Come valutare l'efficacia dell'ottimizzazione NGFW
L'attività più comune è verificare quanto bene è configurato il firewall. Per fare questo ci sono utenze e servizi gratuiti delle aziende che si occupano di NGFW.
Ad esempio, di seguito puoi vedere che Palo Alto Networks ha la capacità di accedere direttamente da eseguire l'analisi delle statistiche del firewall - report SLR o analisi della conformità alle best practice - report BPA. Queste sono utilità online gratuite che puoi utilizzare senza installare nulla.
INDICE
Spedizione (strumento di migrazione)
Un'opzione più complicata per controllare le impostazioni è scaricare un'utilità gratuita (ex strumento di migrazione). Viene scaricato come Virtual Appliance per VMware, non sono necessarie impostazioni con esso: è necessario scaricare l'immagine e distribuirla sotto l'hypervisor VMware, eseguirla e accedere all'interfaccia web. Questa utility richiede una storia a parte, solo il corso richiede 5 giorni, ora ci sono così tante funzioni, tra cui Machine Learning e migrazione di varie configurazioni di policy, NAT e oggetti per diversi produttori di firewall. A proposito di Machine Learning, scriverò più avanti nel testo.
Strumento per ottimizzare le norme
E l'opzione più conveniente (IMHO), di cui parlerò più dettagliatamente oggi, è l'ottimizzatore di policy integrato nell'interfaccia stessa di Palo Alto Networks. Per dimostrarlo, ho installato un firewall a casa mia e ho scritto una semplice regola: consenti a chiunque. In linea di principio, a volte vedo tali regole anche nelle reti aziendali. Naturalmente ho abilitato tutti i profili di sicurezza NGFW, come puoi vedere nello screenshot:
Lo screenshot seguente mostra un esempio del mio firewall domestico non configurato, in cui quasi tutte le connessioni rientrano nell'ultima regola: AllowAll, come si può vedere dalle statistiche nella colonna Hit Count.
Zero Trust
C'è un approccio alla sicurezza chiamato . Cosa significa: dobbiamo consentire alle persone all'interno della rete esattamente le connessioni di cui hanno bisogno e proibire tutto il resto. Cioè, dobbiamo aggiungere regole chiare per applicazioni, utenti, categorie di URL, tipi di file; abilitare tutte le firme IPS e antivirus, abilitare sandbox, protezione DNS, utilizzare IoC dai database di Threat Intelligence disponibili. In generale, ci sono una discreta quantità di attività durante la configurazione di un firewall.
A proposito, il set minimo di impostazioni richieste per Palo Alto Networks NGFW è descritto in uno dei documenti SANS: Consiglio di iniziare con esso. E, naturalmente, esiste una serie di best practice per l'impostazione di un firewall dal produttore: .
Quindi, ho avuto un firewall a casa per una settimana. Vediamo qual è il traffico sulla mia rete:
Se ordinate in base al numero di sessioni, la maggior parte di esse viene creata da bittorent, quindi arriva SSL, quindi QUIC. Queste sono statistiche sia per il traffico in entrata che per quello in uscita: ci sono molte scansioni esterne del mio router. Ci sono 150 diverse applicazioni nella mia rete.
Quindi, è stato tutto saltato da una regola. Ora vediamo cosa dice il Policy Optimizer al riguardo. Se hai guardato lo screenshot dell'interfaccia con le regole di sicurezza sopra, hai visto una piccola finestra in basso a sinistra, che mi suggerisce che ci sono regole che possono essere ottimizzate. Facciamo clic lì.
Cosa mostra Policy Optimizer:
- Quali criteri non sono stati utilizzati affatto, 30 giorni, 90 giorni. Questo aiuta a prendere la decisione di rimuoverli del tutto.
- Quali applicazioni sono state specificate nei criteri, ma nessuna di tali applicazioni è stata trovata nel traffico. Ciò consente di rimuovere le applicazioni non necessarie nelle regole consentite.
- Quali policy hanno permesso tutto, ma c'erano davvero delle applicazioni che sarebbe bello indicare esplicitamente secondo la metodologia Zero Trust.
Fare clic su Non utilizzato.
Per mostrare come funziona, ho aggiunto alcune regole e finora non hanno perso un singolo pacchetto finora. Ecco la loro lista:
Forse, col tempo, il traffico passerà lì e poi scompariranno da questo elenco. E se sono in questo elenco per 90 giorni, puoi decidere di rimuovere queste regole. Dopotutto, ogni regola offre un'opportunità per un hacker.
C'è un vero problema con la configurazione del firewall: arriva un nuovo dipendente, esamina le regole del firewall, se non ha commenti e non sa perché questa regola è stata creata, è davvero necessario, può essere cancellata: improvvisamente la persona è in vacanza e per 30 giorni il traffico passerà nuovamente dal servizio di cui ha bisogno. E proprio questa funzione lo aiuta a prendere una decisione - nessuno la usa - cancellala!
Fare clic su App inutilizzata.
Facciamo clic su App inutilizzata nell'ottimizzatore e vediamo che nella finestra principale si aprono informazioni interessanti.
Vediamo che ci sono tre regole, in cui il numero di applicazioni consentite e il numero di applicazioni che hanno effettivamente superato questa regola sono diversi.
Possiamo fare clic e visualizzare un elenco di queste applicazioni e confrontare questi elenchi.
Ad esempio, facciamo clic sul pulsante Confronta per la regola Max.
