Як ацаніць эфектыўнасць наладкі NGFW
Самая частая задача - праверыць наколькі эфектыўна настроены ваш міжсеткавы экран. Для гэтага існуюць бясплатныя ўтыліты і сэрвісы ў кампаній, якія займаюцца NGFW.
Напрыклад, ніжэй відаць, што ў кампаніі Palo Alto Networks ёсць магчымасць прама з запусціць аналіз статыстыкі міжсеткавага экрана - SLR справаздачу або аналіз адпаведнасці лепшым практыкам - BPA справаздачу. Гэта бясплатныя онлайн утыліты, якімі можна скарыстацца нічога не усталёўваючы.
ЗМЕСТ
Expedition (Migration Tool)
Больш складаны варыянт праверкі сваіх налад - спампаваць бясплатную ўтыліту (былы Migration Tool). Яна спампоўваецца як Virtual Appliance пад VMware, з ёй налад не патрабуецца – трэба спампаваць выяву і разгарнуць яго пад гіпервізарам VMware, запусціць і зайсці ў вэб-інтэрфейс. Гэтая ўтыліта патрабуе асобнага апавядання, толькі курс па ёй займае 5 дзён, настолькі шмат цяпер там функцый, у тым ліку Machine Learning і міграцыю розных канфігурацый палітык, NAT і аб'ектаў для розных вытворцаў Firewall. Пра Machine Learning, я яшчэ напішу падрабязней ніжэй па тэксце.
Policy Optimizer
І самы зручны варыянт (ИМХО), аб якім, сёння раскажу падрабязней - аптымізатар палітык, убудаваны ў сам інтэрфейс Palo Alto Networks. Каб яго прадэманстраваць я ўсталяваў міжсеткавы экран у сябе дома і напісаў простае правіла: permit any to any. У прынцыпе такія правілы часам бачу нават у карпаратыўных сетках. Натуральна, я ўключыў усе профілі бяспекі NGFW, як відаць на скрыншоце:
На скрыншоце ніжэй паказаны прыклад майго хатняга ненастроенага міжсеткавага экрана, дзе амаль усе злучэнні пападаюць у апошняе правіла: AllowAll, што відаць па статыстыцы ў калонцы Hit Count.
Нулявы давер
Існуе падыход да бяспекі пад назвай . Што гэта значыць: мы павінны дазволіць людзям усярэдзіне сетак роўна тыя злучэнні, якія ім патрэбныя і забараніць усё астатняе. Гэта значыць нам трэба дадаць выразныя правілы па дадатках, карыстальнікам, URL катэгорыям, тыпам файлаў; уключыць усе сігнатуры IPS і антывіруса, уключыць пясочніцу, DNS абарону, карыстацца IoC з даступных баз Threat Intelligence. Увогуле задач пры наладзе міжсеткавага экрана - прыстойная колькасць.
Дарэчы мінімальны набор неабходных налад для Palo Alto Networks NGFW апісаны ў адным з дакументаў SANS: - Рэкамендую пачаць з яго. І вядома ж ёсць набор лепшых практык па наладзе міжсеткавага экрана ў кампаніі-вытворцы: .
Такім чынам, у мяне тыдзень прастаяў дома міжсеткавы экран. Давайце паглядзім які трафік у маёй сетцы ёсць:
Калі адсартаваць па колькасці сесій, то больш за ўсё іх стварае bittorent, потым ідзе SSL, затым QUIC. Гэта разам статыстыка і па ўваходным і па выходным трафіку: вельмі шмат ідзе вонкавых сканаванняў майго роўтара. Розных прыкладанняў у маёй сетцы - 150.
Такім чынам, усё гэта было прапушчана адным правілам. Паглядзім зараз што з гэтай нагоды кажа Policy Optimizer. Калі вы глядзелі вышэй на скрыншот інтэрфейсу з правіламі бяспекі, то злева ўнізе бачылі маленькае акенца, якое мне намякае, што існуюць правілы, якія можна аптымізаваць. Давайце туды клікнем.
