Como avaliar a eficacia da sintonización NGFW
A tarefa máis común é comprobar o ben que está configurado o teu firewall. Para iso, existen utilidades e servizos gratuítos de empresas que se ocupan de NGFW.
Por exemplo, a continuación podes ver que Palo Alto Networks ten a capacidade de acceder directamente desde executar análise de estatísticas do firewall - informe SLR ou análise de conformidade coas mellores prácticas - informe BPA. Estas son utilidades en liña gratuítas que podes usar sen instalar nada.
ÍNDICE
Expedición (Ferramenta de migración)
Unha opción máis complicada para comprobar a súa configuración é descargar unha utilidade gratuíta (antiga ferramenta de migración). Descárgase como unha aplicación virtual para VMware, non se precisa ningunha configuración con el; cómpre descargar a imaxe e implementala no hipervisor de VMware, executala e acceder á interface web. Esta utilidade require unha historia separada, só o curso leva 5 días, agora hai moitas funcións, incluíndo Machine Learning e migración de varias configuracións de políticas, NAT e obxectos para diferentes fabricantes de Firewall. Sobre a aprendizaxe automática, escribirei máis máis adiante no texto.
Optimizador de políticas
E a opción máis conveniente (IMHO), da que falarei con máis detalle hoxe, é o optimizador de políticas integrado na propia interface de Palo Alto Networks. Para demostralo, instalei un firewall na miña casa e escribín unha regra sinxela: permitir calquera a calquera. En principio, ás veces vexo tales regras incluso nas redes corporativas. Por suposto, activei todos os perfís de seguranza NGFW, como podes ver na captura de pantalla:
A seguinte captura de pantalla mostra un exemplo do firewall sen configurar a miña casa, onde case todas as conexións caen na última regra: AllowAll, como se pode ver nas estatísticas da columna Conta de accesos.
Cero Confianza
Hai un enfoque de seguridade chamado . O que isto significa: debemos permitir ás persoas dentro da rede exactamente as conexións que necesitan e prohibir todo o demais. É dicir, necesitamos engadir regras claras para aplicacións, usuarios, categorías de URL, tipos de ficheiros; habilite todas as sinaturas IPS e antivirus, habilite sandbox, protección DNS, use IoC das bases de datos de Threat Intelligence dispoñibles. En xeral, hai unha cantidade decente de tarefas ao configurar un firewall.
Por certo, o conxunto mínimo de configuracións requiridas para Palo Alto Networks NGFW descríbese nun dos documentos SANS: Recomendo comezar con el. E, por suposto, hai un conxunto de mellores prácticas para configurar un firewall do fabricante: .
Entón, tiven un firewall na casa durante unha semana. Vexamos que tráfico hai na miña rede:
Se se ordenan polo número de sesións, a maioría delas son creadas por bittorent, despois vén SSL e despois QUIC. Estas son estatísticas tanto para o tráfico entrante como para o saínte: hai moitas exploracións externas do meu enrutador. Hai 150 aplicacións diferentes na miña rede.
Entón, todo foi omitido por unha regra. Agora vexamos o que di o Optimizador de políticas sobre isto. Se miraches a captura de pantalla da interface con regras de seguridade enriba, viu unha pequena ventá na parte inferior esquerda, que me indica que hai regras que se poden optimizar. Prememos alí.
O que mostra o Optimizador de políticas:
- Que políticas non se utilizaron en absoluto, 30 días, 90 días. Isto axuda a tomar a decisión de eliminalos por completo.
- Que aplicacións se especificaron nas políticas, pero non se atoparon esas aplicacións no tráfico. Isto permítelle eliminar aplicacións innecesarias nas regras de autorización.
- Que políticas permitían todo, pero realmente había aplicacións que sería bo indicar de xeito explícito segundo a metodoloxía Zero Trust.
Fai clic en Non utilizado.
Para mostrar como funciona, engadín algunhas regras e ata agora non perderon nin un só paquete ata agora. Aquí está a súa lista:
Se cadra, co paso do tempo, o tráfico pasará por alí e despois desaparecerán desta lista. E se están nesta lista durante 90 días, podes decidir eliminar estas regras. Despois de todo, cada regra ofrece unha oportunidade para un hacker.
Hai un problema real coa configuración do firewall: chega un novo empregado, consulta as regras do firewall, se non ten comentarios e non sabe por que se creou esta regra, é realmente necesario, pódese eliminar: de súpeto a persoa está en vacacións e durante 30 días o tráfico volverá a saír do servizo que precisa. E só esta función axúdalle a tomar unha decisión - ninguén a usa - elimínaa!
Fai clic en Aplicación non utilizada.
Facemos clic en Aplicación non utilizada no optimizador e vemos que se abre información interesante na xanela principal.
Vemos que hai tres regras, onde o número de solicitudes permitidas e o número de solicitudes que realmente pasaron esta regra son diferentes.
Podemos facer clic e ver unha lista destas aplicacións e comparar estas listas.
Por exemplo, imos facer clic no botón Comparar para a regra Max.
