Kako procijeniti učinkovitost NGFW postavke
Najčešći zadatak je provjeriti koliko je efikasno vaš zaštitni zid konfiguriran. Da biste to učinili, postoje besplatni komunalni programi i usluge kompanija koje se bave NGFW.
Na primjer, ispod možete vidjeti da Palo Alto Networks ima mogućnost direktnog povezivanja pokrenuti analizu statistike firewall-a - SLR izvještaj ili analizu usklađenosti sa najboljim praksama - BPA izvještaj. Ovo su besplatni mrežni uslužni programi koje možete koristiti bez instaliranja bilo čega.
SADRŽAJ
Ekspedicija (alat za migraciju)
Složenija opcija za provjeru postavki je preuzimanje besplatnog uslužnog programa (ranije alat za migraciju). Preuzima se kao virtuelni uređaj za VMware, uz njega nisu potrebna nikakva podešavanja - potrebno je da preuzmete sliku i primenite je pod VMware hipervizorom, pokrenete je i pređete na web interfejs. Za ovaj uslužni program potrebna je posebna priča, samo kurs traje 5 dana, sada ima toliko funkcija, uključujući Machine Learning i migraciju raznih konfiguracija politika, NAT-a i objekata za različite proizvođače Firewall-a. Više o mašinskom učenju ću pisati u nastavku teksta.
Policy Optimizer
A najprikladnija opcija (IMHO), o kojoj ću vam danas detaljnije reći, je optimizator politike ugrađen u samo sučelje Palo Alto Networks. Da to demonstriram, instalirao sam firewall kod kuće i napisao jednostavno pravilo: dozvoli bilo kome bilo kome. U principu, ponekad vidim takva pravila čak iu korporativnim mrežama. Naravno, omogućio sam sve NGFW sigurnosne profile, kao što možete vidjeti na snimku ekrana:
Snimak ekrana ispod prikazuje primjer mog kućnog nekonfiguriranog zaštitnog zida, gdje gotovo sve veze spadaju u posljednje pravilo: AllowAll, kao što se može vidjeti iz statistike u koloni Broj pogodaka.
ZeroTrust
Postoji pristup sigurnosti tzv . Šta to znači: moramo omogućiti ljudima unutar mreže upravo one veze koje su im potrebne i uskratiti sve ostalo. Odnosno, moramo dodati jasna pravila za aplikacije, korisnike, URL kategorije, tipove datoteka; omogućite sve IPS i antivirusne potpise, omogućite sandboxing, DNS zaštitu, koristite IoC iz dostupnih baza podataka Threat Intelligence. Općenito, postoji pristojan broj zadataka prilikom postavljanja firewall-a.
Inače, minimalni skup potrebnih postavki za Palo Alto Networks NGFW opisan je u jednom od dokumenata SANS-a: - Preporučujem da počnete s tim. I naravno, postoji niz najboljih praksi za postavljanje firewall-a od proizvođača: .
Dakle, imao sam firewall kod kuće nedelju dana. Da vidimo kakav promet ima na mojoj mreži:
Ako sortirate po broju sesija, većina ih kreira bittorent, zatim dolazi SSL, pa QUIC. Ovo su statistike i za dolazni i za odlazni promet: postoji mnogo vanjskih skeniranja mog rutera. Na mojoj mreži postoji 150 različitih aplikacija.
Dakle, sve ovo je promaklo jedno pravilo. Hajde sada da vidimo šta Optimizator politika kaže o ovome. Ako ste iznad pogledali snimku ekrana interfejsa sa sigurnosnim pravilima, onda ste u donjem levom uglu videli mali prozor koji mi nagoveštava da postoje pravila koja se mogu optimizovati. Hajde da kliknemo tamo.
Šta Optimizator politika pokazuje:
- Koje politike nisu uopšte korištene, 30 dana, 90 dana. Ovo pomaže u donošenju odluke da ih potpuno uklonite.
- Koje su aplikacije navedene u politikama, ali takve aplikacije nisu otkrivene u prometu. Ovo vam omogućava da uklonite nepotrebne aplikacije u pravilima dopuštanja.
- Koje politike su sve dozvoljavale, ali zapravo je bilo aplikacija koje bi bilo lijepo eksplicitno naznačiti prema metodologiji Zero Trust.
Kliknimo na Neiskorišteno.
Da pokažem kako to funkcionira, dodao sam nekoliko pravila i do sada nisu propustili nijedan paket danas. Evo njihove liste:
Možda će s vremenom tamo biti prometa i onda će oni nestati sa ove liste. A ako su na ovoj listi 90 dana, onda možete odlučiti da izbrišete ova pravila. Uostalom, svako pravilo pruža priliku za hakera.
Postoji pravi problem prilikom konfigurisanja firewall-a: dođe novi zaposlenik, pogleda pravila firewall-a, ako nemaju komentara i ne zna zašto je ovo pravilo kreirano, da li je zaista potrebno, da li može biti obrisan: osoba je iznenada na godišnjem odmoru i nakon 30 dana promet će ponovo teći iz usluge koja mu je potrebna. I upravo mu ova funkcija pomaže da donese odluku - niko je ne koristi - obrišite je!
Kliknite na Nekorištena aplikacija.
Kliknemo na Unused App u optimizatoru i vidimo da se u glavnom prozoru otvaraju zanimljive informacije.
Vidimo da postoje tri pravila, gdje se broj dozvoljenih aplikacija i broj aplikacija koje su stvarno prošle ovo pravilo razlikuju.
Možemo kliknuti i vidjeti listu ovih aplikacija i uporediti ove liste.
Na primjer, kliknite na dugme Uporedi za pravilo Max.
