ProHoster > Blog > Pentadbiran > Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Cara Menilai Keberkesanan Persediaan NGFW

Tugas yang paling biasa ialah menyemak sejauh mana firewall anda dikonfigurasikan. Untuk melakukan ini, terdapat utiliti dan perkhidmatan percuma daripada syarikat yang berurusan dengan NGFW.

Sebagai contoh, di bawah anda boleh melihat bahawa Rangkaian Palo Alto mempunyai keupayaan untuk terus daripada portal sokongan jalankan analisis statistik tembok api - laporan SLR atau analisis pematuhan amalan terbaik - laporan BPA. Ini adalah utiliti dalam talian percuma yang boleh anda gunakan tanpa memasang apa-apa.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

KANDUNGAN

Ekspedisi (Alat Migrasi)
Pengoptimum Dasar
Kepercayaan Sifar
Klik pada Tidak Digunakan
Klik pada Apl Tidak Digunakan
Klik Tiada Apl Ditentukan
Bagaimana pula dengan Pembelajaran Mesin?
UTD

Ekspedisi (Alat Migrasi)

Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Pilihan yang lebih rumit untuk menyemak tetapan anda ialah memuat turun utiliti percuma Ekspedisi (bekas Alat Migrasi). Ia dimuat turun sebagai Perkakas Maya untuk VMware, tiada tetapan diperlukan dengannya - anda perlu memuat turun imej dan menggunakan ia di bawah hipervisor VMware, jalankannya dan pergi ke antara muka web. Utiliti ini memerlukan cerita yang berasingan, hanya kursus mengenainya mengambil masa 5 hari, terdapat begitu banyak fungsi sekarang, termasuk Pembelajaran Mesin dan penghijrahan pelbagai konfigurasi dasar, NAT dan objek untuk pengeluar Firewall yang berbeza. Mengenai Pembelajaran Mesin, saya akan menulis lebih lanjut kemudian dalam teks.

Pengoptimum Dasar

Dan pilihan yang paling mudah (IMHO), yang akan saya bincangkan dengan lebih terperinci hari ini, ialah pengoptimum dasar yang terbina dalam antara muka Rangkaian Palo Alto itu sendiri. Untuk menunjukkannya, saya memasang tembok api di rumah saya dan menulis peraturan mudah: membenarkan mana-mana kepada mana-mana. Pada dasarnya, saya kadang-kadang melihat peraturan sedemikian walaupun dalam rangkaian korporat. Sememangnya, saya mendayakan semua profil keselamatan NGFW, seperti yang anda boleh lihat dalam tangkapan skrin:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Tangkapan skrin di bawah menunjukkan contoh tembok api rumah saya yang tidak dikonfigurasikan, di mana hampir semua sambungan termasuk dalam peraturan terakhir: AllowAll, seperti yang boleh dilihat daripada statistik dalam lajur Hit Count.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Kepercayaan Sifar

Terdapat pendekatan untuk keselamatan dipanggil Kepercayaan Sifar. Maksudnya: kita mesti membenarkan orang dalam rangkaian betul-betul sambungan yang mereka perlukan dan melarang semua yang lain. Iaitu, kita perlu menambah peraturan yang jelas untuk aplikasi, pengguna, kategori URL, jenis fail; dayakan semua tandatangan IPS dan antivirus, dayakan kotak pasir, perlindungan DNS, gunakan IoC daripada pangkalan data Perisikan Ancaman yang tersedia. Secara umum, terdapat sejumlah tugas yang baik semasa menyediakan tembok api.

By the way, set minimum tetapan yang diperlukan untuk Palo Alto Networks NGFW diterangkan dalam salah satu dokumen SANS: Penanda Aras Konfigurasi Keselamatan Rangkaian Palo Alto Saya cadangkan bermula dengannya. Dan sudah tentu, terdapat satu set amalan terbaik untuk menyediakan tembok api daripada pengilang: Amalan Terbaik.

Jadi, saya mempunyai tembok api di rumah selama seminggu. Mari lihat trafik pada rangkaian saya:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Jika diisih mengikut bilangan sesi, maka kebanyakannya dicipta oleh bittorent, kemudian datang SSL, kemudian QUIC. Ini adalah statistik untuk kedua-dua trafik masuk dan keluar: terdapat banyak imbasan luaran penghala saya. Terdapat 150 aplikasi berbeza dalam rangkaian saya.

