Kuidas hinnata NGFW seadistuse tõhusust
Kõige tavalisem ülesanne on kontrollida, kui tõhusalt teie tulemüür on konfigureeritud. Selleks pakuvad NGFW-ga tegelevad ettevõtted tasuta kommunaalteenuseid ja teenuseid.
Näiteks näete allpool, et Palo Alto Networksil on võimalus otse
SISUKORD
Ekspeditsioon (migratsioonitööriist)
Keerulisem valik seadete kontrollimiseks on tasuta utiliidi allalaadimine
Poliitika optimeerija
Ja kõige mugavam valik (IMHO), millest räägin teile täna üksikasjalikumalt, on Palo Alto Networksi liidesesse sisseehitatud poliitika optimeerija. Selle demonstreerimiseks paigaldasin koju tulemüüri ja kirjutasin lihtsa reegli: luba ükskõik millisele. Põhimõtteliselt näen selliseid reegleid mõnikord isegi ettevõtete võrgustikes. Loomulikult lubasin kõik NGFW turvaprofiilid, nagu näete ekraanipildil:
Alloleval ekraanipildil on näide minu kodu konfigureerimata tulemüürist, kus peaaegu kõik ühendused kuuluvad viimase reegli alla: AllowAll, nagu on näha statistika veerus Hit Count.
Null usaldus
Turvalisusele on lähenemine nn
Muide, Palo Alto Networks NGFW jaoks vajalike minimaalsete sätete komplekti kirjeldatakse ühes SANS-i dokumendis:
Niisiis, mul oli nädal aega kodus tulemüür. Vaatame, millist liiklust minu võrgus on:
Kui sorteerida seansside arvu järgi, siis enamik neist on loodud bittorenti poolt, siis tuleb SSL ja seejärel QUIC. See on statistika nii sissetuleva kui ka väljamineva liikluse kohta: minu ruuteri väliseid skaneerimisi on palju. Minu võrgus on 150 erinevat rakendust.
Niisiis, see kõik jäi ühe reegliga vahele. Vaatame nüüd, mida Policy Optimizer selle kohta ütleb. Kui vaatasite ülalt turvareeglitega liidese ekraanipilti, siis all vasakul nägite väikest akent, mis vihjab mulle, et on reegleid, mida saab optimeerida. Klõpsame seal.
Mida poliitika optimeerija näitab:
- Milliseid poliise ei kasutatud üldse, 30 päeva, 90 päeva. See aitab teha otsust need täielikult eemaldada.
- Millised rakendused olid poliitikates määratud, kuid liikluses selliseid rakendusi ei tuvastatud. See võimaldab eemaldada lubamisreeglitest mittevajalikud rakendused.
- Millised poliitikad lubasid kõike, kuid tegelikult oli rakendusi, mida oleks olnud tore selgelt ära märkida vastavalt nulli usalduse metoodikale.
Klõpsake valikul Kasutamata.
Et näidata, kuidas see töötab, lisasin mõned reeglid ja siiani pole neil täna ükski pakett vahele jäänud. Siin on nende nimekiri:
Võib-olla aja jooksul tekib seal liiklus ja siis kaovad nad sellest nimekirjast. Ja kui nad on selles loendis 90 päeva, võite otsustada need reeglid kustutada. Iga reegel annab ju häkkerile võimaluse.
Tulemüüri seadistamisel on tõsine probleem: tuleb uus töötaja, vaatab tulemüüri reegleid, kui tal pole kommentaare ja ta ei tea, miks see reegel loodi, kas seda on tõesti vaja, kas saab. kustutatakse: järsku on inimene puhkusel ja pärast 30 päeva jooksul hakkab liiklus uuesti voolama talle vajalikust teenusest. Ja just see funktsioon aitab tal otsust langetada – keegi ei kasuta seda – kustuta see!
Klõpsake valikul Kasutamata rakendus.
Klõpsame optimeerijas valikul Unused App ja näeme, et peaaknas avaneb huvitav info.
Näeme, et on kolm reeglit, kus lubatud rakenduste arv ja reaalselt selle reegli läbinud rakenduste arv on erinev.
Saame klõpsata ja vaadata nende rakenduste loendit ning võrrelda neid loendeid.
Näiteks klõpsake Max-reegli jaoks nuppu Võrdle.
Siin näete, et rakendused facebook, instagram, telegram, vkontakte olid lubatud. Kuid tegelikkuses läks liiklus ainult mõnele alamrakendusele. Siin peate mõistma, et facebooki rakendus sisaldab mitmeid alamrakendusi.
