Ako vyhodnotiť efektivitu ladenia NGFW

Najbežnejšou úlohou je skontrolovať, ako dobre je nakonfigurovaný firewall. Na tento účel existujú bezplatné nástroje a služby od spoločností, ktoré sa zaoberajú NGFW.

Napríklad nižšie môžete vidieť, že Palo Alto Networks má možnosť priamo z podporný portál spustiť analýzu štatistík brány firewall - správa SLR alebo analýza dodržiavania osvedčených postupov - správa BPA. Toto sú bezplatné online nástroje, ktoré môžete použiť bez inštalácie čohokoľvek.

OBSAH

Expedícia (nástroj na migráciu)
Policy Optimizer
Nulová dôvera
Kliknite na Nepoužité
Kliknite na Nepoužitá aplikácia
Kliknite na položku Nie sú špecifikované žiadne aplikácie
A čo strojové učenie?
UTD

Expedícia (nástroj na migráciu)

Zložitejšou možnosťou na kontrolu nastavení je stiahnutie bezplatného nástroja Expedícia (bývalý nástroj na migráciu). Sťahuje sa ako Virtual Appliance pre VMware, nie sú s ním potrebné žiadne nastavenia – treba stiahnuť obraz a nasadiť ho pod hypervízorom VMware, spustiť ho a prejsť na webové rozhranie. Táto pomôcka vyžaduje samostatný príbeh, len kurz na nej trvá 5 dní, teraz je tu toľko funkcií, vrátane strojového učenia a migrácie rôznych konfigurácií politík, NAT a objektov pre rôznych výrobcov brány firewall. O strojovom učení viac napíšem neskôr v texte.

Policy Optimizer

A najpohodlnejšou možnosťou (IMHO), o ktorej dnes budem hovoriť podrobnejšie, je optimalizátor politiky zabudovaný do samotného rozhrania Palo Alto Networks. Aby som to demonštroval, nainštaloval som si doma firewall a napísal som jednoduché pravidlo: povoliť každému komukoľvek. V zásade niekedy vidím takéto pravidlá aj vo firemných sieťach. Prirodzene som povolil všetky bezpečnostné profily NGFW, ako môžete vidieť na snímke obrazovky:


Snímka obrazovky nižšie ukazuje príklad môjho domáceho nenakonfigurovaného firewallu, kde takmer všetky pripojenia spadajú pod posledné pravidlo: AllowAll, ako je vidieť zo štatistík v stĺpci Hit Count.

Nulová dôvera

Existuje prístup k bezpečnosti tzv Nulová dôvera. Čo to znamená: musíme ľuďom v rámci siete povoliť presne tie pripojenia, ktoré potrebujú, a zakázať všetko ostatné. To znamená, že musíme pridať jasné pravidlá pre aplikácie, používateľov, kategórie URL, typy súborov; povoliť všetky IPS a antivírusové podpisy, povoliť sandbox, ochranu DNS, používať IoC z dostupných databáz Threat Intelligence. Vo všeobecnosti existuje slušné množstvo úloh pri nastavovaní brány firewall.

Mimochodom, minimálny súbor požadovaných nastavení pre Palo Alto Networks NGFW je popísaný v jednom z dokumentov SANS: Benchmark konfigurácie zabezpečenia siete Palo Alto Odporúčam s tým začať. A samozrejme, existuje súbor osvedčených postupov na nastavenie brány firewall od výrobcu: Najlepší tréning.

Takže týždeň som mal doma firewall. Pozrime sa, aká je návštevnosť v mojej sieti:


Ak sú zoradené podľa počtu relácií, väčšina z nich je vytvorená bittorentom, potom prichádza SSL a potom QUIC. Toto sú štatistiky pre prichádzajúcu aj odchádzajúce prenosy: existuje veľa externých skenov môjho smerovača. V mojej sieti je 150 rôznych aplikácií.

Takže to všetko preskočilo jedno pravidlo. Teraz sa pozrime, čo o tom hovorí nástroj Policy Optimizer. Ak ste sa pozreli na snímku obrazovky rozhrania s bezpečnostnými pravidlami vyššie, vľavo dole ste videli malé okno, ktoré mi naznačuje, že existujú pravidlá, ktoré možno optimalizovať. Kliknime tam.

