KÄ novÄrtÄt NGFW tÅ«ninga efektivitÄti
VisizplatÄ«tÄkais uzdevums ir pÄrbaudÄ«t, cik labi ir konfigurÄts jÅ«su ugunsmÅ«ris. Lai to izdarÄ«tu, ir pieejami bezmaksas komunÄlie pakalpojumi un pakalpojumi no uzÅÄmumiem, kas nodarbojas ar NGFW.
PiemÄram, zemÄk varat redzÄt, ka Palo Alto Networks ir iespÄja tieÅ”i no
SATURS
EkspedÄ«cija (migrÄcijas rÄ«ks)
SarežģītÄka iestatÄ«jumu pÄrbaude ir bezmaksas utilÄ«ta lejupielÄde
Politikas optimizÄtÄjs
Un visÄrtÄkÄ iespÄja (IMHO), par kuru es Å”odien runÄÅ”u sÄ«kÄk, ir politikas optimizÄtÄjs, kas iebÅ«vÄts paÅ”Ä Palo Alto Networks saskarnÄ. Lai to demonstrÄtu, es savÄ mÄjÄ uzstÄdÄ«ju ugunsmÅ«ri un uzrakstÄ«ju vienkÄrÅ”u noteikumu: atļaut jebkuru jebkuram. PrincipÄ Å”Ädus noteikumus dažreiz redzu pat korporatÄ«vajos tÄ«klos. Protams, es iespÄjoju visus NGFW droŔības profilus, kÄ redzat ekrÄnuzÅÄmumÄ:
TÄlÄk esoÅ”ajÄ ekrÄnuzÅÄmumÄ ir parÄdÄ«ts mana mÄjas nekonfigurÄtÄ ugunsmÅ«ra piemÄrs, kur gandrÄ«z uz visiem savienojumiem attiecas pÄdÄjais noteikums: AllowAll, kÄ redzams no statistikas slejÄ trÄpÄ«jumu skaits.
Nulle uzticība
Ir pieeja droŔībai, ko sauc
Starp citu, Palo Alto Networks NGFW minimÄlais nepiecieÅ”amo iestatÄ«jumu kopums ir aprakstÄ«ts vienÄ no SANS dokumentiem:
TÄtad, man mÄjÄs bija ugunsmÅ«ris nedÄļu. ApskatÄ«sim, kÄda trafika ir manÄ tÄ«klÄ:
Ja Ŕķiro pÄc sesiju skaita, tad lielÄko daļu veido bittorent, tad nÄk SSL, tad QUIC. Å Ä« ir statistika gan par ienÄkoÅ”o, gan izejoÅ”o trafiku: ir daudz mana marÅ”rutÄtÄja ÄrÄjo skenÄjumu. ManÄ tÄ«klÄ ir 150 dažÄdas lietojumprogrammas.
TÄtad, tas viss tika izlaists ar vienu noteikumu. Tagad redzÄsim, ko par to saka politikas optimizÄtÄjs. Ja aplÅ«kojÄt iepriekÅ” redzamo interfeisa ekrÄnuzÅÄmumu ar droŔības noteikumiem, tad apakÅ”ÄjÄ kreisajÄ stÅ«rÄ« redzÄjÄt nelielu logu, kas man liek domÄt, ka ir noteikumi, kurus var optimizÄt. NoklikŔķinÄsim tur.
Ko parÄda politikas optimizÄtÄjs:
- Kuras politikas vispÄr netika izmantotas, 30 dienas, 90 dienas. Tas palÄ«dz pieÅemt lÄmumu tos pilnÄ«bÄ noÅemt.
- Kuras lietojumprogrammas bija norÄdÄ«tas politikÄs, taÄu datplÅ«smÄ Å”Ädas lietojumprogrammas netika atrastas. Tas ļauj noÅemt nevajadzÄ«gÄs lietojumprogrammas atļauÅ”anas noteikumos.
- Kuras politikas atļÄva visu pÄc kÄrtas, taÄu tieÅ”Äm bija lietojumprogrammas, kuras bÅ«tu jauki skaidri norÄdÄ«t saskaÅÄ ar Zero Trust metodoloÄ£iju.
NoklikŔķiniet uz Nelietots.
Lai parÄdÄ«tu, kÄ tas darbojas, es pievienoju dažus noteikumus, un lÄ«dz Å”im tie nav palaiduÅ”i garÄm nevienu paketi. Å eit ir viÅu saraksts:
IespÄjams, ar laiku satiksme tur pÄries un tad tie pazudÄ«s no Ŕī saraksta. Un, ja viÅi ir Å”ajÄ sarakstÄ 90 dienas, varat izlemt noÅemt Å”os noteikumus. Galu galÄ katrs noteikums sniedz iespÄju hakeram.
