Hoe om die doeltreffendheid van 'n NGFW-opstelling te evalueer
Die mees algemene taak is om te kyk hoe goed jou firewall opgestel is. Om dit te doen, is daar gratis nutsdienste en dienste van maatskappye wat met NGFW handel.
Byvoorbeeld, hieronder kan jy sien dat Palo Alto Networks die vermoë het om direk vanaf voer firewall statistieke analise uit - SLR verslag of beste praktyk voldoening analise - BPA verslag. Dit is gratis aanlyn nutsprogramme wat jy kan gebruik sonder om iets te installeer.
INHOUD
Ekspedisie (migrasienutsding)
'n Meer komplekse opsie om jou instellings na te gaan, is om 'n gratis hulpprogram af te laai (voormalige Migrasie-instrument). Dit word afgelaai as 'n virtuele toestel vir VMware, geen instellings word daarmee vereis nie - jy moet die prent aflaai en dit onder die VMware-hypervisor ontplooi, dit laat loop en na die webkoppelvlak gaan. Hierdie program vereis 'n aparte storie, net die kursus daarop neem 5 dae, daar is nou soveel funksies daar, insluitend masjienleer en migrasie van verskeie konfigurasies van beleide, NAT en voorwerpe vir verskillende firewall-vervaardigers. Oor Masjienleer sal ek later in die teks meer skryf.
Beleidsoptimeerder
En die gerieflikste opsie (IMHO), waaroor ek vandag in meer besonderhede sal praat, is die beleidoptimaliseerder wat in die Palo Alto Networks-koppelvlak self ingebou is. Om dit te demonstreer, het ek 'n firewall in my huis geïnstalleer en 'n eenvoudige reël geskryf: laat enigeen toe. In beginsel sien ek soms sulke reëls selfs in korporatiewe netwerke. Ek het natuurlik alle NGFW-sekuriteitsprofiele geaktiveer, soos u in die skermkiekie kan sien:
Die skermkiekie hieronder toon 'n voorbeeld van my huis ongekonfigureerde firewall, waar byna alle verbindings in die laaste reël val: AllowAll, soos gesien kan word uit die statistieke in die Hit Count kolom.
Nul vertroue
Daar is 'n benadering tot sekuriteit genoem . Wat dit beteken: ons moet mense binne die netwerk toelaat presies die verbindings wat hulle nodig het en alles anders verbied. Dit wil sê, ons moet duidelike reëls vir toepassings, gebruikers, URL-kategorieë, lêertipes byvoeg; aktiveer alle IPS- en antivirus-handtekeninge, aktiveer sandbox, DNS-beskerming, gebruik IoC vanaf beskikbare Threat Intelligence-databasisse. Oor die algemeen is daar 'n ordentlike aantal take wanneer 'n firewall opgestel word.
Terloops, die minimum stel vereiste instellings vir Palo Alto Networks NGFW word in een van die SANS-dokumente beskryf: - Ek beveel aan om daarmee te begin. En natuurlik is daar 'n stel beste praktyke vir die opstel van 'n firewall van die vervaardiger: .
So, ek het vir 'n week lank 'n firewall by die huis gehad. Kom ons kyk watter verkeer op my netwerk is:
As gesorteer volgens die aantal sessies, dan word die meeste van hulle geskep deur bittorent, dan kom SSL, dan QUIC. Dit is statistieke vir beide inkomende en uitgaande verkeer: daar is baie eksterne skanderings van my router. Daar is 150 verskillende toepassings op my netwerk.
So, dit alles is gemis deur een reël. Kom ons kyk nou wat Beleidsoptimeerder hieroor sê. As jy na die skermkiekie van die koppelvlak met sekuriteitsreëls hierbo gekyk het, dan sien jy 'n klein venstertjie links onder, wat vir my aandui dat daar reëls is wat geoptimaliseer kan word. Kom ons klik daar.