Што паказвае Policy Optimizer:
- Якія палітыкі не выкарыстоўваліся зусім, 30 дзён, 90 дзён. Гэта дапамагае прыняць рашэнне выдаліць іх зусім.
- Якія прыкладанні ў палітыках былі пазначаны, але такіх прыкладанняў у трафіку не выяўлена. Гэта дазваляе выдаліць лішнія прыкладанні ў дазваляльных правілах.
- Якія палітыкі дазвалялі ўсё запар, але там рэальна хадзілі прыкладанні, якія было б нядрэнна паводле методыкі Zero Trust паказаць відавочна.
Клікнем на Unused.
Каб паказаць як гэта працуе я дадаў некалькі правіл і яны пакуль што за сёння ні разу не прапусцілі ніводнага пакета. Вось іх спіс:
Магчыма, з цягам часу там пройдзе трафік і тады яны знікнуць з гэтага спісу. А калі яны будуць у гэтым спісе 90 дзён - то, вы можаце прыняць рашэнне выдаліць гэтыя правілы. Бо кожнае правіла дае магчымасць для хакера.
Існуе рэальная праблема пры канфігурацыі міжсеткавага экрана: прыходзіць новы супрацоўнік, глядзіць у правілы міжсеткавага экрана, у калі ў іх няма ніякіх каментароў і ён не ведае чаму гэтае правіла створана, ці трэба яно рэальна, ці можна яго выдаліць: раптам чалавек у адпачынку і праз 30 дзён трафік зноўку пойдзе ад патрэбнага яму сэрвісу. І якраз гэтая функцыя дапамагае яму прыняць рашэнне - не карыстаецца ніхто - выдаліць!
Клікнем на Unused App.
Мы клікаем у аптымізатары на Unused App і бачым, што ў галоўным акне адчыняецца цікавая інфармацыя.
Мы бачым, што існуе тры правілы, дзе колькасць дазволеных прыкладанняў і колькасць рэальна праходзілых па гэтым правіле прыкладанняў адрозніваецца.
Мы можам клікнуць і паглядзець спіс гэтых прыкладанняў і параўнаць гэтыя спісы.
Напрыклад, клікнем на кнопку Compare для правіла Max.
Тут відаць, што былі дазволеныя прыкладанні facebook, instagram, telegram, vkontakte. Але рэальна трафік хадзіў толькі па частцы падпрыкладанняў. Тут трэба разумець, што дадатак facebook змяшчае некалькі падпрыкладанняў.
Увесь спіс прыкладанняў NGFW можна ўбачыць на партале і ў самім інтэрфейсе міжсеткавага экрана ў падзеле Objects->Applications і ў пошуку набярыце імя прыкладання: facebook, атрымаецца такі вынік:
Такім чынам, частка з гэтых подприложений NGFW убачыў, а частка не. Насамрэч вы можаце асобна забараняць і дазваляць розныя падфункцыі фэйсбука. Напрыклад, дазваляць глядзець паведамленні, але забараняць чат ці перадачу файлаў. Адпаведна Policy Optimizer кажа пра гэта і вы можаце прыняць рашэнне: дазволіць не ўсе прыкладанні фэйсбука, а толькі асноўныя.
Такім чынам мы зразумелі, што спісы розныя. Вы можаце зрабіць так, каб правілы дазвалялі роўна тыя прыкладанні, што рэальна хадзілі па сетцы. Для гэтага вы клікаеце кнопку MatchUsage. Атрымліваецца вось так:
І таксама вы можаце дадаць прыкладанні, якія лічыце патрэбнымі - кнопка Add у левай частцы акна:
І потым ужо гэтае правіла можна ўжыць і пратэставаць. Віншую!
Клікнем No Apps Specified.
У дадзеным выпадку адкрыецца важнае для гарантавання бяспекі акно.
Такіх правіл, дзе не паказана дадатак узроўня L7 відавочна, хутчэй за ўсё, у вашай сеткі вельмі шмат. І ў маёй сетцы ёсць такое правіла - нагадаю, што я зрабіў яго пры першапачатковай наладзе, спецыяльна каб паказаць як працуе Policy Optimizer.
