Як оцінити ефективність налаштування NGFW
Найчастіше завдання — перевірити, наскільки ефективно налаштований ваш міжмережевий екран. Для цього існують безкоштовні утиліти та сервіси у компаній, які займаються NGFW.
Наприклад, нижче видно, що у компанії Palo Alto Networks є можливість прямо з запустити аналіз статистики міжмережевого екрану - SLR звіт або аналіз відповідності кращим практикам - звіт BPA. Це безкоштовні онлайн утиліти, якими можна скористатися, нічого не встановлюючи.
ЗМІСТ
Expedition (Migration Tool)
Складніший варіант перевірки своїх налаштувань — завантажити безкоштовну утиліту (Колишній Migration Tool). Вона скачується як Virtual Appliance під VMware, з нею налаштувань не потрібно - потрібно завантажити образ і розгорнути його під гіпервізором VMware, запустити та зайти у веб-інтерфейс. Ця утиліта вимагає окремої розповіді, тільки курс по ній займає 5 днів, настільки багато зараз там функцій, включаючи Machine Learning та міграцію різних конфігурацій політик, NAT та об'єктів для різних виробників Firewall. Про Machine Learning, я ще напишу докладніше за текстом.
Policy Optimizer
І найзручніший варіант (ІМХО), про який сьогодні розповім докладніше — оптимізатор політик, вбудований у сам інтерфейс Palo Alto Networks. Щоб його продемонструвати, я встановив міжмережевий екран у себе вдома і написав просте правило: permit any to any. У принципі, такі правила іноді бачу навіть у корпоративних мережах. Звичайно, я ввімкнув усі профілі безпеки NGFW, як видно на скріншоті:
На скріншоті нижче показаний приклад мого домашнього неналаштованого міжмережевого екрану, де майже всі з'єднання потрапляють в останнє правило: AllowAll, що видно за статистикою в колонці Hit Count.
Нульова довіра
Існує підхід до безпеки під назвою . Що це означає: ми повинні дозволити людям усередині мережі ті з'єднання, які їм потрібні і заборонити все інше. Тобто нам треба додати чіткі правила щодо додатків, користувачів, URL категорій, типів файлів; включити всі сигнатури IPS та антивірусу, включити пісочницю, DNS захист, користуватися IoC з доступних баз Threat Intelligence. Загалом завдань при налаштуванні міжмережевого екрану – пристойна кількість.
До речі, мінімальний набір необхідних налаштувань для Palo Alto Networks NGFW описаний в одному з документів SANS: - Рекомендую почати з нього. І, звичайно ж, є набір кращих практик з налаштування міжмережевого екрану у компанії-виробника: .
Отже, у мене тиждень простояв удома міжмережевий екран. Давайте подивимося який трафік у моїй мережі є:
Якщо відсортувати за кількістю сесій, то найбільше їх створює bittorent, потім йде SSL, потім QUIC. Це разом статистка і за вхідним і вихідним трафіком: дуже багато йде зовнішніх сканувань мого роутера. Різних програм у моїй мережі — 150.
Отже, все це було пропущено одним правилом. Подивимося тепер, що з цього приводу говорить Policy Optimizer. Якщо ви дивилися на скріншот інтерфейсу з правилами безпеки, то зліва внизу бачили маленьке віконце, яке мені натякає, що існують правила, які можна оптимізувати. Давайте туди клацнемо.
Що показує Policy Optimizer:
- Які політики не використовувалися зовсім, 30 днів, 90 днів. Це допомагає ухвалити рішення видалити їх зовсім.
- Які програми в політиках були вказані, але таких програм у трафіку не виявлено. Це дозволяє видалити зайві додатки в роздільних правилах.
- Які політики дозволяли все поспіль, але там реально ходили додатки, які було б непогано за методикою Zero Trust вказати явно.
Клацніть на Unused.
Щоб показати, як це працює, я додав кілька правил і вони поки що за сьогодні жодного разу не пропустили жодного пакету. Ось їх список:
Можливо, згодом там пройде трафік і тоді вони зникнуть із цього списку. А якщо вони будуть у цьому списку 90 днів, то ви можете ухвалити рішення видалити ці правила. Адже кожне правило дає можливість хакеру.
Існує реальна проблема при конфігурації міжмережевого екрану: приходить новий співробітник, дивиться в правила міжмережевого екрану, якщо у них немає жодних коментарів і він не знає чому це правило створено, чи потрібно воно реально, чи можна його видалити: раптом людина у відпустці і через 30 днів трафік знову піде від потрібного сервісу. І саме ця функція допомагає йому прийняти рішення — ніхто не користується — видалити!
Клацніть на Unused App.
Ми натискаємо на оптимізатор на Unused App і бачимо, що в головному вікні відкривається цікава інформація.
Ми бачимо, що існує три правила, де кількість дозволених додатків і кількість програм, що реально проходили за цим правилом, відрізняється.
Ми можемо натиснути і переглянути список цих додатків і порівняти ці списки.
