Kako procijeniti učinkovitost NGFW podešavanja
Najčešći zadatak je provjeriti koliko je dobro konfiguriran vaš vatrozid. Da biste to učinili, postoje besplatni programi i usluge tvrtki koje se bave NGFW-om.
Na primjer, ispod možete vidjeti da Palo Alto Networks ima mogućnost izravnog pristupa iz pokrenuti analizu statistike vatrozida - SLR izvješće ili analizu usklađenosti s najboljom praksom - BPA izvješće. Ovo su besplatni mrežni uslužni programi koje možete koristiti bez instaliranja bilo čega.
SADRŽAJ
Ekspedicija (alat za migraciju)
Složenija opcija za provjeru postavki je preuzimanje besplatnog uslužnog programa (bivši alat za migraciju). Preuzima se kao virtualni uređaj za VMware, s njim nisu potrebne nikakve postavke - trebate preuzeti sliku i implementirati je pod VMware hipervizorom, pokrenuti je i otići na web sučelje. Ovaj uslužni program zahtijeva posebnu priču, samo tečaj na njemu traje 5 dana, toliko je funkcija sada tu, uključujući strojno učenje i migraciju raznih konfiguracija politika, NAT-a i objekata za različite proizvođače vatrozida. O Machine Learningu ću više pisati kasnije u tekstu.
Alat za optimizaciju pravila
A najprikladnija opcija (IMHO), o kojoj ću danas detaljnije govoriti, je optimizator pravila ugrađen u samo sučelje Palo Alto Networks. Kako bih to demonstrirao, instalirao sam vatrozid u svom domu i napisao jednostavno pravilo: dopustite bilo kojem. U principu, ponekad vidim takva pravila čak iu korporativnim mrežama. Naravno, omogućio sam sve NGFW sigurnosne profile, kao što možete vidjeti na snimci zaslona:
Snimka zaslona u nastavku prikazuje primjer mog kućnog nekonfiguriranog vatrozida, gdje gotovo sve veze potpadaju pod posljednje pravilo: AllowAll, kao što se može vidjeti iz statistike u stupcu Hit Count.
Nula povjerenja
Postoji pristup sigurnosti tzv . Što to znači: ljudima unutar mreže moramo dopustiti upravo one veze koje trebaju i zabraniti sve ostalo. Odnosno, moramo dodati jasna pravila za aplikacije, korisnike, URL kategorije, vrste datoteka; omogućiti sve IPS i antivirusne potpise, omogućiti sandbox, DNS zaštitu, koristiti IoC iz dostupnih baza podataka Threat Intelligence. Općenito, postoji pristojna količina zadataka prilikom postavljanja vatrozida.
Usput, minimalni skup potrebnih postavki za Palo Alto Networks NGFW opisan je u jednom od dokumenata SANS-a: Preporučujem da počnete s njim. I naravno, proizvođač nudi skup najboljih praksi za postavljanje vatrozida: .
Dakle, imao sam firewall kod kuće tjedan dana. Da vidimo koliki je promet na mojoj mreži:
Ako je poredano po broju sesija, onda ih je većina kreirala bittorent, zatim SSL, pa QUIC. Ovo su statistike i za dolazni i za odlazni promet: postoji mnogo vanjskih skeniranja mog usmjerivača. U mojoj mreži postoji 150 različitih aplikacija.
Dakle, sve je preskočeno jednim pravilom. Sada da vidimo što Policy Optimizer kaže o ovome. Ako ste pogledali snimku zaslona sučelja sa sigurnosnim pravilima iznad, tada ste vidjeli mali prozor dolje lijevo, što mi daje naslutiti da postoje pravila koja se mogu optimizirati. Kliknimo tamo.
Što pokazuje alat za optimizaciju pravila:
- Koje police uopće nisu korištene, 30 dana, 90 dana. To pomaže u donošenju odluke o njihovom potpunom uklanjanju.
- Koje aplikacije su navedene u pravilima, ali takve aplikacije nisu pronađene u prometu. To vam omogućuje uklanjanje nepotrebnih aplikacija u dopuštenim pravilima.
- Koje politike su dopuštale sve redom, ali stvarno je bilo aplikacija koje bi bilo lijepo eksplicitno naznačiti po metodologiji Zero Trust.
Kliknite na Neiskorišteno.
Da pokažem kako to radi, dodao sam nekoliko pravila i do sada nisu propustili niti jedan paket. Evo njihovog popisa:
Možda će s vremenom tamo proći promet i onda će nestati s ovog popisa. A ako su na ovom popisu 90 dana, tada možete odlučiti ukloniti ova pravila. Uostalom, svako pravilo daje priliku hakeru.
Postoji stvarni problem s konfiguracijom vatrozida: dolazi novi zaposlenik, gleda pravila vatrozida, ako nema komentara i ne zna zašto je ovo pravilo stvoreno, je li stvarno potrebno, može li se izbrisati: odjednom je osoba na odmoru i kroz 30 dana promet će opet ići od usluge koja mu je potrebna. I upravo mu ova funkcija pomaže da donese odluku - nitko je ne koristi - izbrišite je!
Kliknite na Neiskorištena aplikacija.
Kliknemo na Unused App u optimizatoru i vidimo da se zanimljive informacije otvaraju u glavnom prozoru.
Vidimo da postoje tri pravila, gdje se broj dopuštenih aplikacija i broj aplikacija koje su stvarno prošle ovo pravilo razlikuju.
Možemo kliknuti i vidjeti popis tih aplikacija i usporediti te popise.
