نحوه ارزیابی اثربخشی تنظیم NGFW

رایج ترین کار این است که بررسی کنید فایروال شما چقدر پیکربندی شده است. برای انجام این کار، ابزارها و خدمات رایگان شرکت هایی که با NGFW سروکار دارند وجود دارد.

به عنوان مثال در زیر می بینید که Palo Alto Networks این قابلیت را دارد که مستقیماً از پورتال پشتیبانی اجرای تجزیه و تحلیل آمار فایروال - گزارش SLR یا تجزیه و تحلیل انطباق بهترین روش - گزارش BPA. اینها ابزارهای آنلاین رایگان هستند که می توانید بدون نصب چیزی از آنها استفاده کنید.

اکسپدیشن (ابزار مهاجرت)
Policy Optimizer
اعتماد صفر
روی Unused کلیک کنید
روی Unused App کلیک کنید
روی No Apps Specified کلیک کنید
در مورد یادگیری ماشینی چطور؟
UTD

اکسپدیشن (ابزار مهاجرت)

یک گزینه پیچیده تر برای بررسی تنظیمات، دانلود یک ابزار رایگان است سفر (ابزار مهاجرت سابق). این به عنوان یک ابزار مجازی برای VMware دانلود می شود، هیچ تنظیماتی با آن لازم نیست - شما باید تصویر را دانلود کنید و آن را تحت Hypervisor VMware مستقر کنید، آن را اجرا کنید و به رابط وب بروید. این ابزار نیاز به یک داستان جداگانه دارد، فقط دوره آموزشی آن 5 روز طول می کشد، اکنون توابع زیادی وجود دارد، از جمله یادگیری ماشین و مهاجرت تنظیمات مختلف سیاست ها، NAT و اشیاء برای سازندگان مختلف فایروال. در مورد یادگیری ماشینی، بعداً در متن بیشتر خواهم نوشت.

Policy Optimizer

و راحت ترین گزینه (IMHO)، که امروز با جزئیات بیشتر در مورد آن صحبت خواهم کرد، بهینه ساز سیاست است که در خود رابط Palo Alto Networks تعبیه شده است. برای نشان دادن آن، من یک فایروال در خانه خود نصب کردم و یک قانون ساده نوشتم: مجوز هر به هر. اصولاً من گاهی اوقات چنین قوانینی را حتی در شبکه های شرکتی می بینم. به طور طبیعی، همانطور که در تصویر مشاهده می کنید، تمام پروفایل های امنیتی NGFW را فعال کردم:

تصویر زیر نمونه‌ای از فایروال پیکربندی نشده خانه من را نشان می‌دهد، که در آن تقریباً همه اتصالات در آخرین قانون قرار می‌گیرند: AllowAll، همانطور که از آمار در ستون تعداد ضربه مشاهده می‌شود.

اعتماد صفر

رویکردی به امنیت وجود دارد که به آن می گویند اعتماد صفر. این به چه معناست: ما باید به افراد درون شبکه دقیقاً ارتباطاتی را که نیاز دارند اجازه دهیم و هر چیز دیگری را ممنوع کنیم. یعنی باید قوانین واضحی برای برنامه‌ها، کاربران، دسته‌های URL، انواع فایل‌ها اضافه کنیم. همه امضاهای IPS و آنتی ویروس را فعال کنید، جعبه ایمنی، حفاظت DNS را فعال کنید، از IoC از پایگاه های اطلاعاتی موجود Threat Intelligence استفاده کنید. به طور کلی، هنگام راه اندازی یک فایروال، مقدار مناسبی از وظایف وجود دارد.

به هر حال، حداقل مجموعه تنظیمات مورد نیاز برای Palo Alto Networks NGFW در یکی از اسناد SANS توضیح داده شده است: معیار پیکربندی امنیت شبکه های پالو آلتو توصیه می کنم با آن شروع کنید. و البته، مجموعه ای از بهترین روش ها برای راه اندازی فایروال از سازنده وجود دارد: بهترین تمرین.

بنابراین، من یک هفته در خانه فایروال داشتم. بیایید ببینیم ترافیک در شبکه من چیست:

اگر بر اساس تعداد جلسات مرتب شوند، بیشتر آنها توسط بیت تورنت ایجاد می شوند، سپس SSL و سپس QUIC می آیند. اینها آماری برای ترافیک ورودی و خروجی است: تعداد زیادی اسکن خارجی از روتر من وجود دارد. 150 برنامه مختلف در شبکه من وجود دارد.

بنابراین، همه اینها توسط یک قانون نادیده گرفته شد. حال بیایید ببینیم که Policy Optimizer در این مورد چه می گوید. اگر به اسکرین شات رابط با قوانین امنیتی بالا نگاه کردید، سپس یک پنجره کوچک در پایین سمت چپ مشاهده کردید که به من اشاره می کند که قوانینی وجود دارد که می توان آنها را بهینه کرد. بیایید آنجا کلیک کنیم.