Jadi, semuanya dilangkau oleh satu peraturan. Sekarang mari kita lihat apa yang dikatakan oleh Pengoptimum Dasar tentang perkara ini. Jika anda melihat tangkapan skrin antara muka dengan peraturan keselamatan di atas, maka anda melihat tetingkap kecil di bahagian bawah sebelah kiri, yang membayangkan kepada saya bahawa terdapat peraturan yang boleh dioptimumkan. Jom klik di sana.

Perkara yang ditunjukkan oleh Pengoptimum Dasar:

  • Polisi mana yang tidak digunakan sama sekali, 30 hari, 90 hari. Ini membantu membuat keputusan untuk membuangnya sama sekali.
  • Aplikasi mana yang dinyatakan dalam dasar, tetapi tiada aplikasi sedemikian ditemui dalam trafik. Ini membolehkan anda mengalih keluar aplikasi yang tidak diperlukan dalam peraturan membenarkan.
  • Dasar mana yang membenarkan segala-galanya, tetapi sebenarnya terdapat aplikasi yang bagus untuk ditunjukkan secara jelas mengikut metodologi Zero Trust.

Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan

Jom klik pada Unused.

Untuk menunjukkan cara ia berfungsi, saya menambah beberapa peraturan dan setakat ini mereka tidak terlepas satu paket hari ini. Berikut adalah senarai mereka:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Mungkin lama-kelamaan akan ada lalu lintas di sana dan kemudian mereka akan hilang dari senarai ini. Dan jika mereka berada dalam senarai ini selama 90 hari, maka anda boleh memutuskan untuk memadamkan peraturan ini. Lagipun, setiap peraturan memberi peluang kepada penggodam.

Terdapat masalah sebenar dengan konfigurasi tembok api: pekerja baharu datang, melihat peraturan tembok api, jika mereka tidak mempunyai komen dan tidak tahu mengapa peraturan ini dibuat, adakah ia benar-benar perlu, bolehkah ia dipadamkan: tiba-tiba orang itu semasa bercuti dan melalui 30 hari lalu lintas akan kembali dari perkhidmatan yang diperlukan. Dan hanya fungsi ini membantu dia membuat keputusan - tiada siapa yang menggunakannya - padamkannya!

Klik pada Apl Tidak Digunakan.

Kami mengklik pada Apl Tidak Digunakan dalam pengoptimum dan melihat bahawa maklumat menarik dibuka dalam tetingkap utama.

Kami melihat bahawa terdapat tiga peraturan, di mana bilangan permohonan yang dibenarkan dan bilangan permohonan yang benar-benar lulus peraturan ini adalah berbeza.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Kami boleh mengklik dan melihat senarai aplikasi ini dan membandingkan senarai ini.
Sebagai contoh, mari kita klik pada butang Bandingkan untuk peraturan Maks.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Di sini anda boleh melihat bahawa aplikasi facebook, instagram, telegram, vkontakte dibenarkan. Tetapi pada hakikatnya, trafik hanya melalui sebahagian daripada sub-aplikasi. Di sini anda perlu memahami bahawa aplikasi facebook mengandungi beberapa sub-aplikasi.

Keseluruhan senarai aplikasi NGFW boleh dilihat di portal applipedia.paloaltonetworks.com dan dalam antara muka tembok api itu sendiri, dalam bahagian Objects->Applications dan dalam carian, taip nama aplikasi: facebook, anda akan mendapat hasil berikut:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Jadi, beberapa sub-aplikasi ini dilihat oleh NGFW, tetapi ada yang tidak. Malah, anda boleh melarang dan membenarkan subfungsi Facebook yang berbeza secara berasingan. Contohnya, benarkan melihat mesej, tetapi larang sembang atau pemindahan fail. Sehubungan itu, Pengoptimum Dasar membincangkan perkara ini dan anda boleh membuat keputusan: tidak membenarkan semua aplikasi Facebook, tetapi hanya yang utama.

Jadi, kami menyedari bahawa senarai adalah berbeza. Anda boleh memastikan bahawa peraturan membenarkan hanya aplikasi yang benar-benar merayau rangkaian. Untuk melakukan ini, anda klik butang MatchUsage. Ternyata begini:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Dan anda juga boleh menambah aplikasi yang anda anggap perlu - butang Tambah di sebelah kiri tetingkap:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Dan kemudian peraturan ini boleh digunakan dan diuji. tahniah!

Klik Tiada Apl Ditentukan.

Dalam kes ini, tetingkap keselamatan penting akan dibuka.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Kemungkinan besar terdapat banyak peraturan sedemikian dalam rangkaian anda di mana aplikasi tahap L7 tidak dinyatakan secara eksplisit. Dan dalam rangkaian saya terdapat peraturan sedemikian - izinkan saya mengingatkan anda bahawa saya telah membuatnya semasa persediaan awal, khususnya untuk menunjukkan cara Pengoptimum Dasar berfungsi.

