NGFWのチューニング効率を評価する方法

最も一般的なタスクは、ファイアウォールの設定効率を確認することです。 これを行うために、NGFWを扱う企業からの無料のユーティリティとサービスがあります。



たとえば、パロアルトネットワークスは、ファイアウォールの統計（SLRレポートまたはベストプラクティスへの準拠の分析）の分析を開始するために、サポートポータルから直接BPAレポートの機会を得ていることがわかります。 これらは、何もインストールせずに使用できる無料のオンラインユーティリティです。

内容

エクスペディション（移行ツール）

ポリシーオプティマイザー

ゼロトラスト

未使用をクリックします

未使用のアプリをクリックします

[アプリを指定しない]をクリックします

機械学習はどうですか

ユナイテッド

エクスペディション（移行ツール）

設定を確認するより洗練された方法は、無料のExpeditionユーティリティ（以前の移行ツール）をダウンロードすることです。 VMwareで仮想アプライアンスとしてダウンロードされます。設定は必要ありません。イメージをダウンロードしてVMwareハイパーバイザーの下に展開し、起動してWebインターフェイスに移動する必要があります。 このユーティリティには別のストーリーが必要で、コースには5日間しかかかりません。現在、Machine Learningやさまざまなファイアウォールメーカーのポリシー、NAT、オブジェクトのさまざまな構成の移行など、非常に多くの機能があります。 機械学習については、以下で詳しく説明します。

ポリシーオプティマイザー

そして、最も便利なオプション（IMHO）は、今日詳しく説明しますが、Palo Alto Networksインターフェース自体に組み込まれたポリシーオプティマイザーです。 それを実証するために、自宅にファイアウォールを設置し、単純なルールを作成しました。 原則として、このようなルールは企業ネットワークでも見られることがあります。 当然、スクリーンショットに見られるように、すべてのNGFWセキュリティプロファイルを有効にしました。







以下のスクリーンショットは、ほとんどすべての接続が最後のルールAllowAllに該当する私の未構成のファイアウォールの例を示しています。これは、ヒットカウント列の統計から確認できます。

ゼロトラスト

Zero Trustと呼ばれるセキュリティアプローチがあります 。 これはどういう意味ですか：ネットワーク内のユーザーに必要な接続を許可し、他のすべてを禁止する必要があります。 つまり、アプリケーション、ユーザー、URLカテゴリ、ファ​​イルタイプに対して明確なルールを追加する必要があります。 すべてのIPSおよびウイルス対策シグネチャを有効にし、サンドボックス、DNS保護を有効にし、利用可能なThreat IntelligenceデータベースからIoCを使用します。 一般に、ファイアウォールを設定するときのタスクの量はまともです。



ちなみに、Palo Alto Networks NGFWに必要な最小限の設定は、SANSのドキュメントの1つで説明されています。PaloAlto Networksのセキュリティ構成ベンチマーク -始めることをお勧めします。 そしてもちろん、製造会社とファイアウォールを設定するためのベストプラクティスのセットがあります： ベストプラクティスです。



それで、私は一週間家にファイアウォールを設置しました。 ネットワーク上のトラフィックを見てみましょう：







セッション数で並べ替えると、すべてのセッションのほとんどがbittorentによって作成され、SSL、QUICの順になります。 合わせて、これらは着信トラフィックと発信トラフィックの両方の統計です。ルーターには多くの外部スキャンがあります。 ネットワークには150の異なるアプリケーションがあります。



したがって、このすべては1つのルールによってスキップされました。 次に、ポリシーオプティマイザーがこれについて言っていることを見てみましょう。 セキュリティルールを備えたインターフェースのスクリーンショットを上で見ると、左下に最適化できるルールがあることを示唆する小さなウィンドウが表示されました。 そこをクリックしましょう。



Policy Optimizerが示すもの：

• 30日間、90日間、まったく使用されなかったポリシー。 これにより、それらを完全に削除することになります。
• ポリシーで示されたアプリケーションは何ですか？しかし、そのようなアプリケーションはトラフィックで見つかりませんでした。 これにより、許可ルールで不要なアプリケーションを削除できます。
• どのポリシーがすべてを許可していましたが、ゼロトラスト方法論に従って明示的に指定するのが良いアプリケーションが本当にありました。

未使用をクリックします

これがどのように機能するかを示すために、いくつかのルールを追加しましたが、これまでのところ、単一のパッケージを見逃したことはありません。 それらのリストは次のとおりです。







おそらく、時間の経過とともに、トラフィックはそこを通過し、このリストから消えます。 そして、それらがこのリストに90日間存在する場合、これらのルールを削除することを決定できます。 結局のところ、すべてのルールはハッカーに機会を提供します。



ファイアウォールを設定するとき、本当の問題があります。新しい従業員が来て、ファイアウォールルールを調べます。コメントがなく、このルールが作成される理由、それが本当である必要があるかどうか、削除できるかどうかがわからない場合：突然休暇中です30日間、トラフィックは必要なサービスから再び送信されます。 そして、この機能は、彼が決定を下すのに役立ちます-誰もそれを使用しません-削除します！

