Информационная безопасность с точки зрения Check Point

check_15_02_2011

Сложно найти локальные сети, не использующие функционал межсетевого экрана (МЭ) для доступа в сеть Интернет. Речь идет именно о функционале, так как его реализация может быть как аппаратной, так и программной, и на данный момент разновидностей МЭ настолько много, что порой очень трудно найти подходящую защиту для компьютеров.

Еще труднее найти производителя в сегменте информационной безопасности, который не считал бы свой продукт мировым лидером на рынке, не расхваливал всячески свое «дитятко», и не украшал бы его всевозможными маркетинговыми эпитетами, от которых идет кругом голова даже у тех, кто в этом разбирается. А понять, что отличает тот или иной продукт и выделить главные моменты – это уже почти виртуозное лавирование по минному полю, т.к. обычно технические мелочи, делающие решение уникальным и востребованным, теряются. Создается такое впечатление, что чем заумнее написано о продукте, тем он должен быть интереснее потенциальным заказчикам. Если отделить всю лишнюю маркетинговую шелуху, то вы удивитесь, насколько же все просто и понятно в мире информационной безопасности, тем более, что верить всему, что пишут – не наш метод.

Итак, Check Point Software Technologies является мировым лидером в области информационной безопасности. Благодаря разработанной компанией динамичной архитектуре Check Point предоставляет безопасные, гибкие и простые решения, полностью настраиваемые для лучшего соответствия требованиям безопасности любой компании и сетевой среды. Заказчиками Check Point являются все компании списка Fortune 100 и десятки тысяч предприятий и организаций всех размеров и сфер деятельности.

Давайте подробнее разберем, стоит ли доверять предыдущему абзацу.
Начнем с того, что информационная безопасность необходима для того, чтобы оградить себя, любимого, от внешних и внутренних угроз. Обеспечивается она комплексным подходом к решениям по безопасности и достигается за счет нескольких инструментов. «Комплексный подход» означает, что МЭ необходим для обеспечения информационной безопасности, но его одного, очевидно, недостаточно, т.к. он всего лишь один из инструментов. Обеспечение информационной безопасности есть достижение такого состояния всей инфраструктуры компании, при котором значительно сокращаются риски от воздействия внешних факторов: атак, взломов, вирусных заражений и т.д. Сокращаются — потому что все возможные риски полностью устранить нереально, и всегда существует вероятность того, что произойдет что-нибудь непредусмотренное и непредвиденное. Установка на сети одного только межсетевого экрана не гарантирует полноценной информационной защиты, тем более, что, строго говоря, на самом деле экран никого и ничего не защищает и, как это ни странно звучит, он этого просто не умеет, даже больше — он не обязан ничего защищать. Не спешите звонить в «скорую» и рвать статью на части: межсетевой экран действительно сам по себе очень «глуп», он делает только то, что ему скажут. А выдать ему инструкции должны вы сами с помощью, например, политики безопасности.

Политика безопасности — это набор правил, которыми вы определяете порядок работы межсетевого экрана, его поведения и реакции на события. Для аналогии можете представить модный ночной клуб, в котором вы большой хозяин и от вас зависит вся работа. Официанты, повара, бармены, в общем, все сотрудники подчиняются правилам, которые вы установите, и охранники у входа выполняют функции межсетевого экрана, определяя, кому из гостей клуба доступ разрешить, а кому нет, на основании тех правил, что вы им указали. Так что это еще спорный вопрос, кто защищает доступ в Интернет — вы или ваш МЭ с вашими правилами.

Важным фактором информационной безопасности является ведение логов, т.е. журналов событий. Эти журналы регистрируют происходящие события и позволяют получать статистику по работе МЭ. Статистика служит самым разнообразным целям, и в нашем примере по этим журналам можно узнать, к примеру, сколько клиентов посещают ваш клуб по пятницам, что позволит вам эффективнее планировать расход напитков и продуктов. Считается, что если вы ведете журналы событий, то необходимо регулярно их просматривать, в противном случае получится пустая трата ресурсов. В теории информационной безопасности рекомендуется выключать регистрацию событий, если вам эти журналы не интересны.

