Hvordan man evaluerer effektiviteten af NGFW-tuning
Den mest almindelige opgave er at kontrollere, hvor godt din firewall er konfigureret. For at gøre dette er der gratis værktøjer og tjenester fra virksomheder, der beskæftiger sig med NGFW.
For eksempel kan du herunder se, at Palo Alto Networks har mulighed for at direkte fra køre firewall statistik analyse - SLR rapport eller best practice compliance analyse - BPA rapport. Disse er gratis onlineværktøjer, som du kan bruge uden at installere noget.
INDHOLD
Ekspedition (migreringsværktøj)
En mere kompliceret mulighed for at kontrollere dine indstillinger er at downloade et gratis hjælpeprogram (tidligere migrationsværktøj). Det downloades som en Virtual Appliance til VMware, der kræves ingen indstillinger med det - du skal downloade billedet og implementere det under VMware-hypervisoren, køre det og gå til webgrænsefladen. Dette værktøj kræver en separat historie, kun kurset på det tager 5 dage, der er så mange funktioner nu, inklusive Machine Learning og migrering af forskellige konfigurationer af politikker, NAT og objekter for forskellige firewall-producenter. Om Machine Learning vil jeg skrive mere senere i teksten.
Politik Optimizer
Og den mest bekvemme mulighed (IMHO), som jeg vil tale mere detaljeret om i dag, er policy-optimizeren indbygget i selve Palo Alto Networks-grænsefladen. For at demonstrere det installerede jeg en firewall i mit hjem og skrev en simpel regel: tillad enhver til enhver. I princippet ser jeg nogle gange sådanne regler selv i virksomhedsnetværk. Naturligvis aktiverede jeg alle NGFW sikkerhedsprofiler, som du kan se på skærmbilledet:
Skærmbilledet nedenfor viser et eksempel på min hjemme ukonfigurerede firewall, hvor næsten alle forbindelser falder ind under den sidste regel: AllowAll, som det kan ses af statistikken i kolonnen Hit Count.
Nul tillid
Der er en tilgang til sikkerhed kaldet . Hvad det betyder: Vi skal give folk i netværket præcis de forbindelser, de har brug for, og forbyde alt andet. Det vil sige, at vi skal tilføje klare regler for applikationer, brugere, URL-kategorier, filtyper; aktiver alle IPS- og antivirussignaturer, aktiver sandbox, DNS-beskyttelse, brug IoC fra tilgængelige Threat Intelligence-databaser. Generelt er der en anstændig mængde opgaver, når du opsætter en firewall.
Forresten er minimumssættet af nødvendige indstillinger for Palo Alto Networks NGFW beskrevet i et af SANS-dokumenterne: Jeg anbefaler at starte med det. Og selvfølgelig er der et sæt bedste praksis for opsætning af en firewall fra producenten: .
Så jeg havde en firewall derhjemme i en uge. Lad os se, hvilken trafik der er på mit netværk:
Hvis sorteret efter antallet af sessioner, så er de fleste af dem oprettet af bittorent, så kommer SSL og derefter QUIC. Det er statistikker for både indgående og udgående trafik: Der er mange eksterne scanninger af min router. Der er 150 forskellige applikationer i mit netværk.
Så det hele blev sprunget over af én regel. Lad os nu se, hvad Policy Optimizer siger om dette. Hvis du kiggede på skærmbilledet af grænsefladen med sikkerhedsregler ovenfor, så så du et lille vindue nederst til venstre, som antyder mig, at der er regler, der kan optimeres. Lad os klikke der.
Hvad viser politikoptimeringsværktøjet:
- Hvilke politikker blev slet ikke brugt, 30 dage, 90 dage. Dette hjælper med at træffe beslutningen om at fjerne dem helt.
- Hvilke applikationer var specificeret i politikkerne, men der blev ikke fundet sådanne applikationer i trafikken. Dette giver dig mulighed for at fjerne unødvendige programmer i tillade regler.
- Hvilke politikker tillod alt i træk, men der var virkelig applikationer, som det ville være rart at angive i henhold til Zero Trust-metoden.
Klik på Ubrugt.
For at vise, hvordan det virker, har jeg tilføjet et par regler, og indtil videre har de ikke gået glip af en eneste pakke. Her er deres liste:
Måske vil trafikken med tiden passere der, og så forsvinder de fra denne liste. Og hvis de er på denne liste i 90 dage, kan du beslutte at fjerne disse regler. Når alt kommer til alt, giver hver regel en mulighed for en hacker.
Der er et reelt problem med firewall-konfigurationen: en ny medarbejder kommer, kigger på firewall-reglerne, hvis de ikke har nogen kommentarer og ikke ved, hvorfor denne regel blev oprettet, er den virkelig nødvendig, kan den slettes: pludselig er personen på ferie og gennem 30 dage vil trafikken igen gå fra den service, den har brug for. Og netop denne funktion hjælper ham med at træffe en beslutning - ingen bruger den - slet den!
Klik på Ubrugt app.
Vi klikker på Unused App i optimizeren og ser, at interessant information åbner i hovedvinduet.
Vi ser, at der er tre regler, hvor antallet af tilladte ansøgninger og antallet af ansøgninger, der rent faktisk bestod denne regel, er forskellige.
Vi kan klikke og se en liste over disse applikationer og sammenligne disse lister.