Aquí podes ver que se permitían aplicacións de Facebook, Instagram, Telegram e vkontakte. Pero en realidade, o tráfico só pasou por parte das subaplicacións. Aquí tes que entender que a aplicación de Facebook contén varias aplicacións secundarias.
A lista completa de aplicacións de NGFW pódese ver no portal e na propia interface do firewall, no apartado Obxectos->Aplicacións e na busca, escriba o nome da aplicación: facebook, obterá o seguinte resultado:
Entón, NGFW viu algunhas destas subaplicacións, pero non algunhas. De feito, podes desactivar e activar por separado as diferentes subfuncións de Facebook. Por exemplo, permíteche ver mensaxes, pero prohíbese as transferencias de ficheiros ou chats. En consecuencia, o Policy Optimizer fala diso e podes tomar unha decisión: non permitir todas as aplicacións de Facebook, senón só as principais.
Entón, decatámonos de que as listas son diferentes. Podes asegurarte de que as regras só permiten aquelas aplicacións que realmente percorren a rede. Para facelo, fai clic no botón MatchUsage. Resulta así:
E tamén pode engadir aplicacións que considere necesarias: o botón Engadir no lado esquerdo da xanela:
E entón esta regra pódese aplicar e probar. Parabéns!
Fai clic en Non se especifica ningunha aplicación.
Neste caso, abrirase unha xanela de seguridade importante.
O máis probable é que existan moitas regras deste tipo nas que a aplicación de nivel L7 non estea especificada explícitamente na súa rede. E na miña rede hai tal regra: permíteme recordarche que a fixen durante a configuración inicial, especialmente para mostrar como funciona o Optimizador de políticas.
A imaxe mostra que a regra AllowAll perdeu 9 gigabytes de tráfico durante o período do 17 ao 220 de marzo, o que supón un total de 150 aplicacións diferentes na miña rede. E isto aínda non é suficiente. Normalmente, unha rede corporativa de tamaño medio ten entre 200 e 300 aplicacións diferentes.
Polo tanto, unha regra perde ata 150 aplicacións. Isto xeralmente significa que o firewall está configurado incorrectamente, porque normalmente 1-10 aplicacións para diferentes propósitos son omitidos nunha regra. Vexamos cales son estas aplicacións: fai clic no botón Comparar:
O máis marabilloso para o administrador da función Optimizador de políticas é o botón Uso de coincidencia: podes crear unha regra cun só clic, onde introducirás as 150 aplicacións na regra. Facelo manualmente levaría demasiado tempo. O número de tarefas para o administrador, mesmo na miña rede de 10 dispositivos, é enorme.
Teño 150 aplicacións diferentes funcionando na casa, transmitindo gigabytes de tráfico! E canto tes?
Pero que pasa nunha rede de 100 dispositivos ou 1000 ou 10000? Vin firewalls con 8000 regras e estou moi contento de que agora os administradores teñan ferramentas de automatización tan cómodas.
Non necesitará algunhas das aplicacións que o módulo de análise de aplicacións L7 en NGFW viu e mostrou na rede, polo que simplemente eliminalas da lista da regra de permiso ou clona as regras co botón Clonar (na interface principal) e permite nunha regra de aplicación, e en Bloquear outras aplicacións como se definitivamente non fosen necesarias na túa rede. Tales aplicacións adoitan facerse bittorent, steam, ultrasurf, tor, túneles ocultos como tcp-over-dns e outros.
Ben, fai clic noutra regra: o que podes ver alí:
Si, hai aplicacións específicas para multicast. Debemos permitirlles para que funcione a visualización de vídeos na rede. Fai clic en Combinar uso. Genial! Grazas ao Optimizador de políticas.
Que pasa coa aprendizaxe automática?
Agora está de moda falar de automatización. Saíu o que describín: axuda moito. Hai outra posibilidade que debo mencionar. Esta é a funcionalidade de Machine Learning integrada na utilidade Expedition mencionada anteriormente. Nesta utilidade, é posible transferir regras do teu antigo firewall doutro fabricante. E tamén existe a posibilidade de analizar os rexistros de tráfico existentes de Palo Alto Networks e suxerir que regras escribir. Isto é semellante á funcionalidade Policy Optimizer, pero en Expedition é aínda máis avanzada e ofrécesche unha lista de regras preparadas; só tes que aprobalas.
Para probar esta funcionalidade, hai un traballo de laboratorio: chamámoslle un test drive. Esta proba pódese facer acudindo aos firewalls virtuais que o persoal da oficina de Palo Alto Networks Moscow poñerá en marcha cando o solicite.
A solicitude pódese enviar a [protexido por correo electrónico] e na solicitude escribe: "Quero facer unha UTD para o Proceso de Migración".
De feito, hai varias opcións para os laboratorios chamados Unified Test Drive (UTD) e todas elas despois da solicitude.
Só os usuarios rexistrados poden participar na enquisa. , por favor.
Queres que alguén che axude a optimizar as túas políticas de firewall?
-
Si
-
Non
-
Farei todo eu
Ninguén votou aínda. Non hai abstencións.
Fonte: www.habr.com