كيفية تقييم فعالية ضبط NGFW
المهمة الأكثر شيوعًا هي التحقق من جودة تكوين جدار الحماية الخاص بك. للقيام بذلك ، هناك مرافق وخدمات مجانية من الشركات التي تتعامل مع NGFW.
على سبيل المثال ، يمكنك أن ترى أدناه أن Palo Alto Networks لديها القدرة على الاتصال مباشرة من تشغيل تحليل إحصائيات جدار الحماية - تقرير SLR أو تحليل الامتثال لأفضل الممارسات - تقرير BPA. هذه أدوات مساعدة مجانية عبر الإنترنت يمكنك استخدامها دون تثبيت أي شيء.
المحتويات
إكسبيديشن (أداة الترحيل)
هناك خيار أكثر تعقيدًا للتحقق من إعداداتك وهو تنزيل أداة مساعدة مجانية (أداة الهجرة السابقة). يتم تنزيله كجهاز افتراضي لبرنامج VMware ، ولا توجد إعدادات مطلوبة معه - تحتاج إلى تنزيل الصورة ونشرها ضمن برنامج VMware Hypervisor ، وتشغيله والانتقال إلى واجهة الويب. تتطلب هذه الأداة قصة منفصلة ، وتستغرق الدورة التدريبية 5 أيام فقط ، وهناك العديد من الوظائف الآن ، بما في ذلك التعلم الآلي وترحيل التكوينات المختلفة للسياسات و NAT والكائنات لمختلف الشركات المصنعة لجدار الحماية. حول التعلم الآلي ، سأكتب المزيد لاحقًا في النص.
مُحسِّن السياسة
والخيار الأكثر ملاءمة (IMHO) ، الذي سأتحدث عنه بمزيد من التفصيل اليوم ، هو مُحسِّن السياسة المدمج في واجهة Palo Alto Networks نفسها. لإثبات ذلك ، قمت بتثبيت جدار حماية في منزلي وكتبت قاعدة بسيطة: السماح لأي شخص. من حيث المبدأ ، أرى أحيانًا مثل هذه القواعد حتى في شبكات الشركات. بطبيعة الحال ، قمت بتمكين جميع ملفات تعريف أمان NGFW ، كما ترون في لقطة الشاشة:
تُظهر لقطة الشاشة أدناه مثالاً لجدار الحماية غير المكون في منزلي ، حيث تقع جميع الاتصالات تقريبًا في القاعدة الأخيرة: AllowAll ، كما يتضح من الإحصائيات في عمود Hit Count.
صفر الثقة
هناك نهج للأمن يسمى . ماذا يعني هذا: يجب أن نسمح للأشخاص داخل الشبكة بالاتصالات التي يحتاجون إليها تمامًا ونمنع أي شيء آخر. أي أننا نحتاج إلى إضافة قواعد واضحة للتطبيقات والمستخدمين وفئات عناوين URL وأنواع الملفات ؛ تمكين جميع توقيعات IPS ومكافحة الفيروسات ، وتمكين وضع الحماية ، وحماية DNS ، واستخدام IoC من قواعد بيانات Threat Intelligence المتاحة. بشكل عام ، هناك قدر مناسب من المهام عند إعداد جدار حماية.
بالمناسبة ، تم وصف الحد الأدنى من الإعدادات المطلوبة لشبكات Palo Alto Networks NGFW في إحدى مستندات SANS: أوصي بالبدء به. وبالطبع ، هناك مجموعة من أفضل الممارسات لإعداد جدار حماية من الشركة المصنعة: .
لذلك ، كان لدي جدار حماية في المنزل لمدة أسبوع. دعونا نرى ما هي حركة المرور على شبكتي:
إذا تم الترتيب حسب عدد الجلسات ، فسيتم إنشاء معظمها بواسطة bittorent ، ثم يأتي SSL ، ثم QUIC. هذه إحصائيات لحركة المرور الواردة والصادرة: هناك الكثير من عمليات الفحص الخارجية لجهاز التوجيه الخاص بي. هناك 150 تطبيقًا مختلفًا في شبكتي.
لذلك ، تم تخطي كل شيء بقاعدة واحدة. لنرى الآن ما يقوله "مُحسِّن السياسة" حول هذا الموضوع. إذا نظرت إلى لقطة الشاشة للواجهة مع قواعد الأمان أعلاه ، فحينئذٍ رأيت نافذة صغيرة في أسفل اليسار ، مما يلمح لي أن هناك قواعد يمكن تحسينها. دعنا نضغط هناك.
