NGFW チューニングの有効性を評価する方法

最も一般的なタスクは、ファイアウォールがどの程度適切に構成されているかを確認することです。 これを行うために、NGFW を扱う企業から無料のユーティリティとサービスが提供されています。

たとえば、以下では、Palo Alto Networks が サポートポータル ファイアウォール統計分析 - SLR レポートまたはベスト プラクティス コンプライアンス分析 - BPA レポートを実行します。 これらは、何もインストールせずに使用できる無料のオンライン ユーティリティです。

目次

Expedition (移行ツール)
ポリシーオプティマイザー
ゼロトラスト
「未使用」をクリックします
「未使用のアプリ」をクリックします
「アプリが指定されていません」をクリックします
機械学習についてはどうですか?
UTD

Expedition (移行ツール)

設定を確認するためのより複雑なオプションは、無料のユーティリティをダウンロードすることです。 遠征 (旧移行ツール)。 これは VMware の仮想アプライアンスとしてダウンロードされ、設定は必要ありません。イメージをダウンロードして VMware ハイパーバイザーの下に展開し、実行して Web インターフェイスに移動する必要があります。 このユーティリティには別のストーリーが必要ですが、そのコースだけで 5 日間かかります。現在、機械学習や、さまざまなファイアウォール メーカーのポリシー、NAT、オブジェクトのさまざまな構成の移行など、非常に多くの機能があります。 機械学習については本文後半で詳しく書きます。

ポリシーオプティマイザー

そして、最も便利なオプション (私見) は、今日詳しく説明しますが、パロアルトネットワークのインターフェイス自体に組み込まれているポリシー オプティマイザーです。 それを実証するために、自宅にファイアウォールを設置し、「any to any」を許可するという単純なルールを作成しました。 基本的に企業ネットワークでもそのようなルールを見かけることがあります。 スクリーンショットでわかるように、当然のことながら、すべての NGFW セキュリティ プロファイルを有効にしました。


以下のスクリーンショットは、私の自宅の未設定のファイアウォールの例を示しています。ヒット数列の統計からわかるように、ほぼすべての接続が最後のルールである「AllowAll」に当てはまります。

ゼロトラスト

と呼ばれるセキュリティへのアプローチがあります。 ゼロトラスト。 これが意味するのは、ネットワーク内の人々に必要な接続だけを許可し、それ以外の接続はすべて禁止する必要があるということです。 つまり、アプリケーション、ユーザー、URL カテゴリ、ファ​​イルの種類について明確なルールを追加する必要があります。 すべての IPS およびウイルス対策シグネチャを有効にし、サンドボックス、DNS 保護を有効にし、利用可能な脅威インテリジェンス データベースからの IoC を使用します。 一般に、ファイアウォールを設定する場合は、かなりの量のタスクが必要です。

ちなみに、Palo Alto Networks NGFW に必要な最低限の設定は、SANS ドキュメントの XNUMX つに説明されています。 パロアルトネットワークのセキュリティ構成ベンチマーク それから始めることをお勧めします。 そしてもちろん、ファイアウォールを設定するための一連のベスト プラクティスが製造元から提供されています。 ベストプラクティス: .

そこで、自宅にファイアウォールをXNUMX週間設置しました。 私のネットワーク上にどのようなトラフィックがあるかを見てみましょう。


セッション数で並べ替えると、ほとんどが bittorent によって作成され、次に SSL、次に QUIC になります。 これらは受信トラフィックと送信トラフィックの両方に関する統計です。ルーターの外部スキャンが多数あります。 私のネットワークには 150 の異なるアプリケーションがあります。

つまり、XNUMX つのルールによってすべてスキップされました。 次に、これについて Policy Optimizer が何を言うかを見てみましょう。 上のセキュリティ ルールを含むインターフェイスのスクリーンショットを見ると、左下に小さなウィンドウが表示されます。これは、最適化できるルールがあることを示唆しています。 そこをクリックしてみましょう。

Policy Optimizer が示す内容:

• 30 日間、90 日間、まったく使用されなかったポリシー。 これは、それらを完全に削除するかどうかを決定するのに役立ちます。
• どのアプリケーションがポリシーで指定されましたが、そのようなアプリケーションがトラフィック内で見つかりませんでした。 これにより、許可ルール内の不要なアプリケーションを削除できます。
• どのポリシーではすべてが連続して許可されていましたが、ゼロ トラスト方法論に従って明示的に示した方がよいアプリケーションが実際にはありました。

「未使用」をクリックします。

それがどのように機能するかを示すために、いくつかのルールを追加しましたが、これまでのところ、パケットが XNUMX つも見逃されていません。 彼らのリストは次のとおりです。

おそらく、時間の経過とともにトラフィックがそこを通過し、その後このリストから消えるでしょう。 そして、このリストに 90 日間載っている場合は、これらのルールを削除することを決定できます。 結局のところ、各ルールはハッカーに機会を提供します。

ファイアウォールの設定には実際の問題があります。新しい従業員が来て、ファイアウォール ルールを調べます。コメントがなく、なぜこのルールが作成されたのか、本当に必要なのか、削除できるのかがわかりません。その人は突然、休暇中および 30 日間を通じて、トラフィックは再び必要なサービスから発信されなくなります。 そして、この機能だけが彼が決定を下すのに役立ちます - 誰もそれを使用しません - それを削除してください！

「未使用のアプリ」をクリックします。

オプティマイザーで [未使用のアプリ] をクリックすると、メイン ウィンドウに興味深い情報が表示されることがわかります。

許可されるアプリケーションの数と実際にこのルールを通過したアプリケーションの数が異なる XNUMX つのルールがあることがわかります。

クリックすると、これらのアプリケーションのリストが表示され、これらのリストを比較できます。
たとえば、Max ルールの [比較] ボタンをクリックしてみましょう。

