Kā novērtēt NGFW tūninga efektivitāti

Visizplatītākais uzdevums ir pārbaudīt, cik labi ir konfigurēts jūsu ugunsmūris. Lai to izdarītu, ir pieejami bezmaksas komunālie pakalpojumi un pakalpojumi no uzņēmumiem, kas nodarbojas ar NGFW.

Piemēram, zemāk varat redzēt, ka Palo Alto Networks ir iespēja tieši no atbalsta portāls palaist ugunsmūra statistikas analīzi — SLR atskaiti vai labākās prakses atbilstības analīzi — BPA atskaiti. Šīs ir bezmaksas tiešsaistes utilītas, kuras varat izmantot, neko neinstalējot.

SATURS

Ekspedīcija (migrācijas rīks)
Politikas optimizētājs
Nulle uzticība
Noklikšķiniet uz Nelietots
Noklikšķiniet uz Neizmantotā lietotne
Noklikšķiniet uz Nav norādītas lietotnes
Kā ar mašīnmācību?
UTD

Ekspedīcija (migrācijas rīks)

Sarežģītāka iestatījumu pārbaude ir bezmaksas utilīta lejupielāde Ekspedīcija (bijušais migrācijas rīks). Tas tiek lejupielādēts kā Virtual Appliance for VMware, ar to nav nepieciešami nekādi iestatījumi - jums ir nepieciešams lejupielādēt attēlu un izvietot to zem VMware hipervizora, palaist to un doties uz tīmekļa saskarni. Šai utilītai ir nepieciešams atsevišķs stāsts, tikai kurss par to aizņem 5 dienas, tagad ir tik daudz funkciju, tostarp mašīnmācīšanās un dažādu politiku konfigurāciju, NAT un objektu migrēšana dažādiem ugunsmūra ražotājiem. Par mašīnmācīšanos es vairāk rakstīšu vēlāk tekstā.

Politikas optimizētājs

Un visērtākā iespēja (IMHO), par kuru es šodien runāšu sīkāk, ir politikas optimizētājs, kas iebūvēts pašā Palo Alto Networks saskarnē. Lai to demonstrētu, es savā mājā uzstādīju ugunsmūri un uzrakstīju vienkāršu noteikumu: atļaut jebkuru jebkuram. Principā šādus noteikumus dažreiz redzu pat korporatīvajos tīklos. Protams, es iespējoju visus NGFW drošības profilus, kā redzat ekrānuzņēmumā:


Tālāk esošajā ekrānuzņēmumā ir parādīts mana mājas nekonfigurētā ugunsmūra piemērs, kur gandrīz uz visiem savienojumiem attiecas pēdējais noteikums: AllowAll, kā redzams no statistikas slejā trāpījumu skaits.

Nulle uzticība

Ir pieeja drošībai, ko sauc Nulle uzticība. Ko tas nozīmē: mums tīklā ir jāatļauj lietotājiem tieši tie savienojumi, kas viņiem ir nepieciešami, un jāaizliedz viss pārējais. Tas ir, mums ir jāpievieno skaidri noteikumi lietojumprogrammām, lietotājiem, URL kategorijām, failu tipiem; iespējot visus IPS un pretvīrusu parakstus, iespējot smilškastes, DNS aizsardzību, izmantot IoC no pieejamajām Threat Intelligence datu bāzēm. Kopumā, uzstādot ugunsmūri, ir pietiekami daudz uzdevumu.

Starp citu, Palo Alto Networks NGFW minimālais nepieciešamo iestatījumu kopums ir aprakstīts vienā no SANS dokumentiem: Palo Alto Networks drošības konfigurācijas etalons Es iesaku sākt ar to. Un, protams, ražotājs ir piedāvājis paraugprakses kopumu ugunsmūra iestatīšanai: Labākā prakse.

Tātad, man mājās bija ugunsmūris nedēļu. Apskatīsim, kāda trafika ir manā tīklā:


Ja šķiro pēc sesiju skaita, tad lielāko daļu veido bittorent, tad nāk SSL, tad QUIC. Šī ir statistika gan par ienākošo, gan izejošo trafiku: ir daudz mana maršrutētāja ārējo skenējumu. Manā tīklā ir 150 dažādas lietojumprogrammas.

Tātad, tas viss tika izlaists ar vienu noteikumu. Tagad redzēsim, ko par to saka politikas optimizētājs. Ja aplūkojāt iepriekš redzamo interfeisa ekrānuzņēmumu ar drošības noteikumiem, tad apakšējā kreisajā stūrī redzējāt nelielu logu, kas man liek domāt, ka ir noteikumi, kurus var optimizēt. Noklikšķināsim tur.

