Πώς να αξιολογήσετε την αποτελεσματικότητα μιας εγκατάστασης NGFW

Η πιο συνηθισμένη εργασία είναι να ελέγξετε πόσο αποτελεσματικά έχει ρυθμιστεί το τείχος προστασίας σας. Για να γίνει αυτό, υπάρχουν δωρεάν βοηθητικά προγράμματα και υπηρεσίες από εταιρείες που ασχολούνται με το NGFW.

Για παράδειγμα, μπορείτε να δείτε παρακάτω ότι η Palo Alto Networks έχει τη δυνατότητα απευθείας από πύλη υποστήριξης εκτελέστε μια ανάλυση στατιστικών τείχους προστασίας - Αναφορά SLR ή ανάλυση συμμόρφωσης με τις βέλτιστες πρακτικές - Έκθεση BPA. Αυτά είναι δωρεάν διαδικτυακά βοηθητικά προγράμματα που μπορείτε να χρησιμοποιήσετε χωρίς να εγκαταστήσετε τίποτα.

ΠΕΡΙΕΧΟΜΕΝΑ

Expedition (Εργαλείο μετεγκατάστασης)
Policy Optimizer
Μηδενική εμπιστοσύνη
Κάντε κλικ στο Unused
Κάντε κλικ στο Unused App
Κάντε κλικ στην επιλογή Δεν έχουν καθοριστεί εφαρμογές
Τι γίνεται με τη Μηχανική Μάθηση;
UTD

Expedition (Εργαλείο μετεγκατάστασης)

Μια πιο περίπλοκη επιλογή για τον έλεγχο των ρυθμίσεών σας είναι η λήψη ενός δωρεάν βοηθητικού προγράμματος Εκστρατεία (πρώην Εργαλείο μετεγκατάστασης). Γίνεται λήψη ως Virtual Appliance για VMware, δεν απαιτούνται ρυθμίσεις μαζί του - πρέπει να κάνετε λήψη της εικόνας και να την αναπτύξετε κάτω από τον hypervisor VMware, να την εκκινήσετε και να μεταβείτε στη διεπαφή ιστού. Αυτό το βοηθητικό πρόγραμμα απαιτεί ξεχωριστή ιστορία, μόνο το μάθημα σε αυτό διαρκεί 5 ημέρες, υπάρχουν τόσες πολλές λειτουργίες τώρα, συμπεριλαμβανομένης της Machine Learning και της μετεγκατάστασης διαφόρων διαμορφώσεων πολιτικών, NAT και αντικειμένων για διαφορετικούς κατασκευαστές τείχους προστασίας. Θα γράψω περισσότερα για τη Μηχανική Μάθηση παρακάτω στο κείμενο.

Policy Optimizer

Και η πιο βολική επιλογή (IMHO), για την οποία θα σας πω λεπτομερέστερα σήμερα, είναι το εργαλείο βελτιστοποίησης πολιτικής που είναι ενσωματωμένο στη διεπαφή του Palo Alto Networks. Για να το αποδείξω, εγκατέστησα ένα τείχος προστασίας στο σπίτι και έγραψα έναν απλό κανόνα: να επιτρέπεται σε οποιοδήποτε. Καταρχήν, μερικές φορές βλέπω τέτοιους κανόνες ακόμη και σε εταιρικά δίκτυα. Φυσικά, ενεργοποίησα όλα τα προφίλ ασφαλείας NGFW, όπως μπορείτε να δείτε στο στιγμιότυπο οθόνης:


Το παρακάτω στιγμιότυπο οθόνης δείχνει ένα παράδειγμα του μη διαμορφωμένου τείχους προστασίας του σπιτιού μου, όπου σχεδόν όλες οι συνδέσεις εμπίπτουν στον τελευταίο κανόνα: AllowAll, όπως φαίνεται από τα στατιστικά στοιχεία στη στήλη Καταμέτρηση επισκέψεων.

Μηδενική εμπιστοσύνη

Υπάρχει μια προσέγγιση για την ασφάλεια που ονομάζεται Μηδενική εμπιστοσύνη. Τι σημαίνει αυτό: πρέπει να επιτρέπουμε στους ανθρώπους εντός του δικτύου ακριβώς εκείνες τις συνδέσεις που χρειάζονται και να αρνηθούμε οτιδήποτε άλλο. Δηλαδή, πρέπει να προσθέσουμε σαφείς κανόνες για εφαρμογές, χρήστες, κατηγορίες διευθύνσεων URL, τύπους αρχείων. ενεργοποιήστε όλες τις υπογραφές IPS και antivirus, ενεργοποιήστε το sandboxing, προστασία DNS, χρησιμοποιήστε IoC από τις διαθέσιμες βάσεις δεδομένων Threat Intelligence. Γενικά, υπάρχει ένας αξιοπρεπής αριθμός εργασιών κατά τη ρύθμιση ενός τείχους προστασίας.

