NGFW баптау тиімділігін қалай бағалауға болады
Ең көп таралған тапсырма - брандмауэр қаншалықты конфигурацияланғанын тексеру. Ол үшін NGFW-мен айналысатын компаниялардың тегін коммуналдық қызметтері мен қызметтері бар.
Мысалы, төменде Palo Alto Networks-тің тікелей кіру мүмкіндігі бар екенін көре аласыз брандмауэр статистикасын талдауды іске қосыңыз - SLR есебі немесе ең жақсы тәжірибенің сәйкестік талдауы - BPA есебі. Бұл ештеңе орнатпай-ақ пайдалануға болатын тегін онлайн утилиталар.
МАЗМҰНЫ
Экспедиция (көшіру құралы)
Параметрлерді тексерудің күрделі нұсқасы - тегін қызметтік бағдарламаны жүктеп алу (бұрынғы тасымалдау құралы). Ол VMware үшін виртуалды құрал ретінде жүктеледі, онымен ешқандай параметрлер қажет емес - кескінді жүктеп алып, оны VMware гипервизоры астында орналастыру керек, оны іске қосып, веб-интерфейске өту керек. Бұл утилита бөлек тарихты қажет етеді, тек оның курсы 5 күнді алады, қазір көптеген функциялар бар, соның ішінде Machine Learning және саясаттардың әртүрлі конфигурацияларын, NAT және әртүрлі Firewall өндірушілеріне арналған нысандарды көшіру. Machine Learning туралы кейінірек мәтінде жазамын.
Саясатты оңтайландырушы
Мен бүгін егжей-тегжейлі айтатын ең ыңғайлы нұсқа (IMHO) - бұл Palo Alto Networks интерфейсінің өзіне енгізілген саясатты оңтайландыру. Оны көрсету үшін мен үйіме брандмауэр орнатып, қарапайым ережені жаздым: кез келген адамға рұқсат. Негізінде, мен кейде корпоративтік желілерде де мұндай ережелерді көремін. Әрине, мен барлық NGFW қауіпсіздік профильдерін қостым, сіз скриншотта көре аласыз:
Төмендегі скриншот менің үйімнің конфигурацияланбаған брандмауэрінің мысалын көрсетеді, мұнда барлық дерлік қосылымдар соңғы ережеге жатады: AllowAll, Hit Count бағанындағы статистикадан көруге болады.
Нөлдік сенім
деп аталатын қауіпсіздікке деген көзқарас бар . Бұл нені білдіреді: біз желідегі адамдарға қажетті қосылымдарға рұқсат беруіміз керек және қалғандарының бәріне тыйым салуымыз керек. Яғни, қосымшалар, пайдаланушылар, URL санаттары, файл түрлері үшін нақты ережелерді қосуымыз керек; барлық IPS және антивирус қолтаңбаларын қосыңыз, құмсалғышты, DNS қорғауын қосыңыз, қол жетімді Threat Intelligence дерекқорларынан IoC пайдаланыңыз. Жалпы, брандмауэрді орнату кезінде тапсырмалардың лайықты көлемі бар.
Айтпақшы, Palo Alto Networks NGFW үшін қажетті параметрлердің ең аз жиынтығы SANS құжаттарының бірінде сипатталған: Мен одан бастауды ұсынамын. Және, әрине, өндірушіден брандмауэр орнатудың ең жақсы тәжірибесі бар: .
Сонымен, бір апта бойы үйде желіаралық қалқан болды. Менің желімдегі трафик қандай екенін көрейік:
Сеанстар саны бойынша сұрыпталған болса, олардың көпшілігі bittorent арқылы жасалады, содан кейін SSL, содан кейін QUIC келеді. Бұл кіріс және шығыс трафиктің статистикасы: менің маршрутизаторымның көптеген сыртқы сканерлері бар. Менің желімде 150 түрлі қолданбалар бар.
Сонымен, мұның бәрі бір ережемен өткізіп жіберді. Енді саясатты оңтайландырушы бұл туралы не айтатынын көрейік. Жоғарыдағы қауіпсіздік ережелері бар интерфейстің скриншотын қарасаңыз, төменгі сол жақта шағын терезені көрдіңіз, ол маған оңтайландыруға болатын ережелер бар екенін көрсетеді. Сол жерге басайық.
Policy Optimizer нені көрсетеді:
- Қандай саясаттар мүлдем пайдаланылмаған, 30 күн, 90 күн. Бұл оларды толығымен жою туралы шешім қабылдауға көмектеседі.