Wat Beleidoptimeerder wys:
- Watter polisse is glad nie gebruik nie, 30 dae, 90 dae. Dit help om die besluit te neem om hulle heeltemal te verwyder.
- Watter toepassings is in die beleide gespesifiseer, maar geen sulke toepassings is in die verkeer gevind nie. Dit laat jou toe om onnodige toepassings te verwyder deur reëls toe te laat.
- Watter polisse het alles toegelaat, maar daar was regtig toepassings wat lekker sou wees om uitdruklik aan te dui volgens die Zero Trust-metodologie.
Klik op Ongebruik.
Om te wys hoe dit werk, het ek 'n paar reëls bygevoeg en tot dusver het hulle nog nie 'n enkele pakkie gemis nie. Hier is hul lys:
Miskien, met verloop van tyd, sal die verkeer daar verbygaan en dan sal hulle van hierdie lys verdwyn. En as hulle vir 90 dae op hierdie lys is, kan jy besluit om hierdie reëls te verwyder. Elke reël bied immers 'n geleentheid vir 'n hacker.
Daar is 'n werklike probleem met die firewall-konfigurasie: 'n nuwe werknemer kom, kyk na die firewall-reëls, as hulle geen kommentaar het nie en nie weet hoekom hierdie reël geskep is nie, is dit regtig nodig, kan dit uitgevee word: skielik is die persoon op vakansie en deur Binne 30 dae sal verkeer weer vloei van die diens wat hy benodig. En net hierdie funksie help hom om 'n besluit te neem - niemand gebruik dit nie - vee dit uit!
Klik op Ongebruikte toepassing.
Ons klik op Unused App in die optimizer en sien dat interessante inligting in die hoofvenster oopmaak.
Ons sien dat daar drie reëls is, waar die aantal toegelate aansoeke en die aantal aansoeke wat werklik hierdie reël geslaag het verskil.
Ons kan klik en 'n lys van hierdie toepassings sien en hierdie lyste vergelyk.
Klik byvoorbeeld op die Vergelyk-knoppie vir die Max-reël.
Hier kan jy sien dat Facebook-, Instagram-, telegram-, vkontakte-toepassings toegelaat is. Maar in werklikheid het die verkeer slegs deur 'n deel van die sub-aansoeke gegaan. Hier moet jy verstaan dat die facebook-toepassing verskeie subtoepassings bevat.
Die hele lys van NGFW-aansoeke kan op die portaal gesien word en in die firewall-koppelvlak self, in die Voorwerpe-> Toepassings-afdeling en in die soektog, tik die naam van die toepassing in: facebook, jy sal die volgende resultaat kry:
So, sommige van hierdie sub-aansoeke is deur NGFW gesien, maar sommige was nie. Trouens, jy kan afsonderlik verskillende subfunksies van Facebook verbied en toelaat. Laat byvoorbeeld die kyk van boodskappe toe, maar verbied klets of lêeroordrag. Gevolglik praat Policy Optimizer hieroor en jy kan 'n besluit neem: laat nie alle Facebook-toepassings toe nie, maar net die belangrikstes.
So, ons het besef dat die lyste verskil. U kan seker maak dat die reëls slegs die toepassings toelaat wat werklik op die netwerk reis. Om dit te doen, klik jy op die MatchUsage-knoppie. Dit blyk so uit:
En jy kan ook toepassings byvoeg wat jy nodig ag - die Voeg by-knoppie aan die linkerkant van die venster:
En dan kan hierdie reël toegepas en getoets word. Baie geluk!
Klik Geen toepassings gespesifiseer nie.
In hierdie geval sal 'n belangrike sekuriteitsvenster oopmaak.
Daar is heel waarskynlik baie sulke reëls waar die L7-vlaktoepassing nie eksplisiet in jou netwerk gespesifiseer word nie. En in my netwerk is daar so 'n reël - laat ek jou herinner dat ek dit tydens die aanvanklike opstelling gemaak het, spesifiek om te wys hoe die Beleidsoptimeerder werk.
