Check Point
Что это, с чем его едят или коротко о главном

Несмотря на обилие информации в сети Интернет, мы довольно часто сталкиваемся с одними и теми же вопросами от наших клиентов и партнеров. Поэтому мы решили написать статью-введение в мир технологий Check Point, раскрыть суть его архитектуре и в целом провести для вас быстрый экскурс. Если это актуальная тема для вас, продолжайте читать.

UTM/NGFW
Итак, говоря о Check Point, стоит разобраться, что такое UTM и NGFW и в чем их различия.

UTM — Unified Threat Management
UTM представляет собой консолидацию нескольких средств защиты в одном решении. Проще говоря, это своего рода all inclusive. Что включают в себя эти "несколько средств защиты"? Как правило, это: межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все эти элементы объединены в одном UTM решении, что упрощает процесс интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно влияет на общую защищенность сети.

Изначально UTM решения рассматривались исключительно для небольших компаний, т.к. не справлялись с большими объемами трафика.
Это происходило по следующим причинам:

1. Способ обработки пакетов. В первых версиях UTM решений была последовательная обработка. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Причиной серьезных задержек в трафике и высокий расход ресурсов системы (процессор, память) было использование такого механизма.
2. Слабое "железо". "Железо" тех времен (1995-2005) не справлялось с большим трафиком, особенно с учетом того, что последовательная обработка пакетов сильно отъедала ресурсы.

Но современные UTM решения более совершенны. Теперь значительно увеличены аппаратные мощности, а обработка пакетов позволяет практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.), в режиме глубокого анализа возможна обработка десятков и даже сотен гигабит и использование их в сегменте крупного бизнеса или даже датацентров.

NGFW — Next Generation Firewall

NGFW — это межсетевой экран следующего поколения. Основная идея NGFW заключается в глубоком анализе пакетов (DPI) c помощью встроенного IPS и разграничении доступа на уровне приложений (Application Control). Для выявления в потоке пакетов определенного приложения необходим IPS, чтобы разрешить или запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. Качество NGFW зависит от того, какое количество приложений он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом, на фоне которого начала свой бурный рост компания Palo Alto.

UTM vs NGFW
Один из самых часто задаваемых вопросов – что лучше, UTM или NGFW?

С учетом того, что почти все современные UTM решения содержат функционал NGFW, а большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.), нельзя дать однозначный ответ. Поэтому необходимо определить, что необходимо именно Вам, а также каков Ваш бюджет. На основе этого можно выбрать несколько вариантов и, невзирая на маркетинговые войны, всё необходимо тестировать.

В рамках серии статей мы расскажем про Check Point, как его можно попробовать и что именно можно попробовать (практически весь функционал).

Три сущности Check Point
Check Point имеет три основные составляющие:

• Security Gateway (SG) — шлюз безопасности, который обычно ставится на периметр сети и выполняет функции межсетевого экрана, потокового антивируса, антибота, IPS и т.д.

• Security Management Server (SMS) — сервер управления шлюзами. С помощью данного сервера выполняются практически все настройки на шлюзе (SG). В качестве Лог-сервера может выступать SMS, способный обрабатывать их встроенной системой анализа и корреляции событий — Smart Event (подобие SIEM для Check Point). SMS используется для централизованного управления несколькими шлюзами (кол-во определяется моделью (лицензией) SMS), тем не менее, Вы обязаны использовать его, даже если у вас всего один шлюз. Подобную централизованную систему управления, признанную "золотым стандартом" (по отчетам компании Gartner), Check Point стали применять одни из первых. Есть даже шутка: "Если у бы Cisco была нормальная система управления, то Check Point бы никогда не появился".

• Smart Console — клиентская консоль для подключения к серверу управления (SMS). Все изменения на сервере и применение настроек к шлюзам безопасности (Install Policy) осуществляются через данную консоль. Консоль, как правило, устанавливается на компьютер администратора.

