Upload
others
View
21
Download
0
Embed Size (px)
Citation preview
Особенности работы с решениямиNGFW
Михаил Черкашин
Компания ICL Системные технологии
Типичная ситуация
в компании есть межсетевой экран на периметре
в компании есть система предотвращения вторжений
в компании есть прокси-сервер
Почему это не помогает?
х фильтруются порты а не приложения
х события не консолидируются в одной точке
х антивирусы бесполезны против 0-day угроз
TCP/443Dropbox 0-day
Современные решения NGFW
Решение проблемы на
примере NGFW
Palo Alto Networks
Логика работы
Traffic Flow
Архитектура аппаратных шлюзов
Архитектура PA-7080
Как начать всем этим
пользоваться?
Что мы рассмотрим?
1. Процесс миграции политики и утилита
Migration Tool
2. Создание своего App-ID
3. Автоматизация конфигурирования шлюзов
1. Миграция политики
Этап 1 - перенести политику «как есть»
Этап 2 - переписывать политику по приложениям
Что можно перенести?
Сетевые объекты и группы объектов
Сервисы и группы сервисов
Правила безопасности
Правила NAT
Поддерживаемые платформы
Расшифровка SSL/TLS трафика.
Для чего?
Расшифровка покажет больше приложений
Более точное определение функций приложения
(например download/upload)
Что стоит расшифровывать?
Социальные сети
Почтовые web-клиенты
Не опознанные приложения
Что не стоит расшифровывать?
ꭓ Финансовые сервисы (банк-клиенты и т.д.)
ꭓ Медицинские сервисы
ꭓ Правительственные сервисы (сайт «Госуслуги»)
Создавайте исключения для расшифровки
Корректировка политики безопасности
Для большинства сервисов достаточно 30 дней на определение
Часть приложений используется редко (раз в квартал или раз в год).
Нужно больше времени на мониторинг
Пишите теги, чтобы не забыть удалить не нужные правила
Написание политики по приложениям
Клонируйте существующие правила
Чем выше правило – тем больше приоритет
Удаляйте старые правила (опция Highlight Unused Rules или Rule
Usage)
80% правил должно быть описано по приложениям
Migration Tool. Процесс миграции
политики
Migration Tool. Процесс корректировки
политики
2. Создание своего App-ID
Легенда:
1. Компания готовится к установке шлюзов МЭ Palo Alto Networks в ЦОД
2. Тестовый шлюз предварительно включен в TAP-mode для просмотра трафика. Интерфейсы подключены к разным сетевым сегментам
Цель – понять угрозы, увидеть приложения и написать свои сигнатуры заранее
Application Command Center (ACC)
Что делать дальше?
Определить цель
Определить шаблоны трафика
Создать пользовательское приложение
Как определить цель?
1. Отчеты
2. Сетевой монитор
3. Вкладка ACC
Где искать информацию?
1. Документация на приложение
2. Опрос владельца/разработчика приложения
3. Захват сетевого трафика для анализа
Захват сетевого трафика
Процесс создания сигнатуры App-ID
Проверка сигнатуры
3. Автоматизация конфигурирования
Что можно делать?
– Конфигурировать параметры и политики
– Делать выборку по событиям
– Интегровать решения с песочницей Palo Alto Networks WildFire
– Интегрировать шлюзы с облачными сервисами
Утилиты
1. API скрипты (python, powershell и т.д.)
2. CLI команды
3. WEB-интерфейс (XML)
show system info
show system resources
show user ip-user-mapping all
Системы управления конфигурациями
https://github.com/PaloAltoNetworks/ansible-pan
Создание правила через CLI
Управление через WEB-интерфейс
Cyber Threat Alliance (CTA)
https://researchcenter.paloaltonetworks.com/
Новые статьи еженедельно
Palo Alto Networks AutoFocus
Как пополняется?
Wildfire
Cyber Threat Alliance
Unit42
Palo Alto Networks AutoFocus
MineMeld
Как пополняется?
Palo Alto Networks
*Cert
Прочие источники
MineMeld
Подытожим
NGFW – это не пакетный фильтр
Нужно видеть приложения и сервисы в сети
Нужно уметь ими управлять
Нужно уметь их защищать
Есть вопросы?
Задавайте!