NGFW 튜닝의 효과를 평가하는 방법

가장 일반적인 작업은 방화벽이 얼마나 잘 구성되어 있는지 확인하는 것입니다. 이를 위해 NGFW를 다루는 회사의 무료 유틸리티 및 서비스가 있습니다.

예를 들어 아래에서 Palo Alto Networks가 지원 포털 방화벽 통계 분석 실행 - SLR 보고서 또는 모범 사례 규정 준수 분석 - BPA 보고서. 아무것도 설치하지 않고 사용할 수 있는 무료 온라인 유틸리티입니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램

Expedition(이전 도구)

Palo Alto Networks NGFW 보안 정책 최적화 프로그램

설정을 확인하는 더 복잡한 옵션은 무료 유틸리티를 다운로드하는 것입니다. 여행 (이전 마이그레이션 도구). VMware용 가상 어플라이언스로 다운로드되며 설정이 필요하지 않습니다. 이미지를 다운로드하여 VMware 하이퍼바이저에 배포하고 실행한 다음 웹 인터페이스로 이동해야 합니다. 이 유틸리티에는 별도의 스토리가 필요하며 과정만 5일이 소요되며 기계 학습 및 다양한 정책 구성의 마이그레이션, 다양한 방화벽 제조업체를 위한 NAT 및 개체를 포함하여 현재 너무 많은 기능이 있습니다. 기계 학습에 대해서는 나중에 텍스트에서 더 작성하겠습니다.

정책 최적화

오늘 자세히 설명할 가장 편리한 옵션(IMHO)은 Palo Alto Networks 인터페이스 자체에 내장된 정책 최적화 프로그램입니다. 이를 시연하기 위해 집에 방화벽을 설치하고 간단한 규칙을 작성했습니다. 원칙적으로 기업 네트워크에서도 그런 규칙을 가끔 봅니다. 당연히 스크린샷에서 볼 수 있듯이 모든 NGFW 보안 프로필을 활성화했습니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램

아래 스크린샷은 적중 횟수 열의 통계에서 볼 수 있듯이 거의 모든 연결이 마지막 규칙인 AllowAll에 속하는 구성되지 않은 내 집 방화벽의 예를 보여줍니다.

제로 트러스트

라는 보안 접근 방식이 있습니다. 제로 트러스트. 이것이 의미하는 바: 우리는 네트워크 내의 사람들에게 필요한 연결을 정확히 허용하고 다른 모든 것은 금지해야 합니다. 즉, 애플리케이션, 사용자, URL 범주, 파일 형식에 대한 명확한 규칙을 추가해야 합니다. 모든 IPS 및 안티바이러스 서명 활성화, 샌드박스 활성화, DNS 보호, 사용 가능한 위협 인텔리전스 데이터베이스의 IoC 사용. 일반적으로 방화벽을 설정할 때 상당한 양의 작업이 있습니다.

그건 그렇고, Palo Alto Networks NGFW에 필요한 최소 설정 세트는 SANS 문서 중 하나에 설명되어 있습니다. Palo Alto Networks 보안 구성 벤치마크 그것부터 시작하는 것이 좋습니다. 물론 제조업체에서 제공하는 방화벽 설정에 대한 일련의 모범 사례가 있습니다. 모범 사례.

그래서 일주일 동안 집에 방화벽을 두었습니다. 내 네트워크에 어떤 트래픽이 있는지 살펴보겠습니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램

세션 수로 정렬하면 대부분 bittorent에서 생성되고 SSL, QUIC가 생성됩니다. 이것은 들어오는 트래픽과 나가는 트래픽 모두에 대한 통계입니다. 내 라우터에 대한 외부 스캔이 많이 있습니다. 내 네트워크에는 150개의 서로 다른 애플리케이션이 있습니다.

그래서 하나의 규칙으로 모두 건너 뛰었습니다. 이제 Policy Optimizer가 이에 대해 무엇을 말하는지 살펴보겠습니다. 위의 보안 규칙이 있는 인터페이스의 스크린샷을 보면 왼쪽 하단에 최적화할 수 있는 규칙이 있음을 암시하는 작은 창이 표시됩니다. 거기를 클릭해 봅시다.

