Kuidas hinnata NGFW seadistuse tõhusust
Kõige tavalisem ülesanne on kontrollida, kui tõhusalt teie tulemüür on konfigureeritud. Selleks pakuvad NGFW-ga tegelevad ettevõtted tasuta kommunaalteenuseid ja teenuseid.
Näiteks näete allpool, et Palo Alto Networksil on võimalus otse käivitage tulemüüri statistika analüüs - peegelkaamera aruanne või analüüs parimate tavade järgimise kohta - BPA aruanne. Need on tasuta võrguutiliidid, mida saate kasutada ilma midagi installimata.
SISUKORD
Ekspeditsioon (migratsioonitööriist)
Keerulisem valik seadete kontrollimiseks on tasuta utiliidi allalaadimine (endine Migration Tool). See laaditakse alla Virtual Appliance for VMware jaoks, sellega pole mingeid seadistusi vaja - peate pildi alla laadima ja VMware hüperviisori alla juurutama, käivitama ja minema veebiliidesesse. See utiliit nõuab eraldi lugu, ainult selle kursus võtab aega 5 päeva, praegu on palju funktsioone, sealhulgas masinõpe ja erinevate tulemüüritootjate erinevate konfiguratsioonide poliitika, NAT ja objektide migreerimine. Ma kirjutan masinõppest pikemalt allpool tekstis.
Poliitika optimeerija
Ja kõige mugavam valik (IMHO), millest räägin teile täna üksikasjalikumalt, on Palo Alto Networksi liidesesse sisseehitatud poliitika optimeerija. Selle demonstreerimiseks paigaldasin koju tulemüüri ja kirjutasin lihtsa reegli: luba ükskõik millisele. Põhimõtteliselt näen selliseid reegleid mõnikord isegi ettevõtete võrgustikes. Loomulikult lubasin kõik NGFW turvaprofiilid, nagu näete ekraanipildil:
Alloleval ekraanipildil on näide minu kodu konfigureerimata tulemüürist, kus peaaegu kõik ühendused kuuluvad viimase reegli alla: AllowAll, nagu on näha statistika veerus Hit Count.
Null usaldus
Turvalisusele on lähenemine nn . Mida see tähendab: peame võimaldama inimestele võrgus just neid ühendusi, mida nad vajavad, ja keelama kõik muu. See tähendab, et peame lisama selged reeglid rakenduste, kasutajate, URL-i kategooriate, failitüüpide jaoks; lubage kõik IPS-i ja viirusetõrjesignatuurid, lubage liivakasti, DNS-kaitse, kasutage IoC-d saadaolevatest Threat Intelligence'i andmebaasidest. Üldiselt on tulemüüri seadistamisel korralik hulk ülesandeid.
Muide, Palo Alto Networks NGFW jaoks vajalike minimaalsete sätete komplekti kirjeldatakse ühes SANS-i dokumendis: - Soovitan alustada sellest. Ja loomulikult on tootja poolt tulemüüri seadistamiseks olemas rida parimaid tavasid: .
Niisiis, mul oli nädal aega kodus tulemüür. Vaatame, millist liiklust minu võrgus on:
Kui sorteerida seansside arvu järgi, siis enamik neist on loodud bittorenti poolt, siis tuleb SSL ja seejärel QUIC. See on statistika nii sissetuleva kui ka väljamineva liikluse kohta: minu ruuteri väliseid skaneerimisi on palju. Minu võrgus on 150 erinevat rakendust.
Niisiis, see kõik jäi ühe reegliga vahele. Vaatame nüüd, mida Policy Optimizer selle kohta ütleb. Kui vaatasite ülalt turvareeglitega liidese ekraanipilti, siis all vasakul nägite väikest akent, mis vihjab mulle, et on reegleid, mida saab optimeerida. Klõpsame seal.
Mida poliitika optimeerija näitab:
- Milliseid poliise ei kasutatud üldse, 30 päeva, 90 päeva. See aitab teha otsust need täielikult eemaldada.
- Millised rakendused olid poliitikates määratud, kuid liikluses selliseid rakendusi ei tuvastatud. See võimaldab eemaldada lubamisreeglitest mittevajalikud rakendused.
- Millised poliitikad lubasid kõike, kuid tegelikult oli rakendusi, mida oleks olnud tore selgelt ära märkida vastavalt nulli usalduse metoodikale.
Klõpsake valikul Kasutamata.
Et näidata, kuidas see töötab, lisasin mõned reeglid ja siiani pole neil täna ükski pakett vahele jäänud. Siin on nende nimekiri:
Võib-olla aja jooksul tekib seal liiklus ja siis kaovad nad sellest nimekirjast. Ja kui nad on selles loendis 90 päeva, võite otsustada need reeglid kustutada. Iga reegel annab ju häkkerile võimaluse.
Tulemüüri seadistamisel on tõsine probleem: tuleb uus töötaja, vaatab tulemüüri reegleid, kui tal pole kommentaare ja ta ei tea, miks see reegel loodi, kas seda on tõesti vaja, kas saab. kustutatakse: järsku on inimene puhkusel ja pärast 30 päeva jooksul hakkab liiklus uuesti voolama talle vajalikust teenusest. Ja just see funktsioon aitab tal otsust langetada – keegi ei kasuta seda – kustuta see!
Klõpsake valikul Kasutamata rakendus.
Klõpsame optimeerijas valikul Unused App ja näeme, et peaaknas avaneb huvitav info.
Näeme, et on kolm reeglit, kus lubatud rakenduste arv ja reaalselt selle reegli läbinud rakenduste arv on erinev.
Saame klõpsata ja vaadata nende rakenduste loendit ning võrrelda neid loendeid.
Näiteks klõpsake Max-reegli jaoks nuppu Võrdle.