Ko parāda politikas optimizētājs:

• Kuras politikas vispār netika izmantotas, 30 dienas, 90 dienas. Tas palīdz pieņemt lēmumu tos pilnībā noņemt.
• Kuras lietojumprogrammas bija norādītas politikās, taču datplūsmā šādas lietojumprogrammas netika atrastas. Tas ļauj noņemt nevajadzīgās lietojumprogrammas atļaušanas noteikumos.
• Kuras politikas atļāva visu pēc kārtas, taču tiešām bija lietojumprogrammas, kuras būtu jauki skaidri norādīt saskaņā ar Zero Trust metodoloģiju.

Noklikšķiniet uz Nelietots.

Lai parādītu, kā tas darbojas, es pievienoju dažus noteikumus, un līdz šim tie nav palaiduši garām nevienu paketi. Šeit ir viņu saraksts:

Iespējams, ar laiku satiksme tur pāries un tad tie pazudīs no šī saraksta. Un, ja viņi ir šajā sarakstā 90 dienas, varat izlemt noņemt šos noteikumus. Galu galā katrs noteikums sniedz iespēju hakeram.

Ir reāla problēma ar ugunsmūra konfigurāciju: nāk jauns darbinieks, iepazīstas ar ugunsmūra noteikumiem, ja viņam nav komentāru un viņš nezina, kāpēc šis noteikums tika izveidots, vai tas tiešām ir nepieciešams, vai to var izdzēst: pēkšņi cilvēks ir atvaļinājumā un 30 dienu laikā satiksme atkal tiks pārtraukta no pakalpojuma, kas tam nepieciešams. Un tieši šī funkcija palīdz viņam pieņemt lēmumu - neviens to neizmanto - izdzēsiet!

Noklikšķiniet uz Neizmantotā lietotne.

Mēs optimizētājā noklikšķinām uz Nelietota lietotne un redzam, ka galvenajā logā tiek atvērta interesanta informācija.

Mēs redzam, ka ir trīs noteikumi, kur atļauto pieteikumu skaits un to pieteikumu skaits, kas faktiski ir izturējuši šo noteikumu, ir atšķirīgi.

Mēs varam noklikšķināt un redzēt šo lietojumprogrammu sarakstu un salīdzināt šos sarakstus.
Piemēram, noklikšķināsim uz pogas Salīdzināt kārtulai Max.

Šeit var redzēt, ka bija atļautas lietotnes facebook, instagram, telegram, vkontakte. Taču patiesībā satiksme gāja tikai caur daļu no apakšlietojumprogrammām. Šeit jāsaprot, ka facebook aplikācijā ir vairākas apakšlietojumprogrammas.

Portālā var redzēt visu NGFW pieteikumu sarakstu applipedia.paloaltonetworks.com un pašā ugunsmūra saskarnē, sadaļā Objekti->Lietojumprogrammas un meklēšanā ierakstiet aplikācijas nosaukumu: facebook, jūs saņemsiet šādu rezultātu:

Tātad NGFW redzēja dažas no šīm apakšlietojumprogrammām, bet dažas ne. Faktiski jūs varat atsevišķi atspējot un iespējot dažādas Facebook apakšfunkcijas. Piemēram, ļauj skatīt ziņas, bet aizliedz tērzēšanu vai failu pārsūtīšanu. Attiecīgi Politikas optimizētājs par to runā un jūs varat pieņemt lēmumu: neatļaut visas Facebook lietojumprogrammas, bet tikai galvenās.

Tātad, mēs sapratām, ka saraksti ir atšķirīgi. Varat pārliecināties, ka kārtulas atļauj tikai tās lietojumprogrammas, kas faktiski klīst tīklā. Lai to izdarītu, noklikšķiniet uz pogas MatchUsage. Tas izrādās šādi:

Varat arī pievienot lietojumprogrammas, kuras uzskatāt par nepieciešamām - pogu Pievienot loga kreisajā pusē:

Un tad šo noteikumu var piemērot un pārbaudīt. Apsveicam!

Noklikšķiniet uz Nav norādītas lietotnes.

Šajā gadījumā tiks atvērts svarīgs drošības logs.

Visticamāk, ir daudz šādu noteikumu, kuros L7 līmeņa lietojumprogramma jūsu tīklā nav skaidri norādīta. Un manā tīklā ir šāds noteikums - atgādināšu, ka es to izdarīju sākotnējās iestatīšanas laikā, lai parādītu, kā darbojas politikas optimizētājs.