Policy Optimizer가 표시하는 내용:

어떤 정책이 전혀 사용되지 않았는지, 30일, 90일. 이것은 그것들을 모두 제거하기로 결정하는 데 도움이 됩니다.
어떤 애플리케이션이 정책에 지정되었지만 트래픽에서 그러한 애플리케이션이 발견되지 않았습니다. 이렇게 하면 허용 규칙에서 불필요한 애플리케이션을 제거할 수 있습니다.
어떤 정책이 모든 것을 허용했지만 제로 트러스트 방법론에 따라 명시적으로 나타내면 좋을 애플리케이션이 실제로 있었습니다.

Palo Alto Networks NGFW 보안 정책 최적화 프로그램

미사용을 클릭합니다.

작동 방식을 보여주기 위해 몇 가지 규칙을 추가했으며 지금까지 단 하나의 패킷도 놓치지 않았습니다. 목록은 다음과 같습니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
아마도 시간이 지남에 따라 트래픽이 통과한 다음 이 목록에서 사라질 것입니다. 그리고 90일 동안 이 목록에 있으면 이러한 규칙을 제거하도록 결정할 수 있습니다. 결국 각 규칙은 해커에게 기회를 제공합니다.

방화벽 구성에 실제 문제가 있습니다. 새로운 직원이 와서 방화벽 규칙을 살펴보고 의견이 없고 이 규칙이 생성된 이유를 모르는 경우 정말 필요한지 삭제할 수 있는지: 갑자기 그 사람이 휴가 및 30일 동안 트래픽은 필요한 서비스에서 다시 이동합니다. 그리고 이 기능은 그가 결정을 내리는 데 도움이 됩니다. 아무도 사용하지 않습니다. 삭제하세요!

사용하지 않는 앱을 클릭합니다.

옵티마이저에서 Unused App을 클릭하면 메인 창에 흥미로운 정보가 열리는 것을 볼 수 있습니다.

세 가지 규칙이 있는데, 허용된 애플리케이션 수와 이 규칙을 실제로 통과한 애플리케이션 수가 다릅니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
클릭하여 이러한 애플리케이션 목록을 보고 이 목록을 비교할 수 있습니다.
예를 들어 최대 규칙에 대한 비교 버튼을 클릭해 보겠습니다.

여기에서 facebook, instagram, telegram, vkontakte 응용 프로그램이 허용되었음을 알 수 있습니다. 그러나 실제로 트래픽은 하위 애플리케이션의 일부만 통과했습니다. 여기에서 페이스북 애플리케이션에 여러 하위 애플리케이션이 포함되어 있음을 이해해야 합니다.

NGFW 애플리케이션의 전체 목록은 포털에서 볼 수 있습니다. applipedia.paloaltonetworks.com 방화벽 인터페이스 자체의 개체->응용 프로그램 섹션과 검색에서 응용 프로그램의 이름을 입력합니다: facebook, 다음 결과를 얻을 것입니다:
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
따라서 NGFW는 이러한 하위 애플리케이션 중 일부를 보았지만 일부는 보지 못했습니다. 실제로 다양한 Facebook 하위 기능을 개별적으로 비활성화 및 활성화할 수 있습니다. 예를 들어 메시지 보기는 허용하지만 채팅이나 파일 전송은 금지합니다. 따라서 Policy Optimizer는 이에 대해 이야기하고 결정을 내릴 수 있습니다. 모든 Facebook 애플리케이션을 허용하지 않고 주요 애플리케이션만 허용합니다.

그래서 우리는 목록이 다르다는 것을 깨달았습니다. 규칙이 실제로 네트워크를 로밍하는 응용 프로그램만 허용하도록 할 수 있습니다. 이렇게 하려면 MatchUsage 버튼을 클릭합니다. 다음과 같이 밝혀졌습니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
또한 필요하다고 생각되는 응용 프로그램을 추가할 수도 있습니다. 창 왼쪽에 있는 추가 버튼:

그런 다음 이 규칙을 적용하고 테스트할 수 있습니다. 축하해요!

지정된 앱 없음을 클릭합니다.

이 경우 중요한 보안 창이 열립니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
L7 수준 애플리케이션이 네트워크에 명시적으로 지정되지 않은 규칙이 많이 있을 수 있습니다. 그리고 내 네트워크에는 그러한 규칙이 있습니다. 특히 정책 최적화 프로그램의 작동 방식을 보여주기 위해 초기 설정 중에 만든 규칙임을 상기시켜 드리겠습니다.