ここでは、facebook、instagram、telegram、vkontakte アプリケーションが許可されていることがわかります。 しかし実際には、トラフィックは一部のサブアプリケーションのみを通過していました。 ここで、Facebook アプリケーションにはいくつかのサブアプリケーションが含まれていることを理解する必要があります。

NGFW アプリケーションの全リストはポータルで確認できます。 applipedia.paloaltonetworks.com ファイアウォール インターフェイス自体の [オブジェクト] -> [アプリケーション] セクションと検索で、アプリケーションの名前「facebook」を入力すると、次の結果が得られます。

したがって、NGFW はこれらのサブアプリケーションの一部を認識しましたが、一部は認識しませんでした。 実際、Facebook のさまざまなサブ機能を個別に無効または有効にすることができます。 たとえば、メッセージの表示は許可しますが、チャットやファイル転送は禁止します。 したがって、Policy Optimizer はこれについて話し、すべての Facebook アプリケーションを許可するのではなく、主要なアプリケーションのみを許可するという決定を下すことができます。

そこで、リストが異なることに気づきました。 実際にネットワークをローミングするアプリケーションのみをルールで許可するようにすることができます。 これを行うには、「MatchUsage」ボタンをクリックします。 次のようになります。

また、ウィンドウの左側にある [追加] ボタンを使用して、必要と思われるアプリケーションを追加することもできます。

そして、このルールを適用してテストできます。 おめでとう！

「アプリが指定されていません」をクリックします。

この場合、重要なセキュリティウィンドウが開きます。

おそらく、ネットワーク内で L7 レベルのアプリケーションが明示的に指定されていないルールが多数存在します。 そして、私のネットワークにはそのようなルールがあります。これは、特に Policy Optimizer がどのように機能するかを示すために、初期セットアップ中に作成したことを思い出させてください。

この図は、9 月 17 日から 220 月 150 日までの期間に、AllowAll ルールによって 200 ギガバイトのトラフィックが失われたことを示しています。これは、私のネットワーク内の合計 300 の異なるアプリケーションに相当します。 そして、これだけではまだ十分ではありません。 通常、中規模の企業ネットワークには XNUMX ～ XNUMX の異なるアプリケーションがあります。

したがって、150 つのルールでは 1 ものアプリケーションが見逃されます。 通常、さまざまな目的の 10 ～ XNUMX 個のアプリケーションが XNUMX つのルールでスキップされるため、これは通常、ファイアウォールが正しく構成されていないことを意味します。 これらのアプリケーションが何であるかを見てみましょう。[比較] ボタンをクリックします。

Policy Optimizer 機能で管理者にとって最も優れている点は、[使用状況の一致] ボタンです。ワンクリックでルールを作成でき、150 個のアプリケーションすべてをルールに入力できます。 手動で行うと時間がかかりすぎます。 10 台のデバイスからなるネットワークであっても、管理者のタスクの数は膨大です。

自宅では 150 の異なるアプリケーションを実行しており、ギガバイトのトラフィックを送信しています。 そして、いくら持っていますか？

しかし、100 台、あるいは 1000 台、あるいは 10000 台のデバイスからなるネットワークでは何が起こるでしょうか? 8000 のルールを備えたファイアウォールを見てきましたが、管理者がこのような便利な自動化ツールを利用できるようになったことを非常に嬉しく思います。

NGFW の L7 アプリケーション分析モジュールがネットワーク上で確認および表示したアプリケーションの一部は必要ないため、単に許可ルールのリストから削除するか、(メイン インターフェイスの) [複製] ボタンを使用してルールの複製を作成します。 XNUMX つのアプリケーション ルールで許可し、他のアプリケーションをネットワーク上で明らかに不要であるかのようにブロックします。 このようなアプリケーションは、多くの場合、bittorent、steam、ultrasurf、tor、tcp-over-dns などの隠しトンネルになります。

さて、別のルールをクリックすると、そこに表示される内容が表示されます。

はい、マルチキャストに固有のアプリケーションがあります。 ネットワーク経由でビデオを視聴できるようにするには、これらを許可する必要があります。 「使用状況を一致させる」をクリックします。 素晴らしい！ ポリシーオプティマイザーに感謝します。

機械学習についてはどうですか?

今、自動化について話すのが流行しています。 私が説明したことが判明しました - とても役に立ちます。 もう一つ言及しなければならない可能性があります。 これは、前述の Expedition ユーティリティに組み込まれている機械学習機能です。 このユーティリティでは、別のメーカーの古いファイアウォールからルールを転送できます。 また、既存のパロアルトネットワークのトラフィックログを分析し、どのルールを作成するかを提案する機能もあります。 これは Policy Optimizer の機能に似ていますが、Expedition ではさらに高度で、既製のルールのリストが提供され、それらを承認するだけで済みます。
この機能をテストするには、実験作業が必要です。これをテストドライブと呼びます。 このテストは、パロアルトネットワークス モスクワ オフィスのスタッフがリクエストに応じて起動する仮想ファイアウォールにアクセスすることで実行できます。

リクエストは次の宛先に送信できます。 [メール保護] そしてリクエストに「移行プロセス用の UTD を作成したい」と書きます。

実際、Unified Test Drive (UTD) と呼ばれるラボにはいくつかのオプションがあり、それらはすべて リモートで利用可能 リクエスト後。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

ファイアウォール ポリシーの最適化を誰かに手伝ってもらいたいですか?

• はい

• ノー

• すべて自分でやります

まだ誰も投票していません。 棄権者はいない。

出所： habr.com