So bewerten Sie die Wirksamkeit der NGFW-Optimierung
Die häufigste Aufgabe besteht darin, zu überprüfen, wie gut Ihre Firewall konfiguriert ist. Zu diesem Zweck gibt es kostenlose Dienstprogramme und Dienste von Unternehmen, die sich mit NGFW befassen.
Unten sehen Sie beispielsweise, dass Palo Alto Networks die Möglichkeit hat, direkt von dort aus Führen Sie eine Firewall-Statistikanalyse durch – SLR-Bericht oder eine Best-Practice-Compliance-Analyse – BPA-Bericht. Hierbei handelt es sich um kostenlose Online-Dienstprogramme, die Sie nutzen können, ohne etwas installieren zu müssen.
INHALT
Expedition (Migrationstool)
Eine kompliziertere Möglichkeit zur Überprüfung Ihrer Einstellungen besteht darin, ein kostenloses Dienstprogramm herunterzuladen (ehemals Migrationstool). Es wird als virtuelle Appliance für VMware heruntergeladen, es sind keine Einstellungen erforderlich – Sie müssen das Image herunterladen und unter dem VMware-Hypervisor bereitstellen, es ausführen und zur Weboberfläche gehen. Dieses Dienstprogramm erfordert eine separate Geschichte, nur der Kurs dafür dauert 5 Tage, es gibt jetzt so viele Funktionen, einschließlich maschinellem Lernen und Migration verschiedener Konfigurationen von Richtlinien, NAT und Objekten für verschiedene Firewall-Hersteller. Über maschinelles Lernen werde ich später im Text mehr schreiben.
Richtlinienoptimierer
Und die bequemste Option (meiner Meinung nach), über die ich heute ausführlicher sprechen werde, ist der in die Palo Alto Networks-Schnittstelle selbst integrierte Richtlinienoptimierer. Um es zu demonstrieren, habe ich bei mir zu Hause eine Firewall installiert und eine einfache Regel geschrieben: Jeder darf jedem erlauben. Grundsätzlich sehe ich solche Regeln manchmal auch in Unternehmensnetzwerken. Natürlich habe ich alle NGFW-Sicherheitsprofile aktiviert, wie Sie im Screenshot sehen können:
Der Screenshot unten zeigt ein Beispiel meiner unkonfigurierten Heim-Firewall, bei der fast alle Verbindungen unter die letzte Regel fallen: AllowAll, wie aus den Statistiken in der Spalte „Hit Count“ hervorgeht.
Zero Trust
Es gibt einen Ansatz zur Sicherheit namens . Das bedeutet: Wir müssen den Menschen innerhalb des Netzwerks genau die Verbindungen erlauben, die sie brauchen, und alles andere verbieten. Das heißt, wir müssen klare Regeln für Anwendungen, Benutzer, URL-Kategorien und Dateitypen hinzufügen. Aktivieren Sie alle IPS- und Antivirensignaturen, aktivieren Sie Sandbox und DNS-Schutz und verwenden Sie IoC aus verfügbaren Threat Intelligence-Datenbanken. Im Allgemeinen gibt es beim Einrichten einer Firewall eine Menge Aufgaben.
Der Mindestsatz an erforderlichen Einstellungen für Palo Alto Networks NGFW ist übrigens in einem der SANS-Dokumente beschrieben: Ich empfehle, damit anzufangen. Und natürlich gibt es vom Hersteller eine Reihe von Best Practices zum Einrichten einer Firewall: .
Also hatte ich eine Woche lang eine Firewall zu Hause. Mal sehen, wie viel Verkehr in meinem Netzwerk herrscht:
Sortiert nach der Anzahl der Sitzungen werden die meisten von Bittorent erstellt, dann kommt SSL und dann QUIC. Dies sind Statistiken sowohl für den eingehenden als auch für den ausgehenden Datenverkehr: Es gibt viele externe Scans meines Routers. In meinem Netzwerk gibt es 150 verschiedene Anwendungen.
Es wurde also alles durch eine Regel übersprungen. Sehen wir uns nun an, was der Policy Optimizer dazu sagt. Wenn Sie sich oben den Screenshot der Benutzeroberfläche mit Sicherheitsregeln angesehen haben, dann haben Sie unten links ein kleines Fenster gesehen, das für mich darauf hinweist, dass es Regeln gibt, die optimiert werden können. Klicken wir dort.
Was Policy Optimizer zeigt:
- Welche Policen wurden überhaupt nicht genutzt, 30 Tage, 90 Tage. Dies hilft bei der Entscheidung, sie vollständig zu entfernen.
