Kako oceniti učinkovitost nastavitve NGFW
Najpogostejša naloga je preveriti, kako dobro je konfiguriran vaš požarni zid. Za to so na voljo brezplačni pripomočki in storitve podjetij, ki se ukvarjajo z NGFW.
Na primer, spodaj lahko vidite, da ima Palo Alto Networks možnost neposredno iz zaženite analizo statistike požarnega zidu - poročilo SLR ali analizo skladnosti z najboljšo prakso - poročilo BPA. To so brezplačni spletni pripomočki, ki jih lahko uporabljate, ne da bi karkoli namestili.
VSEBINA
Expedition (Orodje za selitev)
Bolj zapletena možnost za preverjanje nastavitev je prenos brezplačnega pripomočka (prejšnje orodje za selitev). Prenese se kot navidezna naprava za VMware, zanjo niso potrebne nobene nastavitve - prenesti morate sliko in jo namestiti pod hipervizorjem VMware, jo zagnati in odpreti spletni vmesnik. Ta pripomoček zahteva ločeno zgodbo, samo tečaj na njem traja 5 dni, zdaj je toliko funkcij, vključno s strojnim učenjem in migracijo različnih konfiguracij pravilnikov, NAT in objektov za različne proizvajalce požarnega zidu. O strojnem učenju bom več pisal v nadaljevanju besedila.
Optimizator pravilnika
In najbolj priročna možnost (IMHO), o kateri bom danes podrobneje govoril, je optimizator politik, vgrajen v sam vmesnik Palo Alto Networks. Da bi to dokazal, sem v svojem domu namestil požarni zid in napisal preprosto pravilo: dovolite vse vsem. Načeloma včasih vidim takšna pravila tudi v omrežjih podjetij. Seveda sem omogočil vse varnostne profile NGFW, kot lahko vidite na posnetku zaslona:
Spodnji posnetek zaslona prikazuje primer mojega domačega nekonfiguriranega požarnega zidu, kjer skoraj vse povezave spadajo pod zadnje pravilo: AllowAll, kot je razvidno iz statistike v stolpcu Hit Count.
Nič zaupanja
Obstaja pristop k varnosti, imenovan . Kaj to pomeni: ljudem v omrežju moramo omogočiti točno tiste povezave, ki jih potrebujejo, in jim prepovedati vse ostalo. To pomeni, da moramo dodati jasna pravila za aplikacije, uporabnike, URL kategorije, vrste datotek; omogočite vse IPS in protivirusne podpise, omogočite peskovnik, zaščito DNS, uporabite IoC iz razpoložljivih baz podatkov Threat Intelligence. Na splošno je pri postavljanju požarnega zidu dostojno število nalog.
Mimogrede, minimalni nabor zahtevanih nastavitev za Palo Alto Networks NGFW je opisan v enem od dokumentov SANS: Priporočam, da začnete z njim. In seveda obstaja nabor najboljših praks za nastavitev požarnega zidu proizvajalca: .
Torej, en teden sem imel doma požarni zid. Poglejmo, kakšen je promet v mojem omrežju:
Če jih razvrstimo po številu sej, potem jih bittorent ustvari največ, nato pride SSL in nato QUIC. To so statistični podatki za dohodni in odhodni promet: veliko je zunanjih pregledov mojega usmerjevalnika. V mojem omrežju je 150 različnih aplikacij.
Torej, vse je preskočilo eno pravilo. Zdaj pa poglejmo, kaj o tem pravi orodje za optimiziranje pravilnikov. Če ste pogledali zgornji posnetek zaslona vmesnika z varnostnimi pravili, ste spodaj levo videli majhno okno, ki mi namiguje, da obstajajo pravila, ki jih je mogoče optimizirati. Kliknimo tam.
Kaj prikazuje orodje za optimiziranje pravilnikov:
- Kateri pravilniki sploh niso bili uporabljeni, 30 dni, 90 dni. To pomaga pri odločitvi, da jih v celoti odstranite.
- Katere aplikacije so bile navedene v pravilnikih, vendar teh aplikacij v prometu ni bilo. To vam omogoča, da odstranite nepotrebne aplikacije v dovoljenih pravilih.
- Katere politike so dovoljevale vse, res pa so bile aplikacije, ki bi jih bilo lepo eksplicitno navesti po metodologiji Zero Trust.
Kliknite Neuporabljeno.
Da pokažem, kako deluje, sem dodal nekaj pravil in do sedaj niso zamudili niti enega paketa. Tukaj je njihov seznam:
Morda bo čez čas tam potekal promet in potem bodo izginili s tega seznama. In če so na tem seznamu 90 dni, se lahko odločite za odstranitev teh pravil. Navsezadnje vsako pravilo ponuja priložnost za hekerja.
Obstaja resnična težava s konfiguracijo požarnega zidu: pride nov uslužbenec, pogleda v pravila požarnega zidu, če nima pripomb in ne ve, zakaj je bilo to pravilo ustvarjeno, ali je res potrebno, ga je mogoče izbrisati: nenadoma je oseba na počitnicah in čez 30 dni bo promet spet odšel od storitve, ki jo potrebuje. In ravno ta funkcija mu pomaga pri odločitvi - nihče je ne uporablja - izbriši!
Kliknite Neuporabljena aplikacija.
V optimizatorju kliknemo na Neuporabljena aplikacija in vidimo, da se v glavnem oknu odprejo zanimive informacije.
Vidimo, da obstajajo tri pravila, kjer se število dovoljenih aplikacij in število aplikacij, ki so dejansko prestale to pravilo, razlikujeta.
Lahko kliknemo in si ogledamo seznam teh aplikacij ter te sezname primerjamo.
