როგორ შევაფასოთ NGFW დაყენების ეფექტურობა

ყველაზე გავრცელებული ამოცანაა შეამოწმოთ რამდენად ეფექტურად არის კონფიგურირებული თქვენი firewall. ამისათვის არის უფასო კომუნალური და სერვისები კომპანიებისგან, რომლებიც NGFW-თანაა დაკავშირებული.

მაგალითად, ქვემოთ ხედავთ, რომ Palo Alto Networks-ს აქვს შესაძლებლობა პირდაპირ მხარდაჭერის პორტალი გაუშვით Firewall-ის სტატისტიკის ანალიზი - SLR ანგარიში ან საუკეთესო პრაქტიკასთან შესაბამისობის ანალიზი - BPA ანგარიში. ეს არის უფასო ონლაინ კომუნალური საშუალებები, რომლებიც შეგიძლიათ გამოიყენოთ არაფრის ინსტალაციის გარეშე.

სარჩევის

ექსპედიცია (მიგრაციის ინსტრუმენტი)
პოლიტიკის ოპტიმიზატორი
ნულოვანი ნდობა
დააწკაპუნეთ გამოუყენებელზე
დააწკაპუნეთ გამოუყენებელ აპლიკაციაზე
დააწკაპუნეთ არ არის მითითებული პროგრამები
რაც შეეხება მანქანურ სწავლებას?
UTD

ექსპედიცია (მიგრაციის ინსტრუმენტი)

თქვენი პარამეტრების შემოწმების უფრო რთული ვარიანტია უფასო კომუნალური პროგრამის ჩამოტვირთვა ექსპედიცია (ყოფილი Migration Tool). ის გადმოწერილია როგორც ვირტუალური მოწყობილობა VMware-ისთვის, მასთან არანაირი პარამეტრი არ არის საჭირო - თქვენ უნდა გადმოწეროთ სურათი და განათავსოთ იგი VMware ჰიპერვიზორის ქვეშ, გაუშვათ და გადახვიდეთ ვებ ინტერფეისზე. ეს პროგრამა მოითხოვს ცალკე ისტორიას, მხოლოდ მასზე სწავლას 5 დღე სჭირდება, ახლა ამდენი ფუნქციაა, მათ შორის მანქანური სწავლება და სხვადასხვა კონფიგურაციის პოლიტიკის, NAT და ობიექტების მიგრაცია Firewall-ის სხვადასხვა მწარმოებლისთვის. უფრო მეტს დავწერ მანქანური სწავლების შესახებ ქვემოთ ტექსტში.

პოლიტიკის ოპტიმიზატორი

და ყველაზე მოსახერხებელი ვარიანტი (IMHO), რომლის შესახებაც დღეს უფრო დეტალურად გეტყვით, არის თავად Palo Alto Networks ინტერფეისში ჩაშენებული პოლიტიკის ოპტიმიზატორი. ამის დემონსტრირებისთვის სახლში დავაყენე ფაირვოლი და დავწერე მარტივი წესი: ნება მიეცით ნებისმიერს. პრინციპში, ასეთ წესებს ზოგჯერ კორპორატიულ ქსელებშიც კი ვხედავ. ბუნებრივია, მე გავააქტიურე ყველა NGFW უსაფრთხოების პროფილი, როგორც ხედავთ ეკრანის სურათზე:


ქვემოთ მოყვანილი სკრინშოტი გვიჩვენებს ჩემი სახლის არაკონფიგურირებული ფაიერვოლ-ის მაგალითს, სადაც თითქმის ყველა კავშირი ხვდება ბოლო წესში: AllowAll, როგორც ჩანს სტატისტიკიდან Hit Count სვეტში.

ნულოვანი ნდობა

არსებობს უსაფრთხოებისადმი მიდგომა ე.წ ნულოვანი ნდობა. რას ნიშნავს ეს: ჩვენ უნდა დავუშვათ ადამიანებს ქსელში ზუსტად ის კავშირები, რაც მათ სჭირდებათ და უარვყოთ ყველაფერი დანარჩენი. ანუ უნდა დავამატოთ მკაფიო წესები აპლიკაციებისთვის, მომხმარებლებისთვის, URL კატეგორიებისთვის, ფაილის ტიპებისთვის; ჩართეთ ყველა IPS და ანტივირუსული ხელმოწერა, ჩართეთ sandboxing, DNS დაცვა, გამოიყენეთ IoC ხელმისაწვდომი Threat Intelligence მონაცემთა ბაზებიდან. ზოგადად, ფაირვოლ-ის დაყენებისას დავალებების საკმარისი რაოდენობაა.

