Hoe u de effectiviteit van een NGFW-opstelling kunt evalueren
De meest voorkomende taak is om te controleren hoe effectief uw firewall is geconfigureerd. Om dit te doen, zijn er gratis hulpprogramma's en diensten van bedrijven die met NGFW te maken hebben.
Hieronder zie je bijvoorbeeld dat Palo Alto Networks de mogelijkheid heeft om rechtstreeks vanaf een analyse uitvoeren van firewallstatistieken - SLR-rapport of analyse van de naleving van best practices - BPA-rapport. Dit zijn gratis online hulpprogramma's die u kunt gebruiken zonder iets te installeren.
INHOUD
Expeditie (migratietool)
Een complexere optie voor het controleren van uw instellingen is het downloaden van een gratis hulpprogramma (voorheen Migratietool). Het wordt gedownload als een virtueel apparaat voor VMware, er zijn geen instellingen voor nodig - u moet de image downloaden en implementeren onder de VMware-hypervisor, deze starten en naar de webinterface gaan. Dit hulpprogramma vereist een apart verhaal, alleen de cursus erover duurt 5 dagen, er zijn nu zoveel functies, waaronder Machine Learning en migratie van verschillende configuraties van beleid, NAT en objecten voor verschillende Firewall-fabrikanten. Ik zal hieronder in de tekst meer schrijven over Machine Learning.
Beleidsoptimalisatie
En de handigste optie (IMHO), waarover ik je vandaag meer in detail zal vertellen, is de beleidsoptimalisatie die in de Palo Alto Networks-interface zelf is ingebouwd. Om dit te demonstreren, installeerde ik thuis een firewall en schreef een eenvoudige regel: sta alles toe. In principe zie ik dergelijke regels soms zelfs in bedrijfsnetwerken. Uiteraard heb ik alle NGFW-beveiligingsprofielen ingeschakeld, zoals je kunt zien in de schermafbeelding:
De onderstaande schermafbeelding toont een voorbeeld van mijn ongeconfigureerde firewall thuis, waarbij bijna alle verbindingen onder de laatste regel vallen: AllowAll, zoals blijkt uit de statistieken in de kolom Hit Count.
Geen vertrouwen
Er wordt een benadering van beveiliging genoemd . Wat dit betekent: we moeten mensen binnen het netwerk precies die verbindingen toestaan die ze nodig hebben en al het andere ontkennen. Dat wil zeggen dat we duidelijke regels moeten toevoegen voor applicaties, gebruikers, URL-categorieën, bestandstypen; schakel alle IPS- en antivirushandtekeningen in, schakel sandboxing en DNS-bescherming in, gebruik IoC uit de beschikbare Threat Intelligence-databases. Over het algemeen zijn er een behoorlijk aantal taken bij het instellen van een firewall.
Overigens wordt de minimale set noodzakelijke instellingen voor Palo Alto Networks NGFW beschreven in een van de SANS-documenten: - Ik raad aan om ermee te beginnen. En natuurlijk is er een aantal best practices voor het opzetten van een firewall van de fabrikant: .
Ik had dus een week lang een firewall thuis. Laten we eens kijken wat voor soort verkeer er op mijn netwerk is:
Als je sorteert op het aantal sessies, worden de meeste gemaakt door bittorent, dan komt SSL en dan QUIC. Dit zijn statistieken voor zowel inkomend als uitgaand verkeer: er zijn veel externe scans van mijn router. Er zijn 150 verschillende applicaties op mijn netwerk.
Dit alles werd dus door één regel gemist. Laten we nu eens kijken wat Policy Optimizer hierover zegt. Als je hierboven naar de schermafbeelding van de interface met beveiligingsregels keek, zag je linksonder een klein venster dat mij liet doorschemeren dat er regels zijn die kunnen worden geoptimaliseerd. Laten we daar klikken.
Wat de Policy Optimizer laat zien:
- Welk beleid is helemaal niet gebruikt, 30 dagen, 90 dagen. Dit helpt bij het nemen van de beslissing om ze volledig te verwijderen.
