Si të vlerësoni efektivitetin e një konfigurimi NGFW
Detyra më e zakonshme është të kontrolloni se sa efektivisht është konfiguruar muri juaj i zjarrit. Për ta bërë këtë, ka shërbime dhe shërbime falas nga kompanitë që merren me NGFW.
Për shembull, mund të shihni më poshtë se Palo Alto Networks ka aftësinë për të drejtpërdrejt nga kryeni një analizë të statistikave të murit të zjarrit - raport SLR ose analizë të përputhshmërisë me praktikat më të mira - raporti BPA. Këto janë shërbime falas në internet që mund t'i përdorni pa instaluar asgjë.
PËRMBAJTJA
Ekspeditë (Mjeti i Migrimit)
Një opsion më kompleks për të kontrolluar cilësimet tuaja është të shkarkoni një program falas (dikur Mjeti i Migrimit). Shkarkohet si një pajisje virtuale për VMware, nuk kërkohen cilësime me të - duhet të shkarkoni imazhin dhe ta vendosni nën hipervizorin VMware, ta nisni dhe të shkoni te ndërfaqja e uebit. Ky mjet kërkon një histori të veçantë, vetëm kursi për të zgjat 5 ditë, tani ka kaq shumë funksione, duke përfshirë Learning Machine dhe migrimin e konfigurimeve të ndryshme të politikave, NAT dhe objekteve për prodhues të ndryshëm Firewall. Më poshtë në tekst do të shkruaj më shumë rreth Learning Machine.
Optimizuesi i politikave
Dhe opsioni më i përshtatshëm (IMHO), për të cilin do t'ju tregoj më në detaje sot, është optimizuesi i politikave i integruar në vetë ndërfaqen e Rrjeteve Palo Alto. Për ta demonstruar, instalova një mur zjarri në shtëpi dhe shkrova një rregull të thjeshtë: lejo ndonjë për çdo. Në parim, ndonjëherë shoh rregulla të tilla edhe në rrjetet e korporatave. Natyrisht, unë aktivizova të gjitha profilet e sigurisë NGFW, siç mund ta shihni në pamjen e ekranit:
Pamja e ekranit më poshtë tregon një shembull të murit të zjarrit të pakonfiguruar në shtëpinë time, ku pothuajse të gjitha lidhjet bien në rregullin e fundit: AllowAll, siç mund të shihet nga statistikat në kolonën Hit Count.
Zero besim
Ekziston një qasje ndaj sigurisë që quhet . Çfarë do të thotë kjo: ne duhet t'u lejojmë njerëzve brenda rrjetit pikërisht ato lidhje që u nevojiten dhe të mohojmë gjithçka tjetër. Kjo do të thotë, ne duhet të shtojmë rregulla të qarta për aplikacionet, përdoruesit, kategoritë e URL-ve, llojet e skedarëve; aktivizoni të gjitha nënshkrimet IPS dhe antivirus, aktivizoni sandboxing, mbrojtjen DNS, përdorni IoC nga bazat e të dhënave të disponueshme të Threat Intelligence. Në përgjithësi, ka një numër të mirë detyrash kur vendosni një mur zjarri.
Nga rruga, grupi minimal i cilësimeve të nevojshme për Palo Alto Networks NGFW përshkruhet në një nga dokumentet SANS: - Unë rekomandoj të filloni me të. Dhe sigurisht, ekziston një grup praktikash më të mira për vendosjen e një muri zjarri nga prodhuesi: .
Pra, kisha një mur zjarri në shtëpi për një javë. Le të shohim se çfarë lloj trafiku ka në rrjetin tim:
Nëse renditni sipas numrit të seancave, atëherë shumica e tyre krijohen nga bittorent, pastaj vjen SSL, pastaj QUIC. Këto janë statistika për trafikun në hyrje dhe në dalje: ka shumë skanime të jashtme të ruterit tim. Ka 150 aplikacione të ndryshme në rrjetin tim.
Pra, e gjithë kjo humbi nga një rregull. Le të shohim tani se çfarë thotë Policy Optimizer për këtë. Nëse shikoni më lart pamjen e ekranit të ndërfaqes me rregullat e sigurisë, atëherë në fund të majtë patë një dritare të vogël që më lë të kuptohet se ka rregulla që mund të optimizohen. Le të klikojmë atje.