Kogu NGFW rakenduste loendit saab näha portaalis
Niisiis nägi NGFW mõnda neist alamrakendustest, kuid mõnda mitte. Tegelikult saate Facebooki erinevaid alamfunktsioone eraldi keelata ja lubada. Näiteks lubage sõnumite vaatamine, kuid keelake vestlus või failiedastus. Sellest lähtuvalt räägib Policy Optimizer sellest ja saate teha otsuse: mitte lubada kõiki Facebooki rakendusi, vaid ainult peamisi.
Nii mõistsime, et loendid on erinevad. Võite veenduda, et reeglid lubavad ainult neid rakendusi, mis tegelikult võrgus liiguvad. Selleks klõpsake nuppu MatchUsage. See selgub nii:
Ja saate lisada ka rakendusi, mida peate vajalikuks - akna vasakus servas olev nupp Lisa:
Ja siis saab seda reeglit rakendada ja katsetada. Palju õnne!
Klõpsake valikul Rakendusi pole määratud.
Sel juhul avaneb oluline turvaaken.
Tõenäoliselt on teie võrgus palju selliseid reegleid, kus L7 taseme rakendus pole selgesõnaliselt määratud. Ja minu võrgus on selline reegel - lubage mul teile meelde tuletada, et tegin selle esialgse seadistamise ajal, et näidata, kuidas poliitika optimeerija töötab.
Pildilt on näha, et AllowAll reegel lubas ajavahemikul 9. märtsist 17. märtsini 220 gigabaiti liiklust, mis on 150 erinevat rakendust minu võrgus. Ja sellest ei piisa. Tavaliselt on keskmise suurusega ettevõttevõrgus 200–300 erinevat rakendust.
Seega laseb üks reegel läbi kuni 150 rakendust. Tavaliselt tähendab see, et tulemüür pole õigesti konfigureeritud, sest tavaliselt lubab üks reegel 1-10 rakendust erinevatel eesmärkidel. Vaatame, mis need rakendused on: klõpsake nuppu Võrdle:
Administraatori jaoks on Poliitika optimeerija funktsioonis kõige imelisem nupp Match Usage – ühe klõpsuga saad luua reegli, kus sisestad reeglisse kõik 150 rakendust. Selle käsitsi tegemine võtaks üsna kaua aega. Ülesannete arv, millega administraator peab töötama, isegi minu 10 seadmega võrgus, on tohutu.
Mul töötab kodus 150 erinevat rakendust, mis edastavad gigabaiti liiklust! Ja kui palju sul on?
Aga mis juhtub 100 või 1000 või 10000 8000 seadmega võrgus? Olen näinud XNUMX reegliga tulemüüre ja mul on väga hea meel, et administraatoritel on nüüd sellised mugavad automatiseerimisvahendid.
Mõned rakendused, mida L7 rakenduste analüüsimoodul NGFW-s nägi ja näitas, ei vaja teid võrgus, nii et eemaldate need lihtsalt lubavate reeglite loendist või kloonite reeglid, kasutades nuppu Klooni (põhiliideses) ja lubage need ühes rakenduse reeglis ja jaotises Blokeerite teised rakendused, kuna neid pole teie võrgus kindlasti vaja. Selliste rakenduste hulka kuuluvad sageli bittorent, steam, ultrasurf, tor, peidetud tunnelid, nagu tcp-over-dns ja teised.
Noh, klõpsame teisel reeglil ja vaatame, mida seal näha on:
Jah, multisaate jaoks on tüüpilisi rakendusi. Peame võimaldama neil veebivideote vaatamisel töötada. Klõpsake valikul Sobitage kasutus. Suurepärane! Täname poliitika optimeerijat.
Kuidas on lood masinõppega?
Nüüd on moes rääkida automatiseerimisest. See, mida kirjeldasin, tuli välja – see aitab palju. On veel üks võimalus, millest peaksin rääkima. See on Expeditioni utiliidi sisse ehitatud masinõppe funktsioon, millest oli juba eespool juttu. Selles utiliidis on võimalik oma vanalt tulemüürilt reegleid üle kanda mõnelt teiselt tootjalt. Samuti on võimalus analüüsida olemasolevaid Palo Alto Networksi liiklusloge ja soovitada, milliseid reegleid kirjutada. See sarnaneb poliitika optimeerija funktsionaalsusega, kuid Expeditionis on see veelgi laiendatud ja teile pakutakse valmis reeglite loendit - peate need lihtsalt kinnitama.
Taotluse saab saata aadressile [meiliga kaitstud] ja kirjutage päringule: "Soovin teha migratsiooniprotsessi jaoks UTD-d."
Tegelikult on Unified Test Drive (UTD) nimelisel laboritööl mitu võimalust ja kõik need
Küsitluses saavad osaleda ainult registreerunud kasutajad.
Kas soovite, et keegi aitaks teil tulemüüripoliitikat optimeerida?
-
Jah
-
ei
-
Ma teen seda kõike ise
Keegi pole veel hääletanud. Erapooletuid ei ole.
Allikas: www.habr.com