نحوه ارزیابی اثربخشی تنظیم NGFW
رایج ترین کار این است که بررسی کنید فایروال شما چقدر پیکربندی شده است. برای انجام این کار، ابزارها و خدمات رایگان شرکت هایی که با NGFW سروکار دارند وجود دارد.
به عنوان مثال در زیر می بینید که Palo Alto Networks این قابلیت را دارد که مستقیماً از
CONTENTS
اکسپدیشن (ابزار مهاجرت)
یک گزینه پیچیده تر برای بررسی تنظیمات، دانلود یک ابزار رایگان است
Policy Optimizer
و راحت ترین گزینه (IMHO)، که امروز با جزئیات بیشتر در مورد آن صحبت خواهم کرد، بهینه ساز سیاست است که در خود رابط Palo Alto Networks تعبیه شده است. برای نشان دادن آن، من یک فایروال در خانه خود نصب کردم و یک قانون ساده نوشتم: مجوز هر به هر. اصولاً من گاهی اوقات چنین قوانینی را حتی در شبکه های شرکتی می بینم. به طور طبیعی، همانطور که در تصویر مشاهده می کنید، تمام پروفایل های امنیتی NGFW را فعال کردم:
تصویر زیر نمونهای از فایروال پیکربندی نشده خانه من را نشان میدهد، که در آن تقریباً همه اتصالات در آخرین قانون قرار میگیرند: AllowAll، همانطور که از آمار در ستون تعداد ضربه مشاهده میشود.
اعتماد صفر
رویکردی به امنیت وجود دارد که به آن می گویند
به هر حال، حداقل مجموعه تنظیمات مورد نیاز برای Palo Alto Networks NGFW در یکی از اسناد SANS توضیح داده شده است:
بنابراین، من یک هفته در خانه فایروال داشتم. بیایید ببینیم ترافیک در شبکه من چیست:
اگر بر اساس تعداد جلسات مرتب شوند، بیشتر آنها توسط بیت تورنت ایجاد می شوند، سپس SSL و سپس QUIC می آیند. اینها آماری برای ترافیک ورودی و خروجی است: تعداد زیادی اسکن خارجی از روتر من وجود دارد. 150 برنامه مختلف در شبکه من وجود دارد.
بنابراین، همه اینها توسط یک قانون نادیده گرفته شد. حال بیایید ببینیم که Policy Optimizer در این مورد چه می گوید. اگر به اسکرین شات رابط با قوانین امنیتی بالا نگاه کردید، سپس یک پنجره کوچک در پایین سمت چپ مشاهده کردید که به من اشاره می کند که قوانینی وجود دارد که می توان آنها را بهینه کرد. بیایید آنجا کلیک کنیم.
آنچه که Policy Optimizer نشان می دهد:
- کدام خط مشی ها اصلاً استفاده نشد، 30 روز، 90 روز. این به تصمیم گیری برای حذف کامل آنها کمک می کند.
- کدام برنامهها در خطمشیها مشخص شده بودند، اما چنین برنامههایی در ترافیک یافت نشد. این به شما امکان می دهد برنامه های غیر ضروری را در قوانین مجاز حذف کنید.
- کدام خطمشیها همه چیز را مجاز میدانستند، اما واقعاً برنامههایی وجود داشتند که نشان دادن صریح آنها بر اساس متدولوژی Zero Trust خوب است.
روی Unused کلیک کنید.
برای اینکه نشان دهم چگونه کار می کند، چند قانون اضافه کردم و تا کنون آنها حتی یک بسته را تا کنون از دست نداده اند. در اینجا لیست آنها است:
شاید به مرور زمان ترافیک از آنجا عبور کند و سپس از این لیست محو شوند. و اگر آنها به مدت 90 روز در این لیست باشند، می توانید تصمیم بگیرید که این قوانین را حذف کنید. از این گذشته، هر قانون فرصتی را برای یک هکر فراهم می کند.
یک مشکل واقعی در پیکربندی فایروال وجود دارد: یک کارمند جدید می آید، قوانین فایروال را بررسی می کند، اگر نظری نداشته باشد و نداند چرا این قانون ایجاد شده است، آیا واقعاً ضروری است، آیا می توان آن را حذف کرد: ناگهان آن شخص در تعطیلات و طی 30 روز ترافیک دوباره از سرویس مورد نیاز خود خارج می شود. و فقط این تابع به او کمک می کند تا تصمیم بگیرد - هیچ کس از آن استفاده نمی کند - آن را حذف کند!
روی Unused App کلیک کنید.
در بهینه ساز روی Unused App کلیک می کنیم و می بینیم که اطلاعات جالبی در پنجره اصلی باز می شود.
می بینیم که سه قانون وجود دارد که تعداد برنامه های مجاز و تعداد برنامه هایی که در واقع این قانون را تصویب کرده اند متفاوت است.
ما می توانیم کلیک کرده و لیستی از این برنامه ها را ببینیم و این لیست ها را با هم مقایسه کنیم.
به عنوان مثال، روی دکمه مقایسه برای قانون Max کلیک کنید.
در اینجا می توانید ببینید که برنامه های فیس بوک، اینستاگرام، تلگرام، vkontakte مجاز بودند. اما در واقعیت، ترافیک فقط از طریق بخشی از برنامه های فرعی انجام می شد. در اینجا باید بدانید که برنامه فیس بوک شامل چندین برنامه فرعی است.
