Comment évaluer l'efficacité d'une configuration NGFW
La tâche la plus courante consiste à vérifier l'efficacité de la configuration de votre pare-feu. Pour ce faire, il existe des utilitaires et des services gratuits proposés par des entreprises qui traitent des NGFW.
Par exemple, vous pouvez voir ci-dessous que Palo Alto Networks a la possibilité d'accéder directement depuis réaliser une analyse des statistiques du pare-feu - rapport SLR ou une analyse du respect des bonnes pratiques - rapport BPA. Ce sont des utilitaires en ligne gratuits que vous pouvez utiliser sans rien installer.
TABLE DES MATIÈRES
Expédition (outil de migration)
Une option plus complexe pour vérifier vos paramètres consiste à télécharger un utilitaire gratuit (anciennement Outil de migration). Il est téléchargé en tant qu'appliance virtuelle pour VMware, aucun paramètre n'est requis - vous devez télécharger l'image et la déployer sous l'hyperviseur VMware, la lancer et accéder à l'interface Web. Cet utilitaire nécessite une histoire à part, seul le cours prend 5 jours, il y a tellement de fonctions maintenant, y compris l'apprentissage automatique et la migration de diverses configurations de politiques, NAT et objets pour différents fabricants de pare-feu. J'écrirai plus sur l'apprentissage automatique ci-dessous dans le texte.
Optimiseur de politique
Et l'option la plus pratique (à mon humble avis), dont je vais vous parler plus en détail aujourd'hui, est l'optimiseur de politique intégré à l'interface elle-même de Palo Alto Networks. Pour le démontrer, j'ai installé un pare-feu chez moi et j'ai écrit une règle simple : autoriser n'importe qui à n'importe qui. En principe, je vois parfois de telles règles même dans les réseaux d'entreprise. Naturellement, j'ai activé tous les profils de sécurité NGFW, comme vous pouvez le voir sur la capture d'écran :
La capture d'écran ci-dessous montre un exemple de pare-feu non configuré chez moi, où presque toutes les connexions relèvent de la dernière règle : AllowAll, comme le montrent les statistiques de la colonne Hit Count.
Zero Trust
Il existe une approche de la sécurité appelée . Ce que cela signifie : nous devons permettre aux utilisateurs du réseau exactement les connexions dont ils ont besoin et refuser tout le reste. Autrement dit, nous devons ajouter des règles claires pour les applications, les utilisateurs, les catégories d'URL, les types de fichiers ; activez toutes les signatures IPS et antivirus, activez le sandboxing, la protection DNS, utilisez l'IoC à partir des bases de données Threat Intelligence disponibles. En général, la configuration d'un pare-feu comporte un nombre décent de tâches.
À propos, l'ensemble minimum de paramètres nécessaires pour Palo Alto Networks NGFW est décrit dans l'un des documents SANS : - Je recommande de commencer par là. Et bien sûr, il existe un ensemble de bonnes pratiques pour la mise en place d'un pare-feu du fabricant : .
J'ai donc eu un pare-feu chez moi pendant une semaine. Voyons quel type de trafic il y a sur mon réseau :
Si vous triez par nombre de sessions, la plupart d'entre elles sont créées par bittorent, puis vient SSL, puis QUIC. Ce sont des statistiques à la fois sur le trafic entrant et sortant : il y a beaucoup de scans externes de mon routeur. Il existe 150 applications différentes sur mon réseau.
Donc, tout cela a été manqué par une règle. Voyons maintenant ce que Policy Optimizer dit à ce sujet. Si vous avez regardé ci-dessus la capture d'écran de l'interface avec les règles de sécurité, alors en bas à gauche vous avez vu une petite fenêtre qui me laisse entendre qu'il existe des règles qui peuvent être optimisées. Cliquons là.
Ce que Policy Optimizer affiche :
- Quelles politiques n’ont pas été utilisées du tout, 30 jours, 90 jours. Cela aide à prendre la décision de les supprimer complètement.