Gambar menunjukkan bahawa peraturan AllowAll terlepas 9 gigabait trafik sepanjang tempoh dari 17 Mac hingga 220 Mac, iaitu sejumlah 150 aplikasi berbeza dalam rangkaian saya. Dan ini masih tidak mencukupi. Biasanya, rangkaian korporat bersaiz sederhana mempunyai 200-300 aplikasi yang berbeza.

Jadi, satu peraturan terlepas sebanyak 150 permohonan. Biasanya ini bermakna bahawa tembok api tidak dikonfigurasikan dengan betul, kerana biasanya satu peraturan membenarkan 1-10 aplikasi untuk tujuan yang berbeza. Mari lihat apakah aplikasi ini: klik butang Bandingkan:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Perkara yang paling menarik untuk pentadbir dalam ciri Pengoptimum Dasar ialah butang Penggunaan Padanan - anda boleh membuat peraturan dengan satu klik, di mana anda akan memasukkan kesemua 150 aplikasi ke dalam peraturan. Melakukannya secara manual akan mengambil masa terlalu lama. Bilangan tugas untuk pentadbir, walaupun pada rangkaian 10 peranti saya, adalah besar.

Saya mempunyai 150 aplikasi berbeza berjalan di rumah, menghantar gigabait trafik! Dan berapa banyak yang anda ada?

Tetapi apa yang berlaku dalam rangkaian 100 peranti atau 1000 atau 10000? Saya telah melihat tembok api dengan 8000 peraturan dan saya sangat gembira kerana pentadbir kini mempunyai alat automasi yang begitu mudah.

Anda tidak akan memerlukan beberapa aplikasi yang modul analisis aplikasi L7 dalam NGFW lihat dan tunjukkan pada rangkaian, jadi anda cukup mengalih keluarnya daripada senarai peraturan yang dibenarkan, atau mengklon peraturan dengan butang Klon (dalam antara muka utama) dan benarkan dalam satu peraturan aplikasi, dan dalam Sekat aplikasi lain seolah-olah ia pasti tidak diperlukan pada rangkaian anda. Aplikasi sedemikian sering menjadi bittorent, steam, ultrasurf, tor, terowong tersembunyi seperti tcp-over-dns dan lain-lain.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Nah, klik pada peraturan lain - perkara yang anda boleh lihat di sana:
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Ya, terdapat aplikasi khusus untuk multicast. Kita mesti membenarkannya supaya tontonan video melalui rangkaian berfungsi. Klik Penggunaan Padanan. Hebat! Terima kasih Pengoptimum Dasar.

Bagaimana pula dengan Pembelajaran Mesin?

Sekarang adalah bergaya untuk bercakap tentang automasi. Apa yang saya terangkan keluar - ia banyak membantu. Terdapat satu lagi kemungkinan yang mesti saya sebutkan. Ini ialah fungsi Pembelajaran Mesin yang terbina dalam utiliti Ekspedisi yang dinyatakan di atas. Dalam utiliti ini, adalah mungkin untuk memindahkan peraturan dari firewall lama anda daripada pengeluar lain. Dan terdapat juga keupayaan untuk menganalisis log trafik Rangkaian Palo Alto sedia ada dan mencadangkan peraturan yang hendak ditulis. Ini adalah serupa dengan fungsi Pengoptimum Dasar, tetapi dalam Ekspedisi ia lebih dilanjutkan dan anda ditawarkan senarai peraturan sedia dibuat - anda hanya perlu meluluskannya.
Untuk menguji fungsi ini, terdapat kerja makmal - kami memanggilnya sebagai pandu uji. Ujian ini boleh dilakukan dengan pergi ke tembok api maya yang akan dilancarkan oleh kakitangan pejabat Palo Alto Networks Moscow atas permintaan anda.
Rangkaian Palo Alto NGFW Pengoptimum Dasar Keselamatan
Permintaan boleh dihantar ke [e-mel dilindungi] dan dalam permintaan tulis: "Saya mahu membuat UTD untuk Proses Migrasi."

Malah, kerja makmal yang dipanggil Unified Test Drive (UTD) mempunyai beberapa pilihan dan kesemuanya tersedia dari jauh selepas permintaan.

Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. Log masuk, Sama-sama.

Adakah anda mahu seseorang membantu anda mengoptimumkan dasar tembok api anda?

  • Ya

  • Tiada

  • Saya akan melakukan semuanya sendiri

Belum ada yang mengundi. Tidak ada pantang.

Sumber: www.habr.com

Tambah komen