Наприклад, натисніть кнопку Compare для правила Max.
Тут видно, що були дозволені додатки facebook, instagram, telegram, vkontakte. Але реально трафік ходив лише щодо підпрограм. Тут потрібно розуміти, що додаток facebook містить кілька підпрограм.
Увесь список програм NGFW можна побачити на порталі і в самому інтерфейсі міжмережевого екрану в розділі Objects->Applications і в пошуку наберіть ім'я програми: facebook, вийде такий результат:
Отже, частина цих підпрограм NGFW побачив, а частина немає. Насправді ви можете окремо забороняти та дозволяти різні підфункції фейсбуку. Наприклад, дозволяти переглядати повідомлення, але забороняти чат або передачу файлів. Відповідно Policy Optimizer говорить про це і ви можете прийняти рішення: дозволити не всі програми фейсбуку, а лише основні.
Отже, ми зрозуміли, що списки є різними. Ви можете зробити так, щоб правила дозволяли ті програми, які реально ходили по мережі. Для цього ви натискаєте кнопку MatchUsage. Виходить ось так:
І також ви можете додати програми, які вважаєте за потрібні — кнопка Add в лівій частині вікна:
І потім уже це правило можна застосувати та протестувати. Вітаю!
Клацніть No Apps Specified.
У цьому випадку відкриється важливе для забезпечення безпеки вікно.
Таких правил, де не вказано додаток рівня L7, явно, швидше за все, у вашій мережі дуже багато. І в моїй мережі є таке правило — нагадаю, що я зробив його при початковому налаштуванні, щоб показати як працює Policy Optimizer.
На картинці видно, що правило AllowAll пропустило за проміжок часу з 9 березня по 17 березня 220 гігабайт трафіку, що всього різних додатків у моїй мережі 150 штук. І це ще замало. Зазвичай у середнього розміру корпоративної мережі 200-300 різних програм.
Отже, одне правило пропускає аж 150 додатків. Як правило, це означає, що міжмережевий екран налаштований неправильно, тому що зазвичай в одному правилі пропускається 1-10 додатків для різних цілей. Давайте подивимося що це за додатки: натисніть кнопку Compare:
Найкраще для адміністратора у функції Policy Optimizer це кнопка Match Usage - ви можете одним кліком створити правило, де введете в правило всі 150 додатків. Вручну це робити було б досить довго. Число завдань для роботи адміністратора навіть у моїй мережі з 10 пристроїв – величезне.
У мене вдома працює 150 різних програм, що передають гігабайти трафіку! А скільки у вас?
А що ж відбувається в мережі зі 100 пристроїв або 1000 чи 10000? Я бачив міжмережевий екран де 8000 правил і я дуже радий, що зараз у адміністраторів є такі зручні засоби автоматизації.
Частина додатків, які побачив і показав модуль аналізу додатків L7 в NGFW вам буде не потрібна в мережі, тому ви просто їх видалите зі списку роздільної здатності, або зробите клонування правил кнопкою Clone (в головному інтерфейсі) і в одному правилі програми дозвольте, а в іншому програмі заблокуєте, як точно не потрібні у вашій мережі. Такими додатками часто стають bittorent, steam, ultrasurf, tor, приховані тунелі типу tcp-over-dns та інші.
Ну і клацнемо в інше правило - що там видно:
Так, тут програми, характерні для multicast. Ми повинні їх дозволяти, щоб працював перегляд відео по мережі. Клікаємо Match Usage. Чудово! Дякую Policy Optimizer.
Як же Machine Learning.
Зараз модно говорити про автоматизацію. Те, що я описував, вийшов — дуже допомагає. Існує ще одна можливість, про яку я маю розповісти. Це функціонал Machine Learning, вбудований в утиліту Expedition, яка вже згадувалась вище. У цій утиліті існує можливість переносити правила зі свого старого міжмережевого екрана іншого виробника. А ще є можливість аналізувати існуючі журнали трафіку Palo Alto Networks та пропонувати якісь правила написати. Це схоже на функціонал Policy Optimizer, але в Expedition це ще розширено і вам пропонується вже список готових правил - вам потрібно їх просто затвердити.
Щоб протестувати цей функціонал, існує лабораторна робота — ми її називаємо тест драйв. Цей тест можна зробити зайшовши на віртуальні міжмережеві екрани, які співробітники офісу Palo Alto Networks у Москві запустять на ваш запит.
Запит можна надіслати на адресу [захищено електронною поштою] та у запиті написати: «Хочу зробити UTD по Migration Process».
Насправді лабораторних робіт під назвою Unified Test Drive (UTD) кілька варіантів, і всі вони після запиту.
Тільки зареєстровані користувачі можуть брати участь в опитуванні. , будь ласка.
Чи хотіли б Ви, щоб хтось допоміг Вам оптимізувати політики вашого міжмережевого екрану?
-
Так
-
Ні
-
Зроблю все сам
Ніхто ще не голосував. Утриманих немає.
Джерело: habr.com