Bagaimana Mengevaluasi Efektivitas Pengaturan NGFW
Tugas paling umum adalah memeriksa seberapa efektif firewall Anda dikonfigurasi. Untuk melakukan ini, ada utilitas dan layanan gratis dari perusahaan yang menangani NGFW.
Misalnya, Anda dapat melihat di bawah bahwa Palo Alto Networks memiliki kemampuan langsung darinya menjalankan analisis statistik firewall - laporan SLR atau analisis kepatuhan terhadap praktik terbaik - laporan BPA. Ini adalah utilitas online gratis yang dapat Anda gunakan tanpa menginstal apa pun.
ISI
Ekspedisi (Alat Migrasi)
Pilihan yang lebih rumit untuk memeriksa pengaturan Anda adalah dengan mengunduh utilitas gratis (sebelumnya Alat Migrasi). Itu diunduh sebagai Peralatan Virtual untuk VMware, tidak diperlukan pengaturan apa pun - Anda perlu mengunduh gambar dan menyebarkannya di bawah hypervisor VMware, meluncurkannya dan membuka antarmuka web. Utilitas ini memerlukan cerita tersendiri, hanya kursusnya yang memakan waktu 5 hari, sekarang ada begitu banyak fungsi, termasuk Pembelajaran Mesin dan migrasi berbagai konfigurasi kebijakan, NAT, dan objek untuk produsen Firewall yang berbeda. Saya akan menulis lebih banyak tentang Pembelajaran Mesin di bawah ini dalam teks.
Pengoptimal Kebijakan
Dan opsi paling nyaman (IMHO), yang akan saya ceritakan lebih detail hari ini, adalah pengoptimal kebijakan yang terpasang di antarmuka Palo Alto Networks itu sendiri. Untuk mendemonstrasikannya, saya memasang firewall di rumah dan menulis aturan sederhana: izinkan siapa saja. Pada prinsipnya, terkadang saya melihat aturan seperti itu bahkan di jaringan perusahaan. Tentu saja, saya mengaktifkan semua profil keamanan NGFW, seperti yang Anda lihat di tangkapan layar:
Tangkapan layar di bawah menunjukkan contoh firewall rumah saya yang belum dikonfigurasi, di mana hampir semua koneksi termasuk dalam aturan terakhir: AllowAll, seperti yang dapat dilihat dari statistik di kolom Hit Count.
Nol Kepercayaan
Ada pendekatan keamanan yang disebut . Artinya: kita harus mengizinkan orang-orang di dalam jaringan untuk melakukan koneksi yang mereka perlukan dan menolak yang lainnya. Artinya, kita perlu menambahkan aturan yang jelas untuk aplikasi, pengguna, kategori URL, jenis file; aktifkan semua tanda tangan IPS dan antivirus, aktifkan sandboxing, perlindungan DNS, gunakan IoC dari database Threat Intelligence yang tersedia. Secara umum, ada sejumlah tugas yang layak saat menyiapkan firewall.
Omong-omong, rangkaian minimum pengaturan yang diperlukan untuk Palo Alto Networks NGFW dijelaskan dalam salah satu dokumen SANS: - Saya sarankan memulainya. Dan tentu saja, ada serangkaian praktik terbaik untuk menyiapkan firewall dari pabrikan: .
Jadi, saya punya firewall di rumah selama seminggu. Mari kita lihat jenis lalu lintas apa yang ada di jaringan saya:
Jika Anda mengurutkan berdasarkan jumlah sesi, sebagian besar dibuat oleh bittorent, lalu SSL, lalu QUIC. Ini adalah statistik untuk lalu lintas masuk dan keluar: ada banyak pemindaian eksternal pada router saya. Ada 150 aplikasi berbeda di jaringan saya.
Jadi, semua ini terlewatkan oleh satu aturan. Sekarang mari kita lihat apa yang dikatakan Pengoptimal Kebijakan tentang hal ini. Jika Anda melihat tangkapan layar antarmuka dengan aturan keamanan di atas, maka di kiri bawah Anda melihat jendela kecil yang memberi petunjuk kepada saya bahwa ada aturan yang dapat dioptimalkan. Mari klik di sana.
Apa yang ditunjukkan oleh Pengoptimal Kebijakan:
- Polis mana yang tidak dipakai sama sekali, 30 hari, 90 hari. Ini membantu membuat keputusan untuk menghapusnya sepenuhnya.
