Jak ocenić skuteczność konfiguracji NGFW
Najczęstszym zadaniem jest sprawdzenie, jak skutecznie skonfigurowana jest zapora sieciowa. Aby to zrobić, istnieją bezpłatne narzędzia i usługi od firm zajmujących się NGFW.
Na przykład poniżej widać, że Palo Alto Networks ma możliwość bezpośredniego dostępu do sieci przeprowadź analizę statystyk firewalla – raport SLR lub analizę zgodności z najlepszymi praktykami – raport BPA. Są to bezpłatne narzędzia online, z których można korzystać bez konieczności instalowania czegokolwiek.
SPIS TREŚCI
Ekspedycja (narzędzie do migracji)
Bardziej złożoną opcją sprawdzenia ustawień jest pobranie bezpłatnego narzędzia (dawniej Narzędzie do migracji). Jest pobierany jako urządzenie wirtualne dla VMware, nie są wymagane żadne ustawienia - należy pobrać obraz i wdrożyć go pod hypervisorem VMware, uruchomić go i przejść do interfejsu internetowego. To narzędzie wymaga osobnej historii, tylko kurs na nim trwa 5 dni, jest teraz tak wiele funkcji, w tym Machine Learning i migracja różnych konfiguracji polityk, NAT i obiektów dla różnych producentów Firewall. Więcej o uczeniu maszynowym napiszę poniżej w tekście.
Optymalizator zasad
A najwygodniejszą opcją (IMHO), o której dzisiaj opowiem bardziej szczegółowo, jest optymalizator zasad wbudowany w sam interfejs Palo Alto Networks. Aby to zademonstrować, zainstalowałem w domu zaporę sieciową i napisałem prostą zasadę: zezwalaj na dowolne. W zasadzie czasami widzę takie zasady nawet w sieciach korporacyjnych. Oczywiście włączyłem wszystkie profile bezpieczeństwa NGFW, co widać na zrzucie ekranu:
Poniższy zrzut ekranu pokazuje przykład mojego domowego, nieskonfigurowanego firewalla, gdzie prawie wszystkie połączenia podlegają ostatniej regule: Zezwalaj na wszystko, co widać po statystykach w kolumnie Hit Count.
Zero zaufania
Istnieje podejście do bezpieczeństwa tzw . Co to oznacza: musimy umożliwić ludziom w sieci dokładnie te połączenia, których potrzebują i odmówić wszystkiego innego. Oznacza to, że musimy dodać jasne reguły dotyczące aplikacji, użytkowników, kategorii adresów URL, typów plików; włącz wszystkie sygnatury IPS i antywirusowe, włącz sandboxing, ochronę DNS, korzystaj z IoC z dostępnych baz danych Threat Intelligence. Ogólnie rzecz biorąc, podczas konfigurowania zapory ogniowej należy wykonać przyzwoitą liczbę zadań.
Nawiasem mówiąc, minimalny zestaw niezbędnych ustawień dla Palo Alto Networks NGFW opisano w jednym z dokumentów SANS: - Radzę zacząć od tego. I oczywiście istnieje zestaw najlepszych praktyk dotyczących konfigurowania zapory ogniowej od producenta: .
Tak więc przez tydzień miałem w domu firewall. Zobaczmy, jaki rodzaj ruchu jest w mojej sieci:
Jeśli posortujesz według liczby sesji, większość z nich jest tworzona przez bittorent, następnie SSL, a następnie QUIC. Są to statystyki dotyczące zarówno ruchu przychodzącego, jak i wychodzącego: istnieje wiele zewnętrznych skanów mojego routera. W mojej sieci jest 150 różnych aplikacji.
Wszystko to zostało pominięte przez jedną zasadę. Zobaczmy teraz, co na ten temat mówi Optymalizator zasad. Jeśli spojrzałeś powyżej na zrzut ekranu interfejsu z regułami bezpieczeństwa, to w lewym dolnym rogu zobaczyłeś małe okienko, które podpowiada mi, że istnieją reguły, które można zoptymalizować. Kliknijmy tam.