Attēlā redzams, ka AllowAll kārtula laika posmā no 9. līdz 17. martam palaida garām 220 gigabaitus trafika, kas kopumā ir 150 dažādas lietojumprogrammas manā tīklā. Un ar to joprojām nepietiek. Parasti vidēja lieluma korporatīvajā tīklā ir 200-300 dažādu lietojumprogrammu.

Tātad viens noteikums izlaiž 150 pieteikumus. Tas parasti nozīmē, ka ugunsmūris ir nepareizi konfigurēts, jo parasti vienā noteikumā tiek izlaistas 1-10 lietojumprogrammas dažādiem mērķiem. Apskatīsim, kas ir šīs lietojumprogrammas: noklikšķiniet uz pogas Salīdzināt:

Visbrīnišķīgākais administratoram politikas optimizētāja funkcijā ir poga Match Usage – ar vienu klikšķi var izveidot kārtulu, kurā noteikumā ievadīsi visas 150 lietojumprogrammas. To darot manuāli, tas aizņems pārāk ilgu laiku. Administratora uzdevumu skaits pat manā 10 ierīču tīklā ir milzīgs.

Man mājās darbojas 150 dažādas lietojumprogrammas, kas pārraida gigabaitus trafika! Un cik tev ir?

Bet kas notiek tīklā, kurā ir 100 vai 1000 vai 10000 8000 ierīču? Esmu redzējis ugunsmūrus ar XNUMX noteikumiem un ļoti priecājos, ka administratoriem tagad ir tik ērti automatizācijas rīki.

Jums nebūs vajadzīgas dažas lietojumprogrammas, kuras NGFW L7 lietojumprogrammu analīzes modulis redzēja un rādīja tīklā, tāpēc vienkārši noņemiet tās no atļaujas kārtulas saraksta vai klonējiet kārtulas, izmantojot pogu Klonēt (galvenajā saskarnē). un atļaut vienā lietojumprogrammu noteikumā un sadaļā Bloķēt citas lietojumprogrammas tā, it kā tās jūsu tīklā noteikti nebūtu vajadzīgas. Šādas lietojumprogrammas bieži kļūst par bittorent, steam, ultrasurf, tor, slēptiem tuneļiem, piemēram, tcp-over-dns un citiem.

Noklikšķiniet uz cita noteikuma — ko jūs tur varat redzēt:

Jā, ir lietojumprogrammas, kas raksturīgas multiraidei. Mums tie ir jāatļauj, lai video skatīšanās tīklā darbotos. Noklikšķiniet uz Saskaņot lietojumu. Lieliski! Paldies politikas optimizētājam!

Kā ar mašīnmācību?

Tagad ir modē runāt par automatizāciju. Iznāca tas, ko aprakstīju – tas ļoti palīdz. Ir vēl viena iespēja, kas man jāpiemin. Šī ir mašīnmācīšanās funkcionalitāte, kas iebūvēta iepriekš minētajā Expedition utilītprogrammā. Šajā utilītprogrammā ir iespējams pārsūtīt noteikumus no sava vecā ugunsmūra no cita ražotāja. Ir arī iespēja analizēt esošos Palo Alto Networks trafika žurnālus un ieteikt, kurus noteikumus rakstīt. Tas ir līdzīgs politikas optimizētāja funkcionalitātei, taču Expedition tā ir vēl uzlabotāka, un jums tiek piedāvāts gatavu noteikumu saraksts - jums tie tikai jāapstiprina.
Lai pārbaudītu šo funkcionalitāti, ir laboratorijas darbs - mēs to saucam par testa braucienu. Šo testu var veikt, dodoties uz virtuālajiem ugunsmūriem, kurus Palo Alto Networks Maskavas biroja darbinieki palaidīs pēc jūsu pieprasījuma.

Pieprasījumu var nosūtīt uz [e-pasts aizsargāts] un pieprasījumā ierakstiet: "Es vēlos izveidot UTD migrācijas procesam."

Faktiski laboratorijām ir vairākas iespējas, ko sauc par vienoto testa disku (UTD), un tās visas pieejams attālināti pēc pieprasījuma.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai vēlaties, lai kāds palīdzētu jums optimizēt jūsu ugunsmūra politikas?

• Jā

• Nē

• Es visu darīšu pats

Vēl neviens nav balsojis. Nav neviena atturas.

Avots: www.habr.com