Cómo evaluar la eficacia del ajuste de NGFW
La tarea más común es verificar qué tan bien está configurado su firewall. Para hacer esto, existen utilidades y servicios gratuitos de compañías que se ocupan de NGFW.
Por ejemplo, a continuación puede ver que Palo Alto Networks tiene la capacidad de acceder directamente desde ejecutar análisis de estadísticas de firewall: informe SLR o análisis de cumplimiento de mejores prácticas: informe BPA. Estas son utilidades en línea gratuitas que puede usar sin instalar nada.
CONTENIDO
Expedition (herramienta de migración)
Una opción más complicada para verificar su configuración es descargar una utilidad gratuita (antigua herramienta de migración). Se descarga como un dispositivo virtual para VMware, no se requiere ninguna configuración: debe descargar la imagen e implementarla en el hipervisor de VMware, ejecutarla e ir a la interfaz web. Esta utilidad requiere una historia aparte, solo el curso dura 5 días, hay muchas funciones ahora allí, incluido el aprendizaje automático y la migración de varias configuraciones de políticas, NAT y objetos para diferentes fabricantes de firewall. Sobre Machine Learning, escribiré más adelante en el texto.
Optimizador de políticas
Y la opción más conveniente (en mi humilde opinión), de la que hablaré con más detalle hoy, es el optimizador de políticas integrado en la propia interfaz de Palo Alto Networks. Para demostrarlo, instalé un firewall en mi casa y escribí una regla simple: permitir cualquiera a cualquiera. En principio, a veces veo tales reglas incluso en redes corporativas. Naturalmente, habilité todos los perfiles de seguridad de NGFW, como puede ver en la captura de pantalla:
La siguiente captura de pantalla muestra un ejemplo del cortafuegos no configurado de mi hogar, donde casi todas las conexiones se rigen por la última regla: Permitir todas, como se puede ver en las estadísticas de la columna Conteo de visitas.
Zero Trust
Hay un enfoque de la seguridad llamado . Lo que esto significa: debemos permitir a las personas dentro de la red exactamente las conexiones que necesitan y prohibir todo lo demás. Es decir, necesitamos agregar reglas claras para aplicaciones, usuarios, categorías de URL, tipos de archivos; habilite todas las firmas IPS y antivirus, habilite sandbox, protección DNS, use IoC de las bases de datos Threat Intelligence disponibles. En general, hay una cantidad decente de tareas al configurar un firewall.
Por cierto, el conjunto mínimo de configuraciones requeridas para NGFW de Palo Alto Networks se describe en uno de los documentos SANS: Recomiendo empezar con él. Y, por supuesto, hay un conjunto de mejores prácticas para configurar un firewall del fabricante: .
Entonces, tuve un firewall en casa durante una semana. Veamos qué tráfico hay en mi red:
Si se ordena por el número de sesiones, la mayoría de ellas son creadas por bittorent, luego viene SSL y luego QUIC. Estas son estadísticas tanto para el tráfico entrante como para el saliente: hay muchos escaneos externos de mi enrutador. Hay 150 aplicaciones diferentes en mi red.
Entonces, todo fue omitido por una regla. Ahora veamos qué dice el optimizador de políticas al respecto. Si miró la captura de pantalla de la interfaz con las reglas de seguridad arriba, vio una pequeña ventana en la parte inferior izquierda, lo que me indica que hay reglas que se pueden optimizar. Hagamos clic allí.
Lo que muestra el Optimizador de políticas:
- Qué políticas no se utilizaron en absoluto, 30 días, 90 días. Esto ayuda a tomar la decisión de eliminarlos por completo.
- Qué aplicaciones se especificaron en las políticas, pero no se encontraron tales aplicaciones en el tráfico. Esto le permite eliminar aplicaciones innecesarias en las reglas de permiso.
- Qué políticas permitían todo, pero realmente había aplicaciones que sería bueno indicar explícitamente según la metodología Zero Trust.
Haga clic en Sin usar.
Para mostrar cómo funciona, agregué algunas reglas y hasta ahora no se han perdido ni un solo paquete. Aquí está su lista:
Quizás, con el tiempo, el tráfico pasará por allí y luego desaparecerán de esta lista. Y si están en esta lista durante 90 días, puede decidir eliminar estas reglas. Después de todo, cada regla brinda una oportunidad para un hacker.
Hay un problema real con la configuración del cortafuegos: llega un nuevo empleado, consulta las reglas del cortafuegos, si no tiene comentarios y no sabe por qué se creó esta regla, ¿es realmente necesaria? ¿Se puede eliminar? De repente, la persona está de vacaciones y durante 30 días el tráfico volverá a salir del servicio que necesita. Y solo esta función lo ayuda a tomar una decisión, nadie la usa, ¡elimínela!
Haga clic en Aplicación no utilizada.
Hacemos clic en Unused App en el optimizador y vemos que se abre información interesante en la ventana principal.
Vemos que hay tres reglas, donde el número de aplicaciones permitidas y el número de aplicaciones que realmente pasaron esta regla son diferentes.
Podemos hacer clic y ver una lista de estas aplicaciones y comparar estas listas.
Por ejemplo, hagamos clic en el botón Comparar para la regla Max.