Siin näete, et rakendused facebook, instagram, telegram, vkontakte olid lubatud. Kuid tegelikkuses läks liiklus ainult mõnele alamrakendusele. Siin peate mõistma, et facebooki rakendus sisaldab mitmeid alamrakendusi.
Kogu NGFW rakenduste loendit saab näha portaalis ja tulemüüri liideses endas jaotises Objektid->Rakendused ja otsingusse sisesta rakenduse nimi: facebook, saad järgmise tulemuse:
Niisiis nägi NGFW mõnda neist alamrakendustest, kuid mõnda mitte. Tegelikult saate Facebooki erinevaid alamfunktsioone eraldi keelata ja lubada. Näiteks lubage sõnumite vaatamine, kuid keelake vestlus või failiedastus. Sellest lähtuvalt räägib Policy Optimizer sellest ja saate teha otsuse: mitte lubada kõiki Facebooki rakendusi, vaid ainult peamisi.
Nii mõistsime, et loendid on erinevad. Võite veenduda, et reeglid lubavad ainult neid rakendusi, mis tegelikult võrgus liiguvad. Selleks klõpsake nuppu MatchUsage. See selgub nii:
Ja saate lisada ka rakendusi, mida peate vajalikuks - akna vasakus servas olev nupp Lisa:
Ja siis saab seda reeglit rakendada ja katsetada. Palju õnne!
Klõpsake valikul Rakendusi pole määratud.
Sel juhul avaneb oluline turvaaken.
Tõenäoliselt on teie võrgus palju selliseid reegleid, kus L7 taseme rakendus pole selgesõnaliselt määratud. Ja minu võrgus on selline reegel - lubage mul teile meelde tuletada, et tegin selle esialgse seadistamise ajal, et näidata, kuidas poliitika optimeerija töötab.
Pildilt on näha, et AllowAll reegel lubas ajavahemikul 9. märtsist 17. märtsini 220 gigabaiti liiklust, mis on 150 erinevat rakendust minu võrgus. Ja sellest ei piisa. Tavaliselt on keskmise suurusega ettevõttevõrgus 200–300 erinevat rakendust.
Seega laseb üks reegel läbi kuni 150 rakendust. Tavaliselt tähendab see, et tulemüür pole õigesti konfigureeritud, sest tavaliselt lubab üks reegel 1-10 rakendust erinevatel eesmärkidel. Vaatame, mis need rakendused on: klõpsake nuppu Võrdle:
Administraatori jaoks on Poliitika optimeerija funktsioonis kõige imelisem nupp Match Usage – ühe klõpsuga saad luua reegli, kus sisestad reeglisse kõik 150 rakendust. Selle käsitsi tegemine võtaks üsna kaua aega. Ülesannete arv, millega administraator peab töötama, isegi minu 10 seadmega võrgus, on tohutu.
Mul töötab kodus 150 erinevat rakendust, mis edastavad gigabaiti liiklust! Ja kui palju sul on?
Aga mis juhtub 100 või 1000 või 10000 8000 seadmega võrgus? Olen näinud XNUMX reegliga tulemüüre ja mul on väga hea meel, et administraatoritel on nüüd sellised mugavad automatiseerimisvahendid.
Mõned rakendused, mida L7 rakenduste analüüsimoodul NGFW-s nägi ja näitas, ei vaja teid võrgus, nii et eemaldate need lihtsalt lubavate reeglite loendist või kloonite reeglid, kasutades nuppu Klooni (põhiliideses) ja lubage need ühes rakenduse reeglis ja jaotises Blokeerite teised rakendused, kuna neid pole teie võrgus kindlasti vaja. Selliste rakenduste hulka kuuluvad sageli bittorent, steam, ultrasurf, tor, peidetud tunnelid, nagu tcp-over-dns ja teised.
Noh, klõpsame teisel reeglil ja vaatame, mida seal näha on:
Jah, multisaate jaoks on tüüpilisi rakendusi. Peame võimaldama neil veebivideote vaatamisel töötada. Klõpsake valikul Sobitage kasutus. Suurepärane! Täname poliitika optimeerijat.
Kuidas on lood masinõppega?
Nüüd on moes rääkida automatiseerimisest. See, mida kirjeldasin, tuli välja – see aitab palju. On veel üks võimalus, millest peaksin rääkima. See on Expeditioni utiliidi sisse ehitatud masinõppe funktsioon, millest oli juba eespool juttu. Selles utiliidis on võimalik oma vanalt tulemüürilt reegleid üle kanda mõnelt teiselt tootjalt. Samuti on võimalus analüüsida olemasolevaid Palo Alto Networksi liiklusloge ja soovitada, milliseid reegleid kirjutada. See sarnaneb poliitika optimeerija funktsionaalsusega, kuid Expeditionis on see veelgi laiendatud ja teile pakutakse valmis reeglite loendit - peate need lihtsalt kinnitama.
Selle funktsionaalsuse testimiseks on laboritöö – me nimetame seda proovisõiduks. Seda testi saab teha, logides sisse virtuaalsetesse tulemüüridesse, mille Palo Alto Networksi Moskva kontori töötajad teie soovil käivitavad.
Taotluse saab saata aadressile [meiliga kaitstud] ja kirjutage päringule: "Soovin teha migratsiooniprotsessi jaoks UTD-d."
Tegelikult on Unified Test Drive (UTD) nimelisel laboritööl mitu võimalust ja kõik need peale nõudmist.
Küsitluses saavad osaleda ainult registreerunud kasutajad. palun.
Kas soovite, et keegi aitaks teil tulemüüripoliitikat optimeerida?
-
Jah
-
ei
-
Ma teen seda kõike ise
Keegi pole veel hääletanud. Erapooletuid ei ole.
Allikas: www.habr.com