Na primer, kliknimo gumb Primerjaj za pravilo Max.
Tukaj lahko vidite, da so bile aplikacije facebook, instagram, telegram, vkontakte dovoljene. A v resnici je promet potekal le prek dela podaplikacij. Pri tem morate razumeti, da facebook aplikacija vsebuje več podaplikacij.
Celoten seznam aplikacij NGFW si lahko ogledate na portalu in v samem vmesniku požarnega zidu v rubriki Objects->Applications in v iskalniku vtipkajte ime aplikacije: facebook, dobite naslednji rezultat:
Torej je NGFW videl nekatere od teh pod-prijav, nekaterih pa ne. Pravzaprav lahko ločeno onemogočite in omogočite različne podfunkcije Facebooka. Omogoči vam na primer ogled sporočil, vendar prepove klepet ali prenos datotek. V skladu s tem Optimizator politik govori o tem in lahko se odločite: ne dovolite vseh Facebook aplikacij, ampak samo glavne.
Tako smo ugotovili, da so seznami različni. Lahko se prepričate, da pravila dovoljujejo samo tiste aplikacije, ki dejansko gostujejo v omrežju. Če želite to narediti, kliknite gumb MatchUsage. Izkazalo se je takole:
Dodate lahko tudi aplikacije, za katere menite, da so potrebne - gumb Dodaj na levi strani okna:
In potem je to pravilo mogoče uporabiti in preizkusiti. čestitke!
Kliknite Ni določenih aplikacij.
V tem primeru se odpre pomembno varnostno okno.
Najverjetneje obstaja veliko takšnih pravil, pri katerih aplikacija ravni L7 v vašem omrežju ni izrecno navedena. In v mojem omrežju obstaja takšno pravilo - naj vas spomnim, da sem ga naredil med prvotno nastavitvijo, posebej zato, da pokažem, kako deluje orodje za optimiziranje pravilnikov.
Na sliki je razvidno, da je pravilo AllowAll v obdobju od 9. do 17. marca zamudilo 220 gigabajtov prometa, kar je skupno 150 različnih aplikacij v mojem omrežju. In to še vedno ni dovolj. Običajno ima srednje veliko poslovno omrežje 200-300 različnih aplikacij.
Torej eno pravilo zgreši kar 150 prijav. To običajno pomeni, da je požarni zid nepravilno konfiguriran, saj se običajno v enem pravilu preskoči 1-10 aplikacij za različne namene. Poglejmo, katere so te aplikacije: kliknite gumb Primerjaj:
Najbolj čudovita stvar za skrbnika v funkciji Policy Optimizer je gumb Match Usage - z enim klikom ustvarite pravilo, kjer boste v pravilo vnesli vseh 150 aplikacij. Če bi to naredili ročno, bi trajalo predolgo. Število opravil za skrbnika, tudi v mojem omrežju 10 naprav, je ogromno.
Doma imam 150 različnih aplikacij, ki prenašajo gigabajte prometa! In koliko imaš?
Toda kaj se zgodi v omrežju 100 ali 1000 ali 10000 naprav? Videl sem požarne zidove z 8000 pravili in zelo sem vesel, da imajo skrbniki zdaj tako priročna orodja za avtomatizacijo.
Nekaterih aplikacij, ki jih je modul za analizo aplikacij L7 v NGFW videl in prikazal v omrežju, ne boste potrebovali, zato jih preprosto odstranite s seznama dovoljenega pravila ali pa pravila klonirate z gumbom Kloniraj (v glavnem vmesniku) in dovoli v enem pravilu aplikacije, in v Blokiraj druge aplikacije, kot da jih v vašem omrežju zagotovo ne potrebujete. Takšne aplikacije pogosto postanejo bittorent, steam, ultrasurf, tor, skriti tuneli, kot je tcp-over-dns in drugi.
No, kliknite na drugo pravilo - kaj lahko vidite tam:
Da, obstajajo aplikacije, specifične za multicast. Omogočiti jim moramo, da lahko gledanje videa prek omrežja deluje. Kliknite Match Usage. Super! Hvala, Policy Optimizer.
Kaj pa strojno učenje?
Zdaj je moderno govoriti o avtomatizaciji. To, kar sem opisal, se je izkazalo - zelo pomaga. Obstaja še ena možnost, ki jo moram omeniti. To je funkcija strojnega učenja, vgrajena v zgoraj omenjeni pripomoček Expedition. V tem pripomočku je mogoče prenesti pravila iz vašega starega požarnega zidu drugega proizvajalca. Obstaja tudi možnost analiziranja obstoječih prometnih dnevnikov Palo Alto Networks in predlaganja pravil, ki jih je treba napisati. To je podobno funkciji Policy Optimizer, vendar je v Expedition še naprednejše in vam je ponujen seznam že pripravljenih pravil – le odobriti jih morate.
Za testiranje te funkcionalnosti obstaja laboratorijsko delo - imenujemo ga testna vožnja. Ta preizkus lahko izvedete tako, da obiščete virtualne požarne zidove, ki jih osebje pisarne Palo Alto Networks v Moskvi zažene na vašo zahtevo.
Zahtevo lahko pošljete na [e-pošta zaščitena] in v zahtevo napišite: "Želim narediti UTD za proces migracije."
Pravzaprav obstaja več možnosti za laboratorije, imenovane Unified Test Drive (UTD), in vse po zahtevi.
V anketi lahko sodelujejo samo registrirani uporabniki. , prosim.
Ali želite, da vam nekdo pomaga optimizirati pravilnike požarnega zidu?
-
Da
-
Št
-
Vse bom naredil sam
Glasoval ni še nihče. Vzdržanih ni.
Vir: www.habr.com