- Aplikasi apa yang ditentukan dalam kebijakan, tetapi tidak ada aplikasi yang terdeteksi di lalu lintas. Ini memungkinkan Anda untuk menghapus aplikasi yang tidak diperlukan dalam aturan izin.
- Kebijakan apa yang mengizinkan semuanya, tetapi sebenarnya ada penerapan yang sebaiknya ditunjukkan secara eksplisit sesuai dengan metodologi Zero Trust.
Mari kita klik pada Unused.
Untuk menunjukkan cara kerjanya, saya menambahkan beberapa aturan dan sejauh ini tidak ada satu paket pun yang terlewat hari ini. Ini daftarnya:
Mungkin seiring waktu akan ada lalu lintas di sana dan kemudian menghilang dari daftar ini. Dan jika mereka ada di daftar ini selama 90 hari, maka Anda dapat memutuskan untuk menghapus aturan tersebut. Bagaimanapun, setiap aturan memberikan peluang bagi seorang hacker.
Ada masalah sebenarnya saat mengkonfigurasi firewall: ada karyawan baru datang, melihat aturan firewall, jika mereka tidak punya komentar dan dia tidak tahu mengapa aturan ini dibuat, apakah benar-benar diperlukan, apakah bisa dihapus: tiba-tiba orang tersebut sedang berlibur dan setelahnya Dalam waktu 30 hari, lalu lintas akan kembali mengalir dari layanan yang dia butuhkan. Dan fungsi inilah yang membantunya membuat keputusan - tidak ada yang menggunakannya - hapus!
Klik pada Aplikasi yang Tidak Digunakan.
Kami mengklik Aplikasi yang Tidak Digunakan di pengoptimal dan melihat informasi menarik terbuka di jendela utama.
Kita melihat ada tiga aturan, dimana jumlah aplikasi yang diperbolehkan dan jumlah aplikasi yang benar-benar lolos aturan ini berbeda.
Kita dapat mengklik dan melihat daftar aplikasi ini dan membandingkan daftar tersebut.
Misalnya, klik tombol Bandingkan untuk aturan Max.
Di sini Anda dapat melihat bahwa aplikasi facebook, instagram, telegram, vkontakte diizinkan. Namun kenyataannya trafik hanya menuju ke beberapa sub-aplikasi saja. Disini perlu anda pahami bahwa aplikasi facebook berisi beberapa sub aplikasi.
Daftar lengkap aplikasi NGFW dapat dilihat di portal dan di antarmuka firewall itu sendiri, di bagian Objek->Aplikasi dan di pencarian, ketik nama aplikasi: facebook, Anda akan mendapatkan hasil sebagai berikut:
Jadi, sub-aplikasi ini ada yang dilihat oleh NGFW, namun ada juga yang tidak. Faktanya, Anda dapat secara terpisah melarang dan mengizinkan berbagai sub-fungsi Facebook. Misalnya, izinkan melihat pesan, tetapi melarang chat atau transfer file. Oleh karena itu, Pengoptimal Kebijakan membicarakan hal ini dan Anda dapat membuat keputusan: tidak mengizinkan semua aplikasi Facebook, tetapi hanya aplikasi utama.
Jadi, kami menyadari bahwa daftarnya berbeda. Anda dapat memastikan bahwa aturan tersebut hanya mengizinkan aplikasi yang benar-benar berjalan di jaringan. Untuk melakukan ini, Anda klik tombol MatchUsage. Ternyata seperti ini:
Dan Anda juga dapat menambahkan aplikasi yang Anda anggap perlu - tombol Tambah di sisi kiri jendela:
Dan kemudian aturan ini bisa diterapkan dan diuji. Selamat!
Klik Tidak Ada Aplikasi yang Ditentukan.
Dalam hal ini, jendela keamanan penting akan terbuka.
Kemungkinan besar ada banyak aturan seperti itu di jaringan Anda di mana aplikasi tingkat L7 tidak ditentukan secara eksplisit. Dan di jaringan saya ada aturan seperti itu - izinkan saya mengingatkan Anda bahwa saya membuatnya pada pengaturan awal, khususnya untuk menunjukkan cara kerja Pengoptimal Kebijakan.