В решениях компании Check Point подобный подход лежит в основе архитектуры SMART, которая является фундаментальной для всех продуктов от Check Point. Архитектура подразумевает наличие трех основных компонентов и их взаимодействие друг с другом. Одним из компонентов является сам межсетевой экран, именуемый Enforcement module (исполняющий модуль), другие два — Smart Center и Smart clients (Рисунок 1).

check_15_02_2011_1

Smart Center — центральное хранилище всех правил для Enforcement module, базы данных клиентов, журналов событий, т.е. основная управляющая часть.

Smart clients — инструменты для администрирования, мониторинга и отчетности, представляют из себя графический интерфейс для пользователя, т.е. рабочий интерфейс администратора.

С помощью Smart clients администратор осуществляет управление всем комплексом Check Point и задает политику безопасности: правила доступа в Интернет, настройки регистрации событий, доступ к различным объектам локальной сети, например, внутренним серверам и локальных пользователей.

Smart Center компилирует, т.е. преобразовывает, введенные вами данные в понятный для МЭ вид и передает эти данные и правила на Enforcement module. Enforcement module, в свою очередь, начинает работать согласно установленному вами порядку, передает на Smart Center журналы событий, т.е. работает как исполнитель. Преобразование оптимизирует ваши правила для быстродействия работы МЭ и, кроме того, перед установкой правил Smart Center может проверить их на синтаксические ошибки и несоответствия, т.е. не позволит вам случайно нарушить по невнимательности работу всего устройства. Особенно эта функция удобна с устройствами, расположенными удаленно; наверное, у каждого администратора был печальный опыт случайного блокирования самого себя от управления, и чем дальше устройство — тем печальнее опыт.

Все компоненты архитектуры SMART общаются друг с другом с помощью шифрованного канала Secure Internal Communication, что само по себе повышает безопасность и надежность работы, т.к. гарантирует, что правила устанавливает именно тот, кому разрешено, и никто извне не в состоянии перехватить и изменить правила. Для этого на Smart Сenter по умолчанию ставится внутренний так называемый Certificate Authority, что-то вроде паспортного стола, и создаются сертификаты для аутентификации участников SMART-архитектуры, что-то вроде паспортов. Схема похожа на контроль в аэропорту: ваш билет разрешает посадку на самолет, а паспорт удостоверяет вашу личность.

Все три части архитектуры SMART могут находиться физически на одном сервере или распределены на нескольких, причем есть следующее ограничение: сервера или компьютеры, на которых устанавливаются графические интерфейсы Smart clients, должны работать под управлением Windows, в то время как к Smart Center и Enforcement module таких жестких требований нет.

В качестве лирического отступления: в начале статьи говорилось об аппаратном и программном исполнении МЭ, что технически не совсем верно. Технически, межсетевой экран — это именно программа, которая устанавливается на компьютер, при этом в качестве компьютера используется либо сервер общего назначения под управлением Windows или Unix подобных операционных систем, либо так называемый appliance, который представляет из себя все тот же компьютер и часто ошибочно воспринимается как аппаратное исполнение. Вся разница лишь в том, что на сервер вы можете установить кучу других программ, в то время как на appliance ничего, кроме программы межсетевого экрана.

Кстати, у Check Point есть своя собственная операционная система, построенная на базе Linux, с сильно урезанным функционалом и называется SPLAT — Secure Platform, которая позиционируется как операционная система с повышенным уклоном в безопасность. Но это не меняет самой сути: на компьютер устанавливается операционная система, и уже на нее ставится программа межсетевого экрана, в итоге для программы МЭ актуальны привычные компьютерные понятия — сетевые интерфейсы, USB-порты, драйвера устройств и т.д.

Компания Check Point сильна, прежде всего, своими инновационными технологиями для увеличения производительности и функциональности межсетевого экрана. Технологии составляют так называемое ноу-хау компании и позволяют при соответствующем уровне безопасности использовать аппаратные ресурсы эффективнее и экономнее, что в итоге положительно сказывается на финансовых затратах.