Čo zobrazuje nástroj Policy Optimizer:

• Ktoré zásady neboli vôbec použité, 30 dní, 90 dní. To pomáha pri rozhodovaní o ich úplnom odstránení.
• Ktoré aplikácie boli špecifikované v politikách, ale žiadne takéto aplikácie sa nenašli v prevádzke. To vám umožní odstrániť nepotrebné aplikácie v pravidlách povolenia.
• Ktoré politiky umožňovali všetko za sebou, ale naozaj existovali aplikácie, ktoré by bolo fajn explicitne uviesť podľa metodiky Zero Trust.

Kliknite na Nepoužité.

Aby som ukázal, ako to funguje, pridal som niekoľko pravidiel a zatiaľ im neušiel ani jeden paket. Tu je ich zoznam:

Možno tam časom prejde doprava a potom z tohto zoznamu zmiznú. A ak sú na tomto zozname 90 dní, môžete sa rozhodnúť tieto pravidlá odstrániť. Koniec koncov, každé pravidlo poskytuje príležitosť pre hackera.

S konfiguráciou firewallu je skutočný problém: príde nový zamestnanec, pozrie sa na pravidlá firewallu, ak nemá žiadne pripomienky a nevie, prečo bolo toto pravidlo vytvorené, je to naozaj potrebné, dá sa to vymazať: zrazu je ten človek na dovolenku a cez 30 dní bude návštevnosť opäť prechádzať zo služby, ktorú potrebuje. A práve táto funkcia mu pomáha pri rozhodovaní – nikto ju nepoužíva – vymažte ju!

Kliknite na Nepoužitá aplikácia.

Klikneme na Nepoužitá aplikácia v optimalizátore a vidíme, že sa v hlavnom okne otvoria zaujímavé informácie.

Vidíme, že existujú tri pravidlá, kde je rozdielny počet povolených aplikácií a počet aplikácií, ktoré skutočne prešli týmto pravidlom.

Môžeme kliknúť a zobraziť zoznam týchto aplikácií a porovnať tieto zoznamy.
Kliknite napríklad na tlačidlo Porovnať pre pravidlo Max.

Tu môžete vidieť, že boli povolené aplikácie facebook, instagram, telegram, vkontakte. No v skutočnosti išla návštevnosť len cez časť podaplikácií. Tu treba pochopiť, že facebook aplikácia obsahuje viacero podaplikácií.

Celý zoznam aplikácií NGFW si môžete pozrieť na portáli applipedia.paloaltonetworks.com a v samotnom rozhraní firewallu v časti Objekty->Aplikácie a do vyhľadávania napíšte názov aplikácie: facebook, dostanete nasledujúci výsledok:

NGFW teda videla niektoré z týchto podaplikácií a niektoré nie. V skutočnosti môžete samostatne zakázať a povoliť rôzne podfunkcie Facebooku. Umožňuje vám napríklad prezerať správy, ale zakázať chat alebo prenos súborov. V súlade s tým o tom hovorí Policy Optimizer a môžete sa rozhodnúť: nepovoliť všetky aplikácie Facebooku, ale iba tie hlavné.

Takže sme si uvedomili, že zoznamy sú odlišné. Môžete sa uistiť, že pravidlá povoľujú iba tie aplikácie, ktoré sa skutočne pohybujú po sieti. Ak to chcete urobiť, kliknite na tlačidlo MatchUsage. Dopadá to takto:

Môžete tiež pridať aplikácie, ktoré považujete za potrebné - tlačidlo Pridať na ľavej strane okna:

A potom možno toto pravidlo aplikovať a otestovať. Gratulujem!

Kliknite na položku Nie sú špecifikované žiadne aplikácie.

V tomto prípade sa otvorí dôležité bezpečnostné okno.