ما الذي يعرضه مُحسِّن السياسة:
- ما هي السياسات التي لم يتم استخدامها على الإطلاق ، 30 يومًا ، 90 يومًا. هذا يساعد على اتخاذ قرار بإزالتها تمامًا.
- التطبيقات التي تم تحديدها في السياسات ، ولكن لم يتم العثور على مثل هذه التطبيقات في حركة المرور. يسمح لك هذا بإزالة التطبيقات غير الضرورية في قواعد السماح.
- ما هي السياسات التي سمحت بكل شيء على التوالي ، ولكن كانت هناك بالفعل تطبيقات سيكون من الجيد الإشارة إليها صراحةً وفقًا لمنهجية الثقة الصفرية.
انقر فوق غير مستخدم.
لإظهار كيفية عملها ، أضفت بعض القواعد وحتى الآن لم يفوتهم أي حزمة حتى الآن. ها هي قائمتهم:
ربما ، بمرور الوقت ، ستمر حركة المرور هناك ثم تختفي من هذه القائمة. وإذا كانت مدرجة في هذه القائمة لمدة 90 يومًا ، فيمكنك أن تقرر إزالة هذه القواعد. بعد كل شيء ، توفر كل قاعدة فرصة للمتسلل.
هناك مشكلة حقيقية في تكوين جدار الحماية: يأتي موظف جديد ، وينظر في قواعد جدار الحماية ، إذا لم يكن لديه أي تعليقات ولا يعرف سبب إنشاء هذه القاعدة ، فهل هي ضرورية حقًا ، هل يمكن حذفها: فجأة يكون الشخص في إجازة وبعد 30 يومًا ستنتقل حركة المرور مرة أخرى من الخدمة التي يحتاجها. وهذه الوظيفة فقط تساعده في اتخاذ قرار - لا يستخدمه أحد - حذفه!
انقر فوق تطبيق غير مستخدم.
نضغط على تطبيق غير مستخدم في المحسن ونرى أن المعلومات المثيرة للاهتمام تفتح في النافذة الرئيسية.
نرى أن هناك ثلاث قواعد ، حيث يختلف عدد التطبيقات المسموح بها وعدد التطبيقات التي اجتازت هذه القاعدة بالفعل.
يمكننا النقر والاطلاع على قائمة بهذه التطبيقات ومقارنة هذه القوائم.
على سبيل المثال ، دعنا نضغط على زر مقارنة لقاعدة الحد الأقصى.
هنا يمكنك أن ترى أنه تم السماح بتطبيقات facebook و instagram و telegram و vkontakte. لكن في الواقع ، مرت حركة المرور فقط من خلال جزء من التطبيقات الفرعية. هنا تحتاج إلى فهم أن تطبيق facebook يحتوي على العديد من التطبيقات الفرعية.
يمكن الاطلاع على القائمة الكاملة لتطبيقات NGFW على البوابة وفي واجهة جدار الحماية نفسها ، في قسم Objects-> Applications وفي البحث ، اكتب اسم التطبيق: facebook ، وستحصل على النتيجة التالية:
لذلك ، رأت NGFW بعض هذه التطبيقات الفرعية ، والبعض الآخر لم يفعل ذلك. في الواقع ، يمكنك تعطيل وتمكين وظائف فرعية مختلفة للفيسبوك بشكل منفصل. على سبيل المثال ، تسمح لك بمشاهدة الرسائل ، ولكن تحظر الدردشة أو نقل الملفات. وفقًا لذلك ، يتحدث مُحسِّن السياسة عن هذا ويمكنك اتخاذ قرار: عدم السماح لجميع تطبيقات Facebook ، ولكن التطبيقات الرئيسية فقط.
لذلك ، أدركنا أن القوائم مختلفة. يمكنك التأكد من أن القواعد تسمح فقط لتلك التطبيقات التي تتجول فعليًا في الشبكة. للقيام بذلك ، انقر فوق الزر MatchUsage. اتضح مثل هذا:
ويمكنك أيضًا إضافة التطبيقات التي تعتبرها ضرورية - الزر "إضافة" على الجانب الأيسر من النافذة:
وبعد ذلك يمكن تطبيق هذه القاعدة واختبارها. تهانينا!
انقر فوق "لم يتم تحديد تطبيقات".
في هذه الحالة ، سيتم فتح نافذة أمان مهمة.
هناك على الأرجح الكثير من هذه القواعد حيث لا يتم تحديد تطبيق مستوى L7 بشكل صريح في شبكتك. وفي شبكتي توجد مثل هذه القاعدة - دعني أذكرك بأنني قمت بها أثناء الإعداد الأولي ، وتحديدًا لإظهار كيفية عمل "مُحسِّن السياسة".