სხვათა შორის, Palo Alto Networks NGFW აუცილებელი პარამეტრების მინიმალური ნაკრები აღწერილია ერთ-ერთ SANS დოკუმენტში: Palo Alto Networks Security Configuration Benchmark - გირჩევთ ამით დაწყებას. და რა თქმა უნდა, არსებობს საუკეთესო პრაქტიკის ნაკრები მწარმოებლისგან firewall-ის დასაყენებლად: საუკეთესო პრაქტიკა.

ასე რომ, მე მქონდა სახლში firewall ერთი კვირა. ვნახოთ, რა სახის ტრაფიკია ჩემს ქსელში:


თუ დაალაგებთ სესიების რაოდენობის მიხედვით, მაშინ მათი უმეტესობა იქმნება bittorent-ით, შემდეგ მოდის SSL, შემდეგ QUIC. ეს არის სტატისტიკა როგორც შემომავალი, ასევე გამავალი ტრაფიკისთვის: ჩემი როუტერის ბევრი გარე სკანირებაა. ჩემს ქსელში 150 სხვადასხვა აპლიკაციაა.

ასე რომ, ეს ყველაფერი ერთი წესით გამოტოვა. ახლა ვნახოთ, რას ამბობს ამის შესახებ Policy Optimizer. თუ ზემოთ გადახედეთ ინტერფეისის სკრინშოტს უსაფრთხოების წესებით, მაშინ ქვედა მარცხენა კუთხეში დაინახეთ პატარა ფანჯარა, რომელიც მინიშნებას მაძლევს, რომ არსებობს წესები, რომელთა ოპტიმიზაციაც შესაძლებელია. მოდით დავაწკაპუნოთ იქ.

რას აჩვენებს Policy Optimizer:

• რომელი პოლიტიკა საერთოდ არ იყო გამოყენებული, 30 დღე, 90 დღე. ეს ეხმარება გადაწყვეტილების მიღებას მათი მთლიანად ამოღების შესახებ.
• რა აპლიკაციები იყო მითითებული პოლიტიკაში, მაგრამ ტრაფიკში ასეთი აპლიკაციები არ გამოვლენილა. ეს საშუალებას გაძლევთ წაშალოთ არასაჭირო აპლიკაციები დაშვების წესებში.
• რა პოლიტიკამ დაუშვა ყველაფერი, მაგრამ რეალურად იყო აპლიკაციები, რომელთა ცალსახად მითითებაც კარგი იქნებოდა Zero Trust მეთოდოლოგიის მიხედვით.

დააწკაპუნეთ გამოუყენებელზე.

იმის საჩვენებლად, თუ როგორ მუშაობს, მე დავამატე რამდენიმე წესი და ჯერჯერობით მათ არც ერთი პაკეტი არ გამოუტოვებიათ დღეს. აქ არის მათი სია:

შესაძლოა, დროთა განმავლობაში იქ იქნება მოძრაობა და შემდეგ ისინი გაქრება ამ სიიდან. და თუ ისინი ამ სიაში არიან 90 დღის განმავლობაში, მაშინ შეგიძლიათ გადაწყვიტოთ ამ წესების წაშლა. ყოველივე ამის შემდეგ, ყოველი წესი ჰაკერს საშუალებას აძლევს.

Firewall-ის კონფიგურაციისას რეალური პრობლემაა: მოდის ახალი თანამშრომელი, ათვალიერებს firewall-ის წესებს, თუ კომენტარი არ აქვთ და არ იცის, რატომ შეიქმნა ეს წესი, საჭიროა თუ არა მართლა, შეიძლება თუ არა. წაიშლება: უეცრად ადამიანი შვებულებაშია და 30 დღის შემდეგ მოძრაობა ისევ მოედინება მისთვის საჭირო სერვისიდან. და მხოლოდ ეს ფუნქცია ეხმარება მას გადაწყვეტილების მიღებაში - არავინ იყენებს მას - წაშალოს!

დააწკაპუნეთ გამოუყენებელ აპლიკაციაზე.

ოპტიმიზატორში ვაწკაპუნებთ Unused App-ზე და ვხედავთ, რომ საინტერესო ინფორმაცია იხსნება მთავარ ფანჯარაში.

ჩვენ ვხედავთ, რომ არსებობს სამი წესი, სადაც განსხვავებულია დაშვებული განაცხადების რაოდენობა და იმ განაცხადების რაოდენობა, რომლებმაც რეალურად გაიარეს ეს წესი.

