Como avaliar a eficacia da sintonización NGFW
A tarefa máis común é comprobar o ben que está configurado o teu firewall. Para iso, existen utilidades e servizos gratuítos de empresas que se ocupan de NGFW.
Por exemplo, a continuación podes ver que Palo Alto Networks ten a capacidade de acceder directamente desde
ÍNDICE
Expedición (Ferramenta de migración)
Unha opción máis complicada para comprobar a súa configuración é descargar unha utilidade gratuíta
Optimizador de políticas
E a opción máis conveniente (IMHO), da que falarei con máis detalle hoxe, é o optimizador de políticas integrado na propia interface de Palo Alto Networks. Para demostralo, instalei un firewall na miña casa e escribín unha regra sinxela: permitir calquera a calquera. En principio, ás veces vexo tales regras incluso nas redes corporativas. Por suposto, activei todos os perfís de seguranza NGFW, como podes ver na captura de pantalla:
A seguinte captura de pantalla mostra un exemplo do firewall sen configurar a miña casa, onde case todas as conexións caen na última regra: AllowAll, como se pode ver nas estatísticas da columna Conta de accesos.
Cero Confianza
Hai un enfoque de seguridade chamado
Por certo, o conxunto mínimo de configuracións requiridas para Palo Alto Networks NGFW descríbese nun dos documentos SANS:
Entón, tiven un firewall na casa durante unha semana. Vexamos que tráfico hai na miña rede:
Se se ordenan polo número de sesións, a maioría delas son creadas por bittorent, despois vén SSL e despois QUIC. Estas son estatísticas tanto para o tráfico entrante como para o saínte: hai moitas exploracións externas do meu enrutador. Hai 150 aplicacións diferentes na miña rede.
Entón, todo foi omitido por unha regra. Agora vexamos o que di o Optimizador de políticas sobre isto. Se miraches a captura de pantalla da interface con regras de seguridade enriba, viu unha pequena ventá na parte inferior esquerda, que me indica que hai regras que se poden optimizar. Prememos alí.
O que mostra o Optimizador de políticas:
- Que políticas non se utilizaron en absoluto, 30 días, 90 días. Isto axuda a tomar a decisión de eliminalos por completo.
- Que aplicacións se especificaron nas políticas, pero non se atoparon esas aplicacións no tráfico. Isto permítelle eliminar aplicacións innecesarias nas regras de autorización.
- Que políticas permitían todo, pero realmente había aplicacións que sería bo indicar de xeito explícito segundo a metodoloxía Zero Trust.
Fai clic en Non utilizado.
Para mostrar como funciona, engadín algunhas regras e ata agora non perderon nin un só paquete ata agora. Aquí está a súa lista:
Se cadra, co paso do tempo, o tráfico pasará por alí e despois desaparecerán desta lista. E se están nesta lista durante 90 días, podes decidir eliminar estas regras. Despois de todo, cada regra ofrece unha oportunidade para un hacker.
Hai un problema real coa configuración do firewall: chega un novo empregado, consulta as regras do firewall, se non ten comentarios e non sabe por que se creou esta regra, é realmente necesario, pódese eliminar: de súpeto a persoa está en vacacións e durante 30 días o tráfico volverá a saír do servizo que precisa. E só esta función axúdalle a tomar unha decisión - ninguén a usa - elimínaa!
Fai clic en Aplicación non utilizada.
Facemos clic en Aplicación non utilizada no optimizador e vemos que se abre información interesante na xanela principal.
Vemos que hai tres regras, onde o número de solicitudes permitidas e o número de solicitudes que realmente pasaron esta regra son diferentes.
Podemos facer clic e ver unha lista destas aplicacións e comparar estas listas.
Por exemplo, imos facer clic no botón Comparar para a regra Max.
Aquí podes ver que se permitían aplicacións de Facebook, Instagram, Telegram e vkontakte. Pero en realidade, o tráfico só pasou por parte das subaplicacións. Aquí tes que entender que a aplicación de Facebook contén varias aplicacións secundarias.
