Check Point UTM-1 в SMB: IPS, антивирус и URL-фильтр вместо трёх коробок
Заменили устаревший периметровый файрвол клиента на Check Point UTM-1. Первый месяц: IPS заблокировал сотни попыток эксплуатации уязвимостей, о которых никто не подозревал.
UTM-решения (Unified Threat Management) занимают всё больше корпоративного рынка SMB в 2007 году
Аппаратный файрвол клиента был куплен в 2003 году. За четыре года он не ломался, справно фильтровал пакеты по портам, и именно это было его главной проблемой: он умел только то, что умел в 2003-м. Никаких сигнатур угроз, никакого контентного анализа, никакой интеграции с базами репутации. Просто ACL с кучей правил, которые никто не пересматривал.
На рынке SMB в этом году активно продвигается класс решений под аббревиатурой UTM - Unified Threat Management. Идея простая: вместо трёх-четырёх отдельных устройств (файрвол, IPS, антивирусный шлюз, прокси с URL-фильтрацией) ставится одно, которое умеет всё это одновременно. Вендоры обещают управляемость, единую консоль и меньше точек отказа. Мы поставили Check Point UTM-1 Edge - и теперь есть что рассказать.
Зачем менять то, что не ломается
У клиента - производственная компания, около ста пользователей, один офис, внешний канал 4 Мбит. Старый файрвол технически работал. Но ситуация вокруг него изменилась: в мае подняли SIEM и начали собирать логи с периметра, и сразу стало видно, что внешний интернет - это не тихое место. Сканы, брутфорс RDP, попытки соединений на нестандартные порты - всё это шло мимо файрвола как разрешённый или молча дропнутый трафик, без какого-либо анализа содержимого.
Второй триггер - жалобы на вирусы. Несмотря на антивирус на рабочих станциях, несколько раз в квартал что-то всё равно пролезало. Источник почти всегда один: веб-браузер и электронная почта. То есть трафик на 80-м порту, который старый файрвол пропускает без вопросов.
Что поставили и как настраивали
Check Point UTM-1 Edge в конфигурации с IPS, антивирусом на шлюзе и URL-фильтрацией. Установка заняла рабочий день с переносом всех правил NAT и файрвола. Check Point позволяет мигрировать политики, хотя и с ручной доводкой - некоторые правила пришлось переписать, потому что логика обработки трафика в SmartCenter отличается от того, к чему все привыкли на старом устройстве.
Первое, что настроили - IPS в режиме detect, не prevent. Классическая ошибка при внедрении IPS - сразу включить блокировку и получить шторм ложных срабатываний, который парализует работу. Две недели смотрели на то, что детектируется, разбирали каждый класс событий, отсекали легитимный трафик от реальных угроз.
Антивирус на шлюзе настроили на HTTP и SMTP-трафик. Здесь важный нюанс с производительностью: сканирование содержимого стоит ресурсов, и для канала 4 Мбит UTM-1 Edge справляется без заметных задержек - но если бы канал был шире, вопрос размера железки стоял бы острее.
URL-фильтрацию включили по категориям из базы Check Point. Не стали блокировать всё подряд - выбрали очевидные категории: вредоносные сайты, фишинг, сайты с вредоносным ПО. Социальные сети и развлекательные ресурсы пока не трогали - это отдельный разговор с руководством клиента о политике.
Первый месяц в режиме блокировки
Через две недели перевели IPS в режим prevent - сначала для наиболее критичных категорий сигнатур (эксплуатация уязвимостей в ОС и серверном ПО), остальное оставили в detect.
Результат первого месяца полностью в prevent оказался неожиданным даже для нас. IPS заблокировал несколько сотен попыток эксплуатации уязвимостей - в основном атаки на известные CVE в Windows, попытки использования устаревших эксплойтов для IIS и SMB. Атаки не были направлены именно на этого клиента - это фоновый шум интернета, автоматизированные сканеры, которые пробуют всё подряд. Но раньше этот шум просто проходил мимо файрвола к хостам внутри сети.
Часть найденных попыток касалась уязвимостей, о которых внутри IT-отдела клиента никто не знал в применении к их конкретным версиям ПО. Не потому что IT плохой - просто патч-менеджмент даже в хорошо организованных компаниях не успевает за всем одновременно.
Антивирус на шлюзе за месяц поймал несколько загрузок с детектом на вредоносный код - это то, что прошло бы в браузер и оказалось на проверке у десктопного антивируса. Сколько из них он бы поймал - не знаем, но лучше иметь два рубежа, чем один.
Что работает хуже, чем хотелось бы
Честно: несколько вещей оказались менее удобными, чем казалось на бумаге.
- Обновление сигнатур IPS требует активной подписки, и это отдельная статья расходов, которую клиент не всегда закладывал заранее. Без актуальных сигнатур IPS постепенно устаревает - это важно прояснять до внедрения.
- Отчётность в SmartView Reporter удобна, но требует привыкания. Готовые шаблоны отчётов есть, но под специфику клиента их всё равно приходится дорабатывать.
- URL-фильтрация по базе Check Point - база хорошая, но не идеальная. Несколько легитимных ресурсов попали в категорию «подозрительные» и пришлось добавлять исключения вручную.
Промежуточный итог
UTM как концепция работает. Одна коробка с единой политикой - это реально проще в управлении, чем несколько разных устройств с разными интерфейсами. Для компании в сто человек с одним каналом и одним ответственным за безопасность это принципиально.
Главный вывод первого месяца: IPS на шлюзе показывает трафик таким, какой он есть - а не таким, каким его хотелось бы видеть. То, что казалось «тихой сетью», на деле оказалось сетью с фоновым потоком попыток, которые просто никто раньше не видел.
Задача на ближайшие два месяца - перевести оставшиеся категории IPS в режим prevent и разобраться с политикой URL-фильтрации для продуктивности. В рамках сопровождения инфраструктуры мы продолжаем мониторить события и раз в две недели разбираем с клиентом статистику по блокировкам - без этого UTM превращается в дорогой файрвол с красивым дашбордом.