Cumu Evaluà l'Efficacia di una Setup NGFW
U compitu più cumuni hè di verificà quantu efficacemente u vostru firewall hè cunfiguratu. Per fà questu, ci sò utilità è servizii gratuiti da cumpagnie chì trattanu di NGFW.
Per esempiu, pudete vede quì sottu chì Palo Alto Networks hà a capacità di direttamente da eseguite un analisi di statistiche di firewall - rapportu SLR o analisi di rispettu di e pratiche megliu - rapportu BPA. Quessi sò utilità in linea gratuiti chì pudete aduprà senza installà nunda.
TABLE OF CONTENTS
Expedition (Strumentu di Migrazione)
Una opzione più cumplessa per verificà i vostri paràmetri hè di scaricà una utilità gratuita (ex Strumentu di Migrazione). Hè telecaricatu cum'è Appliance Virtual per VMware, ùn ci hè micca bisognu di paràmetri cun ellu - avete bisognu di scaricà l'imaghjini è implementà sottu à l'ipervisore VMware, lanciallu è andate à l'interfaccia web. Questa utilità hè bisognu di una storia separata, solu u cursu nantu à i ghjorni 5, ci sò tanti funzioni avà, cumpresi Machine Learning è migrazione di diverse cunfigurazioni di pulitiche, NAT è oggetti per i diversi pruduttori di Firewall. Scriveraghju più nantu à Machine Learning quì sottu in u testu.
Optimizer di pulitica
È l'opzione più còmuda (IMHO), chì vi dicu in più dettagliu oghje, hè l'optimizazione di pulitica integrata in l'interfaccia di Palo Alto Networks stessu. Per dimustrà, aghju installatu un firewall in casa è hà scrittu una regula simplice: permette à qualsiasi. In principiu, qualchì volta vecu tali regule ancu in e rete corporativa. Naturalmente, aghju attivatu tutti i profili di sicurità NGFW, cum'è pudete vede in a screenshot:
A screenshot quì sottu mostra un esempiu di a mo casa firewall unconfigured, induve quasi tutte e cunnessione cadenu in l'ultima regula: AllowAll, cum'è pò esse vistu da e statistiche in a colonna Hit Count.
ZeroTrust
Ci hè un approcciu di sicurità chjamatu . Ciò chì significa questu: duvemu permette à e persone in a reta esattamente quelle cunnessione chì anu bisognu è nigà tuttu u restu. Questu hè, avemu bisognu di aghjunghje regule chjaru per l'applicazioni, l'utilizatori, e categurie d'URL, i tipi di schedari; attivate tutte e firme IPS è antivirus, attivate sandboxing, prutezzione DNS, utilizate IoC da e basa di dati Threat Intelligence dispunibili. In generale, ci sò un numeru decentu di compiti quandu stabilisce un firewall.
In modu, u minimu set di paràmetri necessarii per Palo Alto Networks NGFW hè descrittu in unu di i ducumenti SANS: - Vi cunsigliu di principià cun ellu. E, sicuru, ci hè un inseme di e migliori pratiche per stabilisce un firewall da u fabricatore: .
Allora, aghju avutu un firewall in casa per una settimana. Videmu chì tipu di trafficu ci hè nantu à a mo reta:
Sè sorte da u numeru di sessioni, a maiò parte di elli sò creati da bittorent, dopu vene SSL, dopu QUIC. Quessi sò statistiche per u trafficu entrante è uscente: ci sò assai scans esterni di u mo router. Ci sò 150 applicazioni diverse nantu à a mo reta.
Dunque, tuttu questu era mancatu da una regula. Videmu avà ciò chì Policy Optimizer dice nantu à questu. Sè avete vistu sopra à a screenshot di l'interfaccia cù e regule di sicurità, allora in u fondu di manca avete vistu una piccula finestra chì mi suggerisce chì ci sò regule chì ponu esse ottimisate. Facemu cliccà quì.
