Если честно, не понимаю почему на Хабре до сих пор не освещена данная тема. Исправим это недоразумение. В прошлой статье мы затронули тему проверки эффективности существующих средств защиты. Данный инструмент весьма полезен, однако все мы понимаем, что это слабый тест. К тому же этот тест синтетический. Как оценить реальную сеть с реальным трафиком? Какие угрозы действительно для вас актуальны, есть ли в сети зараженные компьютеры, какие приложения запускают пользователи и кто «выкачивает» весь трафик? Как правило для этого приходится использовать кучу различных средств:
- Средства для проверки почты и их вложений;
- Средства для анализа посещаемых сайтов и объемов трафика;
- Средства выполняющие функции потокового антивируса;
- Средства анализа трафика (IDS);
- И многое другое.
Весьма трудно найти серьезное (не open source) комплексное решение, сочетающее в себе эти функции. Плюс встает проблема как эти средства интегрировать в свою текущую инфраструктуру, да так, чтобы не пришлось переделывать пол сети (мы же всего лишь протестировать хотим).
Как ни странно, но компания Check Point предоставляет данную возможность — БЕСПЛАТНЫЙ аудит безопасности вашей сети. В одном из прошлых постов мы вкратце описали что такое Check Point. Теперь же мы опишем, каким образом его можно протестировать, да еще и с пользой для себя. Спешу предупредить, что данный пост носит немного маркетинговый характер, дабы рассказать про Check Point Security CheckUP и чем он может вам пригодиться. А в следующих постах мы рассмотрим уже именно технические моменты — установка и настройка.
Что умеет Check Point Security CheckUP?
Check Point Security Checkup — это инструмент, позволяющий обнаружить риски и угрозы для всей вашей сети. Покрываются практически все риски безопасности:
- Определение Веб-приложений и Веб-сайтов сомнительного характера, используемых сотрудниками: пиринговые сети, облачные файловые хранилища, прокси и анонимайзеры, вредоносные сайты и многое другое.
- Анализ угроз, включающий компьютеры, инфицированные ботами, вирусами, неизвестным вредоносным ПО (атаки «нулевого дня» и атаки, не обнаруживаемые традиционными антивирусными решениями).
- Оценка уязвимостей серверов и компьютеров компании, являющихся целью возможных атак.
- Мониторинг конфиденциальных данных, отправляемых за пределы организации по E-mail или через Web.
- Анализ полосы пропускания и идентификация наиболее ресурсоемких приложений и веб-сайтов: кто и каким образом более всего загружал сеть.
- Для существующих заказчиков Check Point, использующих централизованное управление: Проверка политики безопасности на соответствие требованиям регуляторов и лучшим практикам, включая индустриальные стандарты PCI, HIPAA, ISO, и другие.
Отчет Security Checkup включает рекомендации, помогающие понять риски и способы защиты от них. Об отчетах мы поговорим чуть ниже.
Как происходит аудит сети?
Обследование сети посредством Security Checkup предусматривает установку шлюза безопасности Check Point внутри сети для инспекции проходящего трафика. При этом шлюз не устанавливается «в разрыв», что не требует изменения конфигурации сети и позволяет избежать сбоев и простоев в работе компании. Вместо этого инспектируется копия трафика за счет подключения к соответствующему устройству Test Access Point (TAP) или порту зеркалирования (Mirror Port, так же известен как Span Port) на сетевом коммутаторе. Подобный подход полностью исключает проблемы, характерные для подключения «в разрыв», поскольку инспектируется только копия трафика. Ниже представлена схема подключения:
Если внутренние правила компании категорически запрещают подключение к корпоративной сети любого чужого оборудования, то аудит может быть проведен с использованием виртуальной машины. Для этого необходимо создать на сервере (где работает гипервизор VMware ESXi или Hyper-V), виртуальную машину с программным шлюзом Check Point. Параметры виртуальной машины сильно зависят от объемов трафика, однако минимальные требования – 6 Гб RAM и 4 ядра CPU. Думаю этот вариант наиболее интересен для читателей хабра, т.к. это можно сделать самостоятельно, не запрашивая “железку” у дистрибьюторов или интеграторов. Именно этот метод (с виртуальной машиной) мы и рассмотрим в следующей статье.
