Hvordan evaluere effektiviteten av NGFW-innstilling
Den vanligste oppgaven er å sjekke hvor godt brannmuren din er konfigurert. For å gjøre dette er det gratis verktøy og tjenester fra selskaper som har å gjøre med NGFW.
Nedenfor kan du for eksempel se at Palo Alto Networks har muligheten til å direkte fra kjøre brannmurstatistikkanalyse - SLR-rapport eller beste praksis-samsvarsanalyse - BPA-rapport. Dette er gratis online verktøy som du kan bruke uten å installere noe.
INNHOLD
Ekspedisjon (migrasjonsverktøy)
Et mer komplisert alternativ for å sjekke innstillingene dine er å laste ned et gratis verktøy (tidligere Migrasjonsverktøy). Den lastes ned som en Virtual Appliance for VMware, ingen innstillinger kreves med den - du må laste ned bildet og distribuere det under VMware-hypervisoren, kjøre det og gå til webgrensesnittet. Dette verktøyet krever en egen historie, bare kurset på det tar 5 dager, det er så mange funksjoner nå der, inkludert maskinlæring og migrering av ulike konfigurasjoner av policyer, NAT og objekter for forskjellige brannmurprodusenter. Om Machine Learning vil jeg skrive mer senere i teksten.
Policy Optimizer
Og det mest praktiske alternativet (IMHO), som jeg skal snakke om mer detaljert i dag, er policyoptimaliseringen innebygd i selve Palo Alto Networks-grensesnittet. For å demonstrere det, installerte jeg en brannmur i hjemmet mitt og skrev en enkel regel: tillat enhver til enhver. I prinsippet ser jeg noen ganger slike regler selv i bedriftsnettverk. Naturligvis aktivert jeg alle NGFW-sikkerhetsprofiler, som du kan se på skjermbildet:
Skjermbildet nedenfor viser et eksempel på min hjemme ukonfigurerte brannmur, der nesten alle tilkoblinger faller inn under den siste regelen: AllowAll, som kan sees fra statistikken i Trefftelling-kolonnen.
Null tillit
Det er en tilnærming til sikkerhet som heter . Hva dette betyr: vi må tillate folk i nettverket akkurat de forbindelsene de trenger og forby alt annet. Det vil si at vi må legge til klare regler for applikasjoner, brukere, URL-kategorier, filtyper; aktiver alle IPS- og antivirussignaturer, aktiver sandkasse, DNS-beskyttelse, bruk IoC fra tilgjengelige Threat Intelligence-databaser. Generelt er det en anstendig mengde oppgaver når du setter opp en brannmur.
Forresten, minimumssettet med nødvendige innstillinger for Palo Alto Networks NGFW er beskrevet i et av SANS-dokumentene: Jeg anbefaler å begynne med det. Og selvfølgelig er det et sett med beste praksis for å sette opp en brannmur fra produsenten: .
Så jeg hadde en brannmur hjemme i en uke. La oss se hvilken trafikk som er på nettverket mitt:
Hvis sortert etter antall økter, er de fleste av dem opprettet av bittorent, så kommer SSL, deretter QUIC. Dette er statistikk for både innkommende og utgående trafikk: det er mange eksterne skanninger av ruteren min. Det er 150 forskjellige applikasjoner i nettverket mitt.
Så det ble hoppet over av én regel. La oss nå se hva policyoptimereren sier om dette. Hvis du så på skjermbildet av grensesnittet med sikkerhetsregler ovenfor, så du et lite vindu nederst til venstre, som tipser meg om at det finnes regler som kan optimaliseres. La oss klikke der.
Hva viser policyoptimereren:
- Hvilke policyer ble ikke brukt i det hele tatt, 30 dager, 90 dager. Dette bidrar til å ta beslutningen om å fjerne dem helt.
- Hvilke applikasjoner var spesifisert i policyene, men ingen slike applikasjoner ble funnet i trafikken. Dette lar deg fjerne unødvendige applikasjoner i tillatelsesregler.
- Hvilke retningslinjer tillot alt, men det var virkelig applikasjoner som det ville være fint å eksplisitt angi i henhold til Zero Trust-metoden.
Klikk på Ubrukt.
For å vise hvordan det fungerer, la jeg til noen få regler og så langt har de ikke gått glipp av en eneste pakke så langt. Her er listen deres:
Kanskje, over tid, vil trafikk passere dit, og så vil de forsvinne fra denne listen. Og hvis de er på denne listen i 90 dager, kan du bestemme deg for å fjerne disse reglene. Tross alt gir hver regel en mulighet for en hacker.
Det er et reelt problem med brannmurkonfigurasjonen: en ny ansatt kommer, ser på brannmurreglene, hvis de ikke har noen kommentarer og ikke vet hvorfor denne regelen ble opprettet, er den virkelig nødvendig, kan den slettes: plutselig er personen på ferie og gjennom 30 dager vil trafikken igjen gå fra tjenesten den trenger. Og nettopp denne funksjonen hjelper ham med å ta en avgjørelse - ingen bruker den - slett den!
Klikk på Ubrukt app.
Vi klikker på Unused App i optimizeren og ser at interessant informasjon åpnes i hovedvinduet.
Vi ser at det er tre regler, hvor antall tillatte søknader og antall søknader som faktisk besto denne regelen er forskjellige.
Vi kan klikke og se en liste over disse applikasjonene og sammenligne disse listene.
