понедельник, 27 апреля 2020 г.

Межсетевой экран нового поколения - это маркетинг


Для понимания моего опыта: первый свой Check Point 3.5 я установил и настроил в 1998 году. 22+ лет администрирую межсетевые экраны. Первые 9 лет отвечал за оборудование Cisco и Check Point в Интернет провайдере. В 2006 году читал курсы по межсетевым экранам в УЦ Информзащита. Сертифицированный инженер Cisco. Работал в IBM ISS, HP TippingPoint. И уже 6 лет занимаюсь Palo Alto Networks NGFW. По работе также разбираюсь в других вендорах. Делаю сравнения NGFW на заказ, поэтому "чувствую" разницу. ;-)

"Межсетевой экран нового поколения и управление трафиком по имени приложения - это маркетинг", такая замечательная тема обсуждалась недавно в одном из чатов. Любое мнение и любой взгляд на вещи имеет право на существование. Сторонники этого взгляда меня иногда упрекают, что я слишком увлечен идеей межсетевых экранов нового поколения, рассказываю про APP-ID и USER-ID, что я совершенно забылся, что L4 firewall существует до сих пор во многих компаниях и этим инструментом тоже можно пользоваться и управлять трафиком. 

Чтобы не спорить, приведу список приложений, которые ходят по 443 и 80 порту. Глядя в этот список, я лично не знаю, как можно написать правила для этих приложений, имея в руках только один критерий: порт протокола TCP/IP. А вы знаете? Расскажите пожалуйста в комментариях.