Ovdje možete vidjeti da su aplikacije facebook, instagram, telegram, vkontakte dozvoljene. Ali u stvarnosti promet je išao samo na neke od podaplikacija. Ovdje morate shvatiti da facebook aplikacija sadrži nekoliko pod-aplikacija.
Cijelu listu NGFW aplikacija možete vidjeti na portalu a u samom sučelju firewall-a, u odeljku Objekti->Aplikacije iu pretrazi upišite naziv aplikacije: facebook, dobićete sljedeći rezultat:
Dakle, NGFW je vidio neke od ovih pod-aplikacija, ali neke nije. Zapravo, možete zasebno zabraniti i dozvoliti različite podfunkcije Facebooka. Na primjer, dozvolite pregled poruka, ali zabranite ćaskanje ili prijenos datoteka. Shodno tome, Policy Optimizer govori o tome i možete donijeti odluku: ne dozvoliti sve Facebook aplikacije, već samo one glavne.
Dakle, shvatili smo da su liste različite. Možete osigurati da pravila dozvoljavaju samo one aplikacije koje stvarno putuju mrežom. Da biste to učinili, kliknite na dugme MatchUsage. Ispada ovako:
Možete dodati i aplikacije koje smatrate potrebnim - dugme Dodaj na lijevoj strani prozora:
A onda se ovo pravilo može primijeniti i testirati. Čestitamo!
Kliknite na Nema navedenih aplikacija.
U tom slučaju će se otvoriti važan sigurnosni prozor.
Najvjerovatnije postoji mnogo takvih pravila u vašoj mreži gdje aplikacija na nivou L7 nije eksplicitno specificirana. I u mojoj mreži postoji takvo pravilo - da vas podsetim da sam ga napravio tokom početnog podešavanja, posebno da pokažem kako radi Optimizator Politike.
Na slici se vidi da je pravilo AllowAll dozvoljavalo 9 gigabajta saobraćaja u periodu od 17. marta do 220. marta, što je 150 različitih aplikacija u mojoj mreži. I to nije dovoljno. Tipično, korporativna mreža prosječne veličine ima 200-300 različitih aplikacija.
Dakle, jedno pravilo propušta čak 150 aplikacija. Obično to znači da zaštitni zid nije ispravno konfigurisan, jer obično jedno pravilo dozvoljava 1-10 aplikacija za različite svrhe. Pogledajmo koje su to aplikacije: kliknite na dugme Uporedi:
Najdivnija stvar za administratora u funkciji Policy Optimizer je tipka Match Usage - možete kreirati pravilo jednim klikom, gdje ćete unijeti svih 150 aplikacija u pravilo. Da ovo uradite ručno, trebalo bi dosta vremena. Broj zadataka na kojima administrator može raditi, čak i na mojoj mreži od 10 uređaja, je ogroman.
Kod kuće imam 150 različitih aplikacija koje prenose gigabajte prometa! A koliko imaš?
Ali šta se dešava u mreži od 100 uređaja ili 1000 ili 10000? Video sam zaštitne zidove sa 8000 pravila i veoma mi je drago što administratori sada imaju tako zgodne alate za automatizaciju.
Neke od aplikacija koje je modul za analizu aplikacija L7 u NGFW-u vidio i pokazao vam neće trebati na mreži, tako da ih jednostavno uklonite sa liste dozvoljenih pravila ili klonirate pravila pomoću dugmeta Clone (u glavnom interfejsu) i dozvolite ih u jednom pravilu aplikacije, a u Vi ćete blokirati druge aplikacije jer definitivno nisu potrebne na vašoj mreži. Takve aplikacije često uključuju bittorent, steam, ultrasurf, tor, skrivene tunele kao što su tcp-over-dns i druge.
Pa, hajde da kliknemo na drugo pravilo i vidimo šta možete vidjeti tamo:
Da, postoje aplikacije tipične za multicast. Moramo im omogućiti da gledaju video na mreži. Kliknite Upotreba podudaranja. Odlično! Hvala Policy Optimizer.
Šta je sa mašinskim učenjem?
Sada je moderno govoriti o automatizaciji. Ispalo je ono što sam opisao - puno pomaže. Postoji još jedna mogućnost o kojoj bih trebao govoriti. Ovo je funkcionalnost strojnog učenja ugrađena u uslužni program Expedition, koji je već spomenut gore. U ovom uslužnom programu moguće je prenijeti pravila sa vašeg starog firewall-a od drugog proizvođača. Postoji i mogućnost analize postojećih prometnih dnevnika Palo Alto Networks i sugeriranja koja pravila napisati. Ovo je slično funkcionalnosti Policy Optimizer-a, ali je u Expedition-u još proširenije i nudi vam se lista gotovih pravila - samo ih trebate odobriti.
Za testiranje ove funkcionalnosti postoji laboratorijski rad - nazivamo ga probnom vožnjom. Ovaj test se može obaviti prijavom na virtuelne firewall-e, koje će zaposleni u uredu Palo Alto Networks u Moskvi pokrenuti na vaš zahtjev.
Zahtjev se može poslati na [email zaštićen] i u zahtjevu napišite: “Želim napraviti UTD za proces migracije.”
U stvari, laboratorijski rad pod nazivom Unified Test Drive (UTD) ima nekoliko opcija i sve nakon zahtjeva.
Samo registrovani korisnici mogu učestvovati u anketi. molim.
Želite li da vam neko pomogne da optimizirate pravila zaštitnog zida?
-
Da
-
Nijedan
-
Uradiću sve sam
Još niko nije glasao. Nema uzdržanih.
izvor: www.habr.com