Какие блейды можно использовать?
В прошлом посте я кратко описал имеющиеся программные блейды (функции) Check Point. Практически все мы можем использовать в рамках аудита:
- Firewall
- IPS
- DLP
- Application Control
- Identity Awareness
- URL Filtering
- Anti-Bot
- Antivirus
- Threat Emulation
По окончанию аудита можно будет получить детализированный комплексный отчет.
Что включает отчет?
Мы приведем в качестве примера отчет, который генерируется на версии Gaia R77.30. Он уже считается устаревшим, т.к. есть более новая версия в виде R80. Однако, на момент написания статьи, не было возможности развернуть standalone решение для R80 (шлюз+сервер управления). Т.е. вместо одной виртуалки, пришлось бы поднимать две, а это дольше и нужно больше ресурсов. Поэтому покажу отчет для R77.30.
Отчет получается в формате PDF файла и первое что мы увидим это общая статистика по информационной безопасности:
Затем можно ознакомиться с более детальной статистикой. Например “Приложения и сайты высокой степени риска”:
Видим используемые приложения, к какой категории они относятся и объемы трафика. В отчете также прилагается описание этих приложений (причем на русском языке).
Далее можно увидеть наиболее активных пользователей:
И инциденты утечки данных:
Ниже в отчете будет представлена информация о том, какие файлы были переданы, кем и куда.
Также можно ознакомиться с bot-активностью в вашей сети:
Типы ботов, кто заражен и куда бот “стучится”.
Есть статистика по инцидентам с вирусами:
И информация по зловредам “нулевого дня” (включая описание вредоносной активности):
Есть отчет по работе IPS и что он выявил:
Рейтинг конечных станций, на которых выполняются приложения высокой степени риска:
Пример отчета для R77.30 можно скачать здесь.
Отчеты генерируемые с помощью R80 более красочные и детализированные:
Пример отчета для R80 можно скачать здесь.
Длительность аудита
Как правило достаточно двух недель. Настраиваете Check Point в виртуальной машине, заворачиваете туда копию трафика и через две недели смотрите готовый отчет. По нашей практике (а мы провели уже порядка сотни подобных аудитов) всегда обнаруживаются вещи, которых администраторы никак не ожидали: использование VPN, скачивание вирусов, наличие bot-ов внутри сети и многое другое.
Вывод
Таким образом, с помощью Check Point Security CheckUP можно провести совершенно бесплатный аудит безопасности своей сети. Данный тест требует минимум усилий со стороны администратора, при этом вы будете использовать профессиональное решение. С помощью отчета можно будет сделать вывод об эффективности защиты сети и требуется ли эта защита в принципе. В следующих статьях мы детально рассмотрим этот процесс. Либо вы можете бесплатно запросить данный аудит для своей сети.
P.S. Здесь вы можете скачать образ, который мы будем разварачивать в рамках следующих статей.
Поделиться с друзьями
Комментарии (13)
Sleuthhound
23.03.2017 07:30можете хоть сейчас скачать iso
Просто дайте ссылку, не нужно устрашающих слов — Вы не справитесь, там все сложно. Если не справимся, то обратимся к Вам.
captd
24.03.2017 07:56Только скорость скачивания образа снижена до 64 кбит/с. У меня показывает от 3 до 4 суток будет загружаться )
Sleuthhound
Вы забыли самое главное, ссылку на скачивание Check Point Security CheckUP или все таки он не бесплатный?
cooper051
Абсолютно бесплатный. Делается он на основе стандартного образа Check Point (можете хоть сейчас скачать iso). Но без подготовки его довольно трудно самому развернуть и настроить. В следующих статьях мы как раз начнем описывать, как это сделать — от установки с настройкой, до генерации отчета.