Ir reÄla problÄma ar ugunsmÅ«ra konfigurÄciju: nÄk jauns darbinieks, iepazÄ«stas ar ugunsmÅ«ra noteikumiem, ja viÅam nav komentÄru un viÅÅ” nezina, kÄpÄc Å”is noteikums tika izveidots, vai tas tieÅ”Äm ir nepiecieÅ”ams, vai to var izdzÄst: pÄkÅ”Åi cilvÄks ir atvaļinÄjumÄ un 30 dienu laikÄ satiksme atkal tiks pÄrtraukta no pakalpojuma, kas tam nepiecieÅ”ams. Un tieÅ”i Ŕī funkcija palÄ«dz viÅam pieÅemt lÄmumu - neviens to neizmanto - izdzÄsiet!
NoklikŔķiniet uz NeizmantotÄ lietotne.
MÄs optimizÄtÄjÄ noklikŔķinÄm uz Nelietota lietotne un redzam, ka galvenajÄ logÄ tiek atvÄrta interesanta informÄcija.
MÄs redzam, ka ir trÄ«s noteikumi, kur atļauto pieteikumu skaits un to pieteikumu skaits, kas faktiski ir izturÄjuÅ”i Å”o noteikumu, ir atŔķirÄ«gi.
MÄs varam noklikŔķinÄt un redzÄt Å”o lietojumprogrammu sarakstu un salÄ«dzinÄt Å”os sarakstus.
PiemÄram, noklikŔķinÄsim uz pogas SalÄ«dzinÄt kÄrtulai Max.
Å eit var redzÄt, ka bija atļautas lietotnes facebook, instagram, telegram, vkontakte. TaÄu patiesÄ«bÄ satiksme gÄja tikai caur daļu no apakÅ”lietojumprogrammÄm. Å eit jÄsaprot, ka facebook aplikÄcijÄ ir vairÄkas apakÅ”lietojumprogrammas.
PortÄlÄ var redzÄt visu NGFW pieteikumu sarakstu
TÄtad NGFW redzÄja dažas no Ŕīm apakÅ”lietojumprogrammÄm, bet dažas ne. Faktiski jÅ«s varat atseviŔķi atspÄjot un iespÄjot dažÄdas Facebook apakÅ”funkcijas. PiemÄram, ļauj skatÄ«t ziÅas, bet aizliedz tÄrzÄÅ”anu vai failu pÄrsÅ«tÄ«Å”anu. AttiecÄ«gi Politikas optimizÄtÄjs par to runÄ un jÅ«s varat pieÅemt lÄmumu: neatļaut visas Facebook lietojumprogrammas, bet tikai galvenÄs.
TÄtad, mÄs sapratÄm, ka saraksti ir atŔķirÄ«gi. Varat pÄrliecinÄties, ka kÄrtulas atļauj tikai tÄs lietojumprogrammas, kas faktiski klÄ«st tÄ«klÄ. Lai to izdarÄ«tu, noklikŔķiniet uz pogas MatchUsage. Tas izrÄdÄs Å”Ädi:
Varat arÄ« pievienot lietojumprogrammas, kuras uzskatÄt par nepiecieÅ”amÄm - pogu Pievienot loga kreisajÄ pusÄ:
Un tad Å”o noteikumu var piemÄrot un pÄrbaudÄ«t. Apsveicam!
NoklikŔķiniet uz Nav norÄdÄ«tas lietotnes.
Å ajÄ gadÄ«jumÄ tiks atvÄrts svarÄ«gs droŔības logs.
VisticamÄk, ir daudz Å”Ädu noteikumu, kuros L7 lÄ«meÅa lietojumprogramma jÅ«su tÄ«klÄ nav skaidri norÄdÄ«ta. Un manÄ tÄ«klÄ ir Å”Äds noteikums - atgÄdinÄÅ”u, ka es to izdarÄ«ju sÄkotnÄjÄs iestatÄ«Å”anas laikÄ, lai parÄdÄ«tu, kÄ darbojas politikas optimizÄtÄjs.
AttÄlÄ redzams, ka AllowAll kÄrtula laika posmÄ no 9. lÄ«dz 17. martam palaida garÄm 220 gigabaitus trafika, kas kopumÄ ir 150 dažÄdas lietojumprogrammas manÄ tÄ«klÄ. Un ar to joprojÄm nepietiek. Parasti vidÄja lieluma korporatÄ«vajÄ tÄ«klÄ ir 200-300 dažÄdu lietojumprogrammu.
