Системы безопасности Check Point Appliance

ЧАСТЬ 1

Информационная безопасность – важнейшая и наиболее обсуждаемая проблематика в современной IT индустрии. В этой статье мы рассмотрим программно-аппаратные средства защиты израильской корпорации Check Point Software Technologies Ltd. (Check Point).  Компания специализируется исключительно в области информационной безопасности и имеет собственную разработку архитектуры управления, на основе которой появилась одна из самых передовых операционных систем мира в области защиты информации — Gaia.

Производительность и функциональность устройств Check Point обладает поистине огромными возможностями, даже в сравнении с такими грандами как Cisco, Juniper Networks, Palo Alto Networks, Fortinet и др.
Модельный ряд имеет жесткое разделение по вариации устанавливаемой на устройства операционной системы: SOHO (Small Office Home Office) сегмент – Gaia Embedded (упрощенная версия Gaia); профессиональный сегмент (Mid-Range/High-End) – Gaia.

Операционная система Gaia Embedded устанавливается на модели Check Point серии 600/700/1100/1200R/1400. Представляет собой простую в настройке систему с удобным и понятным графическим Web-интерфейсом. Для настройки и конфигурации этой системы будет достаточно базовых знаний в работе с такими маршрутизаторами как ASUS, D-Link, Zyxel и т.п.
Некоторые устройства SOHO сегмента комплектуются Wi-Fi модулем, что обусловлено их применением в нише микро (до 15 рабочих станций) и малых предприятий (до 100 рабочих станций) (решение по принципу «все в одном»).

В моделях SOHO сегмента реализованы следующие технические возможности:

  1. Внутренний LAN VLAN интерфейс, в котором находятся все локальные порты (до 16 x 1 Гбит/c). На моделях SOHO сегмента возможно организовать только один внутренний интерфейс 3-го уровня (VLAN)
  2. Внешний WAN-интерфейс (1 x 1 Гбит/с), который может получать IP адрес как статически (Static IP), динамически через DHCP сервер, так и через PPPoE подключение. Модели Check Point серии 1400 дополнительно способны обеспечивать подключения к сетям 3G/4G/LTE через USB
  3. DMZ- интерфейс (1 x 1 Гбит/с) — для организации изолированного сегмента сети
  4. Wi-Fi интерфейс с поддержкой беспроводных стандартов IEEE 802.11 a/b/g/n/ac в зависимости от модели

В итоге получаем четыре полноценных маршрутизируемых интерфейса.

По функциональным характеристикам моделей видим следующее:

  • NAT/PAT (Network Address Translation / Port Address Translation) — трансляция внутренних IP адресов сети через единый публичный IP адрес во внешнюю сеть или Интернет
  • MAPPING — организация проброса портов или анонсирование внутренних ресурсов во вне
  • DHCP-сервер — раздача IP адресов в LAN, DMZ, Wi-Fi сегменты
  • VPN (Virtual Private Network) (IPSec/L2TP/Check Point VPN Client) — организация защищенного, шифрованного подключения как между сетевыми сегментами, так и отдельным VPN клиентом с корпоративной сетью компании
  • IP Policy — политика, определяющая прохождения трафика между сетями и сегментами
  • URL Filtering — фильтрация/блокировка интернет-трафика Web-приложений
  • IPS (Intrusion Prevention System) — сигнатурный анализ IP пакетов

Из недостатков модельного ряда устройств Check Point сегмента SOHO стоит отметить крайне неинформативную систему мониторинга и отладки за проходящим сетевым трафиком. Однако, при выборе данного решения компаниями рынка целевого позиционирования, это обстоятельство не является определяющим, что соответствует эффективным бюджетным ожиданиям по стоимости совокупного владения.

