Como avaliar a eficácia do ajuste do NGFW
A tarefa mais comum é verificar o quão bem o seu firewall está configurado. Para fazer isso, existem utilitários e serviços gratuitos de empresas que lidam com NGFW.
Por exemplo, abaixo você pode ver que a Palo Alto Networks tem a capacidade de diretamente de executar análise de estatísticas de firewall - relatório SLR ou análise de conformidade com as melhores práticas - relatório BPA. Estes são utilitários online gratuitos que você pode usar sem instalar nada.
ÍNDICE
Expedição (ferramenta de migração)
Uma opção mais complicada para verificar suas configurações é baixar um utilitário gratuito (antiga ferramenta de migração). Ele é baixado como um dispositivo virtual para VMware, nenhuma configuração é necessária - você precisa baixar a imagem e implantá-la no hipervisor VMware, executá-la e acessar a interface da web. Este utilitário requer uma história separada, apenas o curso leva 5 dias, existem tantas funções agora, incluindo Machine Learning e migração de várias configurações de políticas, NAT e objetos para diferentes fabricantes de firewall. Sobre Machine Learning, escreverei mais adiante no texto.
Otimizador de políticas
E a opção mais conveniente (IMHO), sobre a qual falarei com mais detalhes hoje, é o otimizador de política integrado à própria interface da Palo Alto Networks. Para demonstrá-lo, instalei um firewall em minha casa e escrevi uma regra simples: permitir qualquer um a qualquer um. Em princípio, às vezes vejo essas regras mesmo em redes corporativas. Naturalmente, habilitei todos os perfis de segurança NGFW, como você pode ver na captura de tela:
A captura de tela abaixo mostra um exemplo do meu firewall doméstico não configurado, onde quase todas as conexões se enquadram na última regra: AllowAll, como pode ser visto nas estatísticas na coluna Hit Count.
Confiança zero
Existe uma abordagem de segurança chamada . O que isso significa: devemos permitir às pessoas dentro da rede exatamente as conexões de que precisam e proibir todo o resto. Ou seja, precisamos adicionar regras claras para aplicativos, usuários, categorias de URL, tipos de arquivo; habilite todas as assinaturas de IPS e antivírus, habilite sandbox, proteção de DNS, use IoC de bancos de dados de Threat Intelligence disponíveis. Em geral, há uma quantidade razoável de tarefas ao configurar um firewall.
A propósito, o conjunto mínimo de configurações necessárias para Palo Alto Networks NGFW é descrito em um dos documentos do SANS: Recomendo começar por ele. E, claro, existe um conjunto de práticas recomendadas para configurar um firewall do fabricante: .
Então, eu tive um firewall em casa por uma semana. Vamos ver qual é o tráfego na minha rede:
Se classificado pelo número de sessões, a maioria delas é criada por bittorent, depois vem o SSL e depois o QUIC. Estas são estatísticas para o tráfego de entrada e saída: há muitas varreduras externas do meu roteador. Existem 150 aplicativos diferentes na minha rede.
Então, tudo foi ignorado por uma regra. Agora vamos ver o que o Policy Optimizer diz sobre isso. Se você olhou a captura de tela da interface com as regras de segurança acima, viu uma pequena janela no canto inferior esquerdo, o que me indica que existem regras que podem ser otimizadas. Vamos clicar lá.
O que o Policy Optimizer mostra:
- Quais políticas não foram usadas, 30 dias, 90 dias. Isso ajuda a tomar a decisão de removê-los completamente.
- Quais aplicativos foram especificados nas políticas, mas nenhum desses aplicativos foi encontrado no tráfego. Isso permite remover aplicativos desnecessários nas regras de permissão.
- Quais políticas permitiam tudo, mas realmente havia aplicativos que seriam bons para indicar explicitamente de acordo com a metodologia Zero Trust.
Clique em Não utilizado.
Para mostrar como funciona, adicionei algumas regras e até agora eles não perderam um único pacote até agora. Aqui está a lista deles:
Talvez, com o tempo, o tráfego passe por lá e eles desapareçam desta lista. E se eles estiverem nesta lista por 90 dias, você pode decidir remover essas regras. Afinal, cada regra oferece uma oportunidade para um hacker.
Existe um problema real com a configuração do firewall: chega um funcionário novo, olha as regras do firewall, se não tem comentários e não sabe porque essa regra foi criada, é mesmo necessário, pode ser deletado: de repente a pessoa é nas férias e até 30 dias o tráfego voltará a sair do serviço que necessita. E apenas essa função o ajuda a tomar uma decisão - ninguém a usa - exclua!
Clique em Aplicativo não utilizado.
Clicamos em Unused App no otimizador e vemos que informações interessantes se abrem na janela principal.
Vemos que existem três regras, onde o número de aplicativos permitidos e o número de aplicativos que realmente passaram por essa regra são diferentes.
Podemos clicar e ver uma lista desses aplicativos e comparar essas listas.
Por exemplo, vamos clicar no botão Compare para a regra Max.
