Przegląd reguł zapory

12

Muszę przejrzeć reguły zapory ogniowej CheckPoint dla klienta (z ponad 200 regułami).

W przeszłości korzystałem z FWDoc, aby wyodrębnić reguły i przekonwertować je na inne formaty, ale wystąpiły błędy z wykluczeniami. Następnie analizuję je ręcznie, aby utworzyć ulepszoną wersję reguł (zwykle w OOo Calc) z komentarzami.

Wiem, że istnieje kilka technik wizualizacji, ale wszystkie sprowadzają się do analizy ruchu i chcę analizy statycznej.

Zastanawiałem się więc, jaki proces przeprowadzasz w celu analizy reguł zapory? Z jakich narzędzi korzystasz (nie tylko w Checkpoint)?

security firewall checkpoint chmeee
źródło

Odpowiedzi:

4

Niedawno chłopaki z Matasano wypuścili Flinta , kontrolera reguł zapory ogniowej. To GPL i działa na sinatrze .

alternatywny tekst
(źródło: runplaybook.com )

Wygląda bardzo obiecująco. Chociaż jeszcze tego nie próbowałem . Obsługiwane są tylko zapory ogniowe PIX / ASA, ale będą dodawać inne w przyszłości.

EDYCJA :

Zainstalowałem go i przetestowałem. Instalacja jest bardzo prosta. Jeśli chodzi o analizę, nakarmiłem ją złożoną konfiguracją zapory i jej analiza zajęła dużo czasu. Wyniki były w większości poprawne, ale wystąpiły błędy analizy.

Ogólnie rzecz biorąc, jest to pierwsza wersja obiecującego narzędzia. I przede wszystkim tego szukałem.

chmeee
źródło
1

Poradnik może być tym, czego szukasz. Nie uruchomiłem go, ale wygląda interesująco.

Bill Weiss
źródło
1

Ostatniej jesieni spędziłem sporo czasu na poszukiwaniu taniego lub nieodpłatnego analizatora statycznego.

Najbliżej znalazłem uniwersytecki projekt badawczy Fireman, którego nigdy nie próbowałem rozpocząć.

Obecnie przeprowadzam ręczne czyszczenie i audyt oraz weryfikuję historyczne skany NMAP i dane dziennika.

Jeśli istnieje lepszy, tani i skuteczny sposób, chciałbym o tym usłyszeć.

Kok
źródło
0

Znam dwa narzędzia do analizy reguł FW : SkyBox i RedSeal
To narzędzia komercyjne.

promień
źródło
Używałeś ich? Jakie produkują produkty?
chmeee
Nie korzystałem z nich osobiście, ale skybox może kontrolować bazę reguł na podstawie polityki bezpieczeństwa i topologii sieci oraz zgłaszać naruszenia
promień
RedSeal to coś więcej niż reguły zapory ogniowej, robią różne rzeczy, aby pomóc w wizualizacji architektury bezpieczeństwa sieci, w tym określanie, czy twoja obecna pozycja kontroli dostępu (wdrażana przez zapory ogniowe, listy ACL itp.) Jest skargą na „zasady” Twojej firmy ( lub inne standardy, takie jak PCI-DSS i in.). Jeśli chodzi o reguły zapory, mogą analizować kilka sprawdzonych metod sprawdzających, oprócz niektórych rzeczy specyficznych dla zapory, takich jak nieużywane reguły, brak rejestrowania itp. Dla różnych dostawców.
Jed Daniels,
0

Najlepszym rozwiązaniem, jakie widziałem, jest narzędzie do wizualizacji sieci Checkpoint.

Łącze pobierania systemu Windows: https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=10708

Możesz wyeksportować do HTML do przeglądania lub XML, jeśli chcesz coś zrobić z danymi. Eksportuje również informacje o obiektach w regułach, w przypadku gdy są one bardzo zaciemnione.

Baw się dobrze! :RE

JakeRobinson
źródło