На малюнку відаць, што правіла AllowAll прапусціла за прамежак часу з 9 сакавіка па 17 сакавіка 220 гігабайт трафіку, што ўсяго розных прыкладанняў у маёй сетцы 150 штук. І гэта яшчэ мала. Звычайна ў сярэдняга памеру карпаратыўнай сеткі 200-300 розных прыкладанняў.
Такім чынам, адно правіла прапускае ажно 150 прыкладанняў. Як правіла гэта азначае, што міжсеткавы экран наладжаны няправільна, таму што звычайна ў адным правіле прапускаецца 1-10 прыкладанняў для розных мэт. Давайце паглядзім што гэта за прыкладанні: клікнем кнопку Compare:
Самае цудоўнае для адміністратара ў функцыі Policy Optimizer гэта кнопка Match Usage - вы можаце адным клікам стварыць правіла, дзе ўведзяце ў правіла ўсе 150 прыкладанняў. Уручную, гэта рабіць было б дастаткова доўга. Колькасць задач для працы адміністратара нават у маёй сетцы з 10 прылад - велізарная.
У мяне дома працуе 150 розных прыкладанняў, якія перадаюць гігабайты трафіку! А колькі ў вас?
А што ж робіцца ў сетцы з 100 прылад або 1000 ці 10000? Я бачыў міжсеткавыя экраны дзе 8000 правілаў і я вельмі рады, што зараз у адміністратараў ёсць такія зручныя сродкі аўтаматызацыі.
Частка прыкладанняў, якія ўбачыў і паказаў модуль аналізу прыкладанняў L7 у NGFW вам будзе не патрэбна ў сетцы, таму вы проста іх выдаліце са спісу дазвольнага правіла, ці зробіце кланаванне правіл кнопкай Clone (у галоўным інтэрфейсе) і ў адным правіле прыкладання дазволіце, а ў сябрам прыкладання заблакуеце, як дакладна не патрэбныя ў вашай сеткі. Такімі прыкладанням часта становяцца bittorent, steam, ultrasurf, tor, утоеныя тунэлі тыпу tcp-over-dns і іншыя.
Ну і клікнем у іншае правіла - што там відаць:
Так, тут прыкладанні, характэрныя для multicast. Мы павінны іх дазваляць, каб працаваў прагляд відэа па сетцы. Клікаем Match Usage. Выдатна! Дзякуй Policy Optimizer.
А як жа Machine Learning.
Цяпер модна казаць пра аўтаматызацыю. Тое, што я апісваў выйшаў - вельмі дапамагае. Існуе яшчэ адна магчымасць, пра якую я павінен расказаць. Гэта функцыянал Machine Learning, убудаваны ва ўтыліту Expedition, якая ўжо згадвалася вышэй. У гэтай утыліце існуе магчымасць пераносіць правілы з вашага старога міжсеткавага экрана іншага вытворцы. А яшчэ ёсць магчымасць аналізаваць існуючыя часопісы трафіку Palo Alto Networks і прапанаваць якія правілы напісаць. Гэта падобна на функцыянал Policy Optimizer, але ў Expedition гэта яшчэ больш пашырана і вам прапануецца ўжо спіс гатовых правіл - вам трэба іх проста зацвердзіць.
Каб пратэставаць гэты функцыянал існуе лабараторная праца - мы яе завем тэст драйв. Гэты тэст можна зрабіць зайшоўшы на віртуальныя міжсеткавыя экраны, якія супрацоўнікі офіса Palo Alto Networks у Маскве запусцяць па вашым запыце.
Запыт можна адправіць па адрасе [электронная пошта абаронена] і ў запыце напісаць: "Хачу зрабіць UTD па Migration Process".
Насамрэч лабараторных прац пад назвай Unified Test Drive (UTD) некалькі варыянтаў і ўсе яны пасля запыту.
Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. , Калі ласка.
Ці хочаце Вы, каб нехта дапамог Вам аптымізаваць палітыкі вашага міжсеткавага экрана?
-
Так
-
Няма
-
Зраблю ўсё сам
Ніхто яшчэ не галасаваў. Устрыманых няма.
Крыніца: habr.com