Cara Menilai Keberkesanan Persediaan NGFW
Tugas yang paling biasa ialah menyemak sejauh mana firewall anda dikonfigurasikan. Untuk melakukan ini, terdapat utiliti dan perkhidmatan percuma daripada syarikat yang berurusan dengan NGFW.
Sebagai contoh, di bawah anda boleh melihat bahawa Rangkaian Palo Alto mempunyai keupayaan untuk terus daripada
KANDUNGAN
Ekspedisi (Alat Migrasi)
Pilihan yang lebih rumit untuk menyemak tetapan anda ialah memuat turun utiliti percuma
Pengoptimum Dasar
Dan pilihan yang paling mudah (IMHO), yang akan saya bincangkan dengan lebih terperinci hari ini, ialah pengoptimum dasar yang terbina dalam antara muka Rangkaian Palo Alto itu sendiri. Untuk menunjukkannya, saya memasang tembok api di rumah saya dan menulis peraturan mudah: membenarkan mana-mana kepada mana-mana. Pada dasarnya, saya kadang-kadang melihat peraturan sedemikian walaupun dalam rangkaian korporat. Sememangnya, saya mendayakan semua profil keselamatan NGFW, seperti yang anda boleh lihat dalam tangkapan skrin:
Tangkapan skrin di bawah menunjukkan contoh tembok api rumah saya yang tidak dikonfigurasikan, di mana hampir semua sambungan termasuk dalam peraturan terakhir: AllowAll, seperti yang boleh dilihat daripada statistik dalam lajur Hit Count.
Kepercayaan Sifar
Terdapat pendekatan untuk keselamatan dipanggil
By the way, set minimum tetapan yang diperlukan untuk Palo Alto Networks NGFW diterangkan dalam salah satu dokumen SANS:
Jadi, saya mempunyai tembok api di rumah selama seminggu. Mari lihat trafik pada rangkaian saya:
Jika diisih mengikut bilangan sesi, maka kebanyakannya dicipta oleh bittorent, kemudian datang SSL, kemudian QUIC. Ini adalah statistik untuk kedua-dua trafik masuk dan keluar: terdapat banyak imbasan luaran penghala saya. Terdapat 150 aplikasi berbeza dalam rangkaian saya.
Jadi, semuanya dilangkau oleh satu peraturan. Sekarang mari kita lihat apa yang dikatakan oleh Pengoptimum Dasar tentang perkara ini. Jika anda melihat tangkapan skrin antara muka dengan peraturan keselamatan di atas, maka anda melihat tetingkap kecil di bahagian bawah sebelah kiri, yang membayangkan kepada saya bahawa terdapat peraturan yang boleh dioptimumkan. Jom klik di sana.
Perkara yang ditunjukkan oleh Pengoptimum Dasar:
- Polisi mana yang tidak digunakan sama sekali, 30 hari, 90 hari. Ini membantu membuat keputusan untuk membuangnya sama sekali.
- Aplikasi mana yang dinyatakan dalam dasar, tetapi tiada aplikasi sedemikian ditemui dalam trafik. Ini membolehkan anda mengalih keluar aplikasi yang tidak diperlukan dalam peraturan membenarkan.
- Dasar mana yang membenarkan segala-galanya, tetapi sebenarnya terdapat aplikasi yang bagus untuk ditunjukkan secara jelas mengikut metodologi Zero Trust.
Jom klik pada Unused.
Untuk menunjukkan cara ia berfungsi, saya menambah beberapa peraturan dan setakat ini mereka tidak terlepas satu paket hari ini. Berikut adalah senarai mereka:
Mungkin lama-kelamaan akan ada lalu lintas di sana dan kemudian mereka akan hilang dari senarai ini. Dan jika mereka berada dalam senarai ini selama 90 hari, maka anda boleh memutuskan untuk memadamkan peraturan ini. Lagipun, setiap peraturan memberi peluang kepada penggodam.
Terdapat masalah sebenar dengan konfigurasi tembok api: pekerja baharu datang, melihat peraturan tembok api, jika mereka tidak mempunyai komen dan tidak tahu mengapa peraturan ini dibuat, adakah ia benar-benar perlu, bolehkah ia dipadamkan: tiba-tiba orang itu semasa bercuti dan melalui 30 hari lalu lintas akan kembali dari perkhidmatan yang diperlukan. Dan hanya fungsi ini membantu dia membuat keputusan - tiada siapa yang menggunakannya - padamkannya!
Klik pada Apl Tidak Digunakan.
Kami mengklik pada Apl Tidak Digunakan dalam pengoptimum dan melihat bahawa maklumat menarik dibuka dalam tetingkap utama.
Kami melihat bahawa terdapat tiga peraturan, di mana bilangan permohonan yang dibenarkan dan bilangan permohonan yang benar-benar lulus peraturan ini adalah berbeza.
Kami boleh mengklik dan melihat senarai aplikasi ini dan membandingkan senarai ini.
Sebagai contoh, mari kita klik pada butang Bandingkan untuk peraturan Maks.
Di sini anda boleh melihat bahawa aplikasi facebook, instagram, telegram, vkontakte dibenarkan. Tetapi pada hakikatnya, trafik hanya melalui sebahagian daripada sub-aplikasi. Di sini anda perlu memahami bahawa aplikasi facebook mengandungi beberapa sub-aplikasi.