Aquí puede ver que se permitieron las aplicaciones de facebook, instagram, telegram, vkontakte. Pero en realidad, el tráfico atravesaba solo una parte de las subaplicaciones. Aquí debe comprender que la aplicación de Facebook contiene varias aplicaciones secundarias.
La lista completa de aplicaciones NGFW se puede ver en el portal y en la propia interfaz del firewall, en la sección Objetos->Aplicaciones y en el buscador, escribe el nombre de la aplicación: facebook, obtendrás el siguiente resultado:
Entonces, NGFW vio algunas de estas subaplicaciones, pero no algunas. De hecho, puede deshabilitar y habilitar por separado diferentes subfunciones de Facebook. Por ejemplo, permitirle ver mensajes, pero prohibir el chat o la transferencia de archivos. En consecuencia, Policy Optimizer habla de esto y puedes tomar una decisión: no permitir todas las aplicaciones de Facebook, sino solo las principales.
Entonces, nos dimos cuenta de que las listas son diferentes. Puede asegurarse de que las reglas permitan solo aquellas aplicaciones que realmente deambulan por la red. Para hacer esto, haga clic en el botón MatchUsage. Resulta así:
Y también puede agregar aplicaciones que considere necesarias: el botón Agregar en el lado izquierdo de la ventana:
Y luego esta regla se puede aplicar y probar. ¡Felicidades!
Haga clic en No se especificaron aplicaciones.
En este caso, se abrirá una importante ventana de seguridad.
Lo más probable es que existan muchas reglas de este tipo en las que la aplicación de nivel L7 no se especifica explícitamente en su red. Y en mi red existe esa regla: permítame recordarle que la hice durante la configuración inicial, específicamente para mostrar cómo funciona el Optimizador de políticas.
La imagen muestra que la regla AllowAll perdió 9 gigabytes de tráfico durante el período del 17 al 220 de marzo, lo que representa un total de 150 aplicaciones diferentes en mi red. Y esto todavía no es suficiente. Por lo general, una red corporativa mediana tiene entre 200 y 300 aplicaciones diferentes.
Entonces, una regla pierde hasta 150 aplicaciones. Esto generalmente significa que el firewall está configurado incorrectamente, porque generalmente se omiten de 1 a 10 aplicaciones para diferentes propósitos en una regla. Veamos cuáles son estas aplicaciones: haga clic en el botón Comparar:
Lo más maravilloso para el administrador en la función Policy Optimizer es el botón Match Usage: puede crear una regla con un solo clic, donde ingresará las 150 aplicaciones en la regla. Hacerlo manualmente llevaría demasiado tiempo. La cantidad de tareas para el administrador, incluso en mi red de 10 dispositivos, es enorme.
¡Tengo 150 aplicaciones diferentes ejecutándose en casa, transmitiendo gigabytes de tráfico! ¿Y cuánto tienes?
Pero, ¿qué sucede en una red de 100 dispositivos o 1000 o 10000? He visto firewalls con reglas 8000 y estoy muy contento de que los administradores ahora tengan herramientas de automatización tan convenientes.
No necesitará algunas de las aplicaciones que el módulo de análisis de aplicaciones L7 en NGFW vio y mostró en la red, así que simplemente elimínelas de la lista de reglas permitidas o clone las reglas con el botón Clonar (en la interfaz principal) y permitir en una regla de aplicación, y en Bloquear otras aplicaciones como si definitivamente no fueran necesarias en su red. Tales aplicaciones a menudo se convierten en bittorent, steam, ultrasurf, tor, túneles ocultos como tcp-over-dns y otros.
Bueno, haga clic en otra regla, lo que puede ver allí:
Sí, existen aplicaciones específicas para multidifusión. Debemos permitirlos para que funcione la visualización de videos a través de la red. Haga clic en Igualar uso. ¡Excelente! Gracias Optimizador de políticas.
¿Qué pasa con el aprendizaje automático?
Ahora está de moda hablar de automatización. Salió lo que describí: ayuda mucho. Hay otra posibilidad que debo mencionar. Esta es la funcionalidad de Machine Learning integrada en la utilidad Expedition mencionada anteriormente. En esta utilidad, es posible transferir reglas de su antiguo firewall de otro fabricante. Y también existe la capacidad de analizar los registros de tráfico existentes de Palo Alto Networks y sugerir qué reglas escribir. Esto es similar a la funcionalidad del Optimizador de políticas, pero en Expedition es aún más amplia y se le ofrece una lista de reglas preparadas, solo necesita aprobarlas.
Para probar esta funcionalidad, hay un trabajo de laboratorio, lo llamamos una prueba de manejo. Esta prueba se puede realizar accediendo a los cortafuegos virtuales que el personal de la oficina de Moscú de Palo Alto Networks pondrá en marcha a petición suya.
La solicitud se puede enviar a [email protected] y en la solicitud escribir: "Quiero hacer una UTD para el Proceso de Migración".
De hecho, hay varias opciones para laboratorios llamados Unified Test Drive (UTD) y todos ellos después de la solicitud.
Solo los usuarios registrados pueden participar en la encuesta. por favor
¿Quieres que alguien te ayude a optimizar tus políticas de firewall?
-
Sí
-
No
-
haré todo yo mismo
Nadie ha votado todavía. No hay abstenciones.
Fuente: habr.com