未使用のアプリをクリックします

オプティマイザーで未使用のアプリをクリックすると、メインウィンドウに興味深い情報が表示されます。



許可されたアプリケーションの数と、このルールの下で実際に渡されたアプリケーションの数が異なる3つのルールがあることがわかります。







これらのアプリケーションのリストをクリックして表示し、これらのリストを比較できます。



たとえば、最大ルールの[比較]ボタンをクリックします。







ここでは、アプリケーションfacebook、instagram、telegram、vkontakteが許可されたことがわかります。 しかし、実際にはトラフィックはサブアプリケーションの観点からのみ行きました。 ここでは、facebookアプリケーションにいくつかのサブアプリケーションが含まれていることを理解する必要があります。



NGFWアプリケーションの完全なリストは、ポータルapplipedia.paloaltonetworks.comおよび[オブジェクト]> [アプリケーション]セクションのファイアウォールインターフェースで確認できます。検索では、アプリケーション名を入力します：facebook、次の結果が得られます。







したがって、NGFWが見たこれらのサブアプリケーションの一部とそうでない部分がありました。 実際、さまざまなFacebookサブ機能を個別に禁止および許可できます。 たとえば、メッセージの視聴は許可しますが、チャットやファイル転送は禁止します。 したがって、ポリシーオプティマイザーはこれについて話し、あなたは決定を下すことができます。すべてのFacebookアプリケーションが許可されているわけではなく、メインアプリケーションのみが許可されています。



そのため、リストが異なることに気付きました。 本当にネットワークを経由したアプリケーションをルールで許可するようにできます。 これを行うには、MatchUsageボタンをクリックします。 次のようになります。







また、必要と思われるアプリケーションを追加することもできます-ウィンドウの左側にある[追加]ボタン：







そして、このルールを適用してテストできます。 おめでとうございます！

[アプリを指定しない]をクリックします

この場合、重要なセキュリティウィンドウが開きます。







L7レベルのアプリケーションが明示的に指定されていないこのようなルールは、多くの場合、ネットワークがたくさんあります。 また、私のネットワークにはこのようなルールがあります。特に、ポリシーオプティマイザーの仕組みを示すために、初期セットアップ時に作成したことを思い出してください。

この写真は、AllowAllルールが3月9日から3月17日までの間に220ギガバイトのトラフィックを逃したことを示しています。これは、ネットワーク内の150の異なるアプリケーションです。 そして、これは十分ではありません。 通常、平均サイズの企業ネットワークでは200〜300種類のアプリケーションが使用されます。

したがって、1つのルールで150個ものアプリケーションがスキップされます。 原則として、これはファイアウォールが正しく構成されていないことを意味します。通常、1つのルールでは1〜10のアプリケーションがさまざまな目的でスキップされるためです。 それらがどんな種類のアプリケーションか見てみましょう：ボタンをクリックしてください



比較：







ポリシーオプティマイザー機能の管理者にとって最も素晴らしいことは、[使用法の一致]ボタンです。1回クリックするだけで、150個すべてのアプリケーションをルールに入力できます。 手動で、これで十分に長くなります。 10台のデバイスからなるネットワーク上でも管理者が作業するタスクの数は膨大です。

自宅でギガバイトのトラフィックを送信する150の異なるアプリケーションがあります！ いくつありますか？

しかし、100台のデバイスまたは1000または10000のネットワークで何が起こっているのでしょうか？ 8000個のルールがあるファイアウォールを見ましたが、管理者がこのような便利な自動化ツールを使用できるようになったことを非常に嬉しく思います。



NGFWのL7アプリケーション分析モジュールがネットワーク上で表示および表示したアプリケーションの一部は必要ないため、許可ルールのリストからそれらを削除するか、（メインインターフェイスの）クローンボタンでルールのクローンを作成し、アプリケーションの1つのルールで有効にします。別のアプリケーションをブロックします。あたかもそれがネットワークで絶対に必要ないかのように そのようなアプリケーションには、多くの場合、ビットトレント、スチーム、ウルトラサーフ、tor、tcp-over-dnsなどの隠しトンネルが含まれます。







さて、別のルールをクリックしてください-そこで見えるもの：







はい、ここにマルチキャストに固有のアプリケーションがあります。 ネットワーク経由でビデオを視聴するには、それらを許可する必要があります。 [使用状況に一致]をクリックします。 いいね！ ポリシーオプティマイザーに感謝します。

機械学習はどうですか

今では自動化について話すのが流行です。 私が説明したことが非常に出てきました。 私が話さなければならない別の可能性があります。 これは、上記のExpeditionユーティリティに組み込まれたMachine Learning機能です。 このユーティリティでは、別の製造元の古いファイアウォールからルールを転送できます。 また、既存のPalo Alto Networksのトラフィックログを分析し、記述するルールを提案することもできます。 これはPolicy Optimizerの機能に似ていますが、Expeditionではさらに拡張され、既成のルールのリストが提供されます。承認する必要があります。



この機能をテストするには、実験室での作業があります。これをテストドライブと呼びます。 このテストは、モスクワのパロアルトネットワークオフィスの従業員がリクエストに応じて立ち上げる仮想ファイアウォールにアクセスすることで実行できます。







リクエストはRussia@paloaltonetworks.comに送信し、リクエストに「移行プロセスでUTDを作成したい」と書くことができます。



実際、Unified Test Drive（UTD）と呼ばれるラボにはいくつかのオプションがあり、リクエストに応じてすべてリモートで利用できます 。