Com avaluar l'eficàcia de l'ajust de NGFW
La tasca més habitual és comprovar com està configurat el vostre tallafoc. Per fer-ho, hi ha utilitats i serveis gratuïts d'empreses que tracten amb NGFW.
Per exemple, a continuació podeu veure que Palo Alto Networks té la capacitat de fer-ho directament des de executa l'anàlisi d'estadístiques del tallafoc - informe SLR o anàlisi de compliment de les millors pràctiques - informe BPA. Aquestes són utilitats en línia gratuïtes que podeu utilitzar sense instal·lar res.
CONTINGUT
Expedició (eina de migració)
Una opció més complicada per comprovar la configuració és descarregar una utilitat gratuïta (antiga eina de migració). Es descarrega com a aparell virtual per a VMware, no cal configurar-lo: cal que baixeu la imatge i desplegueu-la a l'hipervisor de VMware, executeu-la i aneu a la interfície web. Aquesta utilitat requereix una història a part, només el curs triga 5 dies, ara hi ha tantes funcions, inclòs l'aprenentatge automàtic i la migració de diverses configuracions de polítiques, NAT i objectes per a diferents fabricants de tallafocs. Sobre l'aprenentatge automàtic, escriuré més endavant al text.
Optimitzador de polítiques
I l'opció més convenient (IMHO), de la qual parlaré amb més detall avui, és l'optimitzador de polítiques integrat a la interfície de Palo Alto Networks. Per demostrar-ho, vaig instal·lar un tallafoc a casa meva i vaig escriure una regla senzilla: permetre-ne qualsevol a qualsevol. En principi, de vegades veig aquestes regles fins i tot a les xarxes corporatives. Naturalment, he habilitat tots els perfils de seguretat NGFW, com podeu veure a la captura de pantalla:
La captura de pantalla següent mostra un exemple del tallafoc sense configurar la meva llar, on gairebé totes les connexions entren en l'última regla: AllowAll, com es pot veure a les estadístiques de la columna Hit Count.
Confiança Zero
Hi ha un enfocament de seguretat anomenat . Què significa això: hem de permetre a les persones dins de la xarxa exactament les connexions que necessiten i prohibir tota la resta. És a dir, hem d'afegir regles clares per a aplicacions, usuaris, categories d'URL, tipus de fitxers; habiliteu totes les signatures IPS i antivirus, habiliteu el sandbox, la protecció DNS, utilitzeu IoC de les bases de dades d'intel·ligència d'amenaces disponibles. En general, hi ha una quantitat decent de tasques a l'hora de configurar un tallafoc.
Per cert, el conjunt mínim de paràmetres requerits per a Palo Alto Networks NGFW es descriu en un dels documents SANS: Recomano començar amb ell. I, per descomptat, hi ha un conjunt de pràctiques recomanades per configurar un tallafoc del fabricant: .
Per tant, vaig tenir un tallafoc a casa durant una setmana. Vegem quin trànsit hi ha a la meva xarxa:
Si s'ordenen pel nombre de sessions, la majoria són creades per bittorent, després ve SSL i després QUIC. Aquestes són estadístiques del trànsit entrant i sortint: hi ha moltes exploracions externes del meu encaminador. Hi ha 150 aplicacions diferents a la meva xarxa.
Per tant, tot es va saltar per una regla. Ara vegem què diu l'Optimitzador de polítiques sobre això. Si heu mirat la captura de pantalla de la interfície amb regles de seguretat a dalt, heu vist una petita finestra a la part inferior esquerra, que em fa pensar que hi ha regles que es poden optimitzar. Fem clic allà.
Què mostra l'Optimitzador de polítiques:
- Quines polítiques no es van utilitzar en absolut, 30 dies, 90 dies. Això ajuda a prendre la decisió d'eliminar-los del tot.
- Quines aplicacions s'han especificat a les polítiques, però no s'han trobat aquestes aplicacions al trànsit. Això us permet eliminar aplicacions innecessàries de les regles d'autorització.
- Quines polítiques ho permetien tot seguit, però realment hi havia aplicacions que estaria bé indicar explícitament segons la metodologia Zero Trust.
Feu clic a No utilitzat.
Per mostrar com funciona, he afegit algunes regles i fins ara no s'han perdut ni un sol paquet. Aquí teniu la seva llista:
Potser, amb el temps, hi passarà trànsit i després desapareixeran d'aquesta llista. I si estan en aquesta llista durant 90 dies, podeu decidir eliminar aquestes regles. Després de tot, cada regla ofereix una oportunitat per a un pirata informàtic.
Hi ha un problema real amb la configuració del tallafoc: arriba un nou empleat, mira les regles del tallafoc, si no té comentaris i no sap per què es va crear aquesta regla, és realment necessari, es pot suprimir: de sobte la persona està de vacances i durant 30 dies el trànsit tornarà a sortir del servei que necessita. I només aquesta funció l'ajuda a prendre una decisió, ningú la fa servir, esborra-la!
Feu clic a Aplicació no utilitzada.
Fem clic a l'aplicació sense utilitzar a l'optimitzador i veiem que s'obre informació interessant a la finestra principal.
Veiem que hi ha tres regles, on el nombre d'aplicacions permeses i el nombre d'aplicacions que realment van aprovar aquesta regla són diferents.
Podem fer clic i veure una llista d'aquestes aplicacions i comparar aquestes llistes.
Per exemple, fem clic al botó Compara per a la regla Max.