- Welke toepassingen zijn gespecificeerd in het beleid, maar dergelijke toepassingen zijn niet gedetecteerd in het verkeer. Hiermee kunt u onnodige toepassingen verwijderen bij het toestaan van regels.
- Welk beleid liet alles toe, maar er waren eigenlijk toepassingen die leuk geweest waren om expliciet aan te geven volgens de Zero Trust-methodiek.
Laten we op Ongebruikt klikken.
Om te laten zien hoe het werkt, heb ik een paar regels toegevoegd en tot nu toe hebben ze vandaag geen enkel pakketje gemist. Hier is hun lijst:
Misschien zal er na verloop van tijd verkeer daar zijn en dan zullen ze uit deze lijst verdwijnen. En als ze 90 dagen op deze lijst staan, kun je besluiten deze regels te verwijderen. Elke regel biedt immers een kans voor een hacker.
Er is een echt probleem bij het configureren van een firewall: er komt een nieuwe medewerker, kijkt naar de firewallregels, heeft geen opmerkingen en weet niet waarom deze regel is gemaakt, of deze echt nodig is, of deze kan worden verwijderd: plotseling is de persoon op vakantie en daarna. Binnen 30 dagen stroomt er weer verkeer van de dienst die hij nodig heeft. En juist deze functie helpt hem een beslissing te nemen - niemand gebruikt hem - verwijder hem!
Klik op Ongebruikte app.
We klikken op Ongebruikte app in de optimalisatie en zien dat er interessante informatie wordt geopend in het hoofdvenster.
We zien dat er drie regels zijn, waarbij het aantal toegestane aanvragen en het aantal aanvragen dat daadwerkelijk aan deze regel voldoet verschillend zijn.
We kunnen klikken en een lijst met deze toepassingen bekijken en deze lijsten vergelijken.
Klik bijvoorbeeld op de knop Vergelijken voor de Max-regel.
Hier kun je zien dat de applicaties facebook, instagram, telegram, vkontakte waren toegestaan. Maar in werkelijkheid ging het verkeer slechts naar enkele van de subapplicaties. Hier moet u begrijpen dat de Facebook-applicatie verschillende subapplicaties bevat.
De volledige lijst met NGFW-aanvragen is te zien op de portal en in de firewallinterface zelf, in de sectie Objecten->Toepassingen en in de zoekopdracht, typt u de naam van de applicatie: facebook, u krijgt het volgende resultaat:
Sommige van deze subtoepassingen werden dus door NGFW gezien, maar andere niet. Sterker nog, je kunt verschillende subfuncties van Facebook afzonderlijk verbieden en toestaan. Sta bijvoorbeeld het bekijken van berichten toe, maar verbied chatten of bestandsoverdracht. Dienovereenkomstig praat Policy Optimizer hierover en kunt u een beslissing nemen: sta niet alle Facebook-applicaties toe, maar alleen de belangrijkste.
We realiseerden ons dus dat de lijsten verschillend zijn. U kunt ervoor zorgen dat de regels alleen die toepassingen toestaan die daadwerkelijk op het netwerk reizen. Om dit te doen, klikt u op de knop MatchUsage. Het komt zo uit:
En u kunt ook applicaties toevoegen die u nodig acht - de knop Toevoegen aan de linkerkant van het venster:
En dan kan deze regel worden toegepast en getest. Gefeliciteerd!
Klik op Geen apps opgegeven.
In dit geval wordt een belangrijk beveiligingsvenster geopend.
Er zijn hoogstwaarschijnlijk veel van dergelijke regels in uw netwerk waarbij de toepassing op L7-niveau niet expliciet is gespecificeerd. En in mijn netwerk bestaat zo'n regel. Ik wil u eraan herinneren dat ik deze tijdens de eerste installatie heb gemaakt, specifiek om te laten zien hoe Policy Optimizer werkt.