تُظهر الصورة أن قاعدة AllowAll فاتتها 9 غيغابايت من حركة المرور خلال الفترة من 17 مارس إلى 220 مارس ، وهو ما مجموعه 150 تطبيقًا مختلفًا في شبكتي. وهذا لا يزال غير كاف. عادةً ما تحتوي شبكة الشركات المتوسطة الحجم على 200 إلى 300 تطبيق مختلف.
لذلك ، هناك قاعدة واحدة تفتقد ما يصل إلى 150 تطبيقًا. يعني هذا عادةً أنه تم تكوين جدار الحماية بشكل غير صحيح ، لأنه عادةً ما يتم تخطي 1-10 تطبيقات لأغراض مختلفة في قاعدة واحدة. دعونا نرى ما هي هذه التطبيقات: انقر فوق الزر مقارنة:
أروع شيء للمسؤول في ميزة Policy Optimizer هو زر Match Usage - يمكنك إنشاء قاعدة بنقرة واحدة ، حيث ستدخل جميع التطبيقات البالغ عددها 150 في القاعدة. قد يستغرق القيام بذلك يدويًا وقتًا طويلاً. عدد المهام للمسؤول ، حتى على شبكتي المكونة من 10 أجهزة ، ضخم.
لدي 150 تطبيقًا مختلفًا يعمل في المنزل ، ينقل غيغابايت من حركة المرور! وكم لديك؟
ولكن ماذا يحدث في شبكة من 100 جهاز أو 1000 أو 10000؟ لقد رأيت جدران حماية بها 8000 قاعدة وأنا سعيد جدًا لأن المسؤولين لديهم الآن أدوات أتمتة مريحة.
لن تحتاج إلى بعض التطبيقات التي شاهدتها وحدة تحليل التطبيق L7 في NGFW وعرضتها على الشبكة ، لذلك يمكنك ببساطة إزالتها من قائمة قاعدة السماح ، أو استنساخ القواعد باستخدام زر Clone (في الواجهة الرئيسية) والسماح بالتطبيقات في قاعدة واحدة ، وحظر التطبيقات في أخرى ، وهو بالتأكيد غير مطلوب في شبكتك. غالبًا ما تصبح Bittorent و steam و ultrasurf و tor والأنفاق المخفية مثل tcp-over-dns وغيرها من هذه التطبيقات.
حسنًا ، انقر فوق قاعدة أخرى - ما يمكنك رؤيته هناك:
نعم ، هناك تطبيقات خاصة بالبث المتعدد. يجب أن نسمح لهم حتى يعمل عرض الفيديو عبر الشبكة. انقر فوق مطابقة الاستخدام. عظيم! شكرًا لمحسن السياسة.
ماذا عن التعلم الآلي؟
من المألوف الآن التحدث عن الأتمتة. ما وصفته خرج - إنه يساعد كثيرًا. هناك احتمال آخر يجب أن أذكره. هذه هي وظيفة التعلم الآلي المضمنة في الأداة المساعدة Expedition المذكورة أعلاه. في هذه الأداة المساعدة ، من الممكن نقل القواعد من جدار الحماية القديم من جهة تصنيع أخرى. وهناك أيضًا القدرة على تحليل سجلات مرور Palo Alto Networks الحالية واقتراح القواعد التي يجب كتابتها. هذا مشابه لوظيفة Policy Optimizer ، ولكنه أكثر تقدمًا في Expedition ويتم تقديم قائمة بالقواعد الجاهزة - ما عليك سوى الموافقة عليها.
لاختبار هذه الوظيفة ، هناك عمل مخبري - نسميه اختبار قيادة. يمكن إجراء هذا الاختبار بالذهاب إلى جدران الحماية الافتراضية التي سيطلقها موظفو مكتب Palo Alto Networks Moscow بناءً على طلبك.
يمكن إرسال الطلب إلى [البريد الإلكتروني محمي] وفي الطلب اكتب: "أريد عمل UTD لعملية الترحيل."
في الواقع ، هناك العديد من الخيارات للمختبرات تسمى Unified Test Drive (UTD) وجميعها بعد الطلب.
يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. ، من فضلك.
هل تريد أن يساعدك شخص ما في تحسين سياسات جدار الحماية الخاص بك؟
-
نعم
-
لا
-
سأفعل كل شيء بنفسي
لم يصوت أحد حتى الآن. لا يوجد ممتنعون عن التصويت.
المصدر: www.habr.com