Ciò chì l'Ottimisatore di Politiche mostra:
- Chì pulitiche ùn sò micca stati usati in tuttu, 30 ghjorni, 90 ghjorni. Questu aiuta à piglià a decisione di sguassà completamente.
- Chì l'applicazioni sò state specificate in e pulitiche, ma micca tali applicazioni sò state rilevate in u trafficu. Questu permette di sguassà l'applicazioni innecessarii in permette à e regule.
- Chì pulitiche permettenu tuttu, ma ci era veramente applicazioni chì avarianu statu bellu indicà esplicitamente secondu a metodulugia Zero Trust.
Facemu cliccà nant'à Unused.
Per dimustrà cumu funziona, aghju aghjustatu uni pochi di regule è finu à avà ùn anu mancatu un solu pacchettu oghje. Eccu a so lista:
Forse cù u tempu ci sarà u trafficu quì è dopu spariranu da sta lista. È s'ellu sò nantu à sta lista per 90 ghjorni, pudete decide di sguassà queste regule. Dopu tuttu, ogni regula furnisce una opportunità per un pirate.
Ci hè un veru prublema quandu si cunfigurà un firewall: un novu impiigatu vene, guarda à e regule di firewall, s'ellu ùn anu micca cumenti è ùn sapi micca perchè sta regula hè stata creata, s'ellu hè veramente necessariu, s'ellu pò esse. esse sguassati: di colpu, a persona hè in vacanze è dopu à 30 ghjorni, u trafficu serà torna da u serviziu chì hà bisognu. È solu sta funzione l'aiuta à piglià una decisione - nimu l'utiliza - sguassate!
Cliccate nant'à App inusu.
Avemu cliccà nant'à App inusu in u optimizer è vede chì infurmazione interessante apre in a finestra principale.
Avemu vistu chì ci sò trè regule, induve u numeru di applicazioni permessi è u numeru di applicazioni chì anu passatu sta regula sò diffirenti.
Pudemu cliccà è vede una lista di sti applicazioni è paragunate sti listi.
Per esempiu, cliccate nantu à u buttone Compare per a regula Max.
Quì pudete vede chì l'applicazioni facebook, instagram, telegram, vkontakte sò permessi. Ma in realità, u trafficu hè andatu solu à alcune di e sottoapplicazioni. Quì avete bisognu di capisce chì l'applicazione Facebook cuntene parechje applicazioni sottu.
A lista completa di l'applicazioni NGFW pò esse vistu nantu à u portale è in l'interfaccia di u firewall stessu, in a rùbbrica Objects->Applicazioni è in a ricerca, scrivite u nome di l'applicazione: facebook, uttene u risultatu seguente:
Dunque, alcune di queste sottoapplicazioni sò state viste da NGFW, ma alcune ùn eranu micca. In fatti, pudete pruibisce separatamente è permette diverse sub-funzioni di Facebook. Per esempiu, permette di vede i missaghji, ma pruibisce u chat o u trasferimentu di schedari. Per quessa, Policy Optimizer parla di questu è pudete piglià una decisione: ùn permettenu micca tutte l'applicazioni Facebook, ma solu i principali.
Dunque, avemu capitu chì e liste sò diverse. Pudete assicurà chì e regule permettenu solu quelli applicazioni chì viaghjanu veramente in a reta. Per fà questu, cliccate nantu à u buttone MatchUsage. Risulta cusì:
È pudete ancu aghjunghje l'applicazioni chì cunsiderate necessarie - u buttone Aggiungi nantu à a manca di a finestra:
E poi sta regula pò esse appiicata è pruvata. Felicitazioni!
Cliccate No Apps Specified.
In questu casu, si apre una finestra di sicurità impurtante.
Ci hè più prubabile assai di tali règuli in a vostra reta induve l'applicazione di livellu L7 ùn hè micca esplicitamente specificata. È in a mo reta ci hè una regula cusì - lasciate ricurdà chì l'aghju fattu durante a cunfigurazione iniziale, specificamente per vede cumu funziona Policy Optimizer.
