Cum se evaluează eficacitatea unei configurații NGFW
Cea mai comună sarcină este să verificați cât de eficient este configurat firewall-ul dvs. Pentru a face acest lucru, există utilități și servicii gratuite de la companii care se ocupă de NGFW.
De exemplu, puteți vedea mai jos că Palo Alto Networks are capacitatea de a face direct de la
CUPRINS
Expediție (Instrument de migrare)
O opțiune mai complexă pentru verificarea setărilor este să descărcați un utilitar gratuit
Optimizatorul de politici
Și cea mai convenabilă opțiune (IMHO), despre care vă voi spune mai detaliat astăzi, este optimizatorul de politici încorporat în interfața Palo Alto Networks în sine. Pentru a demonstra acest lucru, am instalat un firewall acasă și am scris o regulă simplă: permiteți orice oricărui. În principiu, uneori văd astfel de reguli chiar și în rețelele corporative. Desigur, am activat toate profilurile de securitate NGFW, așa cum puteți vedea în captura de ecran:
Captura de ecran de mai jos arată un exemplu de firewall neconfigurat de acasă, unde aproape toate conexiunile se încadrează în ultima regulă: AllowAll, așa cum se poate vedea din statisticile din coloana Hit Count.
Încredere zero
Există o abordare a securității numită
Apropo, setul minim de setări necesare pentru Palo Alto Networks NGFW este descris într-unul dintre documentele SANS:
Deci, am avut un firewall acasă timp de o săptămână. Să vedem ce fel de trafic există în rețeaua mea:
Dacă sortați după numărul de sesiuni, atunci majoritatea sunt create de bittorent, apoi vine SSL, apoi QUIC. Acestea sunt statistici atât pentru traficul de intrare, cât și pentru cel de ieșire: există o mulțime de scanări externe ale routerului meu. Există 150 de aplicații diferite în rețeaua mea.
Deci, toate acestea au fost ratate de o singură regulă. Să vedem acum ce spune Policy Optimizer despre asta. Dacă te-ai uitat mai sus la captura de ecran a interfeței cu reguli de securitate, atunci în stânga jos ai văzut o fereastră mică care îmi sugerează că există reguli care pot fi optimizate. Hai să facem clic acolo.
Ce arată Policy Optimizer:
- Care politici nu au fost folosite deloc, 30 de zile, 90 de zile. Acest lucru vă ajută să luați decizia de a le elimina complet.
- Ce aplicații au fost specificate în politici, dar nu au fost detectate astfel de aplicații în trafic. Acest lucru vă permite să eliminați aplicațiile inutile în regulile de autorizare.
- Ce politici au permis totul, dar au existat de fapt aplicații pe care ar fi fost bine să le indicăm în mod explicit conform metodologiei Zero Trust.
Să facem clic pe Neutilizat.
Pentru a arăta cum funcționează, am adăugat câteva reguli și până acum nu au ratat niciun pachet astăzi. Iată lista lor:
Poate că în timp va fi trafic acolo și apoi vor dispărea din această listă. Și dacă sunt pe această listă timp de 90 de zile, atunci puteți decide să ștergeți aceste reguli. La urma urmei, fiecare regulă oferă o oportunitate pentru un hacker.
Există o problemă reală la configurarea unui firewall: vine un nou angajat, se uită la regulile firewall-ului, dacă nu au niciun comentariu și nu știe de ce a fost creată această regulă, dacă este cu adevărat necesară, dacă poate fi șters: dintr-o dată persoana este în vacanță și după În 30 de zile, traficul va curge din nou din serviciul de care are nevoie. Și tocmai această funcție îl ajută să ia o decizie - nimeni nu o folosește - șterge-o!
Faceți clic pe Aplicație neutilizată.
Facem clic pe Aplicație neutilizată din optimizator și vedem că informații interesante se deschid în fereastra principală.
Vedem că există trei reguli, în care numărul de cereri permise și numărul de cereri care au trecut de fapt această regulă sunt diferite.
Putem face clic și vedea o listă cu aceste aplicații și putem compara aceste liste.
De exemplu, faceți clic pe butonul Comparați pentru regula Max.
Aici puteți vedea că aplicațiile facebook, instagram, telegram, vkontakte au fost permise. Dar, în realitate, traficul a mers doar către unele dintre subaplicații. Aici trebuie să înțelegeți că aplicația facebook conține mai multe subaplicații.
Întreaga listă a aplicațiilor NGFW poate fi văzută pe portal
Deci, unele dintre aceste subaplicații au fost văzute de NGFW, dar altele nu. De fapt, puteți interzice și permite separat diferite sub-funcții ale Facebook. De exemplu, permiteți vizualizarea mesajelor, dar interziceți chat-ul sau transferul de fișiere. În consecință, Policy Optimizer vorbește despre asta și poți lua o decizie: să nu permiti toate aplicațiile Facebook, ci doar pe cele principale.