ჩვენ შეგვიძლია დავაჭიროთ და ვნახოთ ამ აპლიკაციების სია და შევადაროთ ეს სიები.
მაგალითად, დააწკაპუნეთ ღილაკზე შედარება მაქსიმალური წესისთვის.

აქ ხედავთ, რომ დაშვებული იყო აპლიკაციები facebook, instagram, telegram, vkontakte. მაგრამ სინამდვილეში, ტრაფიკი მხოლოდ ზოგიერთ ქვე-აპლიკაციაზე მიდიოდა. აქ თქვენ უნდა გესმოდეთ, რომ facebook აპლიკაცია შეიცავს რამდენიმე ქვე-აპლიკაციას.

პორტალზე შეგიძლიათ ნახოთ NGFW აპლიკაციების მთელი სია applipedia.paloaltonetworks.com ხოლო თავად firewall-ის ინტერფეისში Objects->Applications განყოფილებაში და ძიებაში ჩაწერეთ აპლიკაციის სახელი: facebook, მიიღებთ შემდეგ შედეგს:

ასე რომ, ამ ქვე-აპლიკაციებიდან ზოგიერთი ნახა NGFW-მ, მაგრამ ზოგი არა. ფაქტობრივად, შეგიძლიათ ცალ-ცალკე აიკრძალოთ და დაუშვათ Facebook-ის სხვადასხვა ქვეფუნქციები. მაგალითად, დაუშვით შეტყობინებების ნახვა, მაგრამ აკრძალეთ ჩატი ან ფაილის გადაცემა. შესაბამისად, Policy Optimizer ამაზე საუბრობს და შეგიძლიათ მიიღოთ გადაწყვეტილება: არ დაუშვათ ყველა Facebook აპლიკაცია, არამედ მხოლოდ ძირითადი.

ასე რომ, მივხვდით, რომ სიები განსხვავებულია. შეგიძლიათ დარწმუნდეთ, რომ წესები მხოლოდ იმ აპლიკაციებს დაუშვებს, რომლებიც რეალურად მოგზაურობენ ქსელში. ამისათვის დააჭირეთ ღილაკს MatchUsage. გამოდის ასე:

თქვენ ასევე შეგიძლიათ დაამატოთ აპლიკაციები, რომლებიც საჭიროდ მიიჩნევთ - ფანჯრის მარცხენა მხარეს მდებარე ღილაკი Add:

და შემდეგ ეს წესი შეიძლება გამოყენებულ იქნას და შემოწმდეს. გილოცავ!

დააწკაპუნეთ არ არის მითითებული პროგრამები.

ამ შემთხვევაში, მნიშვნელოვანი უსაფრთხოების ფანჯარა გაიხსნება.

სავარაუდოდ, თქვენს ქსელში ბევრი ასეთი წესია, სადაც L7 დონის აპლიკაცია ცალსახად არ არის მითითებული. და ჩემს ქსელში არის ასეთი წესი - შეგახსენებთ, რომ ეს გავაკეთე პირველად დაყენების დროს, კონკრეტულად იმის საჩვენებლად, თუ როგორ მუშაობს Policy Optimizer.

სურათზე ჩანს, რომ AllowAll-ის წესმა დაუშვა 9 გიგაბაიტი ტრაფიკი 17 მარტიდან 220 მარტამდე პერიოდში, რაც არის 150 სხვადასხვა აპლიკაცია ჩემს ქსელში. და ეს არ არის საკმარისი. როგორც წესი, საშუალო ზომის კორპორატიულ ქსელს აქვს 200-300 სხვადასხვა აპლიკაცია.

ასე რომ, ერთი წესი იძლევა 150-მდე აპლიკაციას. როგორც წესი, ეს ნიშნავს, რომ firewall არ არის სწორად კონფიგურირებული, რადგან ჩვეულებრივ ერთი წესი იძლევა 1-10 აპლიკაციას სხვადასხვა მიზნებისთვის. ვნახოთ, რა არის ეს აპლიკაციები: დააჭირეთ ღილაკს შედარება:

ყველაზე მშვენიერი რამ ადმინისტრატორისთვის Policy Optimizer ფუნქციაში არის Match Usage ღილაკი - ერთი დაწკაპუნებით შეგიძლიათ შექმნათ წესი, სადაც წესში შეიყვანთ 150-ვე აპლიკაციას. ამის ხელით გაკეთებას საკმაოდ დიდი დრო დასჭირდება. დავალებების რაოდენობა, რომელზეც ადმინისტრატორმა უნდა იმუშაოს, თუნდაც ჩემს 10 მოწყობილობის ქსელში, უზარმაზარია.