ЧАСТЬ 2

В этой части статьи мы рассмотрим самые мультифункциональные и производительные, из когда-либо выпускаемых, системы информационной безопасности профессионального уровня Check Point серий 2200/3000/4000/5000/12000/13000/15000/21000/23000/44000/61000/64000. Линейка достаточно большая, учитывая, что отдельные серии включают подкатегории устройств. Заметим, что речь пойдет исключительно о физических программно-аппаратных устройствах Appliance. В текущей статье мы не затрагиваем виртуальную среду и ассоциированные с ней устройства Virtual Machine, а также программные решения OpenServer, в которых операционная система Gaia разворачивается на серверных платформах как основная.

На всех моделях профессиональной линейки Check Point установлена полнофункциональная операционная система Gaia, обладающая отличной информативностью, мультинаборностью, цветным эргономичным и контрастным интерфейсом для управления и отладки.

Программно-аппаратные комплексы безопасности Check Point Appliance состоят из трех основных компонентов:

  1. Security Gateway — шлюз безопасности, устанавливаемый на границе сети и выполняющий задачи межсетевого экрана, прокси-сервера (Proxy), антивируса, IPS, антибота и т.п.
  2. Security Management Server — сервер управления безопасностью. Выступает в роли Log-сервера (Log — файл с записями о событиях в хронологическом порядке), обрабатывающего Log-файлы интегрированной системой анализа и корреляции Smart Event. В обязательном порядке применяется для централизованного управления одним или несколькими шлюзами безопасности. Система устанавливается в виде программного обеспечения на производительный сервер или рабочую станцию с операционной системой Microsoft Windows. Буквально все необходимые настройки на шлюзе безопасности осуществляются с помощью этого сервера. Корпорация Check Point была одной из первых, ставшей использовать централизованное управление.
  3. Smart Console — умная программная консоль, взаимодействующая с сервером управления безопасностью. Посредством этой консоли производится внесение изменений на сервер управления, а также применяются настройки (Install Policy) к шлюзам безопасности.

Check Point Appliance поставляется в вариантах:

  1. Standalone — шлюз и сервер управления безопасностью устанавливаются на одно устройство. Представленный вариант достаточно экономичен, так как отсутствует необходимость отдельно приобретать сервер управления. Однако, при высокой загрузке шлюза безопасности можем получить «тормозящую» систему управления
  2. Distributed — сервер управления безопасностью поставляется отдельно от шлюза. Этот вариант позволяет осуществлять управление одновременно несколькими шлюзами безопасности. Требует приобретения сервера управления безопасностью в виде отдельного устройства или виртуальной машины

Рабочие режимы Check Point Appliance:

  1. Routed — в данном режиме шлюз работает как устройство 3-го уровня с маршрутизируемыми интерфейсами. Для защищаемой сети и всех ее сегментов выступает шлюзом по умолчанию, фильтрует весь проходящий сетевой трафик
  2. Bridge — в данном режиме шлюз функционирует как обычный сетевой «мост», пропускающий весь трафик на 2-ом уровне. Этот вариант применяется в случае, когда отсутствует возможность внести изменения в имеющуюся сетевую инфраструктуру, топологию, IP адресацию. В режиме «Bridge» у устройства серьезно ограничивается функциональная часть, не позволяя использовать все возможности системы, поэтому крайне не рекомендуется использовать в этом режиме любые модели Check Point

Лицензирование Check Point Appliance осуществляется так называемыми программными блейдами, являющимися функциональными частями программно-аппаратного комплекса. По необходимости в системе осуществляется включение и/или отключение блейдов. Кроме того, некоторые из них могут активироваться только на шлюзе безопасности (Security Gateway) и только на сервере управления безопасностью (Security Management Server).