آنچه که Policy Optimizer نشان می دهد:

کدام خط مشی ها اصلاً استفاده نشد، 30 روز، 90 روز. این به تصمیم گیری برای حذف کامل آنها کمک می کند.
کدام برنامه‌ها در خط‌مشی‌ها مشخص شده بودند، اما چنین برنامه‌هایی در ترافیک یافت نشد. این به شما امکان می دهد برنامه های غیر ضروری را در قوانین مجاز حذف کنید.
کدام خط‌مشی‌ها همه چیز را مجاز می‌دانستند، اما واقعاً برنامه‌هایی وجود داشتند که نشان دادن صریح آن‌ها بر اساس متدولوژی Zero Trust خوب است.

روی Unused کلیک کنید.

برای اینکه نشان دهم چگونه کار می کند، چند قانون اضافه کردم و تا کنون آنها حتی یک بسته را تا کنون از دست نداده اند. در اینجا لیست آنها است:

شاید به مرور زمان ترافیک از آنجا عبور کند و سپس از این لیست محو شوند. و اگر آنها به مدت 90 روز در این لیست باشند، می توانید تصمیم بگیرید که این قوانین را حذف کنید. از این گذشته، هر قانون فرصتی را برای یک هکر فراهم می کند.

یک مشکل واقعی در پیکربندی فایروال وجود دارد: یک کارمند جدید می آید، قوانین فایروال را بررسی می کند، اگر نظری نداشته باشد و نداند چرا این قانون ایجاد شده است، آیا واقعاً ضروری است، آیا می توان آن را حذف کرد: ناگهان آن شخص در تعطیلات و طی 30 روز ترافیک دوباره از سرویس مورد نیاز خود خارج می شود. و فقط این تابع به او کمک می کند تا تصمیم بگیرد - هیچ کس از آن استفاده نمی کند - آن را حذف کند!

روی Unused App کلیک کنید.

در بهینه ساز روی Unused App کلیک می کنیم و می بینیم که اطلاعات جالبی در پنجره اصلی باز می شود.

می بینیم که سه قانون وجود دارد که تعداد برنامه های مجاز و تعداد برنامه هایی که در واقع این قانون را تصویب کرده اند متفاوت است.

ما می توانیم کلیک کرده و لیستی از این برنامه ها را ببینیم و این لیست ها را با هم مقایسه کنیم.
به عنوان مثال، روی دکمه مقایسه برای قانون Max کلیک کنید.

در اینجا می توانید ببینید که برنامه های فیس بوک، اینستاگرام، تلگرام، vkontakte مجاز بودند. اما در واقعیت، ترافیک فقط از طریق بخشی از برنامه های فرعی انجام می شد. در اینجا باید بدانید که برنامه فیس بوک شامل چندین برنامه فرعی است.

کل لیست برنامه های NGFW در پورتال قابل مشاهده است applipedia.paloaltonetworks.com و در خود اینترفیس فایروال در قسمت Objects->Applications و در جستجو نام اپلیکیشن را تایپ کنید: facebook نتیجه زیر را خواهید گرفت:

بنابراین، NGFW برخی از این برنامه های فرعی را دید، اما برخی را نه. در واقع، شما می توانید به طور جداگانه عملکردهای فرعی فیس بوک را غیرفعال و فعال کنید. به عنوان مثال، به شما اجازه می دهد پیام ها را مشاهده کنید، اما چت یا انتقال فایل را ممنوع کنید. بر این اساس، Policy Optimizer در مورد این صحبت می کند و می توانید تصمیم بگیرید: به همه برنامه های فیس بوک اجازه ندهید، بلکه فقط به برنامه های اصلی اجازه دهید.

بنابراین، متوجه شدیم که لیست ها متفاوت است. می‌توانید مطمئن شوید که قوانین فقط به برنامه‌هایی اجازه می‌دهند که واقعاً در شبکه پرسه می‌زنند. برای این کار روی دکمه MatchUsage کلیک کنید. اینطور معلوم می شود:

و همچنین می توانید برنامه هایی را که لازم می دانید اضافه کنید - دکمه افزودن در سمت چپ پنجره:

و سپس این قانون قابل اعمال و آزمایش است. تبریک می گویم!

روی No Apps Specified کلیک کنید.

در این حالت یک پنجره امنیتی مهم باز می شود.

