Особенности работы с решениямиNGFW

Михаил Черкашин

Компания ICL Системные технологии

Типичная ситуация

в компании есть межсетевой экран на периметре

в компании есть система предотвращения вторжений

в компании есть прокси-сервер

Почему это не помогает?

х фильтруются порты а не приложения

х события не консолидируются в одной точке

х антивирусы бесполезны против 0-day угроз

TCP/443Dropbox 0-day

Современные решения NGFW

Решение проблемы на

примере NGFW

Palo Alto Networks

Логика работы

Traffic Flow

Архитектура аппаратных шлюзов

Архитектура PA-7080

Как начать всем этим

пользоваться?

Что мы рассмотрим?

1. Процесс миграции политики и утилита

Migration Tool

2. Создание своего App-ID

3. Автоматизация конфигурирования шлюзов

1. Миграция политики

Этап 1 - перенести политику «как есть»

Этап 2 - переписывать политику по приложениям

Что можно перенести?

Сетевые объекты и группы объектов

Сервисы и группы сервисов

Правила безопасности

Правила NAT

Поддерживаемые платформы

Расшифровка SSL/TLS трафика.

Для чего?

Расшифровка покажет больше приложений

Более точное определение функций приложения

(например download/upload)

Что стоит расшифровывать?

Социальные сети

Почтовые web-клиенты

Не опознанные приложения

Что не стоит расшифровывать?

ꭓ Финансовые сервисы (банк-клиенты и т.д.)

ꭓ Медицинские сервисы

ꭓ Правительственные сервисы (сайт «Госуслуги»)

Создавайте исключения для расшифровки

Корректировка политики безопасности

Для большинства сервисов достаточно 30 дней на определение

Часть приложений используется редко (раз в квартал или раз в год).

Нужно больше времени на мониторинг

Пишите теги, чтобы не забыть удалить не нужные правила

Написание политики по приложениям

Клонируйте существующие правила

Чем выше правило – тем больше приоритет

Удаляйте старые правила (опция Highlight Unused Rules или Rule

Usage)

80% правил должно быть описано по приложениям

Migration Tool. Процесс миграции

политики

Migration Tool. Процесс корректировки

политики

2. Создание своего App-ID

Легенда:

1. Компания готовится к установке шлюзов МЭ Palo Alto Networks в ЦОД

2. Тестовый шлюз предварительно включен в TAP-mode для просмотра трафика. Интерфейсы подключены к разным сетевым сегментам

Цель – понять угрозы, увидеть приложения и написать свои сигнатуры заранее

Application Command Center (ACC)

Что делать дальше?

Определить цель

Определить шаблоны трафика

Создать пользовательское приложение

Как определить цель?

1. Отчеты

2. Сетевой монитор

3. Вкладка ACC

Где искать информацию?

1. Документация на приложение

2. Опрос владельца/разработчика приложения

3. Захват сетевого трафика для анализа

Захват сетевого трафика

Процесс создания сигнатуры App-ID

Проверка сигнатуры

3. Автоматизация конфигурирования

Что можно делать?

– Конфигурировать параметры и политики

– Делать выборку по событиям

– Интегровать решения с песочницей Palo Alto Networks WildFire

– Интегрировать шлюзы с облачными сервисами

Утилиты

1. API скрипты (python, powershell и т.д.)

2. CLI команды

3. WEB-интерфейс (XML)

show system info

show system resources

show user ip-user-mapping all

Системы управления конфигурациями

https://github.com/PaloAltoNetworks/ansible-pan

Создание правила через CLI

Управление через WEB-интерфейс

Cyber Threat Alliance (CTA)

https://researchcenter.paloaltonetworks.com/

Новые статьи еженедельно

Palo Alto Networks AutoFocus

Как пополняется?

Wildfire

Cyber Threat Alliance

Unit42

Palo Alto Networks AutoFocus

MineMeld

Как пополняется?

Palo Alto Networks

*Cert

Прочие источники

MineMeld

Подытожим

NGFW – это не пакетный фильтр

Нужно видеть приложения и сервисы в сети

Нужно уметь ими управлять

Нужно уметь их защищать

Есть вопросы?

Задавайте!