Hogyan értékeljük az NGFW hangolás hatékonyságát
A leggyakoribb feladat annak ellenőrzése, hogy milyen jól van beállítva a tűzfal. Ehhez ingyenes közművek és szolgáltatások állnak rendelkezésre az NGFW-vel foglalkozó cégektől.
Például lent láthatja, hogy a Palo Alto Networks képes közvetlenül a hálózatról tűzfalstatisztikai elemzés futtatása - SLR-jelentés vagy a legjobb gyakorlatok megfelelőségi elemzése - BPA-jelentés. Ezek ingyenes online segédprogramok, amelyeket bármi telepítése nélkül használhat.
TARTALOM
Expedíció (migrációs eszköz)
A beállítások ellenőrzésének bonyolultabb módja egy ingyenes segédprogram letöltése (korábbi Migrációs eszköz). Virtuális készülékként töltődik le VMware-hez, nincs szükség beállításra - le kell tölteni a képet és telepíteni kell a VMware hypervisor alatt, futtassa és menjen a webes felületre. Ez a segédprogram külön történetet igényel, csak a tanfolyam 5 napot vesz igénybe, rengeteg funkció van most ott, beleértve a gépi tanulást és a különféle házirend-konfigurációk, NAT és objektumok migrálását a különböző tűzfalgyártók számára. A gépi tanulásról a szöveg későbbi részében bővebben írok.
Házirend-optimalizáló
És a legkényelmesebb lehetőség (IMHO), amelyről ma részletesebben beszélek, maga a Palo Alto Networks felületébe épített házirend-optimalizáló. Ennek demonstrálására tűzfalat telepítettem az otthonomba, és írtam egy egyszerű szabályt: bármelyiket engedélyezem. Elvileg néha még a céges hálózatokban is látok ilyen szabályokat. Természetesen az összes NGFW biztonsági profilt engedélyeztem, ahogy a képernyőképen is látható:
Az alábbi képernyőképen látható egy példa az otthoni konfigurálatlan tűzfalamra, ahol szinte minden kapcsolat az utolsó szabály alá esik: AllowAll, amint az a Hit Count oszlop statisztikáiból is látható.
Nulla bizalom
A biztonságnak létezik egy olyan megközelítése, amelyet ún . Mit jelent ez: pontosan azokat a kapcsolatokat kell engedélyeznünk a hálózaton belüli embereknek, amelyekre szükségük van, és minden mást meg kell tiltanunk. Vagyis egyértelmű szabályokat kell hozzáadnunk az alkalmazásokhoz, felhasználókhoz, URL-kategóriákhoz, fájltípusokhoz; engedélyezze az összes IPS és antivírus szignatúrát, engedélyezze a sandbox-ot, a DNS-védelmet, használja az IoC-t az elérhető Threat Intelligence adatbázisokból. Általánosságban elmondható, hogy a tűzfal beállításakor elég sok feladat adódik.
Mellesleg, a Palo Alto Networks NGFW-hez szükséges minimális beállításokat az egyik SANS-dokumentum írja le: Azt javaslom kezdeni vele. És természetesen van néhány bevált gyakorlat a tűzfal beállításához a gyártótól: .
Szóval egy hétig volt otthon tűzfalam. Nézzük, mekkora a forgalom a hálózatomon:
Ha a munkamenetek száma szerint rendezzük, akkor a legtöbbet a bittorent hozza létre, majd jön az SSL, majd a QUIC. Ezek mind a bejövő, mind a kimenő forgalom statisztikái: sok a routerem külső vizsgálata. 150 különböző alkalmazás található a hálózatomban.
Tehát mindezt egyetlen szabály kihagyta. Most pedig nézzük meg, mit mond erről a Házirend-optimalizáló. Ha megnézted a fenti biztonsági szabályokat tartalmazó felület képernyőképet, akkor a bal alsó sarokban egy kis ablakot láttál, ami számomra azt sugallja, hogy vannak optimalizálható szabályok. Kattintsunk oda.