Aqui você pode ver que os aplicativos do facebook, instagram, telegram, vkontakte foram permitidos. Mas, na realidade, o tráfego passou apenas por parte dos subaplicativos. Aqui você precisa entender que o aplicativo do Facebook contém vários subaplicativos.
A lista completa de aplicativos NGFW pode ser vista no portal e na própria interface do firewall, na seção Objetos->Aplicativos e na busca, digite o nome do aplicativo: facebook, você obterá o seguinte resultado:
Portanto, o NGFW viu alguns desses subaplicativos e outros não. Na verdade, você pode desativar e ativar separadamente diferentes subfunções do Facebook. Por exemplo, permitir que você visualize mensagens, mas proibir bate-papo ou transferências de arquivos. Assim, o Policy Optimizer fala sobre isso e você pode tomar uma decisão: não permitir todos os aplicativos do Facebook, mas apenas os principais.
Então, percebemos que as listas são diferentes. Você pode garantir que as regras permitam apenas os aplicativos que realmente circulam na rede. Para fazer isso, clique no botão MatchUsage. Acontece assim:
E você também pode adicionar os aplicativos que considerar necessários - o botão Adicionar no lado esquerdo da janela:
E então esta regra pode ser aplicada e testada. Parabéns!
Clique em Nenhum aplicativo especificado.
Nesse caso, uma importante janela de segurança será aberta.
Provavelmente, existem muitas dessas regras em que o aplicativo de nível L7 não é explicitamente especificado em sua rede. E na minha rede existe essa regra - deixe-me lembrar que fiz isso durante a configuração inicial, especificamente para mostrar como funciona o Otimizador de políticas.
A imagem mostra que a regra AllowAll perdeu 9 gigabytes de tráfego no período de 17 a 220 de março, o que representa um total de 150 aplicativos diferentes em minha rede. E isso ainda não é suficiente. Normalmente, uma rede corporativa de médio porte tem de 200 a 300 aplicativos diferentes.
Portanto, uma regra falha em até 150 aplicativos. Isso geralmente significa que o firewall está configurado incorretamente, porque geralmente 1 a 10 aplicativos para finalidades diferentes são ignorados em uma regra. Vejamos quais são esses aplicativos: clique no botão Comparar:
A coisa mais maravilhosa para o administrador no recurso Policy Optimizer é o botão Match Usage - você pode criar uma regra com um clique, onde inserirá todos os 150 aplicativos na regra. Fazer isso manualmente levaria muito tempo. A quantidade de tarefas para o administrador, mesmo na minha rede de 10 aparelhos, é enorme.
Tenho 150 aplicativos diferentes rodando em casa, transmitindo gigabytes de tráfego! E quanto você tem?
Mas o que acontece em uma rede de 100 dispositivos ou 1000 ou 10000? Já vi firewalls com 8000 regras e estou muito feliz que os administradores agora tenham ferramentas de automação tão convenientes.
Você não precisará de alguns dos aplicativos que o módulo de análise de aplicativos L7 no NGFW viu e mostrou na rede, basta removê-los da lista da regra de permissão ou clonar as regras com o botão Clone (na interface principal) e permitir em uma regra de aplicativo e em Bloquear outros aplicativos como se eles definitivamente não fossem necessários em sua rede. Tais aplicativos geralmente se tornam bittorent, steam, ultrasurf, tor, túneis ocultos como tcp-over-dns e outros.
Bem, clique em outra regra - o que você pode ver lá:
Sim, existem aplicativos específicos para multicast. Devemos permitir que eles funcionem para que a visualização de vídeo pela rede funcione. Clique em Uso correspondente. Ótimo! Obrigado Otimizador de políticas.
E o aprendizado de máquina?
Agora está na moda falar sobre automação. O que descrevi saiu - ajuda muito. Há outra possibilidade que devo mencionar. Esta é a funcionalidade de Machine Learning incorporada ao utilitário Expedition mencionado acima. Neste utilitário é possível transferir regras do seu antigo firewall de outro fabricante. E também há a capacidade de analisar os logs de tráfego existentes da Palo Alto Networks e sugerir quais regras escrever. Isso é semelhante à funcionalidade do Policy Optimizer, mas no Expedition é ainda mais avançado e você recebe uma lista de regras prontas - você só precisa aprová-las.
Para testar essa funcionalidade, existe um trabalho de laboratório - chamamos de test drive. Esse teste pode ser feito acessando os firewalls virtuais que a equipe do escritório da Palo Alto Networks em Moscou iniciará a seu pedido.
A solicitação pode ser enviada para [email protegido] e no pedido escreva: "Quero fazer um UTD para o Processo de Migração."
Na verdade, existem várias opções de laboratórios chamados Unified Test Drive (UTD) e todos eles após solicitação.
Apenas usuários registrados podem participar da pesquisa. por favor
Você quer alguém para ajudá-lo a otimizar suas políticas de firewall?
-
Sim
-
Não
-
eu vou fazer tudo sozinho
Ninguém votou ainda. Não há abstenções.
Fonte: habr.com