- Welche Anwendungen wurden in den Richtlinien angegeben, aber im Datenverkehr wurden keine solchen Anwendungen gefunden? Dadurch können Sie unnötige Anwendungen in Zulassungsregeln entfernen.
- Welche Richtlinien erlaubten alles, aber es gab wirklich Anwendungen, die nach der Zero-Trust-Methodik explizit angegeben werden sollten.
Klicken Sie auf Unbenutzt.
Um zu zeigen, wie es funktioniert, habe ich ein paar Regeln hinzugefügt und bisher haben sie noch kein einziges Paket verpasst. Hier ist ihre Liste:
Vielleicht wird mit der Zeit der Verkehr dorthin fließen und sie verschwinden dann aus dieser Liste. Und wenn sie 90 Tage lang auf dieser Liste stehen, können Sie diese Regeln entfernen. Schließlich bietet jede Regel eine Chance für einen Hacker.
Es gibt ein echtes Problem mit der Firewall-Konfiguration: Ein neuer Mitarbeiter kommt, schaut in die Firewall-Regeln, wenn er keine Kommentare hat und nicht weiß, warum diese Regel erstellt wurde, ist sie wirklich notwendig, kann sie gelöscht werden: Plötzlich ist die Person Im Urlaub und 30 Tage lang wird der Verkehr wieder von der benötigten Leistung abgelenkt. Und gerade diese Funktion hilft ihm bei der Entscheidungsfindung – niemand nutzt sie – löschen Sie sie!
Klicken Sie auf Unbenutzte App.
Wir klicken im Optimierer auf „Unused App“ und sehen, dass sich im Hauptfenster interessante Informationen öffnen.
Wir sehen, dass es drei Regeln gibt, bei denen die Anzahl der zulässigen Anträge und die Anzahl der Anträge, die diese Regel tatsächlich bestanden haben, unterschiedlich sind.
Wir können darauf klicken und eine Liste dieser Anwendungen sehen und diese Listen vergleichen.
Klicken wir beispielsweise auf die Schaltfläche „Vergleichen“ für die Max-Regel.
Hier können Sie sehen, dass Facebook-, Instagram-, Telegram- und Vkontakte-Anwendungen erlaubt waren. In Wirklichkeit lief der Datenverkehr jedoch nur über einen Teil der Unteranwendungen. Hier müssen Sie verstehen, dass die Facebook-Anwendung mehrere Unteranwendungen enthält.
Die gesamte Liste der NGFW-Anträge ist auf dem Portal einsehbar Geben Sie in der Firewall-Schnittstelle selbst im Abschnitt „Objekte->Anwendungen“ und in der Suche den Namen der Anwendung ein: Facebook. Sie erhalten das folgende Ergebnis:
Die NGFW hat also einige dieser Unteranwendungen gesehen, einige jedoch nicht. Tatsächlich können Sie verschiedene Facebook-Unterfunktionen separat deaktivieren und aktivieren. Ermöglichen Sie beispielsweise das Anzeigen von Nachrichten, verbieten Sie jedoch Chat- oder Dateiübertragungen. Dementsprechend spricht der Policy Optimizer darüber und Sie können eine Entscheidung treffen: nicht alle Facebook-Anwendungen zulassen, sondern nur die wichtigsten.
Wir haben also festgestellt, dass die Listen unterschiedlich sind. Sie können sicherstellen, dass die Regeln nur solche Anwendungen zulassen, die tatsächlich im Netzwerk unterwegs sind. Klicken Sie dazu auf die Schaltfläche „MatchUsage“. Es stellt sich so heraus:
Und Sie können auch Anwendungen hinzufügen, die Sie für notwendig halten – über die Schaltfläche „Hinzufügen“ auf der linken Seite des Fensters:
Und dann kann diese Regel angewendet und getestet werden. Glückwunsch!
Klicken Sie auf Keine Apps angegeben.
In diesem Fall öffnet sich ein wichtiges Sicherheitsfenster.
Es gibt höchstwahrscheinlich viele solcher Regeln, bei denen die L7-Level-Anwendung in Ihrem Netzwerk nicht explizit angegeben ist. Und in meinem Netzwerk gibt es eine solche Regel – ich möchte Sie daran erinnern, dass ich sie bei der Ersteinrichtung erstellt habe, insbesondere um zu zeigen, wie der Policy Optimizer funktioniert.