Посудите сами: МЭ должен выполнять проверку всего транзитного трафика, каждого соединения и каждого сетевого пакета, что ведет к снижению производительности всей системы. Весь трафик обязан проходить через МЭ, что уже делает его критичным «узким» местом с повышенными требованиями к надежности и производительности. Контроль доступа на основании ваших правил безопасности в упрощенном виде заключается в выборе — заблокировать или пропустить. Чтобы сделать простой выбор — да или нет — экран логически сверяет для каждого сетевого пакета ваши правила и должен делать финальный выбор максимально быстро и незаметно для конечного пользователя, иначе пользователи будут сталкиваться с большими задержками на доступ в Интернет и ставится под сомнение необходимость в подобной неповоротливой безопасности.

В общем виде технологии представлены на рисунке 2.

check_15_02_2011_2

CoreXL — технология, при которой создаются несколько защищенных областей в памяти компьютера, работающие независимо друг от друга. Сбой или повышенная нагрузка в одной из областей не влияет на работу соседней области. Иначе говоря, это так называемые отдельные песочницы, внутри которых, в свою очередь, работают несколько программных ядер, или же виртуальных копий самой программы МЭ. Между песочницами и ядрами идет распараллеливание потоков информации, т.е. весь трафик распределяется между ними, что в итоге ведет к увеличению производительности, т.к. на том же самом оборудовании рутинная работа по обработке правил выполняется гораздо большим числом программ. Упрощенно можно сказать, что теперь в единицу времени правила рассматриваются сразу, к примеру, для трех пакетов вместо одного.

SecureXL — технология кэширования состояния соединения, т.е. запоминания соединения. Когда происходит открытие соединения и принимается первый сетевой пакет, драйвер компьютера осуществляет запрос в правила доступа МЭ. Если доступ разрешен, драйвер делает пометку в своей таблице соединений, запоминает это состояние и для следующих пакетов в этом соединении не совершает заново процедуру просмотра правил, т.е. логично предположить, что если первый пакет разрешен, то и последующие также получат разрешение и не стоит беспокоить правила межсетевого экрана лишний раз. Важно отметить, что драйвер сетевой карты обрабатывает подобные соединения очень быстро, практически с аппаратной скоростью. Эта технология особенно актуальна при атаках с целью вывести из строя сам МЭ, т.к. эти соединения отбрасываются самим драйвером интерфейса без нагрузки на программу.

ClusterXL — технология объединения нескольких устройств Check Point в единый логический кластер или группу для резервирования, распределения и балансировки нагрузки. Кластер сам по себе удобен для постепенного наращивания производительности по необходимости путем добавления нового типового оборудования к уже существующему парку устройств Check Point. Подобная гибкость позволяет не тратить большие финансовые средства на первоначальном этапе для реализации высокопроизводительного сегмента информационной безопасности, что в итоге благоприятно сказывается на экономической эффективности любого проекта.

До этого момента в статье обсуждался только один функционал межсетевого экрана — контроль доступа. Функционал этот базовый и, к сожалению, недостаточен для обеспечения полного спокойствия инженеров по безопасности. Нужно оговорить, что обычно под контролем доступа подразумевается аутентификация и авторизация пользователя, разрешение доступа на основе идентификационной пары логин и пароль. Но в этой статье для лучшего понимания сути дела контроль доступа рассматривается на основании правил межсетевого экрана.

В современном мире сетевые угрозы в виде вирусов, троянов, хакерских атак, DoS, ботнетов становятся все более изощренными, и базового функционала экрана не хватает для обеспечения информационной безопасности. Контроль доступа может блокировать по заранее установленным правилам, но в ситуации, если злоумышленник уже проник в систему по разрешенному соединению, необходима дополнительная интеллектуальная обработка трафика. Нужен дополнительный функционал типа антивируса, анти-спама, VPN (для безопасного удаленного доступа), IPS, URL-фильтрации.