მე მაქვს 150 სხვადასხვა აპლიკაცია, რომელიც მუშაობს სახლში, გიგაბაიტიანი ტრაფიკის გადაცემით! და რამდენი გაქვს?

მაგრამ რა ხდება 100 მოწყობილობის ან 1000 ან 10000 ქსელში? მე ვნახე firewalls 8000 წესით და ძალიან მიხარია, რომ ადმინისტრატორებს ახლა აქვთ ასეთი მოსახერხებელი ავტომატიზაციის ხელსაწყოები.

ზოგიერთი აპლიკაცია, რომელიც L7 აპლიკაციის ანალიზის მოდულმა NGFW-ში ნახა და აჩვენა, არ დაგჭირდებათ ქსელში, ასე რომ თქვენ უბრალოდ წაშალეთ ისინი დაშვებული წესების სიიდან, ან კლონირებთ წესებს Clone ღილაკის გამოყენებით (მთავარ ინტერფეისში) და დაუშვით მათ ერთი განაცხადის წესი და თქვენ დაბლოკავთ სხვა აპლიკაციებს, რადგან ისინი ნამდვილად არ არის საჭირო თქვენს ქსელში. ასეთი აპლიკაციები ხშირად მოიცავს bittorent, steam, ultrasurf, tor, დამალულ გვირაბებს, როგორიცაა tcp-over-dns და სხვა.

მოდით, დავაწკაპუნოთ სხვა წესზე და ვნახოთ, რა შეგიძლიათ ნახოთ იქ:

დიახ, არის მულტიკასტისთვის დამახასიათებელი აპლიკაციები. ჩვენ უნდა დავუშვათ მათ, რომ იმუშაონ ონლაინ ვიდეოს ნახვისთვის. დააწკაპუნეთ Match Usage. დიდი! მადლობა Policy Optimizer.

რაც შეეხება მანქანურ სწავლებას?

ახლა მოდურია ავტომატიზაციაზე საუბარი. რაც აღვწერე გამოვიდა - ძალიან მეხმარება. არის კიდევ ერთი შესაძლებლობა, რომელზეც უნდა ვისაუბრო. ეს არის მანქანათმცოდნეობის ფუნქცია ჩაშენებული ექსპედიციის პროგრამაში, რომელიც უკვე აღინიშნა ზემოთ. ამ უტილიტაში შესაძლებელია სხვა მწარმოებლისგან თქვენი ძველი firewall-იდან წესების გადატანა. ასევე არსებობს Palo Alto Networks-ის არსებული ტრაფიკის ჟურნალების ანალიზის შესაძლებლობა და შემოთავაზებული წესების დაწერა. ეს არის Policy Optimizer-ის ფუნქციონირების მსგავსი, მაგრამ ექსპედიციაში ის კიდევ უფრო გაფართოვდა და გთავაზობენ მზა წესების ჩამონათვალს - თქვენ უბრალოდ უნდა დაადასტუროთ ისინი.
ამ ფუნქციონირების შესამოწმებლად არის ლაბორატორიული სამუშაო - ჩვენ მას ვეძახით ტესტ დრაივს. ეს ტესტი შეიძლება გაკეთდეს ვირტუალურ ფაიერვოლებში შესვლით, რომელსაც მოსკოვში Palo Alto Networks-ის ოფისის თანამშრომლები თქვენი მოთხოვნით დაიწყებენ.

მოთხოვნის გაგზავნა შესაძლებელია [ელ.ფოსტით დაცულია] და მოთხოვნაში ჩაწერეთ: ”მე მინდა გავაკეთო UTD მიგრაციის პროცესისთვის.”

სინამდვილეში, ლაბორატორიულ სამუშაოს სახელწოდებით Unified Test Drive (UTD) აქვს რამდენიმე ვარიანტი და ყველა მათგანი ხელმისაწვდომია დისტანციურად მოთხოვნის შემდეგ.

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

გსურთ ვინმე დაგეხმაროთ თქვენი firewall-ის პოლიტიკის ოპტიმიზაციაში?

• დიახ

• არარის

• მე თვითონ გავაკეთებ ყველაფერს

ხმა ჯერ არავის მიუცია. თავშეკავება არ არის.

წყარო: www.habr.com