Полный список программных блейдов Check Point с описанием приводим ниже:

  • Firewall — система межсетевого экранирования, включающая в себя следующие технологии:
  • NAT (PAT) – технология трансляции IP адресов
  • Mapping – технология анонса внутренних ресурсов сети во вне или проброса портов
  • IP Spoofing – технология предотвращения подмены IP адресов
  • IP Policy – технология движения трафика между интерфейсами на основании уровней безопасности
  • IPSec VPN – технология построения защищенных частных виртуальных сетей (VPN) для передачи данных. Поддерживаются следующие типы VPN-соединений:
  • Статические – только защищенное соединение IPSec. Более простая настройка между системами Check Point, чем сопряжения с другими производителями
  • Динамические – создаются для удаленного подключения отдельных хостов к защищенному сегменту сети. Web VPN SSL/L2TP IPSec/Check Point VPN Client

Отметим, что системы безопасности Check Point не поддерживают такие небезопасные соединения как GRE, IP, PPTP.

  • Mobile Access – защищенный контроль и управление доступом в сеть мобильных устройств
  • Intrusion Prevention System (IPS) – система обнаружения и автоматического предотвращения вторжений, основанная на сигнатурном анализе пакетов. Сигнатуры возможно настраивать вручную
  • Anti-Bot – обеспечивает защиту от ботнет сетей
  • AntiVirus – потоковый антивирус
  • AntiSpam & Email Security – организует безопасность почтовой системы и защиту от спама
  • Identify Awareness – выполняет интеграцию со службой Active Directory
  • Monitoring – непрерывное систематическое отслеживание, сбор и регистрация, в соответствии с заданными критериями параметров шлюза безопасности (Load, Bandwidth, VPN status и пр.)
  • Application Control – межсетевой экран уровня приложений, функционально представляющий собой Next-Generation Firewall
  • URL Filtering – фильтрация Web-трафика и возможности Proxy. Блокирует/разрешает URL трафик, следующий по протоколу TCP http (80) и Web Secure TLS 1.1/1.2 TCP https (443) http_proxy (8080). Версию протокола TLS 1.3 пока блокировать невозможно
  • Data Loss Prevention (DLP) – предотвращение утечек информации за пределы корпоративной сети
  • Threat Emulation – технология песочниц SandBlast
  • Threat Extraction – технология очистки файлов
  • Quality of Service (QoS) – приоритизация трафика

А теперь рассмотрим следующие возможности управления системами безопасности Check Point, обычно упускаемых из вида:

  1. Network Policy Management – осуществляет централизованное управление политиками
  2. Endpoint Policy Management – выполняет централизованное управление агентами Check Point, обеспечивая безопасность  рабочих станций и мобильных устройств
  3. Logging & Status – централизованный сбор и обработка Log-файлов
  4. Management Portal – организованное управление безопасностью через Web-браузер
  5. Workflow – контролирует изменения политик, производит аудит вносимых изменений
  6. User Directory – обеспечивает интеграцию c LDAP
  7. Provisioning – комплексная автоматизация управления шлюзам
  8. Smart Reporter – организованная система отчетности
  9. Smart Event – анализ и корреляция событий
  10. Compliance – автоматическая проверка настроек и выдача рекомендаций

Подводя итог, отметим, что системы Check Point предоставляют поистине грандиозные возможности по обеспечению безопасности для компаний любого уровня. Гибкие возможности, открываемые программными лицензиями или блейдами, позволяют максимально точно подобрать необходимый уровень сетевой защиты. Активируемые блейды серьезно усиливают точку безопасности, но уменьшают объем пропускаемого, обрабатываемого трафика. Поэтому, за грамотной конфигурацией решения системы безопасности на базе продуктов Check Point необходимо обращаться к специалистам.

За более подробной консультацией обращайтесь в нашу компанию.

IT BRIDGE обладает многолетним опытом и высоким уровнем компетенций по созданию, внедрению, настройке и обслуживанию решений на базе программно-аппаратного обеспечения Cisco, Juniper Networks, Check Point и других производителей в области информационной безопасности. Специалисты компании готовы предоставить грамотную консультацию, провести аудит существующей IT инфраструктуры на предмет выявления проблемных зон, помочь в подборе оборудования и оптимального решения, а также выполнить полный комплекс работ по защите информационных ресурсов вашего бизнеса.