Операционная система Check Point

Говоря об операционной системе Check Point можно обозначить три аспекта: IPSO, SPLAT и GAIA.

1. IPSO — операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
2. SPLAT — основанная на ядре RedHat собственная разработка Check Point. Больше не развивается.
3. Gaia — актуальная операционная система от Check Point, появившаяся в результате слияния IPSO и SPLAT. Появилась в 2012 году и продолжает активно развиваться.

В настоящий момент самая распространенная версия Gaia это R77.30. Существенно отличается от предыдущей относительно новая версия R80 (как в плане функциональности, так и управления). Важно отметить, что на данный момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)

Как и многие вендоры Check Point имеет несколько вариантов исполнения продукта:

1. Appliance — программно-аппаратное устройство ("железка"). Многообразие моделей различных по производительности, функционалу и исполнению (есть варианты для промышленных сетей).
2. Virtual Machine — виртуальная машина Check Point с ОС Gaia. Поддерживаются гипервизоры ESXi, Hyper-V, KVM, лицензируются по количеству ядер процессора.
3. OpenServer — установка Gaia непосредственно на сервер в качестве основной операционной системы (так называемый "Bare metal"). Поддерживается только определенное "железо". По этому «железу» есть определенные рекомендации, которые необходимо соблюдать, чтобы избежать проблем с драйверами и чтобы тех. поддержка не отказала Вам в обслуживании.

Варианты внедрения (Distributed или Standalone)

Ранее мы обсудили, что такое шлюз (SG) и сервер управления (SMS). Теперь разберем варианты их внедрения. Существует два основных способа:

1. Standalone (SG+SMS) — вариант, при котором шлюз и сервер управления устанавливаются в рамках одного устройства (или виртуальной машины). Этот способ актуален, если у Вас всего один шлюз, который слабо нагружен пользовательским трафиком. Такой вариант наиболее экономичен, т.к. нет необходимости покупать сервер управления (SMS). Однако при серьезной нагрузке шлюза Вы можете получить "тормозящую" систему управления. Поэтому перед выбором Standalone решения лучше всего проконсультироваться или даже протестировать данный вариант.

2. Distributed — отдельная установка сервера управления отдельно от шлюза. Данный вариант оптимален в плане удобства и производительности, используется в случае необходимости управления сразу несколькими шлюзами (например, центральным и филиальными). Для реализации такого варианта требуется покупка сервера управления (SMS), который также может быть в виде appliance (железки) или виртуальной машины.

Собственную SIEM систему Check Point — Smart Event – можно использовать только в случае Distributed установки.

Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:

• Routed — наиболее распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.

• Bridge — прозрачный режим. В этом случае шлюз устанавливается как обычный "мост" и пропускает через себя трафик на втором уровне (OSI). Такой вариант актуален, если нет возможности (или желания) изменить уже существующую инфраструктуру. В таком случае нет необходимости менять топологию сети и менять IP — адресации.

В Bridge режиме есть определенные ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать, по возможности, именно Routed режим.


Программные блейды (Check Point Software Blades)
Одна из самых основных тем, вызывающих многочисленные вопросы наших клиентов – это программные блейды.

Под блейдами подразумеваются определенные функции Check Point.

Данные функции могут быть включены или выключены в зависимости от нужд. При этом есть блейды, которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для таких случаев:

Архитектура блейдов позволяет использовать только актуальные для Вас функции, что отражается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно "прогнать". Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):

Здесь приведены две категории тестов: на синтетическом трафике и на реальном — смешанном. Check Point вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).

В каждом типе теста можно заметить несколько вариантов:

1. Тест только для Firewall;
2. Тест Firewall+IPS;
3. Тест Firewall+IPS+NGFW (Application control);
4. Тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница).

Внимательно изучите эти параметры при выборе своего решения, либо обратитесь за консультацией.

На этом мы заканчиваем вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by Denyemall).