Παρεμπιπτόντως, το ελάχιστο σύνολο απαραίτητων ρυθμίσεων για το Palo Alto Networks NGFW περιγράφεται σε ένα από τα έγγραφα SANS: Σημείο αναφοράς ρύθμισης παραμέτρων ασφαλείας δικτύων Palo Alto - Συνιστώ να ξεκινήσετε με αυτό. Και φυσικά, υπάρχει ένα σύνολο βέλτιστων πρακτικών για τη ρύθμιση ενός τείχους προστασίας από τον κατασκευαστή: Η καλύτερη εξάσκηση.

Έτσι, είχα ένα τείχος προστασίας στο σπίτι για μια εβδομάδα. Ας δούμε τι είδους κίνηση υπάρχει στο δίκτυό μου:


Εάν ταξινομήσετε με βάση τον αριθμό των περιόδων σύνδεσης, τότε οι περισσότερες από αυτές δημιουργούνται από το bittorent, μετά έρχεται το SSL και μετά το QUIC. Αυτά είναι στατιστικά στοιχεία τόσο για την εισερχόμενη όσο και για την εξερχόμενη κίνηση: υπάρχουν πολλές εξωτερικές σαρώσεις του δρομολογητή μου. Υπάρχουν 150 διαφορετικές εφαρμογές στο δίκτυό μου.

Έτσι, όλα αυτά χάθηκαν από έναν κανόνα. Ας δούμε τώρα τι λέει το Policy Optimizer για αυτό. Αν κοιτάξατε παραπάνω το στιγμιότυπο οθόνης της διεπαφής με κανόνες ασφαλείας, τότε κάτω αριστερά είδατε ένα μικρό παράθυρο που μου υποδηλώνει ότι υπάρχουν κανόνες που μπορούν να βελτιστοποιηθούν. Ας κάνουμε κλικ εκεί.

Τι δείχνει το Policy Optimizer:

• Ποιες πολιτικές δεν χρησιμοποιήθηκαν καθόλου, 30 ημέρες, 90 ημέρες. Αυτό βοηθά στη λήψη της απόφασης να τα αφαιρέσετε εντελώς.
• Ποιες εφαρμογές καθορίστηκαν στις πολιτικές, αλλά δεν εντοπίστηκαν τέτοιες εφαρμογές στην κυκλοφορία. Αυτό σας επιτρέπει να αφαιρέσετε τις περιττές εφαρμογές στους κανόνες επιτρεπόμενων.
• Ποιες πολιτικές επέτρεπαν τα πάντα, αλλά στην πραγματικότητα υπήρχαν εφαρμογές που θα ήταν καλό να αναφερθούν ρητά σύμφωνα με τη μεθοδολογία Zero Trust.

Ας κάνουμε κλικ στο Unused.

Για να δείξω πώς λειτουργεί, πρόσθεσα μερικούς κανόνες και μέχρι στιγμής δεν έχουν χάσει ούτε ένα πακέτο σήμερα. Εδώ είναι η λίστα τους:

Ίσως με την πάροδο του χρόνου θα υπάρχει κίνηση εκεί και στη συνέχεια θα εξαφανιστούν από αυτήν τη λίστα. Και αν βρίσκονται σε αυτήν τη λίστα για 90 ημέρες, τότε μπορείτε να αποφασίσετε να διαγράψετε αυτούς τους κανόνες. Μετά από όλα, κάθε κανόνας παρέχει μια ευκαιρία για έναν χάκερ.

Υπάρχει ένα πραγματικό πρόβλημα κατά τη διαμόρφωση ενός τείχους προστασίας: ένας νέος υπάλληλος έρχεται, κοιτάζει τους κανόνες του τείχους προστασίας, αν δεν έχει κανένα σχόλιο και δεν ξέρει γιατί δημιουργήθηκε αυτός ο κανόνας, αν είναι πραγματικά απαραίτητος, αν μπορεί να διαγραφεί: ξαφνικά το άτομο είναι σε διακοπές και μετά Εντός 30 ημερών, η κίνηση θα εκτοξευτεί ξανά από την υπηρεσία που χρειάζεται. Και μόνο αυτή η λειτουργία τον βοηθά να πάρει μια απόφαση - κανείς δεν τη χρησιμοποιεί - να τη διαγράψει!

Κάντε κλικ στο Unused App.

Κάνουμε κλικ στο Unused App στο optimizer και βλέπουμε ότι ενδιαφέρουσες πληροφορίες ανοίγουν στο κύριο παράθυρο.