Lad os for eksempel klikke på knappen Sammenlign for Max-reglen.
Her kan du se, at facebook, instagram, telegram, vkontakte-applikationer var tilladt. Men i virkeligheden gik trafikken kun gennem en del af underansøgningerne. Her skal du forstå, at facebook-applikationen indeholder flere underapplikationer.
Hele listen over NGFW-ansøgninger kan ses på portalen og i selve firewall-grænsefladen, i sektionen Objekter->Applikationer og i søgningen, skriv navnet på applikationen: facebook, du får følgende resultat:
Så NGFW så nogle af disse underapplikationer, men ikke nogle. Faktisk kan du separat deaktivere og aktivere forskellige facebook-underfunktioner. Giv dig f.eks. mulighed for at se beskeder, men forbyd chat eller filoverførsler. Derfor taler Policy Optimizer om dette, og du kan træffe en beslutning: tillad ikke alle Facebook-applikationer, men kun de vigtigste.
Så vi indså, at listerne er forskellige. Du kan sikre dig, at reglerne kun tillader de programmer, der rent faktisk roamer netværket. For at gøre dette skal du klikke på knappen MatchUsage. Det bliver sådan her:
Og du kan også tilføje programmer, som du anser for nødvendige - knappen Tilføj i venstre side af vinduet:
Og så kan denne regel anvendes og testes. Tillykke!
Klik på Ingen apps angivet.
I dette tilfælde åbnes et vigtigt sikkerhedsvindue.
Der er højst sandsynligt mange sådanne regler, hvor applikationen på L7-niveau ikke er eksplicit specificeret i dit netværk. Og i mit netværk er der sådan en regel - lad mig minde dig om, at jeg lavede den under den indledende opsætning, specifikt for at vise, hvordan Policy Optimizer fungerer.
Billedet viser, at AllowAll-reglen missede 9 gigabyte trafik i perioden fra 17. marts til 220. marts, hvilket er i alt 150 forskellige applikationer i mit netværk. Og det er stadig ikke nok. Typisk har et mellemstort virksomhedsnetværk 200-300 forskellige applikationer.
Så én regel savner så mange som 150 ansøgninger. Dette betyder normalt, at firewallen er konfigureret forkert, fordi normalt 1-10 applikationer til forskellige formål springes over i én regel. Lad os se, hvad disse applikationer er: klik på knappen Sammenlign:
Det mest vidunderlige for administratoren i funktionen Policy Optimizer er knappen Match Usage - du kan oprette en regel med et enkelt klik, hvor du indtaster alle 150 applikationer i reglen. At gøre det manuelt ville tage for lang tid. Antallet af opgaver for administratoren, selv på mit netværk på 10 enheder, er enormt.
Jeg har 150 forskellige applikationer kørende derhjemme, som sender gigabyte trafik! Og hvor meget har du?
Men hvad sker der i et netværk med 100 enheder eller 1000 eller 10000? Jeg har set firewalls med 8000 regler, og jeg er meget glad for, at administratorer nu har så praktiske automatiseringsværktøjer.
Du får ikke brug for nogle af de applikationer, som L7-applikationsanalysemodulet i NGFW så og viste på netværket, så du fjerner dem blot fra listen over tillade-reglen, eller kloner reglerne med knappen Klon (i hovedgrænsefladen) og tillad i én applikationsregel, og i Bloker andre applikationer, som om de absolut ikke er nødvendige på dit netværk. Sådanne applikationer bliver ofte bittorent, steam, ultrasurf, tor, skjulte tunneler som tcp-over-dns og andre.
Nå, klik på en anden regel - hvad du kan se der:
Ja, der er applikationer, der er specifikke for multicast. Vi skal tillade dem, for at videovisning over netværket kan fungere. Klik på Match brug. Store! Tak Policy Optimizer.
Hvad med Machine Learning?
Nu er det moderne at tale om automatisering. Det jeg beskrev kom frem - det hjælper meget. Der er en anden mulighed, som jeg må nævne. Dette er Machine Learning-funktionaliteten indbygget i Expedition-værktøjet nævnt ovenfor. I dette værktøj er det muligt at overføre regler fra din gamle firewall fra en anden producent. Og der er også mulighed for at analysere eksisterende Palo Alto Networks trafiklogs og foreslå, hvilke regler der skal skrives. Dette ligner Policy Optimizer-funktionaliteten, men i Expedition er det endnu mere udvidet, og du tilbydes en liste over færdige regler - du skal bare godkende dem.
For at teste denne funktionalitet er der et laboratoriearbejde - vi kalder det en prøvetur. Denne test kan udføres ved at gå til de virtuelle firewalls, som Palo Alto Networks Moskva-kontorpersonale vil starte efter din anmodning.
Anmodningen kan sendes til [e-mail beskyttet] og skriv i anmodningen: "Jeg vil lave en UTD for migrationsprocessen."
Faktisk er der flere muligheder for laboratorier kaldet Unified Test Drive (UTD) og de alle efter anmodning.
Kun registrerede brugere kan deltage i undersøgelsen. , Vær venlig.
Vil du have nogen til at hjælpe dig med at optimere dine firewallpolitikker?
-
Ja
-
Nej
-
Jeg vil gøre alting selv
Ingen har stemt endnu. Der er ingen undladelser.
Kilde: www.habr.com