کل لیست برنامه های NGFW در پورتال قابل مشاهده است
بنابراین، NGFW برخی از این برنامه های فرعی را دید، اما برخی را نه. در واقع، شما می توانید به طور جداگانه عملکردهای فرعی فیس بوک را غیرفعال و فعال کنید. به عنوان مثال، به شما اجازه می دهد پیام ها را مشاهده کنید، اما چت یا انتقال فایل را ممنوع کنید. بر این اساس، Policy Optimizer در مورد این صحبت می کند و می توانید تصمیم بگیرید: به همه برنامه های فیس بوک اجازه ندهید، بلکه فقط به برنامه های اصلی اجازه دهید.
بنابراین، متوجه شدیم که لیست ها متفاوت است. میتوانید مطمئن شوید که قوانین فقط به برنامههایی اجازه میدهند که واقعاً در شبکه پرسه میزنند. برای این کار روی دکمه MatchUsage کلیک کنید. اینطور معلوم می شود:
و همچنین می توانید برنامه هایی را که لازم می دانید اضافه کنید - دکمه افزودن در سمت چپ پنجره:
و سپس این قانون قابل اعمال و آزمایش است. تبریک می گویم!
روی No Apps Specified کلیک کنید.
در این حالت یک پنجره امنیتی مهم باز می شود.
به احتمال زیاد بسیاری از چنین قوانینی وجود دارد که در آن برنامه سطح L7 به صراحت در شبکه شما مشخص نشده است. و در شبکه من چنین قانونی وجود دارد - اجازه دهید به شما یادآوری کنم که من آن را در طول راه اندازی اولیه انجام دادم، مخصوصاً برای نشان دادن نحوه عملکرد Policy Optimizer.
تصویر نشان می دهد که قانون AllowAll 9 گیگابایت ترافیک را در بازه زمانی 17 مارس تا 220 مارس از دست داده است که در مجموع 150 برنامه مختلف در شبکه من است. و این هنوز کافی نیست. به طور معمول، یک شبکه شرکتی با اندازه متوسط 200-300 کاربرد مختلف دارد.
بنابراین، یک قانون 150 برنامه را از دست می دهد. این معمولاً به این معنی است که فایروال به درستی پیکربندی نشده است، زیرا معمولاً 1-10 برنامه در یک قانون برای اهداف مختلف حذف می شوند. بیایید ببینیم این برنامه ها چیستند: روی دکمه مقایسه کلیک کنید:
شگفتانگیزترین چیز برای مدیر در ویژگی Policy Optimizer، دکمه Match Usage است - میتوانید با یک کلیک یک قانون ایجاد کنید، جایی که همه 150 برنامه را وارد قانون کنید. انجام آن به صورت دستی خیلی طول می کشد. تعداد وظایف مدیر، حتی در شبکه 10 دستگاهی من، بسیار زیاد است.
من 150 برنامه مختلف دارم که در خانه اجرا می شوند و گیگا بایت ترافیک را منتقل می کنند! و چقدر داری؟
اما در شبکه ای متشکل از 100 دستگاه یا 1000 یا 10000 چه اتفاقی می افتد؟ من فایروال هایی با 8000 قانون دیده ام و بسیار خوشحالم که مدیران اکنون چنین ابزارهای اتوماسیون مناسبی دارند.
شما به برخی از برنامه هایی که ماژول تحلیل برنامه L7 در NGFW دیده و در شبکه نشان داده است، نیاز نخواهید داشت، بنابراین به سادگی آنها را از لیست قانون مجاز حذف کنید یا قوانین را با دکمه Clone (در رابط اصلی) شبیه سازی کنید. و اجازه دهید در یک قانون برنامه کاربردی، و در Block برنامه های دیگر به گونه ای که گویی قطعاً در شبکه شما مورد نیاز نیستند. چنین برنامه هایی اغلب تبدیل به bittorent، steam، ultrasurf، tor، تونل های مخفی مانند tcp-over-dns و غیره می شوند.
خوب، روی قانون دیگری کلیک کنید - آنچه می توانید در آنجا ببینید:
بله، برنامه های کاربردی مخصوص چندپخشی وجود دارد. ما باید به آنها اجازه دهیم تا مشاهده ویدیو از طریق شبکه کار کند. روی Match Usage کلیک کنید. عالی! با تشکر Policy Optimizer.
در مورد یادگیری ماشینی چطور؟
اکنون مد شده است که در مورد اتوماسیون صحبت کنیم. آنچه من توضیح دادم بیرون آمد - بسیار کمک می کند. احتمال دیگری هم هست که باید به آن اشاره کنم. این قابلیت یادگیری ماشینی است که در ابزار Expedition ذکر شده در بالا ساخته شده است. در این ابزار، امکان انتقال قوانین از فایروال قدیمی خود از سازنده دیگری وجود دارد. و همچنین توانایی تجزیه و تحلیل گزارش های ترافیک شبکه های Palo Alto موجود و پیشنهاد قوانین برای نوشتن وجود دارد. این شبیه به عملکرد Policy Optimizer است، اما در Expedition حتی پیشرفته تر است و به شما لیستی از قوانین آماده ارائه می شود - فقط باید آنها را تأیید کنید.
درخواست را می توان به [ایمیل محافظت شده] و در درخواست بنویسید: "من می خواهم یک UTD برای فرآیند مهاجرت ایجاد کنم."
در واقع، چندین گزینه برای آزمایشگاه ها به نام Unified Test Drive (UTD) و همه آنها وجود دارد
فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند.
آیا می خواهید کسی به شما کمک کند تا سیاست های فایروال خود را بهینه کنید؟
-
بله
-
بدون
-
همه کارها را خودم انجام خواهم داد
هنوز کسی رای نداده است. هیچ رای ممتنعی وجود ندارد.
منبع: www.habr.com