Βλέπουμε ότι υπάρχουν τρεις κανόνες, όπου ο αριθμός των επιτρεπόμενων αιτήσεων και ο αριθμός των αιτήσεων που όντως πέρασαν αυτόν τον κανόνα είναι διαφορετικοί.

Μπορούμε να κάνουμε κλικ και να δούμε μια λίστα με αυτές τις εφαρμογές και να συγκρίνουμε αυτές τις λίστες.
Για παράδειγμα, κάντε κλικ στο κουμπί Σύγκριση για τον κανόνα Max.

Εδώ μπορείτε να δείτε ότι επιτρέπονταν οι εφαρμογές facebook, instagram, telegram, vkontakte. Αλλά στην πραγματικότητα, η κίνηση πήγε μόνο σε ορισμένες από τις δευτερεύουσες εφαρμογές. Εδώ πρέπει να καταλάβετε ότι η εφαρμογή facebook περιέχει αρκετές υπο-εφαρμογές.

Ολόκληρη η λίστα των εφαρμογών NGFW μπορείτε να την δείτε στην πύλη applipedia.paloaltonetworks.com και στην ίδια τη διεπαφή του τείχους προστασίας, στην ενότητα Αντικείμενα->Εφαρμογές και στην αναζήτηση, πληκτρολογήστε το όνομα της εφαρμογής: facebook, θα έχετε το εξής αποτέλεσμα:

Έτσι, ορισμένες από αυτές τις υπο-εφαρμογές είδαν το NGFW, αλλά μερικές όχι. Στην πραγματικότητα, μπορείτε ξεχωριστά να απαγορεύσετε και να επιτρέψετε διαφορετικές υπολειτουργίες του Facebook. Για παράδειγμα, επιτρέψτε την προβολή μηνυμάτων, αλλά απαγορεύστε τη συνομιλία ή τη μεταφορά αρχείων. Αντίστοιχα, το Policy Optimizer μιλά για αυτό και μπορείτε να αποφασίσετε: να μην επιτρέπονται όλες οι εφαρμογές Facebook, αλλά μόνο οι κύριες.

Έτσι, καταλάβαμε ότι οι λίστες είναι διαφορετικές. Μπορείτε να βεβαιωθείτε ότι οι κανόνες επιτρέπουν μόνο εκείνες τις εφαρμογές που ταξιδεύουν πραγματικά στο δίκτυο. Για να το κάνετε αυτό, κάνετε κλικ στο κουμπί MatchUsage. Αποδεικνύεται ως εξής:

Και μπορείτε επίσης να προσθέσετε εφαρμογές που θεωρείτε απαραίτητες - το κουμπί Προσθήκη στην αριστερή πλευρά του παραθύρου:

Και τότε αυτός ο κανόνας μπορεί να εφαρμοστεί και να δοκιμαστεί. Συγχαρητήρια!

Κάντε κλικ στην επιλογή Δεν έχουν καθοριστεί εφαρμογές.

Σε αυτήν την περίπτωση, θα ανοίξει ένα σημαντικό παράθυρο ασφαλείας.

Πιθανότατα υπάρχουν πολλοί τέτοιοι κανόνες στο δίκτυό σας όπου η εφαρμογή επιπέδου L7 δεν καθορίζεται ρητά. Και στο δίκτυό μου υπάρχει ένας τέτοιος κανόνας - επιτρέψτε μου να σας υπενθυμίσω ότι τον έφτιαξα κατά την αρχική ρύθμιση, ειδικά για να δείξω πώς λειτουργεί το Policy Optimizer.

Η εικόνα δείχνει ότι ο κανόνας AllowAll επέτρεψε 9 gigabyte επισκεψιμότητας την περίοδο από τις 17 Μαρτίου έως τις 220 Μαρτίου, δηλαδή 150 διαφορετικές εφαρμογές στο δίκτυό μου. Και αυτό δεν είναι αρκετό. Συνήθως, ένα εταιρικό δίκτυο μέσου μεγέθους έχει 200-300 διαφορετικές εφαρμογές.

Έτσι, ένας κανόνας επιτρέπει έως και 150 εφαρμογές. Συνήθως αυτό σημαίνει ότι το τείχος προστασίας δεν έχει ρυθμιστεί σωστά, επειδή συνήθως ένας κανόνας επιτρέπει 1-10 εφαρμογές για διαφορετικούς σκοπούς. Ας δούμε ποιες είναι αυτές οι εφαρμογές: κάντε κλικ στο κουμπί Σύγκριση:

Το πιο υπέροχο πράγμα για έναν διαχειριστή στη λειτουργία Policy Optimizer είναι το κουμπί Match Usage - μπορείτε να δημιουργήσετε έναν κανόνα με ένα κλικ, όπου θα εισαγάγετε και τις 150 εφαρμογές στον κανόνα. Για να το κάνετε αυτό χειροκίνητα θα χρειαστεί πολύς χρόνος. Ο αριθμός των εργασιών στις οποίες μπορεί να εργαστεί ένας διαχειριστής, ακόμη και στο δίκτυο των 10 συσκευών μου, είναι τεράστιος.

