Cómo evaluar la eficacia del ajuste de NGFW
La tarea más común es verificar qué tan bien está configurado su firewall. Para hacer esto, existen utilidades y servicios gratuitos de compañías que se ocupan de NGFW.
Por ejemplo, a continuación puede ver que Palo Alto Networks tiene la capacidad de acceder directamente desde
CONTENIDO
Expedition (herramienta de migración)
Una opción más complicada para verificar su configuración es descargar una utilidad gratuita
Optimizador de políticas
Y la opción más conveniente (en mi humilde opinión), de la que hablaré con más detalle hoy, es el optimizador de políticas integrado en la propia interfaz de Palo Alto Networks. Para demostrarlo, instalé un firewall en mi casa y escribí una regla simple: permitir cualquiera a cualquiera. En principio, a veces veo tales reglas incluso en redes corporativas. Naturalmente, habilité todos los perfiles de seguridad de NGFW, como puede ver en la captura de pantalla:
La siguiente captura de pantalla muestra un ejemplo del cortafuegos no configurado de mi hogar, donde casi todas las conexiones se rigen por la última regla: Permitir todas, como se puede ver en las estadísticas de la columna Conteo de visitas.
Zero Trust
Hay un enfoque de la seguridad llamado
Por cierto, el conjunto mínimo de configuraciones requeridas para NGFW de Palo Alto Networks se describe en uno de los documentos SANS:
Entonces, tuve un firewall en casa durante una semana. Veamos qué tráfico hay en mi red:
Si se ordena por el número de sesiones, la mayoría de ellas son creadas por bittorent, luego viene SSL y luego QUIC. Estas son estadísticas tanto para el tráfico entrante como para el saliente: hay muchos escaneos externos de mi enrutador. Hay 150 aplicaciones diferentes en mi red.
Entonces, todo fue omitido por una regla. Ahora veamos qué dice el optimizador de políticas al respecto. Si miró la captura de pantalla de la interfaz con las reglas de seguridad arriba, vio una pequeña ventana en la parte inferior izquierda, lo que me indica que hay reglas que se pueden optimizar. Hagamos clic allí.
Lo que muestra el Optimizador de políticas:
- Qué políticas no se utilizaron en absoluto, 30 días, 90 días. Esto ayuda a tomar la decisión de eliminarlos por completo.
- Qué aplicaciones se especificaron en las políticas, pero no se encontraron tales aplicaciones en el tráfico. Esto le permite eliminar aplicaciones innecesarias en las reglas de permiso.
- Qué políticas permitían todo, pero realmente había aplicaciones que sería bueno indicar explícitamente según la metodología Zero Trust.
Haga clic en Sin usar.
Para mostrar cómo funciona, agregué algunas reglas y hasta ahora no se han perdido ni un solo paquete. Aquí está su lista:
Quizás, con el tiempo, el tráfico pasará por allí y luego desaparecerán de esta lista. Y si están en esta lista durante 90 días, puede decidir eliminar estas reglas. Después de todo, cada regla brinda una oportunidad para un hacker.
Hay un problema real con la configuración del cortafuegos: llega un nuevo empleado, consulta las reglas del cortafuegos, si no tiene comentarios y no sabe por qué se creó esta regla, ¿es realmente necesaria? ¿Se puede eliminar? De repente, la persona está de vacaciones y durante 30 días el tráfico volverá a salir del servicio que necesita. Y solo esta función lo ayuda a tomar una decisión, nadie la usa, ¡elimínela!
Haga clic en Aplicación no utilizada.
Hacemos clic en Unused App en el optimizador y vemos que se abre información interesante en la ventana principal.
Vemos que hay tres reglas, donde el número de aplicaciones permitidas y el número de aplicaciones que realmente pasaron esta regla son diferentes.
Podemos hacer clic y ver una lista de estas aplicaciones y comparar estas listas.
Por ejemplo, hagamos clic en el botón Comparar para la regla Max.
Aquí puede ver que se permitieron las aplicaciones de facebook, instagram, telegram, vkontakte. Pero en realidad, el tráfico atravesaba solo una parte de las subaplicaciones. Aquí debe comprender que la aplicación de Facebook contiene varias aplicaciones secundarias.