Çfarë tregon Optimizeri i Politikave:
- Cilat politika nuk janë përdorur fare, 30 ditë, 90 ditë. Kjo ndihmon në marrjen e vendimit për t'i hequr ato plotësisht.
- Cilat aplikacione ishin të specifikuara në politika, por asnjë aplikacion i tillë nuk u zbulua në trafik. Kjo ju lejon të hiqni aplikacionet e panevojshme në rregullat e lejimit.
- Cilat politika lejuan gjithçka, por në të vërtetë kishte aplikacione që do të ishte mirë të tregoheshin në mënyrë eksplicite sipas metodologjisë Zero Trust.
Le të klikojmë në Unused.
Për të treguar se si funksionon, shtova disa rregulla dhe deri më tani nuk kanë humbur asnjë paketë sot. Këtu është lista e tyre:
Ndoshta me kalimin e kohës do të ketë trafik atje dhe më pas ata do të zhduken nga kjo listë. Dhe nëse ata janë në këtë listë për 90 ditë, atëherë mund të vendosni t'i fshini këto rregulla. Në fund të fundit, çdo rregull ofron një mundësi për një haker.
Ekziston një problem i vërtetë kur konfiguroni një mur zjarri: vjen një punonjës i ri, shikon rregullat e firewall-it, nëse nuk kanë ndonjë koment dhe ai nuk e di pse u krijua ky rregull, nëse është vërtet i nevojshëm, a mundet. të fshihet: papritmas personi është me pushime dhe pas Brenda 30 ditësh trafiku do të rrjedhë sërish nga shërbimi që i nevojitet. Dhe vetëm ky funksion e ndihmon atë të marrë një vendim - askush nuk e përdor atë - ta fshijë atë!
Klikoni në aplikacionin e papërdorur.
Ne klikojmë në aplikacionin e papërdorur në optimizues dhe shohim se informacioni interesant hapet në dritaren kryesore.
Shohim se janë tre rregulla, ku numri i aplikimeve të lejuara dhe numri i aplikimeve që realisht e kanë kaluar këtë rregull janë të ndryshëm.
Mund të klikojmë dhe të shohim një listë të këtyre aplikacioneve dhe t'i krahasojmë këto lista.
Për shembull, klikoni në butonin Krahasoni për rregullin Max.
Këtu mund të shihni që aplikacionet facebook, instagram, telegram, vkontakte u lejuan. Por në realitet, trafiku shkoi vetëm në disa nga nën-aplikacionet. Këtu duhet të kuptoni se aplikacioni facebook përmban disa nën-aplikacione.
E gjithë lista e aplikacioneve NGFW mund të shihet në portal dhe në vetë ndërfaqen e murit të zjarrit, në seksionin Objects->Applications dhe në kërkim, shkruani emrin e aplikacionit: facebook, do të merrni rezultatin e mëposhtëm:
Pra, disa nga këto nën-aplikacione u panë nga NGFW, por disa jo. Në fakt, ju mund të ndaloni dhe të lejoni veçmas nën-funksione të ndryshme të Facebook. Për shembull, lejoni shikimin e mesazheve, por ndaloni bisedën ose transferimin e skedarëve. Prandaj, Policy Optimizer flet për këtë dhe ju mund të merrni një vendim: mos lejoni të gjitha aplikacionet e Facebook, por vetëm ato kryesore.
Pra, kuptuam se listat janë të ndryshme. Mund të siguroheni që rregullat lejojnë vetëm ato aplikacione që aktualisht udhëtojnë në rrjet. Për ta bërë këtë, klikoni në butonin MatchUsage. Rezulton kështu:
Dhe gjithashtu mund të shtoni aplikacione që i konsideroni të nevojshme - butonin Shto në anën e majtë të dritares:
Dhe atëherë ky rregull mund të zbatohet dhe testohet. urime!
Kliko "Nuk ka aplikacione të specifikuara".
Në këtë rast, do të hapet një dritare e rëndësishme sigurie.
Ka shumë të ngjarë që të ketë shumë rregulla të tilla në rrjetin tuaj ku aplikacioni i nivelit L7 nuk është specifikuar në mënyrë eksplicite. Dhe në rrjetin tim ekziston një rregull i tillë - më lejoni t'ju kujtoj se e bëra atë gjatë konfigurimit fillestar, veçanërisht për të treguar se si funksionon Policy Optimizer.