- Саясаттарда қандай қолданбалар көрсетілген, бірақ трафиктен мұндай қолданбалар табылмады. Бұл рұқсат ету ережелеріндегі қажетсіз қолданбаларды жоюға мүмкіндік береді.
- Қандай саясат бәріне қатарынан мүмкіндік берді, бірақ Zero Trust әдістемесіне сәйкес нақты көрсетуге болатын қолданбалар болды.
Пайдаланылмаған түймесін басыңыз.
Оның қалай жұмыс істейтінін көрсету үшін мен бірнеше ереже қостым және олар әлі күнге дейін бір пакетті жіберіп алған жоқ. Міне, олардың тізімі:
Мүмкін, уақыт өте келе трафик сонда өтеді, содан кейін олар бұл тізімнен жоғалады. Ал егер олар осы тізімде 90 күн болса, онда сіз бұл ережелерді алып тастауды шеше аласыз. Өйткені, әрбір ереже хакерге мүмкіндік береді.
Брандмауэр конфигурациясында нақты мәселе бар: жаңа қызметкер келеді, брандмауэр ережелерін қарайды, егер оларда түсініктеме болмаса және бұл ереженің не үшін жасалғанын білмесе, бұл шынымен қажет пе, оны жоюға бола ма: кенеттен адам демалыста және 30 күн ішінде трафик қажетті қызметтен қайтадан кетеді. Тек осы функция оған шешім қабылдауға көмектеседі - оны ешкім пайдаланбайды - оны жойыңыз!
Пайдаланылмаған қолданбаны басыңыз.
Біз оңтайландырғышта пайдаланылмаған қолданбаны басамыз және қызықты ақпарат негізгі терезеде ашылатынын көреміз.
Біз үш ереже бар екенін көреміз, мұнда рұқсат етілген өтініштер саны мен осы ережеден шынымен өткен өтініштер саны әртүрлі.
Біз осы қолданбалардың тізімін басып, көре аламыз және осы тізімдерді салыстыра аламыз.
Мысалы, Макс ережесі үшін Салыстыру түймесін басайық.
Мұнда facebook, instagram, telegram, vkontakte қосымшаларына рұқсат етілгенін көруге болады. Бірақ іс жүзінде трафик қосалқы қосымшалардың бір бөлігі арқылы ғана өтті. Мұнда сіз facebook қосымшасында бірнеше қосымша қосымшалар бар екенін түсінуіңіз керек.
NGFW қолданбаларының толық тізімін порталда көруге болады және брандмауэр интерфейсінің өзінде, Объектілер->Қолданбалар бөлімінде және іздеуде қолданбаның атын теріңіз: facebook, сіз келесі нәтижені аласыз:
Осылайша, NGFW осы қосымшалардың кейбірін көрді, бірақ кейбіреулерін емес. Шын мәнінде, әртүрлі facebook ішкі функцияларын бөлек өшіруге және қосуға болады. Мысалы, хабарларды көруге рұқсат етіңіз, бірақ чатты немесе файлды тасымалдауға тыйым салыңыз. Тиісінше, Policy Optimizer бұл туралы айтады және сіз шешім қабылдай аласыз: барлық Facebook қолданбаларына рұқсат бермей, тек негізгілеріне ғана рұқсат етіңіз.
Сонымен, біз тізімдердің әртүрлі екенін түсіндік. Ережелер желіде нақты роуминг жасайтын қолданбаларға ғана рұқсат беретініне көз жеткізуге болады. Ол үшін MatchUsage түймесін басыңыз. Мынадай болып шығады:
Сондай-ақ қажет деп санайтын қолданбаларды қосуға болады - терезенің сол жағындағы Қосу түймесі:
Содан кейін бұл ережені қолдануға және тексеруге болады. Құттықтаймыз!
Көрсетілген қолданбалар жоқ түймешігін басыңыз.
Бұл жағдайда маңызды қауіпсіздік терезесі ашылады.
Сіздің желіңізде L7 деңгейіндегі қолданба нақты көрсетілмеген мұндай ережелер көп болуы мүмкін. Менің желімде мұндай ереже бар - мен оны бастапқы орнату кезінде, әсіресе Саясат оңтайландырғышының қалай жұмыс істейтінін көрсету үшін жасағанымды еске салайын.