Keseluruhan senarai aplikasi NGFW boleh dilihat di portal
Jadi, beberapa sub-aplikasi ini dilihat oleh NGFW, tetapi ada yang tidak. Malah, anda boleh melarang dan membenarkan subfungsi Facebook yang berbeza secara berasingan. Contohnya, benarkan melihat mesej, tetapi larang sembang atau pemindahan fail. Sehubungan itu, Pengoptimum Dasar membincangkan perkara ini dan anda boleh membuat keputusan: tidak membenarkan semua aplikasi Facebook, tetapi hanya yang utama.
Jadi, kami menyedari bahawa senarai adalah berbeza. Anda boleh memastikan bahawa peraturan membenarkan hanya aplikasi yang benar-benar merayau rangkaian. Untuk melakukan ini, anda klik butang MatchUsage. Ternyata begini:
Dan anda juga boleh menambah aplikasi yang anda anggap perlu - butang Tambah di sebelah kiri tetingkap:
Dan kemudian peraturan ini boleh digunakan dan diuji. tahniah!
Klik Tiada Apl Ditentukan.
Dalam kes ini, tetingkap keselamatan penting akan dibuka.
Kemungkinan besar terdapat banyak peraturan sedemikian dalam rangkaian anda di mana aplikasi tahap L7 tidak dinyatakan secara eksplisit. Dan dalam rangkaian saya terdapat peraturan sedemikian - izinkan saya mengingatkan anda bahawa saya telah membuatnya semasa persediaan awal, khususnya untuk menunjukkan cara Pengoptimum Dasar berfungsi.
Gambar menunjukkan bahawa peraturan AllowAll terlepas 9 gigabait trafik sepanjang tempoh dari 17 Mac hingga 220 Mac, iaitu sejumlah 150 aplikasi berbeza dalam rangkaian saya. Dan ini masih tidak mencukupi. Biasanya, rangkaian korporat bersaiz sederhana mempunyai 200-300 aplikasi yang berbeza.
Jadi, satu peraturan terlepas sebanyak 150 permohonan. Biasanya ini bermakna bahawa tembok api tidak dikonfigurasikan dengan betul, kerana biasanya satu peraturan membenarkan 1-10 aplikasi untuk tujuan yang berbeza. Mari lihat apakah aplikasi ini: klik butang Bandingkan:
Perkara yang paling menarik untuk pentadbir dalam ciri Pengoptimum Dasar ialah butang Penggunaan Padanan - anda boleh membuat peraturan dengan satu klik, di mana anda akan memasukkan kesemua 150 aplikasi ke dalam peraturan. Melakukannya secara manual akan mengambil masa terlalu lama. Bilangan tugas untuk pentadbir, walaupun pada rangkaian 10 peranti saya, adalah besar.
Saya mempunyai 150 aplikasi berbeza berjalan di rumah, menghantar gigabait trafik! Dan berapa banyak yang anda ada?
Tetapi apa yang berlaku dalam rangkaian 100 peranti atau 1000 atau 10000? Saya telah melihat tembok api dengan 8000 peraturan dan saya sangat gembira kerana pentadbir kini mempunyai alat automasi yang begitu mudah.
Anda tidak akan memerlukan beberapa aplikasi yang modul analisis aplikasi L7 dalam NGFW lihat dan tunjukkan pada rangkaian, jadi anda cukup mengalih keluarnya daripada senarai peraturan yang dibenarkan, atau mengklon peraturan dengan butang Klon (dalam antara muka utama) dan benarkan dalam satu peraturan aplikasi, dan dalam Sekat aplikasi lain seolah-olah ia pasti tidak diperlukan pada rangkaian anda. Aplikasi sedemikian sering menjadi bittorent, steam, ultrasurf, tor, terowong tersembunyi seperti tcp-over-dns dan lain-lain.
Nah, klik pada peraturan lain - perkara yang anda boleh lihat di sana:
Ya, terdapat aplikasi khusus untuk multicast. Kita mesti membenarkannya supaya tontonan video melalui rangkaian berfungsi. Klik Penggunaan Padanan. Hebat! Terima kasih Pengoptimum Dasar.
Bagaimana pula dengan Pembelajaran Mesin?
Sekarang adalah bergaya untuk bercakap tentang automasi. Apa yang saya terangkan keluar - ia banyak membantu. Terdapat satu lagi kemungkinan yang mesti saya sebutkan. Ini ialah fungsi Pembelajaran Mesin yang terbina dalam utiliti Ekspedisi yang dinyatakan di atas. Dalam utiliti ini, adalah mungkin untuk memindahkan peraturan dari firewall lama anda daripada pengeluar lain. Dan terdapat juga keupayaan untuk menganalisis log trafik Rangkaian Palo Alto sedia ada dan mencadangkan peraturan yang hendak ditulis. Ini adalah serupa dengan fungsi Pengoptimum Dasar, tetapi dalam Ekspedisi ia lebih dilanjutkan dan anda ditawarkan senarai peraturan sedia dibuat - anda hanya perlu meluluskannya.
Permintaan boleh dihantar ke [e-mel dilindungi] dan dalam permintaan tulis: "Saya mahu membuat UTD untuk Proses Migrasi."
Malah, kerja makmal yang dipanggil Unified Test Drive (UTD) mempunyai beberapa pilihan dan kesemuanya
Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan.
Adakah anda mahu seseorang membantu anda mengoptimumkan dasar tembok api anda?
-
Ya
-
Tiada
-
Saya akan melakukan semuanya sendiri
Belum ada yang mengundi. Tidak ada pantang.
Sumber: www.habr.com