Așadar, ne-am dat seama că listele sunt diferite. Vă puteți asigura că regulile permit doar acele aplicații care călătoresc efectiv în rețea. Pentru a face acest lucru, faceți clic pe butonul MatchUsage. Se dovedește așa:
Și puteți adăuga, de asemenea, aplicații pe care le considerați necesare - butonul Adaugă din partea stângă a ferestrei:
Și atunci această regulă poate fi aplicată și testată. Felicitări!
Faceți clic pe Nicio aplicație specificată.
În acest caz, se va deschide o fereastră de securitate importantă.
Cel mai probabil, există o mulțime de astfel de reguli în rețeaua dvs. în care aplicația de nivel L7 nu este specificată în mod explicit. Și în rețeaua mea există o astfel de regulă - permiteți-mi să vă reamintesc că am făcut-o în timpul configurării inițiale, în special pentru a arăta cum funcționează Policy Optimizer.
Imaginea arată că regula AllowAll a permis 9 de gigaocteți de trafic în perioada 17 martie - 220 martie, adică 150 de aplicații diferite în rețeaua mea. Și asta nu este suficient. De obicei, o rețea corporativă de dimensiuni medii are 200-300 de aplicații diferite.
Deci, o regulă permite trecerea a până la 150 de aplicații. De obicei, aceasta înseamnă că firewall-ul nu este configurat corect, deoarece de obicei o regulă permite 1-10 aplicații pentru diferite scopuri. Să vedem care sunt aceste aplicații: faceți clic pe butonul Comparați:
Cel mai minunat lucru pentru un administrator în funcția Policy Optimizer este butonul Match Usage - puteți crea o regulă cu un singur clic, unde veți introduce toate cele 150 de aplicații în regulă. A face acest lucru manual ar dura destul de mult timp. Numărul de sarcini la care trebuie să lucreze un administrator, chiar și în rețeaua mea de 10 dispozitive, este enorm.
Am 150 de aplicații diferite care rulează acasă, transferând gigaocteți de trafic! Și cât ai?
Dar ce se întâmplă într-o rețea de 100 de dispozitive sau 1000 sau 10000? Am văzut firewall-uri cu 8000 de reguli și sunt foarte bucuros că acum administratorii au instrumente de automatizare atât de convenabile.
Unele dintre aplicațiile pe care modulul de analiză a aplicației L7 din NGFW le-a văzut și a arătat că nu le veți avea nevoie în rețea, așa că pur și simplu le eliminați din lista de reguli de permitere sau clonați regulile folosind butonul Clona (în interfața principală) și permiteți-le într-o regulă de aplicație, iar în Veți bloca alte aplicații, deoarece cu siguranță nu sunt necesare în rețeaua dvs. Astfel de aplicații includ adesea bittorent, steam, ultrasurf, tor, tuneluri ascunse, cum ar fi tcp-over-dns și altele.
Ei bine, haideți să facem clic pe o altă regulă și să vedem ce puteți vedea acolo:
Da, există aplicații tipice pentru multicast. Trebuie să le permitem vizionarea video online să funcționeze. Faceți clic pe Utilizare potrivire. Grozav! Mulțumim Optimizatorul de politici.
Ce zici de Machine Learning?
Acum este la modă să vorbim despre automatizare. Ceea ce am descris a ieșit - ajută foarte mult. Mai există o posibilitate despre care ar trebui să vorbesc. Aceasta este funcționalitatea Machine Learning încorporată în utilitarul Expedition, care a fost deja menționată mai sus. În acest utilitar, este posibil să transferați reguli de la vechiul firewall de la alt producător. Există, de asemenea, capacitatea de a analiza jurnalele de trafic existente Palo Alto Networks și de a sugera ce reguli să scrieți. Aceasta este similară cu funcționalitatea Policy Optimizer, dar în Expedition este și mai extins și vi se oferă o listă de reguli gata făcute - trebuie doar să le aprobați.
Solicitarea poate fi trimisă la [e-mail protejat] iar în cerere scrieți: „Vreau să fac un UTD pentru Procesul de Migrare”.
De fapt, munca de laborator numită Unified Test Drive (UTD) are mai multe opțiuni și toate
Numai utilizatorii înregistrați pot participa la sondaj.
Doriți ca cineva să vă ajute să vă optimizați politicile de firewall?
-
Da
-
Nu
-
Voi face totul singur
Nimeni nu a votat încă. Nu există abțineri.
Sursa: www.habr.com