SolarSecurity Jan 31 2022 at 11:00

Внедрение межсетевого экрана без боли: анализируем реальный трафик на этапе подготовки

5 min

7.1K

Солар corporate blogInformation Security*

Tutorial

Comments 9

AlexeyK77 Jan 31 2022 at 11:17

я бы netflow направил в какую-нибуль лог-менеджмент систему с развитыми инстурментами аналитики и уже там делал бы итоговый анализ. Заодно по реультатам внедрения фаервола в организации и миониторинг появится ;)

olegtsss Jan 31 2022 at 11:41

А почему не поставить устройство с wireshark в разрез и разбираться во всем детально?

Mnemonic0 Jan 31 2022 at 11:59

А что вы увидите в Wireshark для SSL/TLS трафика? Насколько детально это будет выглядеть?

Ответ. Ничего. Сорс-дестинейшн-порт. А в текущих реалиях нужны апликейшны.

olegtsss Jan 31 2022 at 12:10

На самом деле чуть больше. На этапе установления сессии. Представленное решение дает еще меньше информации, как раз ограничиваясь адресами, портами и флагами. И статья совсем не об MiTM, кстати говоря, а о L3 Firewall, т.е. о адресах, портах…

Dzzzen Jan 31 2022 at 12:40

Тогда уж лучше nbar

Mnemonic0 Jan 31 2022 at 11:44

Да, расскажите чем поможет ваш дамп трафика в работающей штатно системе в которой 3 плеча резервных LAN каналов и 5 WAN. Всё это счастье с OSPF и VRRP. Будете ломать каждый канал и собирать дампы для каждой ситуации?

Зачастую, фаервол уже есть и миграция идёт на другого вендора. Но в любом случае подход работаем как роутер не правильный.

Если маленькая компания, то такие методы с дампами не нужны, поскольку админ знает куда и что должно ходить.

Если средне-большая, где требуется интегратор, то дамп трафика уже не понадобится, поскольку невозможно во всём трафике разобраться. И зачастую новая система устанавливается сбоку, куда зеркалируется трафик и на этом основании делаются правила (точнее они делается из требований безопасности и бизнеса, а применяются они для материализации данных запросов)

Сугубо побаловаться, да, интересное решение. Но в заголовок "Внедрение межсетевого экрана без боли" не вписывается. По своему опыту, скажу, Внедрение межсетевого экрана - всегда боль.

apkotelnikov Jan 31 2022 at 15:33

Солар вроде как позиционируется как компания, в том числе, решающая вопрос ИБ. Очень странно видеть такой подход "опишем как разрешено, все что сейчас ходит", а дальше разберёмся. Во первых не будет никакого дальше, во вторых межсетевой экран предназначен для разграничения ИС с разным уровнем защищённости и все взаимодействия между такими ИС определяется, в первую очередь, матрицей доступа. Не спорю, предложенный способ очень хорошо закрывает задачу "внедрить межсетевой экран и закрыть акты", но совсем не решает задачу по защите ресурсов заказчика.

rk0se Jan 31 2022 at 16:53

Так там же в заключении написано:

Полученные данные нельзя сразу использовать для написания политик: они
требуют анализа человеком. Но мы получаем информацию, с которой можно
дальше работать, чтобы создавать правила. Прежде всего, нужно проверить
данные на предмет легитимности: действительно ли все эти соединения
должны присутствовать.

Иначе можно было напрямую pcap-ы конвертировать в политики и ни каких проблем :)

apkotelnikov Jan 31 2022 at 21:08

Единственный верный ответ на вопрос "должны ли эти соединения присутствовать" содержится в матрице доступа. Особенно в случае наличия сервисов потребность в которых нерегулярна.

Ну получили вы какие то там потоки данных и что? Ответ на вопрос "должны ли такие соединения иметь возможность установиться или нет" эти данные не содержат. Я понимаю - нормальное обследование делать и лень и денег не приносит, только проблемы ибо заказчик, как правило, не очень то жаждет глобальных исследований и не готов платить за это соответвующие деньги. Но и Ваш подход не имеет никакого отношения к ИБ. Так по быстрому влепить фв и гордо заявить "теперь все защищено" :-(:-(:-(