- Quelles applications ont été spécifiées dans les politiques, mais aucune application de ce type n'a été détectée dans le trafic. Cela vous permet de supprimer les applications inutiles en autorisant les règles.
- Quelles politiques permettaient tout, mais il y avait en fait des applications qu'il aurait été bien d'indiquer explicitement selon la méthodologie Zero Trust.
Cliquons sur Inutilisé.
Pour montrer comment cela fonctionne, j'ai ajouté quelques règles et jusqu'à présent, ils n'ont pas manqué un seul paquet aujourd'hui. Voici leur liste :
Peut-être qu'avec le temps, il y aura du trafic là-bas et qu'ils disparaîtront ensuite de cette liste. Et s’ils restent sur cette liste depuis 90 jours, alors vous pouvez décider de supprimer ces règles. Après tout, chaque règle offre une opportunité au pirate informatique.
Il y a un vrai problème lors de la configuration d'un pare-feu : un nouvel employé arrive, regarde les règles du pare-feu, s'il n'a pas de commentaires et il ne sait pas pourquoi cette règle a été créée, si elle est vraiment nécessaire, si elle peut être supprimé : tout à coup, la personne est en vacances et après Dans les 30 jours, le trafic reviendra du service dont il a besoin. Et c'est précisément cette fonction qui l'aide à prendre une décision - personne ne l'utilise - supprimez-la !
Cliquez sur Application inutilisée.
Nous cliquons sur Application inutilisée dans l'optimiseur et voyons que des informations intéressantes s'ouvrent dans la fenêtre principale.
Nous voyons qu'il existe trois règles, dans lesquelles le nombre de candidatures autorisées et le nombre de candidatures ayant effectivement satisfait à cette règle sont différents.
Nous pouvons cliquer et voir une liste de ces applications et comparer ces listes.
Par exemple, cliquez sur le bouton Comparer pour la règle Max.
Ici vous pouvez voir que les applications Facebook, Instagram, Telegram, Vkontakte étaient autorisées. Mais en réalité, le trafic n’était dirigé que vers certaines sous-applications. Ici, vous devez comprendre que l'application Facebook contient plusieurs sous-applications.
La liste complète des applications NGFW est visible sur le portail et dans l'interface du pare-feu lui-même, dans la section Objets->Applications et dans la recherche, tapez le nom de l'application : facebook, vous obtiendrez le résultat suivant :
Ainsi, certaines de ces sous-applications ont été vues par NGFW, mais d’autres ne l’ont pas été. En fait, vous pouvez interdire et autoriser séparément différentes sous-fonctions de Facebook. Par exemple, autorisez l'affichage des messages, mais interdisez le chat ou le transfert de fichiers. En conséquence, Policy Optimizer en parle et vous pouvez prendre une décision : ne pas autoriser toutes les applications Facebook, mais seulement les principales.
Nous avons donc réalisé que les listes sont différentes. Vous pouvez vous assurer que les règles autorisent uniquement les applications qui circulent réellement sur le réseau. Pour ce faire, cliquez sur le bouton MatchUsage. Cela se passe comme ceci :
Et vous pouvez également ajouter les applications que vous jugez nécessaires - le bouton Ajouter sur le côté gauche de la fenêtre :
Et puis cette règle peut être appliquée et testée. Toutes nos félicitations!
Cliquez sur Aucune application spécifiée.
Dans ce cas, une fenêtre de sécurité importante s'ouvrira.
Il existe très probablement de nombreuses règles de ce type dans votre réseau pour lesquelles l'application au niveau L7 n'est pas explicitement spécifiée. Et dans mon réseau, il existe une telle règle - permettez-moi de vous rappeler que je l'ai établie lors de la configuration initiale, spécifiquement pour montrer comment fonctionne Policy Optimizer.