Amit a házirend-optimalizáló megjelenít:
- Melyik házirendet egyáltalán nem alkalmazták, 30 nap, 90 nap. Ez segít meghozni a döntést ezek teljes eltávolításáról.
- Mely alkalmazások voltak megadva a házirendekben, de nem találhatók ilyen alkalmazások a forgalomban. Ez lehetővé teszi a szükségtelen alkalmazások eltávolítását az engedélyezési szabályokból.
- Amely házirendek mindent megengedtek egymás után, de tényleg voltak olyan alkalmazások, amelyeket jó lenne kifejezetten jelezni a Zero Trust módszertan szerint.
Kattintson a Nem használt elemre.
Hogy bemutassam, hogyan működik, hozzáadtam néhány szabályt, és eddig egyetlen csomagot sem hagytak ki. Íme a listájuk:
Lehet, hogy idővel a forgalom elhalad ott, és akkor eltűnnek a listáról. És ha 90 napig szerepelnek ezen a listán, akkor dönthet úgy, hogy eltávolítja ezeket a szabályokat. Hiszen minden szabály lehetőséget biztosít egy hacker számára.
Valóságos probléma van a tűzfal beállításával: jön egy új alkalmazott, belenéz a tűzfalszabályzatba, ha nincs észrevétele és nem tudja, miért jött létre ez a szabály, valóban szükséges-e, törölhető: hirtelen az illető szabadságon és 30 napon keresztül a forgalom ismét a szükséges szolgáltatástól fog menni. És éppen ez a funkció segít neki a döntésben - senki sem használja - törölje!
Kattintson a Nem használt alkalmazásra.
Az optimalizálóban rákattintunk a Nem használt alkalmazásra, és azt látjuk, hogy érdekes információk nyílnak meg a főablakban.
Azt látjuk, hogy három szabály létezik, ahol az engedélyezett alkalmazások száma és azon alkalmazások száma, amelyek ténylegesen átmentek ezen a szabályon, különbözik.
Kattinthatunk és megtekinthetjük ezen alkalmazások listáját, és összehasonlíthatjuk ezeket a listákat.
Például kattintsunk az Összehasonlítás gombra a max. szabályhoz.
Itt látható, hogy a facebook, instagram, telegram, vkontakte alkalmazások engedélyezve voltak. De a valóságban a forgalom csak az alalkalmazások egy részén ment keresztül. Itt meg kell értened, hogy a facebook alkalmazás több alalkalmazást is tartalmaz.
Az NGFW pályázatok teljes listája megtekinthető a portálon és magán a tűzfal felületén az Objektumok->Alkalmazások részben és a keresőben írd be az alkalmazás nevét: facebook, a következő eredményt kapod:
Tehát az NGFW látott néhány ilyen alalkalmazást, de néhányat nem. Valójában külön-külön letilthatja és engedélyezheti a facebook különböző alfunkcióit. Például lehetővé teszi az üzenetek megtekintését, de tiltja a csevegést vagy a fájlátvitelt. Ennek megfelelően a Policy Optimizer beszél erről, és dönthet: ne engedélyezze az összes Facebook-alkalmazást, hanem csak a főbbeket.
Tehát rájöttünk, hogy a listák különböznek. Győződjön meg arról, hogy a szabályok csak azokat az alkalmazásokat engedélyezik, amelyek ténylegesen barangolnak a hálózaton. Ehhez kattintson a MatchUsage gombra. Így alakul:
És hozzáadhat olyan alkalmazásokat is, amelyeket szükségesnek tart - az ablak bal oldalán található Hozzáadás gomb:
És akkor ez a szabály alkalmazható és tesztelhető. Gratulálunk!
Kattintson a Nincsenek megadva alkalmazások elemre.
Ebben az esetben megnyílik egy fontos biztonsági ablak.
Valószínűleg sok ilyen szabály létezik, ahol az L7 szintű alkalmazás nincs kifejezetten megadva a hálózatban. És az én hálózatomban van egy ilyen szabály – hadd emlékeztessem Önt arra, hogy ezt a kezdeti beállítás során hoztam létre, kifejezetten azért, hogy bemutassam, hogyan működik a Házirend-optimalizáló.