Список приложений реальной компании, которые идут по 443 порту TCP.
Всего 173 разных приложения. Отсортировано по категории.
ApplicationCategorySub CategoryTechnologyBytes
ms-updatebusiness-systemssoftware-updateclient-server15178826
java-updatebusiness-systemssoftware-updateclient-server69786
ms-product-activationbusiness-systemssoftware-updateclient-server15814
ms-teamsbusiness-systemsoffice-programsclient-server179890952
evernote-basebusiness-systemsoffice-programsclient-server29642
ms-spynetbusiness-systemsmanagementclient-server1323558
github-basebusiness-systemsmanagementclient-server474160
gistbusiness-systemsmanagementclient-server54795
paloalto-shared-servicesbusiness-systemsmanagementclient-server5964
adobe-creative-cloud-basebusiness-systemsgeneral-businessclient-server11182668
squarebusiness-systemsgeneral-businessclient-server23594
metatraderbusiness-systemsgeneral-businessclient-server21518
soapbusiness-systemsgeneral-businessclient-server16454
appdynamicsbusiness-systemserp-crmclient-server641447
google-updatebusiness-systemssoftware-updatebrowser-based454858
pubnubbusiness-systemssoftware-developmentbrowser-based132118889
google-docs-basebusiness-systemsoffice-programsbrowser-based606681227
ms-powerbibusiness-systemsoffice-programsbrowser-based137709225
ms-office365-basebusiness-systemsoffice-programsbrowser-based67550144
google-docs-basebusiness-systemsoffice-programsbrowser-based4024720
ms-delvebusiness-systemsoffice-programsbrowser-based1270796
mailchimpbusiness-systemsmarketingbrowser-based23159201
oracle-eloquabusiness-systemsmarketingbrowser-based128619
mailchimpbusiness-systemsmarketingbrowser-based10296
oracle-eloquabusiness-systemsmarketingbrowser-based8806
trello-basebusiness-systemsmanagementbrowser-based659385982
new-relicbusiness-systemsmanagementbrowser-based32133686
datadogbusiness-systemsmanagementbrowser-based99077
new-relicbusiness-systemsmanagementbrowser-based62056
wrikebusiness-systemsmanagementbrowser-based44477
recurlybusiness-systemsmanagementbrowser-based30095
bitbucket-basebusiness-systemsmanagementbrowser-based10113
windows-azure-basebusiness-systemsgeneral-businessbrowser-based528937530
paloalto-wildfire-cloudbusiness-systemsgeneral-businessbrowser-based169078231
zendesk-basebusiness-systemsgeneral-businessbrowser-based3736073
arcgisbusiness-systemsgeneral-businessbrowser-based3375511
taobaobusiness-systemsgeneral-businessbrowser-based2840714
recruiteebusiness-systemsgeneral-businessbrowser-based2275184
apple-vppbusiness-systemsgeneral-businessbrowser-based136394
dynatrace-app-monitoringbusiness-systemsgeneral-businessbrowser-based31102
windows-azure-basebusiness-systemsgeneral-businessbrowser-based24050
taobaobusiness-systemsgeneral-businessbrowser-based11265
bitrix24business-systemserp-crmbrowser-based2144933
salesforce-basebusiness-systemserp-crmbrowser-based44137
skypecollaborationvoip-videopeer-to-peer51908422
viber-basecollaborationvoip-videoclient-server147812985
discordcollaborationvoip-videoclient-server29336519
viber-downloadingcollaborationvoip-videoclient-server2931096
alipaycollaborationsocial-businessclient-server1092532
zoom-basecollaborationinternet-conferencingclient-server845247238
webex-basecollaborationinternet-conferencingclient-server113852433
webex-basecollaborationinternet-conferencingclient-server185029
whatsapp-basecollaborationinstant-messagingclient-server84367427
snapchatcollaborationinstant-messagingclient-server1350572
telegramcollaborationinstant-messagingclient-server20766
disquscollaborationweb-postingbrowser-based1211829
pastebin-basecollaborationweb-postingbrowser-based35121
google-hangouts-basecollaborationvoip-videobrowser-based1518895904
mail.ru-basecollaborationsocial-networkingbrowser-based2325309717
facebook-basecollaborationsocial-networkingbrowser-based895739760
mail.ru-basecollaborationsocial-networkingbrowser-based209706858
vkontakte-basecollaborationsocial-networkingbrowser-based131769144
twitter-basecollaborationsocial-networkingbrowser-based107072500
pinterest-basecollaborationsocial-networkingbrowser-based18129636
facebook-basecollaborationsocial-networkingbrowser-based1151868
vkontakte-basecollaborationsocial-networkingbrowser-based1126002
linkedin-basecollaborationsocial-networkingbrowser-based517648
quora-basecollaborationsocial-networkingbrowser-based429627
odnoklassniki-basecollaborationsocial-networkingbrowser-based324121
google-plus-basecollaborationsocial-networkingbrowser-based227731
odnoklassniki-basecollaborationsocial-networkingbrowser-based144567
twitter-basecollaborationsocial-networkingbrowser-based140914
reddit-basecollaborationsocial-networkingbrowser-based113681
tumblr-basecollaborationsocial-networkingbrowser-based78509
meetup-basecollaborationsocial-networkingbrowser-based57025
foursquarecollaborationsocial-networkingbrowser-based24716
linkedin-basecollaborationsocial-networkingbrowser-based23049
pinterest-basecollaborationsocial-networkingbrowser-based9858
sharepoint-onlinecollaborationsocial-businessbrowser-based74999233
myownconferencecollaborationinternet-conferencingbrowser-based2415474509
google-meetcollaborationinternet-conferencingbrowser-based2811776
whatsapp-webcollaborationinstant-messagingbrowser-based452452447
facebook-chatcollaborationinstant-messagingbrowser-based9572224
slack-basecollaborationinstant-messagingbrowser-based1649864
whatsapp-webcollaborationinstant-messagingbrowser-based281318
boldchat-logmeincollaborationinstant-messagingbrowser-based158277