Έχω 150 διαφορετικές εφαρμογές που τρέχουν στο σπίτι, μεταφέροντας gigabytes κίνησης! Και πόσα έχεις;

Τι συμβαίνει όμως σε ένα δίκτυο 100 συσκευών ή 1000 ή 10000; Έχω δει τείχη προστασίας με 8000 κανόνες και χαίρομαι πολύ που οι διαχειριστές έχουν πλέον τόσο βολικά εργαλεία αυτοματισμού.

Μερικές από τις εφαρμογές που είδε και έδειξε η ενότητα ανάλυσης εφαρμογών L7 στο NGFW δεν θα χρειαστείτε στο δίκτυο, επομένως απλώς τις αφαιρείτε από τη λίστα επιτρεπόμενων κανόνων ή κλωνοποιείτε τους κανόνες χρησιμοποιώντας το κουμπί Clone (στην κύρια διεπαφή) και επιτρέψτε τους σε έναν κανόνα εφαρμογής και στο Θα αποκλείσετε άλλες εφαρμογές καθώς σίγουρα δεν χρειάζονται στο δίκτυό σας. Τέτοιες εφαρμογές περιλαμβάνουν συχνά bittorent, steam, ultrasurf, tor, κρυφές σήραγγες όπως tcp-over-dns και άλλες.

Λοιπόν, ας κάνουμε κλικ σε έναν άλλο κανόνα και ας δούμε τι μπορείτε να δείτε εκεί:

Ναι, υπάρχουν τυπικές εφαρμογές για multicast. Πρέπει να τους επιτρέψουμε να λειτουργήσει η προβολή βίντεο στο διαδίκτυο. Κάντε κλικ στην επιλογή Αντιστοίχιση χρήσης. Εξαιρετική! Ευχαριστούμε το Policy Optimizer.

Τι γίνεται με τη Μηχανική Μάθηση;

Τώρα είναι της μόδας να μιλάμε για αυτοματισμούς. Αυτό που περιέγραψα βγήκε - βοηθάει πολύ. Υπάρχει μια ακόμη πιθανότητα για την οποία πρέπει να μιλήσω. Αυτή είναι η λειτουργία Machine Learning που είναι ενσωματωμένη στο βοηθητικό πρόγραμμα Expedition, η οποία αναφέρθηκε ήδη παραπάνω. Σε αυτό το βοηθητικό πρόγραμμα, είναι δυνατή η μεταφορά κανόνων από το παλιό σας τείχος προστασίας από άλλο κατασκευαστή. Υπάρχει επίσης η δυνατότητα ανάλυσης των υφιστάμενων αρχείων καταγραφής κυκλοφορίας του Palo Alto Networks και πρότασης για τους κανόνες που πρέπει να γραφτούν. Αυτό είναι παρόμοιο με τη λειτουργικότητα του Policy Optimizer, αλλά στο Expedition είναι ακόμη πιο διευρυμένο και σας προσφέρεται μια λίστα με έτοιμους κανόνες - απλά πρέπει να τους εγκρίνετε.
Για τη δοκιμή αυτής της λειτουργικότητας, υπάρχει μια εργαστηριακή εργασία - την ονομάζουμε δοκιμαστική κίνηση. Αυτή η δοκιμή μπορεί να γίνει με σύνδεση σε εικονικά τείχη προστασίας, τα οποία θα εκκινήσουν οι υπάλληλοι του γραφείου της Palo Alto Networks στη Μόσχα κατόπιν αιτήματός σας.

Το αίτημα μπορεί να σταλεί στο [προστασία μέσω email] και στο αίτημα γράψτε: «Θέλω να κάνω ένα UTD για τη Διαδικασία Μετανάστευσης».

Στην πραγματικότητα, η εργαστηριακή εργασία που ονομάζεται Unified Test Drive (UTD) έχει πολλές επιλογές και όλες διαθέσιμο εξ αποστάσεως μετά από αίτημα.

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Θα θέλατε κάποιος να σας βοηθήσει να βελτιστοποιήσετε τις πολιτικές τείχους προστασίας σας;

• Ναί

• Όχι

• Θα τα κάνω όλα μόνος μου

Κανείς δεν έχει ψηφίσει ακόμα. Δεν υπάρχουν αποχές.

Πηγή: www.habr.com