L'image montre que la règle AllowAll a autorisé 9 gigaoctets de trafic entre le 17 et le 220 mars, soit 150 applications différentes sur mon réseau. Et cela ne suffit pas. En règle générale, un réseau d’entreprise de taille moyenne compte entre 200 et 300 applications différentes.
Ainsi, une règle permet de traiter jusqu'à 150 candidatures. Cela signifie généralement que le pare-feu n'est pas configuré correctement, car généralement une règle autorise 1 à 10 applications à des fins différentes. Voyons quelles sont ces applications : cliquez sur le bouton Comparer :
La chose la plus merveilleuse pour un administrateur dans la fonction Policy Optimizer est le bouton Faire correspondre l'utilisation - vous pouvez créer une règle en un seul clic, dans laquelle vous saisirez les 150 applications dans la règle. Faire cela manuellement prendrait beaucoup de temps. Le nombre de tâches sur lesquelles un administrateur doit travailler, même sur mon réseau de 10 appareils, est énorme.
J'ai 150 applications différentes qui fonctionnent chez moi, transférant des gigaoctets de trafic ! Et combien as-tu ?
Mais que se passe-t-il dans un réseau de 100 appareils, de 1000 10000 ou de 8000 XNUMX ? J'ai vu des pare-feu avec XNUMX XNUMX règles et je suis très heureux que les administrateurs disposent désormais d'outils d'automatisation aussi pratiques.
Certaines des applications que le module d'analyse d'application L7 de NGFW a vues et montrées n'auront pas besoin sur le réseau, vous les supprimez donc simplement de la liste des règles d'autorisation, ou clonez les règles à l'aide du bouton Cloner (dans l'interface principale) et autorisez-les dans une règle d'application et dans Vous bloquerez d'autres applications car elles ne sont certainement pas nécessaires sur votre réseau. Ces applications incluent souvent Bittorent, Steam, Ultrasurf, Tor, des tunnels cachés tels que TCP-over-DN et autres.
Eh bien, cliquons sur une autre règle et voyons ce que vous pouvez y voir :
Oui, il existe des applications typiques pour la multidiffusion. Nous devons leur permettre de visionner des vidéos en ligne. Cliquez sur Faire correspondre l'utilisation. Super! Merci à Policy Optimizer.
Qu’en est-il de l’apprentissage automatique ?
Il est désormais à la mode de parler d’automatisation. Ce que j'ai décrit est sorti - cela aide beaucoup. Il y a une autre possibilité dont je devrais parler. Il s'agit de la fonctionnalité Machine Learning intégrée à l'utilitaire Expedition, déjà mentionnée ci-dessus. Dans cet utilitaire, il est possible de transférer les règles de votre ancien pare-feu d'un autre fabricant. Il existe également la possibilité d'analyser les journaux de trafic existants de Palo Alto Networks et de suggérer les règles à écrire. Ceci est similaire à la fonctionnalité de Policy Optimizer, mais dans Expedition, elle est encore plus étendue et une liste de règles prêtes à l'emploi vous est proposée - il vous suffit de les approuver.
Pour tester cette fonctionnalité, il existe un travail en laboratoire - nous appelons cela un essai routier. Ce test peut être effectué en vous connectant à des pare-feu virtuels, que les employés du bureau de Palo Alto Networks à Moscou lanceront à votre demande.
La demande peut être envoyée à [email protected] et dans la demande, écrivez : "Je souhaite créer un UTD pour le processus de migration."
En fait, le travail de laboratoire appelé Unified Test Drive (UTD) propose plusieurs options et toutes après demande.
Seuls les utilisateurs enregistrés peuvent participer à l'enquête. s'il te plait.
Souhaitez-vous que quelqu’un vous aide à optimiser vos politiques de pare-feu ?
-
Oui
-
Aucun
-
je ferai tout moi-même
Personne n'a encore voté. Il n’y a aucune abstention.
Source: habr.com