A képen látható, hogy az AllowAll szabály 9 gigabájt forgalmat hagyott ki a március 17. és március 220. közötti időszakban, ami összesen 150 különböző alkalmazás a hálózatomban. És ez még mindig nem elég. Egy közepes méretű vállalati hálózat jellemzően 200-300 különböző alkalmazással rendelkezik.
Tehát egy szabályból 150 alkalmazás hiányzik. Ez általában azt jelenti, hogy a tűzfal rosszul van beállítva, mert egy szabályban általában 1-10 különböző célú alkalmazás kimarad. Lássuk, melyek ezek az alkalmazások: kattintson az Összehasonlítás gombra:
A házirend-optimalizáló funkcióban a rendszergazda számára a legcsodálatosabb a Match Usage gomb – egy kattintással létrehozhat egy szabályt, ahol mind a 150 alkalmazást beírja a szabályba. A manuális végrehajtás túl sokáig tartana. Az adminisztrátor feladatainak száma még az én 10 készülékes hálózatomon is óriási.
150 különböző alkalmazás fut otthon, gigabájt forgalmat továbbítanak! És mennyi van?
De mi történik egy 100 vagy 1000 vagy 10000 eszközből álló hálózatban? Láttam már 8000 szabállyal rendelkező tűzfalakat, és nagyon örülök, hogy az adminisztrátorok ilyen kényelmes automatizálási eszközökkel rendelkeznek.
Nem lesz szüksége néhány olyan alkalmazásra, amelyeket az NGFW L7 alkalmazáselemző modulja látott és mutatott a hálózaton, ezért egyszerűen eltávolítja őket az engedélyezési szabály listájáról, vagy klónozhatja a szabályokat a Klónozás gombbal (a fő felületen). és engedélyezze az egyik alkalmazásszabályt, a többi alkalmazás blokkolása részben pedig úgy, mintha azokra biztosan nincs szükség a hálózaton. Az ilyen alkalmazások gyakran bittorent, steam, ultrasurf, tor, rejtett alagutak, például tcp-over-dns és mások.
Nos, kattintson egy másik szabályra – amit ott láthat:
Igen, vannak kifejezetten multicast alkalmazások. Engedélyeznünk kell őket, hogy működjön a hálózaton keresztüli videónézés. Kattintson a Használat egyeztetése elemre. Nagy! Köszönjük a Házirend-optimalizálónak.
Mi a helyzet a gépi tanulással?
Manapság divat automatizálásról beszélni. Amit leírtam kijött - sokat segít. Van még egy lehetőség, amit meg kell említenem. Ez a fent említett Expedition segédprogramba beépített gépi tanulási funkció. Ebben a segédprogramban lehetőség van szabályok átvitelére egy másik gyártó régi tűzfaláról. Ezenkívül lehetőség van a Palo Alto Networks meglévő forgalmi naplóinak elemzésére és javaslattételre, hogy milyen szabályokat írjon. Ez hasonló a Policy Optimizer funkcióhoz, de az Expeditionben még fejlettebb, és felajánlja a kész szabályok listáját – csak jóvá kell hagynia azokat.
Ennek a funkciónak a tesztelésére van egy laboratóriumi munka – ezt nevezzük tesztvezetésnek. Ezt a tesztet úgy végezheti el, hogy felkeresi azokat a virtuális tűzfalakat, amelyeket a Palo Alto Networks moszkvai irodai munkatársai az Ön kérésére indítanak el.
A kérelmet a címre lehet elküldeni [e-mail védett] és a kérésbe írja be: "UTD-t akarok készíteni a migrációs folyamathoz."
Valójában számos lehetőség kínálkozik a Unified Test Drive (UTD) nevű laborokhoz, és mindegyik kérés után.
A felmérésben csak regisztrált felhasználók vehetnek részt. , kérem.
Szeretné, ha valaki segítene optimalizálni tűzfalszabályzatát?
-
Igen
-
Nincs
-
mindent magam csinálok
Még senki nem szavazott. Nincs tartózkodás.
Forrás: will.com