Суретте AllowAll ережесі 9 наурыздан 17 наурызға дейінгі аралықта 220 гигабайт трафикті өткізіп алғанын көрсетеді, бұл менің желісімдегі барлығы 150 түрлі қолданбаны құрайды. Және бұл әлі де жеткіліксіз. Әдетте, орташа корпоративтік желіде 200-300 түрлі қолданбалар болады.
Осылайша, бір ереже 150-ге дейін қосымшаны өткізуге мүмкіндік береді. Әдетте бұл брандмауэр дұрыс конфигурацияланбағанын білдіреді, себебі әдетте бір ереже әртүрлі мақсаттарға арналған 1-10 қолданбаға мүмкіндік береді. Бұл қолданбалардың не екенін көрейік: «Салыстыру» түймесін басыңыз:
Саясатты оңтайландырушы функциясындағы әкімші үшін ең керемет нәрсе - «Сәйкестендіруді пайдалану» түймесі - сіз бір рет басу арқылы ереже жасай аласыз, онда ережеге барлық 150 қолданбаны енгізесіз. Мұны қолмен жасау өте ұзақ уақыт алады. Әкімші жұмыс істеуге болатын тапсырмалардың саны, тіпті менің 10 құрылғыдан тұратын желімде де өте көп.
Менде үйде гигабайт трафикті жіберетін 150 түрлі қолданбалар бар! Ал сізде қанша бар?
Бірақ 100 құрылғы немесе 1000 немесе 10000 желіде не болады? Мен 8000 ережесі бар желіаралық қалқандарды көрдім және әкімшілерде автоматтандырудың осындай ыңғайлы құралдары бар екеніне өте қуаныштымын.
NGFW жүйесіндегі L7 қолданбаларды талдау модулі көрген және көрсеткен кейбір қолданбалар желіде қажет емес, сондықтан оларды рұқсат ету ережелері тізімінен алып тастайсыз немесе Clone түймешігін (негізгі интерфейсте) және ережелерді клондаңыз. оларға бір қолданба ережесінде рұқсат етіңіз, ал сіз басқа қолданбаларды блоктайсыз, себебі олар сіздің желіңізде міндетті түрде қажет емес. Мұндай қолданбаларға көбінесе bittorent, steam, ultrasurf, tor, tcp-over-dns сияқты жасырын туннельдер және т.б.
Келіңіздер, басқа ережені басып, онда не көруге болатынын көрейік:
Иә, мультикастқа арналған қолданбалар бар. Желі арқылы бейне көру жұмыс істеуі үшін біз оларға рұқсат беруіміз керек. Пайдалануды сәйкестендіру түймешігін басыңыз. Тамаша! Саясат оңтайландырғышына рахмет.
Machine Learning туралы не деуге болады?
Қазір автоматтандыру туралы айту сәнге айналды. Мен сипаттаған нәрсе шықты - бұл көп көмектеседі. Мен атап өтуге болатын тағы бір мүмкіндік бар. Бұл жоғарыда аталған Expedition утилитасына енгізілген Machine Learning функциясы. Бұл утилитада басқа өндірушінің ескі брандмауэрінен ережелерді тасымалдауға болады. Сондай-ақ, бар Palo Alto Networks трафик журналдарын талдау және қандай ережелерді жазу керектігін ұсыну мүмкіндігі бар. Бұл Policy Optimizer функциясына ұқсас, бірақ Экспедицияда ол одан да жетілдірілген және сізге дайын ережелер тізімі ұсынылады - сізге оларды мақұлдау қажет.
Бұл функционалдылықты тексеру үшін зертханалық жұмыс бар - біз оны сынақ дискісі деп атаймыз. Бұл сынақты Palo Alto Networks Мәскеу кеңсесінің қызметкерлері сіздің сұрауыңыз бойынша іске қосатын виртуалды желіаралық қалқандарға өту арқылы жасауға болады.
Өтінішті мына мекен-жайға жіберуге болады [электрондық пошта қорғалған] және сұрауда: «Мен көші-қон процесі үшін UTD жасағым келеді» деп жазыңыз.
Шын мәнінде, Unified Test Drive (UTD) деп аталатын зертханалардың бірнеше нұсқалары бар және олардың барлығы сұраудан кейін.
Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. , өтінемін.
Сізге біреудің желіаралық қалқан саясаттарын оңтайландыруға көмектескенін қалайсыз ба?
-
сол
-
жоқ
-
Мен бәрін өзім жасаймын
Әзірге ешкім дауыс берген жоқ. Қалыс қалғандар жоқ.
Ақпарат көзі: www.habr.com