Co pokazuje Optymalizator zasad:
- Które polisy w ogóle nie zostały wykorzystane, 30 dni, 90 dni. Pomaga to w podjęciu decyzji o ich całkowitym usunięciu.
- Jakie aplikacje zostały określone w politykach, ale w ruchu nie wykryto takich aplikacji. Pozwala to na usunięcie niepotrzebnych aplikacji w regułach zezwalających.
- Jakie polityki pozwalały na wszystko, ale faktycznie były aplikacje, które miło byłoby jednoznacznie wskazać zgodnie z metodologią Zero Trust.
Kliknijmy Nieużywane.
Aby pokazać jak to działa dodałem kilka reguł i jak na razie nie pominęły dzisiaj ani jednej paczki. Oto ich lista:
Być może z czasem będzie tam ruch i wtedy znikną z tej listy. A jeśli znajdują się na tej liście przez 90 dni, możesz zdecydować o usunięciu tych reguł. W końcu każda reguła stwarza szansę dla hakera.
Prawdziwy problem pojawia się przy konfiguracji firewalla: przychodzi nowy pracownik, przegląda reguły firewalla, jeśli nie ma żadnych uwag i nie wie po co ta reguła została stworzona, czy jest ona w ogóle potrzebna, czy może zostać usunięty: nagle dana osoba jest na wakacjach i po W ciągu 30 dni ruch znów będzie płynął z usługi, której potrzebuje. I właśnie ta funkcja pomaga mu podjąć decyzję - nikt z niej nie korzysta - usuń ją!
Kliknij Nieużywana aplikacja.
Klikamy na Nieużywaną aplikację w optymalizatorze i widzimy, że w oknie głównym otwierają się interesujące informacje.
Widzimy, że istnieją trzy reguły, w których liczba dozwolonych aplikacji i liczba aplikacji, które faktycznie przeszły tę regułę, są różne.
Możemy kliknąć i zobaczyć listę tych aplikacji oraz porównać te listy.
Na przykład kliknij przycisk Porównaj dla reguły Max.
Tutaj możesz zobaczyć, że aplikacje Facebook, Instagram, Telegram, Vkontakte były dozwolone. Jednak w rzeczywistości ruch trafiał tylko do niektórych podaplikacji. Tutaj musisz zrozumieć, że aplikacja Facebook zawiera kilka podaplikacji.
Całą listę wniosków NGFW można zobaczyć na portalu a w samym interfejsie firewalla w sekcji Obiekty->Aplikacje i w wyszukiwarce wpisz nazwę aplikacji: facebook, otrzymasz następujący wynik:
Zatem niektóre z tych podaplikacji zostały zauważone przez NGFW, ale inne nie. W rzeczywistości możesz oddzielnie blokować i zezwalać na różne podfunkcje Facebooka. Na przykład zezwól na przeglądanie wiadomości, ale zabroń czatu lub przesyłania plików. W związku z tym Policy Optimizer mówi o tym i możesz podjąć decyzję: nie zezwalaj na wszystkie aplikacje Facebooka, ale tylko te główne.
Zrozumieliśmy więc, że listy są różne. Możesz upewnić się, że reguły zezwalają tylko na te aplikacje, które faktycznie podróżują w sieci. Aby to zrobić, kliknij przycisk MatchUsage. Okazuje się tak:
Możesz także dodać aplikacje, które uznasz za niezbędne - przycisk Dodaj po lewej stronie okna:
Następnie tę zasadę można zastosować i przetestować. Gratulacje!
Kliknij opcję Nie określono aplikacji.
W takim przypadku otworzy się ważne okno bezpieczeństwa.
Najprawdopodobniej w Twojej sieci istnieje wiele takich reguł, w których aplikacja na poziomie L7 nie jest wyraźnie określona. A w mojej sieci obowiązuje taka zasada - przypomnę, że wprowadziłem ją podczas wstępnej konfiguracji, specjalnie po to, aby pokazać, jak działa Policy Optimizer.
