Большой обзор Check Point GAIA R82. Статья 1
В 2024 году компания Check Point открыла ранний доступ к новейшей версии своей операционной системы, которая получила номер R82. С приходом этой версии было анонсировано множество улучшений производительности, расширения текущих возможностей системы и добавление новых фич.
Для читателей нашего портала TS University мы собрали все привлекательные новшества, улучшенные возможности и новые режимы работы ОС в двух обзорных статьях.
Предлагаем начать знакомство с рассмотрения ключевых особенностей новой системы.
Для читателей нашего портала TS University мы собрали все привлекательные новшества, улучшенные возможности и новые режимы работы ОС в двух обзорных статьях.
Предлагаем начать знакомство с рассмотрения ключевых особенностей новой системы.
WEB безопасность
Добавлена поддержка HTTP/3 over QUIC (Quick UDP Internet Connections) для функций безопасности, входящих в Network Security, Threat Prevention и Sandbox.
Фактически это означает, что если раньше администраторам приходилось блокировать этот протокол для корректной работы функций инспектирования трафика, то теперь система умеет работать с ним.
Больше не требуется первым правилом в политике безопасности блокировать QUIC. Как видно на примере ниже, теперь этот протокол входит в группу объекта HTTPSdefault service.
Фактически это означает, что если раньше администраторам приходилось блокировать этот протокол для корректной работы функций инспектирования трафика, то теперь система умеет работать с ним.
Больше не требуется первым правилом в политике безопасности блокировать QUIC. Как видно на примере ниже, теперь этот протокол входит в группу объекта HTTPSdefault service.
HTTPS-инспекция
Довольно много улучшений добавилось и к HTTPS-инспекции.
В первую очередь: повышение производительности в режиме инспекции трафика, а также добавление нескольких разделов настройки.
В первую очередь: повышение производительности в режиме инспекции трафика, а также добавление нескольких разделов настройки.
- Режим Full Fail-open. Позволяет автоматически обнаруживать проблемы с соединением как на стороне клиента (например отсутствие сертификата для инспекции), так и на стороне сервера (certificate pinning и т. д.). Система динамически отслеживает состояние соединения и при возникновении ошибок добавляет в bypass.
- Новый режим работы инспекции — режим обучения. Позиционируется как облегченный режим, который позволяет инспектировать небольшой процент трафика (до 30%). Он автоматически обнаруживает проблемы с соединениями и позволяет прогнозировать загрузку при включении полной инспекции. Сам режим выбирается при включении HTTPS-инспекции на конкретном межсетевом экране.
- Дополнительная информация по работе функции отображается в разделе Deployment в политике инспекции.
- Добавлен новый предустановленный отчёт по статистке работы инспекции. В нём отображаются топы инспектируемых ресурсов и общая статистика.
- Добавлена функция bypass underload. Она позволяет в автоматическом режиме отключать https-инспекцию трафика при достижении определенного порога общей загрузки на ядрах процессора. Как это уже ранее было реализованно для IPS.
Ну и перейдём к наиболее привлекательным новшествам:
1) Разделение разделов политики инспекции на Inbound и Outbound. Каждая из них теперь настраивается в отдельном окне.
2) Отдельный репозиторий для Outbound сертификатов. Он позволяет импортировать и экспортировать сертификаты для https-инспекции, а также применять на каждый объект шлюза свой сертификат.
3) Список доверенных сертификатов и прочие настройки, которые раньше открывались через legacy-приложение, теперь доступны напрямую через SmartConsole.
Новая технология кластеризации
Далее мы переходим к не менее интересным вещам, таким как новая технология кластеризации ElasticXL.
Эта технология позиционируется как замена текущего варианта Active — Active кластера (он же load sharing). Новый тип кластера появился благодаря существующему классу решений Scalable Platform Maestro.
Работа осуществляется по тому же принципу, только роль оркестратора берет на себя SMO-нода (Singe Managemet Object). Она отвечает за распределение соединений предположительно алгоритмом, использующимся и в Scalable Platform. SMO-нода держит на себе всю конфигурацию, а новые ноды синхронизируются с ней при добавлении в кластер. В случае отключения текущей SMO-ноды её роль передается следующему активному шлюзу.
Также стоит упомянуть про группы безопасности (Security Group), которые впервые появились в Scalable Platform. Каждая группа представляла собой пул шлюзов, которые для сервера управления являлись единым логическим объектом, выполняющим заданную роль (RAVPN, Core Firewall, Perimeter Firewall и т. д.).
В технологии ElasticXL эти группы представлены в виде Active и Standby пулов шлюзов. Переключение с Active группы на Standby по умолчанию происходит в случае выхода из строя всех нод активной группы. С точки зрения сервера управления, это единый логический объект шлюза в Smart Console.
Эта технология позиционируется как замена текущего варианта Active — Active кластера (он же load sharing). Новый тип кластера появился благодаря существующему классу решений Scalable Platform Maestro.
Работа осуществляется по тому же принципу, только роль оркестратора берет на себя SMO-нода (Singe Managemet Object). Она отвечает за распределение соединений предположительно алгоритмом, использующимся и в Scalable Platform. SMO-нода держит на себе всю конфигурацию, а новые ноды синхронизируются с ней при добавлении в кластер. В случае отключения текущей SMO-ноды её роль передается следующему активному шлюзу.
Также стоит упомянуть про группы безопасности (Security Group), которые впервые появились в Scalable Platform. Каждая группа представляла собой пул шлюзов, которые для сервера управления являлись единым логическим объектом, выполняющим заданную роль (RAVPN, Core Firewall, Perimeter Firewall и т. д.).