Fotografia tregon se rregulli AllowAll lejonte 9 gigabajt trafik në periudhën nga 17 mars deri më 220 mars, që është 150 aplikacione të ndryshme në rrjetin tim. Dhe kjo nuk mjafton. Në mënyrë tipike, një rrjet i korporatës me madhësi mesatare ka 200-300 aplikacione të ndryshme.
Pra, një rregull lejon deri në 150 aplikime. Zakonisht kjo do të thotë që muri i zjarrit nuk është konfiguruar saktë, sepse zakonisht një rregull lejon 1-10 aplikacione për qëllime të ndryshme. Le të shohim se cilat janë këto aplikacione: klikoni butonin Krahaso:
Gjëja më e mrekullueshme për një administrator në funksionin "Politika Optimizer" është butoni Match Usage - ju mund të krijoni një rregull me një klik, ku do të futni të gjitha 150 aplikacionet në rregull. Bërja e kësaj me dorë do të marrë shumë kohë. Numri i detyrave me të cilat duhet të punojë një administrator, edhe në rrjetin tim prej 10 pajisjesh, është i madh.
Unë kam 150 aplikacione të ndryshme që funksionojnë në shtëpi, duke transferuar gigabajt trafik! Dhe sa keni?
Por çfarë ndodh në një rrjet prej 100 pajisjesh ose 1000 ose 10000? Unë kam parë mure zjarri me 8000 rregulla dhe jam shumë i kënaqur që administratorët tani kanë mjete kaq të përshtatshme automatizimi.
Disa nga aplikacionet që moduli i analizës së aplikacionit L7 në NGFW i pa dhe i tregoi nuk do t'ju duhen në rrjet, kështu që thjesht i hiqni ato nga lista e rregullave të lejuara ose klononi rregullat duke përdorur butonin Clone (në ndërfaqen kryesore) dhe lejojini ato në një rregull aplikimi, dhe në Ju do të bllokoni aplikacione të tjera pasi ato nuk janë të nevojshme në rrjetin tuaj. Aplikime të tilla shpesh përfshijnë bittorent, steam, ultrasurf, tor, tunele të fshehura si tcp-over-dns dhe të tjera.
Epo, le të klikojmë në një rregull tjetër dhe të shohim se çfarë mund të shihni atje:
Po, ka aplikacione tipike për multicast. Ne duhet t'i lejojmë që shikimi i videove në internet të funksionojë. Klikoni "Përputhja e përdorimit". E shkëlqyeshme! Faleminderit Politikës Optimizer.
Po në lidhje me Learning Machine?
Tani është në modë të flasim për automatizimin. Ajo që përshkrova doli - ndihmon shumë. Ekziston edhe një mundësi tjetër për të cilën duhet të flas. Ky është funksionaliteti Machine Learning i integruar në programin Expedition, i cili u përmend më lart. Në këtë mjet, është e mundur të transferoni rregullat nga muri juaj i vjetër i zjarrit nga një prodhues tjetër. Ekziston gjithashtu aftësia për të analizuar regjistrat ekzistues të trafikut të Rrjeteve Palo Alto dhe për të sugjeruar se çfarë rregullash duhet të shkruani. Kjo është e ngjashme me funksionalitetin e Policy Optimizer, por në Expedition është edhe më i zgjeruar dhe ju ofrohet një listë rregullash të gatshme - thjesht duhet t'i miratoni ato.
Për të testuar këtë funksionalitet, ekziston një punë laboratorike - ne e quajmë atë një provë. Ky test mund të bëhet duke hyrë në muret e zjarrit virtual, të cilat punonjësit e zyrës së Palo Alto Networks në Moskë do t'i lançojnë me kërkesën tuaj.
Kërkesa mund të dërgohet në [email mbrojtur] dhe në kërkesë shkruani: “Dua të bëj një UTD për Procesin e Migrimit”.
Në fakt, puna laboratorike e quajtur Unified Test Drive (UTD) ka disa opsione dhe të gjitha pas kërkesës.
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
Dëshironi që dikush t'ju ndihmojë të optimizoni politikat tuaja të murit të zjarrit?
-
Po
-
Jo
-
Unë do t'i bëj të gjitha vetë
Askush nuk ka votuar ende. Nuk ka abstenime.
Burimi: www.habr.com