TÄtad viens noteikums izlaiž 150 pieteikumus. Tas parasti nozÄ«mÄ, ka ugunsmÅ«ris ir nepareizi konfigurÄts, jo parasti vienÄ noteikumÄ tiek izlaistas 1-10 lietojumprogrammas dažÄdiem mÄrÄ·iem. ApskatÄ«sim, kas ir Ŕīs lietojumprogrammas: noklikŔķiniet uz pogas SalÄ«dzinÄt:
VisbrÄ«niŔķīgÄkais administratoram politikas optimizÄtÄja funkcijÄ ir poga Match Usage ā ar vienu klikŔķi var izveidot kÄrtulu, kurÄ noteikumÄ ievadÄ«si visas 150 lietojumprogrammas. To darot manuÄli, tas aizÅems pÄrÄk ilgu laiku. Administratora uzdevumu skaits pat manÄ 10 ierÄ«Äu tÄ«klÄ ir milzÄ«gs.
Man mÄjÄs darbojas 150 dažÄdas lietojumprogrammas, kas pÄrraida gigabaitus trafika! Un cik tev ir?
Bet kas notiek tÄ«klÄ, kurÄ ir 100 vai 1000 vai 10000 8000 ierÄ«Äu? Esmu redzÄjis ugunsmÅ«rus ar XNUMX noteikumiem un ļoti priecÄjos, ka administratoriem tagad ir tik Ärti automatizÄcijas rÄ«ki.
Jums nebÅ«s vajadzÄ«gas dažas lietojumprogrammas, kuras NGFW L7 lietojumprogrammu analÄ«zes modulis redzÄja un rÄdÄ«ja tÄ«klÄ, tÄpÄc vienkÄrÅ”i noÅemiet tÄs no atļaujas kÄrtulas saraksta vai klonÄjiet kÄrtulas, izmantojot pogu KlonÄt (galvenajÄ saskarnÄ). un atļaut vienÄ lietojumprogrammu noteikumÄ un sadaÄ¼Ä BloÄ·Ät citas lietojumprogrammas tÄ, it kÄ tÄs jÅ«su tÄ«klÄ noteikti nebÅ«tu vajadzÄ«gas. Å Ädas lietojumprogrammas bieži kļūst par bittorent, steam, ultrasurf, tor, slÄptiem tuneļiem, piemÄram, tcp-over-dns un citiem.
NoklikŔķiniet uz cita noteikuma ā ko jÅ«s tur varat redzÄt:
JÄ, ir lietojumprogrammas, kas raksturÄ«gas multiraidei. Mums tie ir jÄatļauj, lai video skatÄ«Å”anÄs tÄ«klÄ darbotos. NoklikŔķiniet uz SaskaÅot lietojumu. Lieliski! Paldies politikas optimizÄtÄjam!
KÄ ar maŔīnmÄcÄ«bu?
Tagad ir modÄ runÄt par automatizÄciju. IznÄca tas, ko aprakstÄ«ju ā tas ļoti palÄ«dz. Ir vÄl viena iespÄja, kas man jÄpiemin. Å Ä« ir maŔīnmÄcÄ«Å”anÄs funkcionalitÄte, kas iebÅ«vÄta iepriekÅ” minÄtajÄ Expedition utilÄ«tprogrammÄ. Å ajÄ utilÄ«tprogrammÄ ir iespÄjams pÄrsÅ«tÄ«t noteikumus no sava vecÄ ugunsmÅ«ra no cita ražotÄja. Ir arÄ« iespÄja analizÄt esoÅ”os Palo Alto Networks trafika žurnÄlus un ieteikt, kurus noteikumus rakstÄ«t. Tas ir lÄ«dzÄ«gs politikas optimizÄtÄja funkcionalitÄtei, taÄu Expedition tÄ ir vÄl uzlabotÄka, un jums tiek piedÄvÄts gatavu noteikumu saraksts - jums tie tikai jÄapstiprina.
PieprasÄ«jumu var nosÅ«tÄ«t uz [e-pasts aizsargÄts] un pieprasÄ«jumÄ ierakstiet: "Es vÄlos izveidot UTD migrÄcijas procesam."
Faktiski laboratorijÄm ir vairÄkas iespÄjas, ko sauc par vienoto testa disku (UTD), un tÄs visas
AptaujÄ var piedalÄ«ties tikai reÄ£istrÄti lietotÄji.
Vai vÄlaties, lai kÄds palÄ«dzÄtu jums optimizÄt jÅ«su ugunsmÅ«ra politikas?
-
JÄ
-
NÄ
-
Es visu darīŔu pats
VÄl neviens nav balsojis. Nav neviena atturas.
Avots: www.habr.com