A lista completa de aplicacións de NGFW pódese ver no portal
Entón, NGFW viu algunhas destas subaplicacións, pero non algunhas. De feito, podes desactivar e activar por separado as diferentes subfuncións de Facebook. Por exemplo, permíteche ver mensaxes, pero prohíbese as transferencias de ficheiros ou chats. En consecuencia, o Policy Optimizer fala diso e podes tomar unha decisión: non permitir todas as aplicacións de Facebook, senón só as principais.
Entón, decatámonos de que as listas son diferentes. Podes asegurarte de que as regras só permiten aquelas aplicacións que realmente percorren a rede. Para facelo, fai clic no botón MatchUsage. Resulta así:
E tamén pode engadir aplicacións que considere necesarias: o botón Engadir no lado esquerdo da xanela:
E entón esta regra pódese aplicar e probar. Parabéns!
Fai clic en Non se especifica ningunha aplicación.
Neste caso, abrirase unha xanela de seguridade importante.
O máis probable é que existan moitas regras deste tipo nas que a aplicación de nivel L7 non estea especificada explícitamente na súa rede. E na miña rede hai tal regra: permíteme recordarche que a fixen durante a configuración inicial, especialmente para mostrar como funciona o Optimizador de políticas.
A imaxe mostra que a regra AllowAll perdeu 9 gigabytes de tráfico durante o período do 17 ao 220 de marzo, o que supón un total de 150 aplicacións diferentes na miña rede. E isto aínda non é suficiente. Normalmente, unha rede corporativa de tamaño medio ten entre 200 e 300 aplicacións diferentes.
Polo tanto, unha regra perde ata 150 aplicacións. Isto xeralmente significa que o firewall está configurado incorrectamente, porque normalmente 1-10 aplicacións para diferentes propósitos son omitidos nunha regra. Vexamos cales son estas aplicacións: fai clic no botón Comparar:
O máis marabilloso para o administrador da función Optimizador de políticas é o botón Uso de coincidencia: podes crear unha regra cun só clic, onde introducirás as 150 aplicacións na regra. Facelo manualmente levaría demasiado tempo. O número de tarefas para o administrador, mesmo na miña rede de 10 dispositivos, é enorme.
Teño 150 aplicacións diferentes funcionando na casa, transmitindo gigabytes de tráfico! E canto tes?
Pero que pasa nunha rede de 100 dispositivos ou 1000 ou 10000? Vin firewalls con 8000 regras e estou moi contento de que agora os administradores teñan ferramentas de automatización tan cómodas.
Non necesitará algunhas das aplicacións que o módulo de análise de aplicacións L7 en NGFW viu e mostrou na rede, polo que simplemente eliminalas da lista da regra de permiso ou clona as regras co botón Clonar (na interface principal) e permite nunha regra de aplicación, e en Bloquear outras aplicacións como se definitivamente non fosen necesarias na túa rede. Tales aplicacións adoitan facerse bittorent, steam, ultrasurf, tor, túneles ocultos como tcp-over-dns e outros.
Ben, fai clic noutra regra: o que podes ver alí:
Si, hai aplicacións específicas para multicast. Debemos permitirlles para que funcione a visualización de vídeos na rede. Fai clic en Combinar uso. Genial! Grazas ao Optimizador de políticas.
Que pasa coa aprendizaxe automática?
Agora está de moda falar de automatización. Saíu o que describín: axuda moito. Hai outra posibilidade que debo mencionar. Esta é a funcionalidade de Machine Learning integrada na utilidade Expedition mencionada anteriormente. Nesta utilidade, é posible transferir regras do teu antigo firewall doutro fabricante. E tamén existe a posibilidade de analizar os rexistros de tráfico existentes de Palo Alto Networks e suxerir que regras escribir. Isto é semellante á funcionalidade Policy Optimizer, pero en Expedition é aínda máis avanzada e ofrécesche unha lista de regras preparadas; só tes que aprobalas.
A solicitude pódese enviar a [protexido por correo electrónico] e na solicitude escribe: "Quero facer unha UTD para o Proceso de Migración".
De feito, hai varias opcións para os laboratorios chamados Unified Test Drive (UTD) e todas elas
Só os usuarios rexistrados poden participar na enquisa.
Queres que alguén che axude a optimizar as túas políticas de firewall?
-
Si
-
Non
-
Farei todo eu
Ninguén votou aínda. Non hai abstencións.
Fonte: www.habr.com