Das Bild zeigt, dass die AllowAll-Regel im Zeitraum vom 9. bis 17. März 220 Gigabyte Datenverkehr verpasst hat, was insgesamt 150 verschiedenen Anwendungen in meinem Netzwerk entspricht. Und das ist immer noch nicht genug. Typischerweise verfügt ein mittelgroßes Unternehmensnetzwerk über 200–300 verschiedene Anwendungen.
Eine Regel lässt also bis zu 150 Anträge außer Acht. Dies bedeutet in der Regel, dass die Firewall falsch konfiguriert ist, da in der Regel 1–10 Anwendungen in einer Regel für unterschiedliche Zwecke übersprungen werden. Sehen wir uns an, was diese Anwendungen sind: Klicken Sie auf die Schaltfläche „Vergleichen“:
Das Schönste für den Administrator an der Policy Optimizer-Funktion ist die Schaltfläche „Nutzung anpassen“ – Sie können mit einem Klick eine Regel erstellen, in der Sie alle 150 Anwendungen in die Regel eintragen. Es würde zu lange dauern, dies manuell zu tun. Die Anzahl der Aufgaben für den Administrator ist selbst in meinem Netzwerk mit 10 Geräten enorm.
Zu Hause laufen 150 verschiedene Anwendungen, die Gigabytes an Datenverkehr übertragen! Und wie viel hast du?
Aber was passiert in einem Netzwerk von 100 oder 1000 oder 10000 Geräten? Ich habe Firewalls mit 8000 Regeln gesehen und bin sehr froh, dass Administratoren jetzt über so praktische Automatisierungstools verfügen.
Einige der Anwendungen, die das L7-Anwendungsanalysemodul in NGFW gesehen und im Netzwerk angezeigt hat, benötigen Sie nicht. Entfernen Sie sie einfach aus der Liste der Zulassungsregeln oder klonen Sie die Regeln mit der Schaltfläche „Klonen“ (in der Hauptoberfläche). und erlauben Sie in einer Anwendungsregel und blockieren Sie andere Anwendungen, als ob sie in Ihrem Netzwerk definitiv nicht benötigt würden. Solche Anwendungen werden häufig zu BitTorrent, Steam, Ultrasurf, Tor, versteckten Tunneln wie TCP-über-DNS und anderen.
Nun, klicken Sie auf eine andere Regel – was Sie dort sehen können:
Ja, es gibt spezielle Anwendungen für Multicast. Wir müssen sie zulassen, damit die Videowiedergabe über das Netzwerk funktioniert. Klicken Sie auf „Nutzung abgleichen“. Großartig! Danke Policy Optimizer.
Was ist mit maschinellem Lernen?
Heutzutage ist es in Mode, über Automatisierung zu sprechen. Herausgekommen ist, was ich beschrieben habe – es hilft sehr. Es gibt noch eine weitere Möglichkeit, die ich erwähnen muss. Hierbei handelt es sich um die Funktionalität des maschinellen Lernens, die in das oben erwähnte Expedition-Dienstprogramm integriert ist. Mit diesem Dienstprogramm ist es möglich, Regeln Ihrer alten Firewall eines anderen Herstellers zu übertragen. Darüber hinaus besteht die Möglichkeit, vorhandene Verkehrsprotokolle von Palo Alto Networks zu analysieren und Vorschläge für die Erstellung von Regeln zu machen. Dies ähnelt der Policy Optimizer-Funktionalität, ist in Expedition jedoch noch erweitert und Ihnen wird eine Liste vorgefertigter Regeln angeboten – Sie müssen diese nur genehmigen.
Um diese Funktionalität zu testen, erfolgt eine Laborarbeit – wir nennen es Probefahrt. Dieser Test kann durchgeführt werden, indem Sie zu den virtuellen Firewalls gehen, die die Mitarbeiter des Moskauer Büros von Palo Alto Networks auf Ihren Wunsch hin starten.
Die Anfrage kann an gesendet werden [E-Mail geschützt] und schreiben Sie in die Anfrage: „Ich möchte eine UTD für den Migrationsprozess erstellen.“
Tatsächlich gibt es mehrere Optionen für Labore, die als Unified Test Drive (UTD) bezeichnet werden, und zwar alle nach Anfrage.
An der Umfrage können nur registrierte Benutzer teilnehmen. bitte.
Möchten Sie, dass Ihnen jemand bei der Optimierung Ihrer Firewall-Richtlinien hilft?
-
Ja
-
Nein
-
Ich werde alles selbst machen
Noch hat niemand abgestimmt. Es gibt keine Enthaltungen.
Source: habr.com