به احتمال زیاد بسیاری از چنین قوانینی وجود دارد که در آن برنامه سطح L7 به صراحت در شبکه شما مشخص نشده است. و در شبکه من چنین قانونی وجود دارد - اجازه دهید به شما یادآوری کنم که من آن را در طول راه اندازی اولیه انجام دادم، مخصوصاً برای نشان دادن نحوه عملکرد Policy Optimizer.

تصویر نشان می دهد که قانون AllowAll 9 گیگابایت ترافیک را در بازه زمانی 17 مارس تا 220 مارس از دست داده است که در مجموع 150 برنامه مختلف در شبکه من است. و این هنوز کافی نیست. به طور معمول، یک شبکه شرکتی با اندازه متوسط 200-300 کاربرد مختلف دارد.

بنابراین، یک قانون 150 برنامه را از دست می دهد. این معمولاً به این معنی است که فایروال به درستی پیکربندی نشده است، زیرا معمولاً 1-10 برنامه در یک قانون برای اهداف مختلف حذف می شوند. بیایید ببینیم این برنامه ها چیستند: روی دکمه مقایسه کلیک کنید:

شگفت‌انگیزترین چیز برای مدیر در ویژگی Policy Optimizer، دکمه Match Usage است - می‌توانید با یک کلیک یک قانون ایجاد کنید، جایی که همه 150 برنامه را وارد قانون کنید. انجام آن به صورت دستی خیلی طول می کشد. تعداد وظایف مدیر، حتی در شبکه 10 دستگاهی من، بسیار زیاد است.

من 150 برنامه مختلف دارم که در خانه اجرا می شوند و گیگا بایت ترافیک را منتقل می کنند! و چقدر داری؟

اما در شبکه ای متشکل از 100 دستگاه یا 1000 یا 10000 چه اتفاقی می افتد؟ من فایروال هایی با 8000 قانون دیده ام و بسیار خوشحالم که مدیران اکنون چنین ابزارهای اتوماسیون مناسبی دارند.

شما به برخی از برنامه هایی که ماژول تحلیل برنامه L7 در NGFW دیده و در شبکه نشان داده است، نیاز نخواهید داشت، بنابراین به سادگی آنها را از لیست قانون مجاز حذف کنید یا قوانین را با دکمه Clone (در رابط اصلی) شبیه سازی کنید. و اجازه دهید در یک قانون برنامه کاربردی، و در Block برنامه های دیگر به گونه ای که گویی قطعاً در شبکه شما مورد نیاز نیستند. چنین برنامه هایی اغلب تبدیل به bittorent، steam، ultrasurf، tor، تونل های مخفی مانند tcp-over-dns و غیره می شوند.

خوب، روی قانون دیگری کلیک کنید - آنچه می توانید در آنجا ببینید:

بله، برنامه های کاربردی مخصوص چندپخشی وجود دارد. ما باید به آنها اجازه دهیم تا مشاهده ویدیو از طریق شبکه کار کند. روی Match Usage کلیک کنید. عالی! با تشکر Policy Optimizer.

در مورد یادگیری ماشینی چطور؟

اکنون مد شده است که در مورد اتوماسیون صحبت کنیم. آنچه من توضیح دادم بیرون آمد - بسیار کمک می کند. احتمال دیگری هم هست که باید به آن اشاره کنم. این قابلیت یادگیری ماشینی است که در ابزار Expedition ذکر شده در بالا ساخته شده است. در این ابزار، امکان انتقال قوانین از فایروال قدیمی خود از سازنده دیگری وجود دارد. و همچنین توانایی تجزیه و تحلیل گزارش های ترافیک شبکه های Palo Alto موجود و پیشنهاد قوانین برای نوشتن وجود دارد. این شبیه به عملکرد Policy Optimizer است، اما در Expedition حتی پیشرفته تر است و به شما لیستی از قوانین آماده ارائه می شود - فقط باید آنها را تأیید کنید.
برای آزمایش این عملکرد، یک کار آزمایشگاهی وجود دارد - ما آن را تست درایو می نامیم. این تست را می توان با مراجعه به فایروال های مجازی که کارکنان دفتر Palo Alto Networks مسکو بنا به درخواست شما راه اندازی می کنند انجام داد.

درخواست را می توان به [ایمیل محافظت شده] و در درخواست بنویسید: "من می خواهم یک UTD برای فرآیند مهاجرت ایجاد کنم."

در واقع، چندین گزینه برای آزمایشگاه ها به نام Unified Test Drive (UTD) و همه آنها وجود دارد از راه دور در دسترس است پس از درخواست

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

آیا می خواهید کسی به شما کمک کند تا سیاست های فایروال خود را بهینه کنید؟

بله
بدون
همه کارها را خودم انجام خواهم داد

هنوز کسی رای نداده است. هیچ رای ممتنعی وجود ندارد.

منبع: www.habr.com

Palo Alto Networks NGFW Security Policy Optimizer