S najväčšou pravdepodobnosťou existuje veľa takýchto pravidiel, kde aplikácia na úrovni L7 nie je vo vašej sieti explicitne špecifikovaná. A v mojej sieti existuje také pravidlo - dovoľte mi pripomenúť, že som to urobil počas počiatočného nastavenia, konkrétne preto, aby som ukázal, ako funguje nástroj Policy Optimizer.

Obrázok ukazuje, že pravidlo AllowAll minulo 9 gigabajtov prevádzky za obdobie od 17. marca do 220. marca, čo je celkovo 150 rôznych aplikácií v mojej sieti. A to je stále málo. Stredne veľká podniková sieť má zvyčajne 200 – 300 rôznych aplikácií.

Jedno pravidlo teda vynechá až 150 aplikácií. Zvyčajne to znamená, že firewall je nesprávne nakonfigurovaný, pretože zvyčajne sa v jednom pravidle preskočí 1-10 aplikácií na rôzne účely. Pozrime sa, aké sú tieto aplikácie: kliknite na tlačidlo Porovnať:

Najúžasnejšie pre administrátora vo funkcii Policy Optimizer je tlačidlo Match Usage – jedným kliknutím vytvoríte pravidlo, kde do pravidla zadáte všetkých 150 aplikácií. Urobiť to ručne by trvalo príliš dlho. Množstvo úloh pre administrátora aj na mojej sieti 10 zariadení je obrovské.

Mám doma spustených 150 rôznych aplikácií, ktoré prenášajú gigabajty prevádzky! A koľko máš?

Čo sa však stane v sieti 100 zariadení alebo 1000 alebo 10000? Videl som firewally s 8000 pravidlami a som veľmi rád, že teraz majú správcovia také pohodlné automatizačné nástroje.

Niektoré aplikácie, ktoré modul analýzy aplikácií L7 v NGFW videl a ukázal v sieti, nebudete potrebovať, takže ich jednoducho odstránite zo zoznamu pravidla povolenia, alebo pravidlá naklonujete tlačidlom Klonovať (v hlavnom rozhraní) a povoliť v jednom pravidle aplikácie a v Blokovať ďalšie aplikácie, ako keby ich vo vašej sieti určite nebolo potrebné. Takéto aplikácie sa často stávajú bittorent, steam, ultrasurf, tor, skrytými tunelmi ako tcp-over-dns a iné.

Kliknite na ďalšie pravidlo - čo tam vidíte:

Áno, existujú aplikácie špecifické pre multicast. Musíme ich povoliť, aby sledovanie videa cez sieť fungovalo. Kliknite na položku Zhoda použitia. Skvelé! Vďaka Policy Optimizer.

A čo strojové učenie?

Teraz je v móde hovoriť o automatizácii. Vyšlo to, čo som opísal - veľmi to pomáha. Je tu ešte jedna možnosť, ktorú musím spomenúť. Toto je funkcia strojového učenia zabudovaná do vyššie uvedenej pomôcky Expedícia. V tejto utilite je možné preniesť pravidlá z vášho starého firewallu od iného výrobcu. A je tu tiež možnosť analyzovať existujúce protokoly premávky Palo Alto Networks a navrhnúť, ktoré pravidlá napísať. Ide o obdobu funkcionality Policy Optimizer, no v Expedition je ešte pokročilejšia a ponúka sa vám zoznam hotových pravidiel – stačí ich schváliť.
Na otestovanie tejto funkcionality existuje laboratórna práca – hovoríme tomu testovacia jazda. Tento test je možné vykonať tak, že prejdete na virtuálne brány firewall, ktoré pracovníci kancelárie Palo Alto Networks v Moskve na vašu žiadosť spustia.

Žiadosť je možné zaslať na [chránené e-mailom] a do žiadosti napíšte: "Chcem urobiť UTD pre migračný proces."

V skutočnosti existuje niekoľko možností pre laboratóriá s názvom Unified Test Drive (UTD) a všetky dostupné na diaľku po vyžiadaní.

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prihlásiť saProsím.

Chcete, aby vám niekto pomohol optimalizovať vaše zásady brány firewall?

• Да

• Nie

• Všetko urobím sám

Zatiaľ nikto nehlasoval. Nezdržali sa hlasovania.

Zdroj: hab.com