그림은 AllowAll 규칙이 9월 17일부터 220월 150일까지의 기간 동안 200GB의 트래픽을 놓쳤음을 보여줍니다. 이는 내 네트워크에 있는 총 300개의 서로 다른 애플리케이션입니다. 그리고 이것은 여전히 충분하지 않습니다. 일반적으로 중간 규모 기업 네트워크에는 XNUMX~XNUMX개의 서로 다른 애플리케이션이 있습니다.

따라서 하나의 규칙에서 최대 150개의 애플리케이션이 누락됩니다. 이는 일반적으로 하나의 규칙에서 서로 다른 목적을 위한 1-10개의 애플리케이션을 건너뛰기 때문에 일반적으로 방화벽이 잘못 구성되었음을 의미합니다. 이 애플리케이션이 무엇인지 살펴보겠습니다. 비교 버튼을 클릭합니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
Policy Optimizer 기능에서 관리자에게 가장 멋진 기능은 Match Usage(사용 일치) 버튼입니다. 한 번의 클릭으로 규칙을 생성할 수 있으며 여기서 150개의 모든 애플리케이션을 규칙에 입력합니다. 수동으로 하면 시간이 너무 오래 걸립니다. 10개의 장치로 구성된 네트워크에서도 관리자의 작업 수는 엄청납니다.

저는 집에서 150개의 서로 다른 애플리케이션을 실행하여 기가바이트의 트래픽을 전송하고 있습니다! 그리고 당신은 얼마나 가지고 있습니까?

그러나 100개 또는 1000개 또는 10000개의 장치로 구성된 네트워크에서는 어떻게 됩니까? 저는 8000개의 규칙이 있는 방화벽을 보았고 이제 관리자가 이렇게 편리한 자동화 도구를 갖게 되어 매우 기쁩니다.

NGFW의 L7 애플리케이션 분석 모듈이 네트워크에서 보고 표시한 애플리케이션 중 일부는 필요하지 않으므로 허용 규칙 목록에서 애플리케이션을 제거하거나 기본 인터페이스에서 복제 버튼을 사용하여 규칙을 복제하기만 하면 됩니다. 하나의 응용 프로그램 규칙을 허용하고 다른 응용 프로그램은 네트워크에서 확실히 필요하지 않은 것처럼 차단합니다. 이러한 애플리케이션은 종종 bittorent, steam, ultrasurf, tor, tcp-over-dns와 같은 숨겨진 터널 등이 됩니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
글쎄, 다른 규칙을 클릭하십시오 - 거기에서 볼 수 있는 것:

예, 멀티캐스트 전용 애플리케이션이 있습니다. 네트워크를 통한 비디오 보기가 작동하려면 이를 허용해야 합니다. 사용량 일치를 클릭합니다. 엄청난! Policy Optimizer에 감사드립니다.

기계 학습은 어떻습니까?

이제 자동화에 대해 이야기하는 것이 유행입니다. 내가 설명한 것이 나왔습니다. 많은 도움이됩니다. 언급해야 할 또 다른 가능성이 있습니다. 위에서 언급한 Expedition 유틸리티에 내장된 기계 학습 기능입니다. 이 유틸리티에서는 다른 제조업체의 이전 방화벽에서 규칙을 전송할 수 있습니다. 또한 기존 Palo Alto Networks 트래픽 로그를 분석하고 작성할 규칙을 제안하는 기능도 있습니다. 이는 Policy Optimizer 기능과 유사하지만 Expedition에서는 훨씬 더 고급이며 기성 규칙 목록이 제공됩니다. 승인만 하면 됩니다.
이 기능을 테스트하기 위해 실험실 작업이 있습니다. 이를 테스트 드라이브라고 합니다. 이 테스트는 귀하의 요청에 따라 Palo Alto Networks Moscow 사무실 직원이 실행할 가상 방화벽으로 이동하여 수행할 수 있습니다.
Palo Alto Networks NGFW 보안 정책 최적화 프로그램
Russia@paloaltonetworks.com으로 요청을 보내고 요청서에 "이민 과정을 위해 UTD를 하고 싶습니다"라고 적어주세요.

실제로 UTD(Unified Test Drive)라는 랩에는 몇 가지 옵션이 있으며 모두 원격으로 사용 가능 요청 후.

등록된 사용자만 설문 조사에 참여할 수 있습니다. 로그인제발

방화벽 정책을 최적화하는 데 도움을 줄 누군가를 원하십니까?

Да
아니
나는 모든 것을 스스로 할 것이다

아직 아무도 투표하지 않았습니다. 기권이 없습니다.

출처 : habr.com