Qui puoi vedere che le applicazioni facebook, instagram, telegram, vkontakte erano consentite. Ma in realtà il traffico passava solo per una parte delle sottoapplicazioni. Qui devi capire che l'applicazione Facebook contiene diverse applicazioni secondarie.
L'intero elenco delle applicazioni NGFW è visibile sul portale e nell'interfaccia del firewall stesso, nella sezione Oggetti->Applicazioni e nella ricerca, digita il nome dell'applicazione: facebook, otterrai il seguente risultato:
Quindi, NGFW ha visto alcune di queste applicazioni secondarie e altre no. Infatti, puoi disabilitare e abilitare separatamente diverse sottofunzioni di Facebook. Ad esempio, consentirti di visualizzare i messaggi, ma vietare la chat o i trasferimenti di file. Di conseguenza, Policy Optimizer ne parla e puoi prendere una decisione: non consentire tutte le applicazioni di Facebook, ma solo quelle principali.
Quindi, ci siamo resi conto che le liste sono diverse. Puoi assicurarti che le regole consentano solo quelle applicazioni che effettivamente effettuano il roaming sulla rete. Per fare ciò, fai clic sul pulsante MatchUsage. Risulta così:
E puoi anche aggiungere applicazioni che ritieni necessarie: il pulsante Aggiungi sul lato sinistro della finestra:
E poi questa regola può essere applicata e testata. Congratulazioni!
Fare clic su Nessuna app specificata.
In questo caso si aprirà un'importante finestra di sicurezza.
Molto probabilmente ci sono molte di queste regole in cui l'applicazione di livello L7 non è esplicitamente specificata nella tua rete. E nella mia rete esiste una regola del genere: lascia che ti ricordi che l'ho creata durante la configurazione iniziale, in particolare per mostrare come funziona Policy Optimizer.
L'immagine mostra che la regola AllowAll ha perso 9 gigabyte di traffico nel periodo dal 17 marzo al 220 marzo, per un totale di 150 diverse applicazioni nella mia rete. E questo non è ancora abbastanza. In genere, una rete aziendale di medie dimensioni ha 200-300 applicazioni diverse.
Quindi, una regola perde fino a 150 applicazioni. Questo di solito significa che il firewall è configurato in modo errato, perché di solito 1-10 applicazioni vengono ignorate in una regola per scopi diversi. Vediamo quali sono queste applicazioni: fai clic sul pulsante Confronta:
La cosa più meravigliosa per l'amministratore nella funzione Policy Optimizer è il pulsante Abbina utilizzo: puoi creare una regola con un clic, in cui inserirai tutte le 150 applicazioni nella regola. Farlo manualmente richiederebbe troppo tempo. Il numero di attività per l'amministratore, anche sulla mia rete di 10 dispositivi, è enorme.
Ho 150 diverse applicazioni in esecuzione a casa, che trasmettono gigabyte di traffico! E quanto ne hai?
Ma cosa succede in una rete di 100 dispositivi o 1000 o 10000? Ho visto firewall con regole 8000 e sono molto contento che gli amministratori ora dispongano di strumenti di automazione così convenienti.
Non avrai bisogno di alcune delle applicazioni che il modulo di analisi dell'applicazione L7 in NGFW ha visto e mostrato sulla rete, quindi è sufficiente rimuoverle dall'elenco della regola di autorizzazione o clonare le regole con il pulsante Clone (nell'interfaccia principale) e consenti in una regola di applicazione e in Blocca altre applicazioni come se non fossero assolutamente necessarie sulla tua rete. Tali applicazioni spesso diventano bittorent, steam, ultrasurf, tor, tunnel nascosti come tcp-over-dns e altri.
Bene, fai clic su un'altra regola: cosa puoi vedere lì:
Sì, esistono applicazioni specifiche per il multicast. Dobbiamo consentirli affinché la visualizzazione video sulla rete funzioni. Fare clic su Abbina utilizzo. Grande! Grazie Policy Optimizer.
E l'apprendimento automatico?
Ora è di moda parlare di automazione. Quello che ho descritto è venuto fuori: aiuta molto. C'è un'altra possibilità che devo menzionare. Questa è la funzionalità di Machine Learning incorporata nell'utilità Expedition menzionata sopra. In questa utility è possibile trasferire le regole dal vecchio firewall di un altro produttore. E c'è anche la possibilità di analizzare i log di traffico esistenti di Palo Alto Networks e suggerire quali regole scrivere. È simile alla funzionalità Policy Optimizer, ma in Expedition è ancora più avanzata e ti viene offerto un elenco di regole già pronte: devi solo approvarle.
Per testare questa funzionalità, c'è un lavoro di laboratorio: lo chiamiamo test drive. Questo test può essere eseguito accedendo ai firewall virtuali che il personale dell'ufficio di Palo Alto Networks a Mosca lancerà su tua richiesta.
La richiesta può essere inviata a [email protected] e nella richiesta scrivi: "Voglio fare un UTD per il processo di migrazione".
In effetti, ci sono diverse opzioni per i laboratori chiamati Unified Test Drive (UTD) e tutte dopo richiesta.
Solo gli utenti registrati possono partecipare al sondaggio. Per favore.
Vuoi che qualcuno ti aiuti a ottimizzare le tue policy firewall?
-
Sì
-
No
-
Farò tutto da solo
Nessuno ha ancora votato. Non ci sono astensioni.
Fonte: habr.com