Aquí podeu veure que les aplicacions de facebook, instagram, telegram i vkontakte estaven permeses. Però, en realitat, el trànsit només passava per part de les subaplicacions. Aquí heu d'entendre que l'aplicació de Facebook conté diverses subaplicacions.
La llista sencera d'aplicacions de NGFW es pot veure al portal i a la pròpia interfície del tallafoc, a la secció Objectes->Aplicacions i a la cerca, escriviu el nom de l'aplicació: facebook, obtindreu el següent resultat:
Per tant, NGFW va veure algunes d'aquestes subaplicacions, però no algunes. De fet, podeu desactivar i habilitar diferents subfuncions de Facebook per separat. Per exemple, us permet veure missatges, però prohibeu les transferències de xat o fitxers. En conseqüència, Policy Optimizer parla d'això i pots prendre una decisió: no permetre totes les aplicacions de Facebook, sinó només les principals.
Així doncs, ens vam adonar que les llistes són diferents. Podeu assegurar-vos que les regles només permeten aquelles aplicacions que realment es desplacen per la xarxa. Per fer-ho, feu clic al botó MatchUsage. Resulta així:
I també podeu afegir aplicacions que considereu necessàries: el botó Afegeix a la part esquerra de la finestra:
I llavors aquesta regla es pot aplicar i provar. Felicitats!
Feu clic a No s'ha especificat cap aplicació.
En aquest cas, s'obrirà una finestra de seguretat important.
El més probable és que hi hagi moltes regles d'aquest tipus en què l'aplicació de nivell L7 no s'especifica explícitament a la vostra xarxa. I a la meva xarxa hi ha aquesta regla: deixeu-me recordar que la vaig fer durant la configuració inicial, específicament per mostrar com funciona l'Optimitzador de polítiques.
La imatge mostra que la regla AllowAll va perdre 9 gigabytes de trànsit durant el període del 17 al 220 de març, que és un total de 150 aplicacions diferents a la meva xarxa. I això encara no és suficient. Normalment, una xarxa corporativa de mida mitjana té entre 200 i 300 aplicacions diferents.
Per tant, una regla perd fins a 150 aplicacions. Això normalment significa que el tallafoc està configurat incorrectament, perquè normalment 1-10 aplicacions per a diferents propòsits es salten en una regla. Vegem quines són aquestes aplicacions: feu clic al botó Comparar:
El més meravellós per a l'administrador de la funció Policy Optimizer és el botó Match Usage: podeu crear una regla amb un sol clic, on introduireu les 150 aplicacions a la regla. Fer-ho manualment trigaria massa temps. El nombre de tasques per a l'administrador, fins i tot a la meva xarxa de 10 dispositius, és enorme.
Tinc 150 aplicacions diferents en execució a casa, transmetent gigabytes de trànsit! I quant en tens?
Però què passa en una xarxa de 100 dispositius o 1000 o 10000? He vist tallafocs amb 8000 regles i estic molt content que ara els administradors tinguin eines d'automatització tan còmodes.
No necessitareu algunes de les aplicacions que el mòdul d'anàlisi d'aplicacions L7 a NGFW va veure i va mostrar a la xarxa, de manera que simplement les elimineu de la llista de la regla d'autorització o cloneu les regles amb el botó Clonar (a la interfície principal) i permet en una regla d'aplicació, i en Bloqueja altres aplicacions com si definitivament no fossin necessàries a la teva xarxa. Aquestes aplicacions sovint esdevenen bittorent, steam, ultrasurf, tor, túnels ocults com tcp-over-dns i altres.
Bé, feu clic a una altra regla, què hi podeu veure:
Sí, hi ha aplicacions específiques de multicast. Hem de permetre'ls perquè la visualització de vídeo a través de la xarxa funcioni. Feu clic a Coincideix amb l'ús. Genial! Gràcies Policy Optimizer.
Què passa amb l'aprenentatge automàtic?
Ara està de moda parlar d'automatització. Va sortir el que vaig descriure: ajuda molt. Hi ha una altra possibilitat que he d'esmentar. Aquesta és la funcionalitat d'aprenentatge automàtic integrada a la utilitat Expedition esmentada anteriorment. En aquesta utilitat, és possible transferir regles del vostre antic tallafoc d'un altre fabricant. I també hi ha la possibilitat d'analitzar els registres de trànsit existents de Palo Alto Networks i suggerir quines regles cal escriure. Això és similar a la funcionalitat de l'Optimitzador de polítiques, però a Expedition és encara més avançada i se't ofereix una llista de regles ja fetes; només cal que les aprovis.
Per provar aquesta funcionalitat, hi ha un treball de laboratori: l'anomenem prova de conducció. Aquesta prova es pot fer anant als tallafocs virtuals que el personal de l'oficina de Palo Alto Networks Moscou posarà en marxa a petició vostra.
La sol·licitud es pot enviar a [protegit per correu electrònic] i a la sol·licitud escriviu: "Vull fer una UTD per al Procés de Migració".
De fet, hi ha diverses opcions per als laboratoris anomenats Unified Test Drive (UTD) i totes després de la petició.
Només els usuaris registrats poden participar en l'enquesta. si us plau.
Voleu que algú us ajudi a optimitzar les vostres polítiques de tallafoc?
-
Sí
-
No
-
Ho faré tot jo mateix
Ningú ha votat encara. No hi ha abstencions.
Font: www.habr.com