Adica ultima versiune a produselor Check Point pentru securitate de perimetru. Cel putin azi, 26/06/2012.

Zilele astea a trebuit sa tin niste prezentari de Check Point la niste oameni, din care una batut in cap de beat. Eu ma dau cu Check Point de prin 2004 si am ajuns sa-l cunosc destul de bine, mi-am dat si cateva examene de control, sa fie acolo, ca nu se stie :)

De obicei nu prea ma omor p’aci sa scriu de produsele cu care lucrez, insa R75.40 merita si el cateva randuri pentru ca dupa ce l-am frecat in ultima saptamana am ajuns la concluzia ca e pe undeva la 70-75% din ce ar trebui sa fie un firewall UTM performant, capabil si care sa aiba o interfata de management mai mult decat decenta. Restul de firewall-uri sunt undeva mult mai jos, si da, m-am dat cu destul de multe.

Ce stie sa faca foarte bine:

• Firewall: este foarte avansat, stie sa faca inspectie la nivel de protocol (like daca pe portul 25 ii zic ca e SMTP, atunci stie sa urmareasca corect comenzile SMTP si sa le accepte doar pe alea valide).
• IPS: as in true IPS, cu politica, cu reguli, cu exceptii, cu posibilitate de capturare de trafic a pachetelor suspicioase sau blocate, cu GeoProtection (like nu vrei trafic originat din tara X) si multe altele
• Integrare transparenta cu Active Directory (aka Identity Awareness in terminologie Check Point): pot sa pun reguli pe baza de utilizator, grup de utilizator, computer, grup de computere in combinatie cu adrese IP sau subnet-uri. Si chiar merge foarte bine, si nu mai trebuie sa stiu ce user ce IP are.
• URL filtering & Application Control: per baza de reguli poti bloca accesul la aplicatii si/sau URL-uri, cu posibilitate de a le debloca dinamic. Cred ca cel mai tare feature e ala de responsabilizare a utilizatorului, in care il pune sa dea OK ca are voie sa stea doar 15 minute pe zi pe Facebook, si daca sare calul sa stie ca cineva mai sus il vede.
• SSL Inspection. Man-in-the-middle, insa cu o autoritate de certificare care poate emite certificate SSL on-the-fly. Tot ce trebuie sa faca un admin e sa incarce in browser certificatul CA-ului de la firewall. Lucru realizabil foarte usor prin GPO, ca tot e mediu enterprise.
• IPSec VPN (Site-to-Site si Remote Access). De asta nu zic ca nu e nimic spectaculos.
• Raportare integrata, poti sa scoti tot felul de informatii utile si de trenduri doar click-click.
• Log searching rapid, contextul google like. Asta chiar e feature nou si e al dracu de util si interesant cand ai catralioane de loguri si ai nevoie de un search rapid de genul: utilizatorul John Doe ce-a accesat ieri pe VPN. Si sa scrii asta intr-un query de genul: John Doe yesterday blade:VPN.
• AntiBot: feature nou. Se leaga la cloudul lor si pe baza unor mecanisme proprietare clasifica si coreleaza traficul suspect, si daca vede de la mai multi trafic catre destinatii dubioase (like IP-uri din China) incepe sa se uite mai cu atentie la el si sa vada daca e trafic de botnet C&C. Ideeea e destul de simpla: Divided we fall. United we stand.
• DLP aka Data Loss Prevention: merge bine la nivel de gateway, stie sa faca stuff, are foarte multe reguli predefinite, merge pe ideea de a educa si responsabiliza utilizatorul inainte de a-i da in cap (ca deh, toti suntem oameni si gresim).
• OS-ul: acu chiar ca l-au nimerit, poti sa-l configurezi aproape cap-coada numai click-click din interfata web, administrare bazata pe roluri si multe alte bunatati.

Ce suge:

• SSL-VPN: Ideea e buna, portalul spre client aproape arata decent. Insa decat sa vrei sa configurezi rahatul ala mai bine iti bagi un bat in cur, ca asa de greu e de configurat si neintuitiv. Capabilitatile sunt misto, like Secure Virtual Workspace si conectivitate Layer3 on-demand, insa tot d’ampulea e de configurat. Cre’ca ar ajunge market leader instant daca ar copia interfata de la Juniper SA.
• Antivirusul: e super-basic, n-ai cine stie ce optiuni, si de obicei ajungi sa-i dai disable.
• Antispam: cam la fel, suge grupa mare.
• QoS: poti sa pui reguli de prioritizare si garantare de banda, insa trebuie sa renunti la toate capabilitatile de accelerare a traficului. Ceea ce e un big no-no.

Ca si concluzie, tind sa cred ca sunt pe drumul cel bun pentru un firewall pentru enterprise.