Die prentjie wys dat die AllowAll-reël 9 gigagrepe se verkeer oor die tydperk van 17 Maart tot 220 Maart gemis het, wat altesaam 150 verskillende toepassings in my netwerk is. En dit is steeds nie genoeg nie. Tipies het 'n gemiddelde grootte korporatiewe netwerk 200-300 verskillende toepassings.
Dus, een reël laat soveel as 150 toepassings deur. Dit beteken gewoonlik dat die firewall verkeerd gekonfigureer is, want gewoonlik word 1-10 toepassings vir verskillende doeleindes in een reël oorgeslaan. Kom ons kyk wat hierdie toepassings is: klik op die Vergelyk-knoppie:
Die wonderlikste ding vir die administrateur in die Beleidsoptimaliseerder-funksie is die Pas Gebruik-knoppie - jy kan 'n reël met een klik skep, waar jy al 150 toepassings in die reël sal invoer. Om dit met die hand te doen, sal nogal lank neem. Die aantal take vir die administrateur, selfs op my netwerk van 10 toestelle, is groot.
Ek het 150 verskillende toepassings wat by die huis loop, wat gigagrepe se verkeer oordra! En hoeveel het jy?
Maar wat gebeur in 'n netwerk van 100 toestelle of 1000 of 10000? Ek het firewalls met 8000 reëls gesien en ek is baie bly dat administrateurs nou sulke gerieflike outomatiseringsinstrumente het.
Jy sal nie sommige van die toepassings nodig hê wat die L7-toepassingsanalise-module in NGFW op die netwerk gesien en gewys het nie, so jy verwyder hulle eenvoudig van die lys van die toelaat-reël, of kloon die reëls met die Kloon-knoppie (in die hoofkoppelvlak) en laat in een toepassingsreël toe, en in Blokkeer ander toepassings asof dit beslis nie op jou netwerk nodig is nie. Sulke toepassings word dikwels bittorent, stoom, ultrasurf, tor, versteekte tonnels soos tcp-over-dns en ander.
Wel, kom ons klik op 'n ander reël en kyk wat jy daar kan sien:
Ja, daar is toepassings tipies vir multicast. Ons moet hulle toelaat vir aanlyn videokyk om te werk. Klik op Pas gebruik. Puik! Dankie Policy Optimizer.
Wat van masjienleer?
Nou is dit modieus om oor outomatisering te praat. Wat ek beskryf het, het uitgekom – dit help baie. Daar is nog een moontlikheid waaroor ek moet praat. Dit is die masjienleer-funksie wat in die Expedition-nutsding ingebou is, wat reeds hierbo genoem is. In hierdie nutsprogram is dit moontlik om reëls vanaf jou ou firewall van 'n ander vervaardiger oor te dra. Daar is ook die vermoë om bestaande Palo Alto Networks-verkeerslogboeke te ontleed en voor te stel watter reëls om te skryf. Dit is soortgelyk aan die funksionaliteit van Policy Optimizer, maar in Expedition is dit selfs meer uitgebrei en jy word 'n lys van gereedgemaakte reëls aangebied - jy moet dit net goedkeur.
Om hierdie funksionaliteit te toets, is daar 'n laboratoriumwerk - ons noem dit 'n toetsrit. Hierdie toets kan gedoen word deur na die virtuele firewalls te gaan wat Palo Alto Networks Moskou kantoorpersoneel op jou versoek sal begin.
Die versoek kan gestuur word aan [e-pos beskerm] en skryf in die versoek: "Ek wil 'n UTD vir die Migrasieproses maak."
Trouens, daar is verskeie opsies vir laboratoriums genaamd Unified Test Drive (UTD) en hulle almal na versoek.
Slegs geregistreerde gebruikers kan aan die opname deelneem. , asseblief.
Wil jy hê iemand moet jou help om jou firewall-beleide te optimaliseer?
-
Ja
-
Geen
-
Ek sal alles self doen
Niemand het nog gestem nie. Daar is geen onthoudings nie.
Bron: will.com