Gambar menunjukkan bahwa aturan AllowAll mengizinkan 9 gigabyte lalu lintas pada periode 17 Maret hingga 220 Maret, yaitu 150 aplikasi berbeda di jaringan saya. Dan itu tidak cukup. Biasanya, jaringan perusahaan berukuran rata-rata memiliki 200-300 aplikasi berbeda.
Jadi, satu aturan mengizinkan sebanyak 150 aplikasi. Biasanya ini berarti firewall tidak dikonfigurasi dengan benar, karena biasanya satu aturan mengizinkan 1-10 aplikasi untuk tujuan berbeda. Mari kita lihat apa saja aplikasinya: klik tombol Bandingkan:
Hal yang paling menakjubkan bagi administrator dalam fungsi Pengoptimal Kebijakan adalah tombol Cocokkan Penggunaan - Anda dapat membuat aturan dengan satu klik, di mana Anda akan memasukkan 150 aplikasi ke dalam aturan. Melakukan hal ini secara manual akan memakan waktu yang cukup lama. Jumlah tugas yang harus dikerjakan oleh seorang administrator, bahkan di jaringan saya yang terdiri dari 10 perangkat, sangatlah banyak.
Saya memiliki 150 aplikasi berbeda yang berjalan di rumah, mentransfer lalu lintas gigabyte! Dan berapa banyak yang kamu punya?
Namun apa yang terjadi dalam jaringan dengan 100 atau 1000 atau 10000 perangkat? Saya telah melihat firewall dengan 8000 aturan dan saya sangat senang bahwa administrator sekarang memiliki alat otomatisasi yang nyaman.
Beberapa aplikasi yang dilihat dan ditunjukkan oleh modul analisis aplikasi L7 di NGFW tidak akan Anda perlukan di jaringan, jadi Anda cukup menghapusnya dari daftar aturan yang mengizinkan, atau mengkloning aturan menggunakan tombol Klon (di antarmuka utama) dan izinkan mereka dalam satu aturan aplikasi, dan di Anda akan memblokir aplikasi lain karena aplikasi tersebut pasti tidak diperlukan di jaringan Anda. Aplikasi tersebut sering kali mencakup bittorent, steam, ultrasurf, tor, terowongan tersembunyi seperti tcp-over-dns dan lain-lain.
Baiklah, mari klik aturan lain dan lihat apa yang dapat Anda lihat di sana:
Ya, ada aplikasi khusus untuk multicast. Kita harus mengizinkan mereka agar menonton video online dapat berfungsi. Klik Cocokkan Penggunaan. Besar! Terima kasih Pengoptimal Kebijakan.
Bagaimana dengan Pembelajaran Mesin?
Sekarang sedang populer untuk berbicara tentang otomatisasi. Ternyata apa yang saya jelaskan - itu sangat membantu. Ada satu kemungkinan lagi yang harus saya bicarakan. Ini adalah fungsi Machine Learning yang ada di dalam utilitas Ekspedisi, yang telah disebutkan di atas. Dalam utilitas ini, dimungkinkan untuk mentransfer aturan dari firewall lama Anda dari pabrikan lain. Ada juga kemampuan untuk menganalisis log lalu lintas Jaringan Palo Alto yang ada dan menyarankan aturan apa yang harus ditulis. Ini mirip dengan fungsi Pengoptimal Kebijakan, tetapi di Ekspedisi fungsi ini lebih diperluas dan Anda ditawari daftar aturan yang sudah jadi - Anda hanya perlu menyetujuinya.
Untuk menguji fungsi ini, ada pekerjaan laboratorium - kami menyebutnya test drive. Tes ini dapat dilakukan dengan masuk ke firewall virtual, yang akan diluncurkan oleh karyawan kantor Palo Alto Networks di Moskow atas permintaan Anda.
Permintaan dapat dikirim ke [email dilindungi] dan di request tulis: βSaya ingin membuat UTD untuk Proses Migrasi.β
Padahal, pekerjaan laboratorium yang disebut Unified Test Drive (UTD) memiliki beberapa pilihan dan semuanya setelah permintaan.
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Apakah Anda ingin seseorang membantu Anda mengoptimalkan kebijakan firewall Anda?
-
Ya
-
Tidak
-
Saya akan melakukan semuanya sendiri
Belum ada yang memilih. Tidak ada yang abstain.
Sumber: www.habr.com