De afbeelding laat zien dat de AllowAll-regel 9 gigabyte aan verkeer toestond in de periode van 17 maart tot 220 maart, wat neerkomt op 150 verschillende applicaties in mijn netwerk. En dat is niet genoeg. Normaal gesproken bevat een bedrijfsnetwerk van gemiddelde grootte 200 tot 300 verschillende applicaties.
Eén regel laat dus maar liefst 150 aanvragen door. Meestal betekent dit dat de firewall niet correct is geconfigureerd, omdat meestal één regel 1-10 applicaties voor verschillende doeleinden toestaat. Laten we eens kijken wat deze toepassingen zijn: klik op de knop Vergelijken:
Het mooiste voor een beheerder in de Policy Optimizer-functie is de knop Match Usage - met één klik kunt u een regel maken, waarbij u alle 150 applicaties in de regel invoert. Als u dit handmatig zou doen, zou dit behoorlijk lang duren. Het aantal taken waar een beheerder aan moet werken, zelfs op mijn netwerk van 10 apparaten, is enorm.
Ik heb thuis 150 verschillende applicaties draaien, die gigabytes aan verkeer overbrengen! En hoeveel heb je?
Maar wat gebeurt er in een netwerk van 100 apparaten of 1000 of 10000? Ik heb firewalls gezien met 8000 regels en ik ben erg blij dat beheerders nu zulke handige automatiseringstools hebben.
Sommige van de applicaties die de L7-applicatieanalysemodule in NGFW zag en liet zien, heb je niet nodig op het netwerk, dus verwijder ze eenvoudigweg uit de lijst met toegestane regels, of kloon de regels met behulp van de knop Klonen (in de hoofdinterface) en sta ze toe in één applicatieregel, en in U blokkeert u andere applicaties omdat ze absoluut niet nodig zijn op uw netwerk. Dergelijke toepassingen omvatten vaak bittorent, steam, ultrasurf, tor, verborgen tunnels zoals tcp-over-dns en andere.
Laten we op een andere regel klikken en kijken wat u daar kunt zien:
Ja, er zijn toepassingen die typisch zijn voor multicast. We moeten ervoor zorgen dat het online bekijken van video's werkt. Klik op Gebruik matchen. Geweldig! Bedankt Policy Optimizer.
Hoe zit het met machinaal leren?
Nu is het in de mode om over automatisering te praten. Wat ik beschreef kwam naar voren - het helpt veel. Er is nog een mogelijkheid waar ik het over moet hebben. Dit is de Machine Learning-functionaliteit die is ingebouwd in het Expeditie-hulpprogramma, dat hierboven al werd vermeld. In dit hulpprogramma is het mogelijk om regels over te zetten van uw oude firewall van een andere fabrikant. Er is ook de mogelijkheid om bestaande Palo Alto Networks-verkeerslogboeken te analyseren en suggesties te doen voor welke regels u moet schrijven. Dit is vergelijkbaar met de functionaliteit van Policy Optimizer, maar in Expedition is het nog uitgebreider en krijg je een lijst met kant-en-klare regels aangeboden - je hoeft ze alleen maar goed te keuren.
Om deze functionaliteit te testen, is er laboratoriumwerk nodig - we noemen dit een proefrit. Deze test kan worden gedaan door in te loggen op virtuele firewalls, die kantoormedewerkers van Palo Alto Networks in Moskou op uw verzoek zullen lanceren.
Het verzoek kunt u sturen naar [e-mail beveiligd] en schrijf in het verzoek: "Ik wil een UTD maken voor het migratieproces."
In feite heeft laboratoriumwerk genaamd Unified Test Drive (UTD) verschillende opties en allemaal na aanvraag.
Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. , Alsjeblieft.
Wilt u dat iemand u helpt uw firewallbeleid te optimaliseren?
-
Ja
-
Geen
-
Ik zal het allemaal zelf doen
Er heeft nog niemand gestemd. Er zijn geen onthoudingen.
Bron: www.habr.com