La lista completa de aplicaciones NGFW se puede ver en el portal
Entonces, NGFW vio algunas de estas subaplicaciones, pero no algunas. De hecho, puede deshabilitar y habilitar por separado diferentes subfunciones de Facebook. Por ejemplo, permitirle ver mensajes, pero prohibir el chat o la transferencia de archivos. En consecuencia, Policy Optimizer habla de esto y puedes tomar una decisión: no permitir todas las aplicaciones de Facebook, sino solo las principales.
Entonces, nos dimos cuenta de que las listas son diferentes. Puede asegurarse de que las reglas permitan solo aquellas aplicaciones que realmente deambulan por la red. Para hacer esto, haga clic en el botón MatchUsage. Resulta así:
Y también puede agregar aplicaciones que considere necesarias: el botón Agregar en el lado izquierdo de la ventana:
Y luego esta regla se puede aplicar y probar. ¡Felicidades!
Haga clic en No se especificaron aplicaciones.
En este caso, se abrirá una importante ventana de seguridad.
Lo más probable es que existan muchas reglas de este tipo en las que la aplicación de nivel L7 no se especifica explícitamente en su red. Y en mi red existe esa regla: permítame recordarle que la hice durante la configuración inicial, específicamente para mostrar cómo funciona el Optimizador de políticas.
La imagen muestra que la regla AllowAll perdió 9 gigabytes de tráfico durante el período del 17 al 220 de marzo, lo que representa un total de 150 aplicaciones diferentes en mi red. Y esto todavía no es suficiente. Por lo general, una red corporativa mediana tiene entre 200 y 300 aplicaciones diferentes.
Entonces, una regla pierde hasta 150 aplicaciones. Esto generalmente significa que el firewall está configurado incorrectamente, porque generalmente se omiten de 1 a 10 aplicaciones para diferentes propósitos en una regla. Veamos cuáles son estas aplicaciones: haga clic en el botón Comparar:
Lo más maravilloso para el administrador en la función Policy Optimizer es el botón Match Usage: puede crear una regla con un solo clic, donde ingresará las 150 aplicaciones en la regla. Hacerlo manualmente llevaría demasiado tiempo. La cantidad de tareas para el administrador, incluso en mi red de 10 dispositivos, es enorme.
¡Tengo 150 aplicaciones diferentes ejecutándose en casa, transmitiendo gigabytes de tráfico! ¿Y cuánto tienes?
Pero, ¿qué sucede en una red de 100 dispositivos o 1000 o 10000? He visto firewalls con reglas 8000 y estoy muy contento de que los administradores ahora tengan herramientas de automatización tan convenientes.
No necesitará algunas de las aplicaciones que el módulo de análisis de aplicaciones L7 en NGFW vio y mostró en la red, así que simplemente elimínelas de la lista de reglas permitidas o clone las reglas con el botón Clonar (en la interfaz principal) y permitir en una regla de aplicación, y en Bloquear otras aplicaciones como si definitivamente no fueran necesarias en su red. Tales aplicaciones a menudo se convierten en bittorent, steam, ultrasurf, tor, túneles ocultos como tcp-over-dns y otros.
Bueno, haga clic en otra regla, lo que puede ver allí:
Sí, existen aplicaciones específicas para multidifusión. Debemos permitirlos para que funcione la visualización de videos a través de la red. Haga clic en Igualar uso. ¡Excelente! Gracias Optimizador de políticas.
¿Qué pasa con el aprendizaje automático?
Ahora está de moda hablar de automatización. Salió lo que describí: ayuda mucho. Hay otra posibilidad que debo mencionar. Esta es la funcionalidad de Machine Learning integrada en la utilidad Expedition mencionada anteriormente. En esta utilidad, es posible transferir reglas de su antiguo firewall de otro fabricante. Y también existe la capacidad de analizar los registros de tráfico existentes de Palo Alto Networks y sugerir qué reglas escribir. Esto es similar a la funcionalidad del Optimizador de políticas, pero en Expedition es aún más amplia y se le ofrece una lista de reglas preparadas, solo necesita aprobarlas.
La solicitud se puede enviar a [email protected] y en la solicitud escribir: "Quiero hacer una UTD para el Proceso de Migración".
De hecho, hay varias opciones para laboratorios llamados Unified Test Drive (UTD) y todos ellos
Solo los usuarios registrados pueden participar en la encuesta.
¿Quieres que alguien te ayude a optimizar tus políticas de firewall?
-
Sí
-
No
-
haré todo yo mismo
Nadie ha votado todavía. No hay abstenciones.
Fuente: habr.com