Na primjer, kliknimo na gumb Usporedi za Max pravilo.
Ovdje možete vidjeti da su aplikacije facebook, instagram, telegram, vkontakte bile dopuštene. No, u stvarnosti je promet išao samo kroz dio podaplikacija. Ovdje morate razumjeti da facebook aplikacija sadrži nekoliko pod-aplikacija.
Cijeli popis NGFW prijava možete vidjeti na portalu a u samom sučelju vatrozida u sekciji Objects->Applications i u pretrazi ukucajte naziv aplikacije: facebook dobit ćete sljedeći rezultat:
Dakle, NGFW je vidio neke od ovih pod-aplikacija, a neke nije. Zapravo, možete zasebno onemogućiti i omogućiti različite podfunkcije Facebooka. Na primjer, omogućiti vam pregled poruka, ali zabraniti chat ili prijenos datoteka. Sukladno tome, Policy Optimizer govori o tome i možete donijeti odluku: ne dopustiti sve Facebook aplikacije, već samo one glavne.
Dakle, shvatili smo da su liste različite. Možete osigurati da pravila dopuštaju samo one aplikacije koje zapravo lutaju mrežom. Da biste to učinili, kliknite gumb MatchUsage. Ispada ovako:
Također možete dodati aplikacije koje smatrate potrebnima - gumb Dodaj na lijevoj strani prozora:
A onda se ovo pravilo može primijeniti i testirati. Čestitamo!
Kliknite Nema navedenih aplikacija.
U tom slučaju otvorit će se važan sigurnosni prozor.
Vjerojatno postoji puno takvih pravila gdje aplikacija razine L7 nije eksplicitno navedena u vašoj mreži. I u mojoj mreži postoji takvo pravilo - podsjetit ću vas da sam ga napravio tijekom početnog postavljanja, posebno da pokažem kako radi Policy Optimizer.
Slika pokazuje da je pravilo AllowAll propustilo 9 gigabajta prometa u razdoblju od 17. do 220. ožujka, što je ukupno 150 različitih aplikacija u mojoj mreži. A ovo još uvijek nije dovoljno. Tipično, korporativna mreža srednje veličine ima 200-300 različitih aplikacija.
Dakle, jedno pravilo propušta čak 150 prijava. To obično znači da je vatrozid krivo konfiguriran, jer se obično 1-10 aplikacija za različite namjene preskoči u jednom pravilu. Pogledajmo koje su to aplikacije: kliknite gumb Usporedi:
Najljepša stvar za administratora u značajci Policy Optimizer je gumb Match Usage - možete kreirati pravilo jednim klikom, gdje ćete unijeti svih 150 aplikacija u pravilo. Ručno bi to trajalo predugo. Broj zadataka za administratora, čak i na mojoj mreži od 10 uređaja, je ogroman.
Kod kuće imam 150 različitih aplikacija koje prenose gigabajte prometa! A koliko ti imaš?
Ali što se događa u mreži od 100 uređaja ili 1000 ili 10000 8000? Vidio sam vatrozid s XNUMX pravila i jako mi je drago što administratori sada imaju tako praktične alate za automatizaciju.
Nećete trebati neke od aplikacija koje je L7 modul za analizu aplikacija u NGFW-u vidio i prikazao na mreži, pa ih jednostavno uklonite s popisa dopuštenih pravila ili klonirate pravila s gumbom Kloniraj (u glavnom sučelju) i dopusti u jednoj aplikaciji pravilo, a u Blokiraj druge aplikacije kao da definitivno nisu potrebne na tvojoj mreži. Takve aplikacije često postaju bittorent, steam, ultrasurf, tor, skriveni tuneli poput tcp-over-dns i drugi.
Pa, kliknite na drugo pravilo - što možete vidjeti tamo:
Da, postoje aplikacije specifične za multicast. Moramo im dopustiti kako bi gledanje videa preko mreže funkcioniralo. Kliknite Podudaranje upotrebe. Sjajno! Hvala Policy Optimizer.
Što je sa strojnim učenjem?
Sada je moderno govoriti o automatizaciji. Ispalo je ono što sam opisao - puno pomaže. Postoji još jedna mogućnost koju moram spomenuti. Ovo je funkcija strojnog učenja ugrađena u gore spomenuti uslužni program Expedition. U ovom uslužnom programu moguće je prenijeti pravila sa svog starog vatrozida drugog proizvođača. A tu je i mogućnost analize postojećih prometnih zapisa Palo Alto Networks i predlaganja pravila za pisanje. Ovo je slično funkciji Policy Optimizer, ali u Expedition je još naprednije i nudi vam se popis gotovih pravila - samo ih trebate odobriti.
Za testiranje ove funkcionalnosti postoji laboratorijski rad - zovemo ga probna vožnja. Ovaj se test može napraviti odlaskom na virtualne vatrozide koje će osoblje Palo Alto Networksa u Moskvi pokrenuti na vaš zahtjev.
Zahtjev se može poslati na [e-pošta zaštićena] i u zahtjevu napišite: "Želim napraviti UTD za proces migracije."
Zapravo, postoji nekoliko opcija za laboratorije pod nazivom Unified Test Drive (UTD) i sve su nakon zahtjeva.
U anketi mogu sudjelovati samo registrirani korisnici. , molim.
Želite li da vam netko pomogne optimizirati vaša pravila vatrozida?
-
Da
-
Ne
-
Sve ću sama
Još nitko nije glasao. Suzdržanih nema.
Izvor: www.habr.com