A stampa mostra chì a regula AllowAll hà permessu 9 gigabytes di trafficu in u periodu da u 17 di marzu à u 220 di marzu, chì hè 150 applicazioni differenti in a mo reta. È ùn hè micca abbastanza. Di genere, una reta corporativa di dimensione media hà 200-300 applicazioni diverse.
Dunque, una regula permette à 150 applicazioni. Di genere, questu significa chì u firewall ùn hè micca cunfiguratu bè, perchè di solitu una regula permette 1-10 applicazioni per diversi scopi. Videmu quali sò queste applicazioni: cliccate nantu à u buttone Compara :
A cosa più maravigliosa per un amministratore in a funzione Policy Optimizer hè u buttone Match Usage - pudete creà una regula cun un clic, induve entre tutte e 150 applicazioni in a regula. Fà questu manualmente pigliarà assai tempu. U numaru di compiti per un amministratore per travaglià, ancu nantu à a mo reta di i dispositi 10, hè enormu.
Aghju 150 diverse applicazioni chì funzionanu in casa, trasferendu gigabyte di trafficu! E quantu avete ?
Ma chì succede in una reta di 100 dispusitivi o 1000 o 10000? Aghju vistu firewalls cù 8000 XNUMX regule è sò assai cuntentu chì l'amministratori anu avà tali strumenti d'automatizazione convenienti.
Alcune di l'applicazioni chì u modulu di analisi di l'applicazioni L7 in NGFW hà vistu è hà dimustratu chì ùn avete micca bisognu in a reta, per quessa, simpricimenti sguassate da a lista di e regule chì permettenu, o clone e regule cù u buttone Clone (in l'interfaccia principale) è permettenu in una regula di l'applicazioni, è in Tu vi bluccà altre appiicazioni cum'è ùn sò di sicuru micca bisognu à a vostra reta. Tali applicazioni sò spessu include bittorent, steam, ultrasurf, tor, tunnels hidden such as tcp-over-dns è altri.
Ebbè, clicchemu nantu à una altra regula è vede ciò chì pudete vede quì:
Iè, ci sò applicazioni tipiche per multicast. Avemu da permette à elli per a visualizazione di video in linea per travaglià. Cliccate Match Usage. Perfettu! Grazie à l'Ottimizzatore di Politiche.
E l'apprendimentu automaticu?
Avà hè di moda di parlà di l'automatizazione. Ciò chì aghju descrittu hè surtitu - aiuta assai. Ci hè una altra pussibilità chì duverebbe parlà. Questa hè a funziunalità Machine Learning integrata in l'utilità Expedition, chì era digià citata sopra. In questa utilità, hè pussibule di trasfirià e regule da u vostru vechju firewall da un altru fabricatore. Ci hè ancu a capacità di analizà i logs di trafficu esistenti di Palo Alto Networks è suggerisce quale regule scrive. Questu hè simile à a funziunalità di Policy Optimizer, ma in Expedition hè ancu più allargatu è vi sò offerti una lista di reguli pronti - basta à appruvà.
Per pruvà sta funziunalità, ci hè un travagliu di laboratoriu - chjamemu un test drive. Questa prova pò esse fatta da login in firewall virtuale, chì l'impiegati di l'uffiziu di Palo Alto Networks in Mosca lanciaranu à a vostra dumanda.
A dumanda pò esse mandata à [email prutettu] è in a dumanda scrivite: "Vogliu fà un UTD per u Prucessu di Migrazione".
In fattu, u travagliu di laboratoriu chjamatu Unified Test Drive (UTD) hà parechje opzioni è tutti dopu a dumanda.
Solu l'utilizatori registrati ponu participà à l'indagine. , per piacè.
Vulete chì qualchissia vi aiutava à ottimisà e vostre pulitiche di firewall?
-
chì
-
No
-
Faraghju tuttu mè stessu
Nimu hà ancu vutatu. Ùn ci sò astensioni.
Source: www.habr.com