів. Утрималися 78 користувачів.

Джерело: habr.com