La oss for eksempel klikke på Sammenlign-knappen for Max-regelen.
Her kan du se at facebook, instagram, telegram, vkontakte-applikasjoner var tillatt. Men i realiteten gikk trafikken bare gjennom deler av undersøknadene. Her må du forstå at facebook-applikasjonen inneholder flere underapplikasjoner.
Hele listen over NGFW-applikasjoner kan sees på portalen og i selve brannmurgrensesnittet, i Objekt->Programmer-delen og i søket, skriv inn navnet på applikasjonen: facebook, du får følgende resultat:
Så NGFW så noen av disse underapplikasjonene, men ikke noen. Faktisk kan du deaktivere og aktivere forskjellige Facebook-underfunksjoner separat. La deg for eksempel se meldinger, men forby chat eller filoverføringer. Følgelig snakker Policy Optimizer om dette, og du kan ta en avgjørelse: ikke tillat alle Facebook-applikasjoner, men bare de viktigste.
Så vi innså at listene er forskjellige. Du kan sørge for at reglene bare tillater de applikasjonene som faktisk streifer rundt i nettverket. For å gjøre dette, klikker du på MatchUsage-knappen. Det blir slik:
Og du kan også legge til programmer som du anser som nødvendige - Legg til-knappen på venstre side av vinduet:
Og så kan denne regelen brukes og testes. Gratulerer!
Klikk Ingen apper spesifisert.
I dette tilfellet åpnes et viktig sikkerhetsvindu.
Det er mest sannsynlig mange slike regler der L7-nivåapplikasjonen ikke er eksplisitt spesifisert i nettverket ditt. Og i nettverket mitt er det en slik regel - la meg minne deg på at jeg gjorde det under det første oppsettet, spesielt for å vise hvordan Policy Optimizer fungerer.
Bildet viser at AllowAll-regelen gikk glipp av 9 gigabyte trafikk i perioden fra 17. mars til 220. mars, som er totalt 150 forskjellige applikasjoner i nettverket mitt. Og dette er fortsatt ikke nok. Vanligvis har et mellomstort bedriftsnettverk 200-300 forskjellige applikasjoner.
Så én regel går glipp av så mange som 150 søknader. Dette betyr vanligvis at brannmuren er feil konfigurert, fordi vanligvis 1-10 applikasjoner for forskjellige formål hoppes over i én regel. La oss se hva disse programmene er: klikk på Sammenlign-knappen:
Det mest fantastiske for administratoren i Policy Optimizer-funksjonen er knappen Match Usage - du kan lage en regel med ett klikk, hvor du vil legge inn alle 150 applikasjonene i regelen. Å gjøre det manuelt vil ta for lang tid. Antallet oppgaver for administratoren, selv på nettverket mitt på 10 enheter, er enormt.
Jeg har 150 forskjellige applikasjoner som kjører hjemme, som overfører gigabyte med trafikk! Og hvor mye har du?
Men hva skjer i et nettverk med 100 enheter eller 1000 eller 10000? Jeg har sett brannmurer med 8000 regler, og jeg er veldig glad for at administratorer nå har så praktiske automatiseringsverktøy.
Du trenger ikke noen av applikasjonene som L7-applikasjonsanalysemodulen i NGFW så og viste på nettverket, så du fjerner dem ganske enkelt fra listen over tillat-regelen, eller kloner reglene med Clone-knappen (i hovedgrensesnittet) og tillat i én applikasjonsregel, og i Blokker andre applikasjoner som om de definitivt ikke er nødvendige på nettverket ditt. Slike applikasjoner blir ofte bittorent, steam, ultrasurf, tor, skjulte tunneler som tcp-over-dns og andre.
Vel, klikk på en annen regel - det du kan se der:
Ja, det finnes programmer som er spesifikke for multicast. Vi må tillate dem for at videovisning over nettverket skal fungere. Klikk på Match bruk. Flott! Takk Policy Optimizer.
Hva med maskinlæring?
Nå er det mote å snakke om automatisering. Det jeg beskrev kom frem – det hjelper mye. Det er en annen mulighet som jeg må nevne. Dette er maskinlæringsfunksjonaliteten innebygd i ekspedisjonsverktøyet nevnt ovenfor. I dette verktøyet er det mulig å overføre regler fra din gamle brannmur fra en annen produsent. Og det er også muligheten til å analysere eksisterende Palo Alto Networks trafikklogger og foreslå hvilke regler som skal skrives. Dette ligner på Policy Optimizer-funksjonaliteten, men i Expedition er det enda mer avansert og du får tilbud om en liste med ferdiglagde regler - du trenger bare å godkjenne dem.
For å teste denne funksjonaliteten er det et laboratoriearbeid - vi kaller det en prøvekjøring. Denne testen kan gjøres ved å gå til de virtuelle brannmurene som Palo Alto Networks Moskva-kontorpersonale vil starte på din forespørsel.
Søknaden kan sendes til [e-postbeskyttet] og skriv i forespørselen: "Jeg vil lage en UTD for migrasjonsprosessen."
Faktisk er det flere alternativer for laboratorier kalt Unified Test Drive (UTD) og de alle etter forespørsel.
Kun registrerte brukere kan delta i undersøkelsen. , vær så snill.
Vil du at noen skal hjelpe deg med å optimalisere brannmurpolicyene dine?
-
Ja
-
Ikke
-
Jeg skal gjøre alt selv
Ingen har stemt ennå. Det er ingen avståelser.
Kilde: www.habr.com