В технологии ElasticXL эти группы представлены в виде Active и Standby пулов шлюзов. Переключение с Active группы на Standby по умолчанию происходит в случае выхода из строя всех нод активной группы. С точки зрения сервера управления, это единый логический объект шлюза в Smart Console.
Из ограничений:
- На данный момент не поддерживается развертывание в виртуальном варианте;
- Поддерживаются максимум две группы — Active и Standby;
- В каждой группе может быть максимум 3 ноды.
- Общее впечатление: технология является довольно интересной и рекомендуется для более глубокого тестирования.
IPsec VPN
Немало улучшений пришло и для построения S2S VPN-туннелей.
Из ключевого:
1) Появилась возможность мониторить доступность IP-адреса, с которым строится туннель.
Из ключевого:
1) Появилась возможность мониторить доступность IP-адреса, с которым строится туннель.
2) Автоматическое обнаружение изменений конфигурации в публичных облаках AWS, Azure, GCP и корректировка параметров VPN-туннеля.
3) Enchanted linkselection — возможность для каждого VPN-комьюнити явно задать первичный и вторичный интерфейс для построения VPN-туннеля. Интерфейсы могут быть разными для каждого комьюнити.
3) Enchanted linkselection — возможность для каждого VPN-комьюнити явно задать первичный и вторичный интерфейс для построения VPN-туннеля. Интерфейсы могут быть разными для каждого комьюнити.
4) Теперь при построении туннеля с Interoperable device (3rd party) и активации функции permanent tunnel автоматически используется технология DPD (DeadPeer Detection) вместо проприетарной RDP (Reliable Data Protocol)
Нововведения в операционной системе GAIA
А сейчас мы переходим к основным нововведениям в самой операционной системе.
Первое, что стоит отметить, — это обновленная версия ядра 4.18.0−372.9.1cpx8664. Для пользователей это означает, что производить обновление до R82 для сервера управления нужно методом миграции с развертыванием чистой системы. В свою очередь, для шлюзов безопасности это будет метод Fresh Install.
Были расширены возможности операционной системы.
В частности:
·Возможность настройки LLDP (Link Layer Discovery Protocol) для VSX шлюзов;
·Поддержка DHCPv6 в качестве сервера и клиента;
·Возможность настройки «ААА» аутентификации (TACACS, RADIUS и локально) на GAIA портале и в Clish;
·Возможность настройки DNS Proxy Forwarding Domains, которая позволяет задавать несколько DNS суффиксов и определять для них свой набор серверов.
Добавлены новые функции на Gaia-портале:
Первое, что стоит отметить, — это обновленная версия ядра 4.18.0−372.9.1cpx8664. Для пользователей это означает, что производить обновление до R82 для сервера управления нужно методом миграции с развертыванием чистой системы. В свою очередь, для шлюзов безопасности это будет метод Fresh Install.
Были расширены возможности операционной системы.
В частности:
·Возможность настройки LLDP (Link Layer Discovery Protocol) для VSX шлюзов;
·Поддержка DHCPv6 в качестве сервера и клиента;
·Возможность настройки «ААА» аутентификации (TACACS, RADIUS и локально) на GAIA портале и в Clish;
·Возможность настройки DNS Proxy Forwarding Domains, которая позволяет задавать несколько DNS суффиксов и определять для них свой набор серверов.
Добавлены новые функции на Gaia-портале:
- Поддержка двухфакторной аутентификации через TOTP (Google Authenticator and Microsoft Authenticator)
- Поддержка NTP пулов
- Возможность настройки NFSv4
Добавлена поддержка хранения резервной копии и ее восстановления из Amazon S3 и Microsoft Azure
Производительность
Несколько приятных изменений появились в части производительности системы.
- Технология Hyper Flow, которая отвечает за многопоточную обработку тяжелых соединений (Elefant connections) теперь может обрабатывать и SMB/CIFS трафик;
- Сервис, который отвечает за отправку логов теперь работает в многопоточном режиме;
- Обработка соединений через VxLAN и GRE туннели теперь поддерживаются технологией акселерации трафика — SecureXL
Maestro Hyperscale
Улучшены возможности мониторинга и управления кластерами Maestro.
В частности:
В частности:
- Добавлена поддержка мониторинга каждого участника группы по SNMP;
- Добавлена возможность конфигурации и мониторинга портов, групп безопасности и шлюзов входящих в состав Maestro и ElasticXL кластеров через REST API
Заключение
Новая версия Check Point GAIA OS R82 предлагает значительные улучшения, направленные на повышение безопасности, производительности и удобства управления инфраструктурой безопасности.
Включение расширенных возможностей для защиты от угроз, оптимизация производительности с поддержкой современных технологий и улучшенный интерфейс управления делают R82 мощным инструментом для защиты сети.
Во второй статье мы продолжим знакомить вас с нововведениями R82. Поговорим, в частности, про улучшение возможностей Threat Prevention, Quantum Security Management, Dynamic Policy Layer и т. д.
Оставайтесь с нами!
Авторы статьи: Сергей Дудин и Феодор Жемчужников, Системные инженеры в TS Solution
Включение расширенных возможностей для защиты от угроз, оптимизация производительности с поддержкой современных технологий и улучшенный интерфейс управления делают R82 мощным инструментом для защиты сети.
Во второй статье мы продолжим знакомить вас с нововведениями R82. Поговорим, в частности, про улучшение возможностей Threat Prevention, Quantum Security Management, Dynamic Policy Layer и т. д.
Оставайтесь с нами!
Авторы статьи: Сергей Дудин и Феодор Жемчужников, Системные инженеры в TS Solution