Все эти факторы приводят к разрастанию инфраструктуры информационной безопасности и к усложнению администрирования и поддержки в актуальном состоянии. Тем временем, каждая сложная система имеет как минимум три больших минуса — дороговизна, нестабильность и высокая вероятность аварии. Именно поэтому у компании Check Point есть понятие Total Security, которое подразумевает объединение различного функционала на одном и том же оборудовании под единым управлением, что позволяет развернуть полноценную систему информационной безопасности, совмещая вспомогательный функционал внутри уже установленного устройства Check Point. Это существенно экономит первоначальные финансовые затраты на развертывание и последующие расходы на обслуживание. Дополнительную информацию по линейке оборудования и его возможностей вы можете найти на сайте www.checkpoint.com

Понятие Total Security неразрывно связано с архитектурой Software Blade. Архитектура представляет собой набор независимых программных модулей, где каждый модуль выполняет какой-нибудь один специфичный функционал. К примеру, программный blade-модуль IPS (Intrusion prevention system) проверяет транзитный трафик на высоком уровне путем интеллектуальной проверки на наличие сетевых атак, а программный blade-модуль VPN отвечает за безопасное удаленное соединение к вашей сети. Отличительной особенностью является независимая работа blade-модулей друг от друга, поэтому появляется возможность самостоятельной компоновки программного функционала, что позволяет настраивать систему под конкретные задачи. Активация модулей происходит путем приобретения отдельных лицензий или суммарной лицензии под базовый набор модулей. Такой подход значительно экономит стоимость развертывания систем безопасности путем расширения функционала по запросу, т.е. по сути, вы платите только за то, что вам реально нужно в данный момент, и внедрение нового расширенного функционала сводится к простой активации программного модуля (Рисунок 3).

check_15_02_2011_3

Еще одним плюсом решений от компании Check Point является большой выбор инструментов для управления, мониторинга и анализа, что идеально вписывается в политики безопасности любой компании. Помимо обеспечения прямого функционала по безопасности, необходимо, как уже упоминалось, вести журналы регистрации событий, постоянно анализировать их. Важен мониторинг текущего состояния, аналитические репорты по событиям и все в таком же духе. Перечисленные возможности существуют для простой цели — инженеры по информационной безопасности обязаны быть в гуще происходящих событий и держать руку на пульсе

С этой точки зрения Check Point предоставляет широкий выбор графических клиентов. (Рисунок 4).

check_15_02_2011_4

Smart Dashboard GUI — клиент для управления и определения политик доступа, также осуществляется управление всеми устройствами Check Point, предназначен для конфигурирования всего комплекса.

Smart View Tracker — клиент для просмотра журналов событий, также есть возможность отслеживания в реальном времени текущих соединений и просмотр архивных журналов с последующим их копированием и экспортом, к примеру, в файл.

Smart View Monitor — клиент для мониторинга состояния устройств Check Point, отслеживания статистики загрузки по соединениям, мониторинга активных правил, загрузки процессора и памяти.

Eventia Reporter — клиент для формирования расширенных отчетов по работе межсетевого экрана

Eventia Analyzer — клиент для формирования аналитических отчетов по событиям в вашей сети.

Smart Update — клиент для централизованного управления лицензиями и обновления компонентов системы.

Smart Map — визуальная карта с возможностью создания графических схем топологии сети.

Как вы можете заметить, инструментов довольно много, и они позволяют свободно интегрировать весь комплекс решений межсетевого экрана Check Point в существующую инфраструктуру информационной безопасности, что актуально для компаний с работоспособной политикой безопасности и практикой применения общепринятых стандартов по безопасности. Или же развернуть соответствующую мировым стандартам современную инфраструктуру с нуля и с минимальными затратами.

Если помните, в самом начале статьи ставились под сомнение маркетинговые заявления производителей оборудования. Надеюсь, что прочтение этой статьи не оставит в вас сомнений в реальности заявлений Check Point.

check_15_02_2011_5

Автор статьи Гафур Султанов, CCIE по маршрутизации и коммутации, сертифицированный инженер Check Point, системный инженер Mars Solutions. Cпециализируется на проектировании комплексных решений в области маршрутизации и коммутации, операторских решений и информационной безопасности.

check_15_02_2011_6

Компания Mars Solutions является зарегистрированным партнером Check Point Software Technologies и авторизована на территории Республики Узбекистан и стран СНГ. В качестве системного интегратора по решениям информационной безопасности, компанией Mars Solutions уже внедрены инсталляционные проекты на базе устройств Check Point для заказчиков различного профиля. В нашем распоряжении имеется собственная лаборатория Check Point, парк оборудования и сертифицированные специалисты; осуществляется техническая поддержка и сопровождение проектов в сфере информационной безопасности.

Orphus system