Na zdjęciu widać, że reguła Zezwalaj na wszystko pozwoliła na 9 gigabajtów ruchu w okresie od 17 marca do 220 marca, czyli 150 różnych aplikacji w mojej sieci. A to nie wystarczy. Zazwyczaj w sieci korporacyjnej średniej wielkości znajduje się 200–300 różnych aplikacji.
Jedna reguła przepuszcza więc aż 150 aplikacji. Zwykle oznacza to, że zapora sieciowa nie jest poprawnie skonfigurowana, ponieważ zazwyczaj jedna reguła dopuszcza 1-10 aplikacji do różnych celów. Zobaczmy, jakie to aplikacje: kliknij przycisk Porównaj:
Najwspanialszą rzeczą dla administratora w funkcji Policy Optimizer jest przycisk Dopasuj użycie - jednym kliknięciem możesz utworzyć regułę, w której wprowadzisz do reguły wszystkie 150 aplikacji. Robienie tego ręcznie zajęłoby dość dużo czasu. Liczba zadań, nad którymi musi pracować administrator, nawet w mojej sieci składającej się z 10 urządzeń, jest ogromna.
Mam w domu uruchomionych 150 różnych aplikacji, które przesyłają gigabajty ruchu! A ile masz?
Ale co dzieje się w sieci składającej się ze 100 lub 1000 lub 10000 urządzeń? Widziałem firewalle z 8000 regułami i bardzo się cieszę, że administratorzy mają teraz tak wygodne narzędzia do automatyzacji.
Część aplikacji, które moduł analizy aplikacji L7 w NGFW zobaczył i pokazał, nie będzie Ci potrzebna w sieci, więc po prostu usuń je z listy reguł zezwalających lub sklonuj reguły za pomocą przycisku Klonuj (w głównym interfejsie) i zezwól na nie w jednej regule aplikacji, a w Zablokujesz inne aplikacje, ponieważ zdecydowanie nie są one potrzebne w Twojej sieci. Takie aplikacje często obejmują bittorent, steam, ultrasurf, tor, ukryte tunele, takie jak tcp-over-dns i inne.
Cóż, kliknijmy inną regułę i zobaczmy, co tam widać:
Tak, istnieją aplikacje typowe dla multiemisji. Musimy pozwolić im na działanie oglądania wideo online. Kliknij opcję Dopasuj użycie. Świetnie! Dziękuję Optymalizator zasad.
A co z uczeniem maszynowym?
Teraz modne jest mówienie o automatyzacji. Wyszło to co opisałem - bardzo pomaga. Jest jeszcze jedna możliwość, o której powinienem porozmawiać. Jest to funkcjonalność Machine Learning wbudowana w narzędzie Expedition, o której była już mowa powyżej. Za pomocą tego narzędzia możliwe jest przeniesienie reguł ze starej zapory sieciowej innego producenta. Istnieje także możliwość analizy istniejących logów ruchu Palo Alto Networks i zasugerowania jakie reguły napisać. Przypomina to funkcjonalność Policy Optimizera, jednak w Expedition jest ona jeszcze bardziej rozbudowana i dostępna jest lista gotowych reguł, które wystarczy zatwierdzić.
Aby przetestować tę funkcjonalność, odbywa się praca laboratoryjna - nazywamy to jazdą próbną. Test ten można wykonać logując się do wirtualnych zapór sieciowych, które na Twoje żądanie uruchomią pracownicy biura Palo Alto Networks w Moskwie.
Zapytanie można wysłać na adres [email chroniony] i w żądaniu napisz: „Chcę utworzyć UTD dla procesu migracji”.
W rzeczywistości praca laboratoryjna zwana Unified Test Drive (UTD) ma kilka opcji i wszystkie z nich po prośbie.
W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. , Proszę.
Czy chcesz, aby ktoś pomógł Ci zoptymalizować zasady zapory sieciowej?
-
Tak
-
Nie
-
Zrobię to wszystko sam
Nikt jeszcze nie głosował. Nie ma głosów wstrzymujących się.
Źródło: www.habr.com