mail.ru-mailcollaborationemailbrowser-based1334267485
gmail-basecollaborationemailbrowser-based277832908
outlook-web-onlinecollaborationemailbrowser-based169940528
hotmailcollaborationemailbrowser-based65997147
mail.ru-mailcollaborationemailbrowser-based46064290
gmail-basecollaborationemailbrowser-based1980879
outlook-webcollaborationemailbrowser-based8608
firebase-cloud-messaginggeneral-internetinternet-utilityclient-server205583856
windows-push-notificationsgeneral-internetinternet-utilityclient-server116116300
apple-mapsgeneral-internetinternet-utilityclient-server17704949
ms-storegeneral-internetinternet-utilityclient-server5773005
icloud-basegeneral-internetinternet-utilityclient-server133246
apple-push-notificationsgeneral-internetinternet-utilityclient-server25908
rssgeneral-internetinternet-utilityclient-server18701
yandex-diskgeneral-internetfile-sharingclient-server12179106383
whatsapp-file-transfergeneral-internetfile-sharingclient-server2111020699
syncplicity-basegeneral-internetfile-sharingclient-server1717261628
dropbox-basegeneral-internetfile-sharingclient-server31050952
syncplicity-basegeneral-internetfile-sharingclient-server18435998
dropbox-basegeneral-internetfile-sharingclient-server2713020
jumpshare-basegeneral-internetfile-sharingclient-server1691140
ms-onedrive-basegeneral-internetfile-sharingclient-server1291962
syncplicity-uploadinggeneral-internetfile-sharingclient-server150800
sourceforge-basegeneral-internetfile-sharingclient-server64523
google-basegeneral-internetinternet-utilitybrowser-based13154647578
web-browsinggeneral-internetinternet-utilitybrowser-based1711577674
yandex-mapsgeneral-internetinternet-utilitybrowser-based1386447360
google-playgeneral-internetinternet-utilitybrowser-based352330892
google-analyticsgeneral-internetinternet-utilitybrowser-based321610138
google-mapsgeneral-internetinternet-utilitybrowser-based21722945
yahoo-web-analyticsgeneral-internetinternet-utilitybrowser-based18132317
google-basegeneral-internetinternet-utilitybrowser-based18038698
bing-mapsgeneral-internetinternet-utilitybrowser-based2107633
google-app-enginegeneral-internetinternet-utilitybrowser-based1222032
yandex-mapsgeneral-internetinternet-utilitybrowser-based1191654
google-analyticsgeneral-internetinternet-utilitybrowser-based817525
websocketgeneral-internetinternet-utilitybrowser-based736767
pushbulletgeneral-internetinternet-utilitybrowser-based165458
web-browsinggeneral-internetinternet-utilitybrowser-based52523
google-playgeneral-internetinternet-utilitybrowser-based43366
yahoo-web-analyticsgeneral-internetinternet-utilitybrowser-based40463
acme-protocolgeneral-internetinternet-utilitybrowser-based35296
google-cachegeneral-internetinternet-utilitybrowser-based33703
speedtestgeneral-internetinternet-utilitybrowser-based24987
wetransfer-downloadinggeneral-internetfile-sharingbrowser-based340164024
wetransfer-basegeneral-internetfile-sharingbrowser-based172208779
google-drive-webgeneral-internetfile-sharingbrowser-based127409055
adobe-cloudgeneral-internetfile-sharingbrowser-based10578110
google-drive-webgeneral-internetfile-sharingbrowser-based2172083
firefox-sendgeneral-internetfile-sharingbrowser-based1046245
google-cloud-storage-downloadgeneral-internetfile-sharingbrowser-based24098
google-cloud-storage-basegeneral-internetfile-sharingbrowser-based19038
boxnet-basegeneral-internetfile-sharingbrowser-based18874
wetransfer-basegeneral-internetfile-sharingbrowser-based12097
instagram-basemediaphoto-videoclient-server552858617
rtcpmediaphoto-videoclient-server350228025
cloudinary-basemediaphoto-videoclient-server88773251
xbox-livemediagamingclient-server10891014
originmediagamingclient-server6972513
steammediagamingclient-server2770429
itunes-basemediaaudio-streamingclient-server3020896
soundcloud-basemediaaudio-streamingclient-server1232273
youtube-basemediaphoto-videobrowser-based36672755685
facebook-videomediaphoto-videobrowser-based513998340
youtube-uploadingmediaphoto-videobrowser-based470462307
vimeo-basemediaphoto-videobrowser-based14566308
http-videomediaphoto-videobrowser-based8174640
youtube-basemediaphoto-videobrowser-based2433691
imgur-basemediaphoto-videobrowser-based1470841
vimeo-basemediaphoto-videobrowser-based70472
khan-academymediaphoto-videobrowser-based17653
ooyalamediaphoto-videobrowser-based12971
poker-starsmediagamingbrowser-based148522
http-audiomediaaudio-streamingbrowser-based371290
cotpnetworkinginfrastructurenetwork-protocol5894
t.120networkinginfrastructurenetwork-protocol1533
stunnetworkinginfrastructurenetwork-protocol1160
anydesknetworkingremote-accessclient-server105785591
teamviewer-basenetworkingremote-accessclient-server45385
ms-rdpnetworkingremote-accessclient-server8192
snmp-basenetworkinginfrastructureclient-server1494
tornetworkingencrypted-tunnelclient-server606950853
panos-global-protectnetworkingencrypted-tunnelclient-server402808794
teamviewer-webnetworkingremote-accessbrowser-based58077
http-proxynetworkingproxybrowser-based10572
quicnetworkinginfrastructurebrowser-based35715114
sslnetworkingencrypted-tunnelbrowser-based422215882315

Представьте, что будет, если бизнес попросит вас что-то запретить, поскольку это не нужно для бизнеса, допустим приложение tor. Или, наоборот, разрешить teamviewer только администраторам. А как вы это сделаете без анализа трафика?

Список приложений реальной компании, которые идут по 80 порту TCP.
Всего 58 разных приложений. 
ApplicationApp CategoryApp Sub CategoryApp TechnologyBytes
google-updatebusiness-systemssoftware-updatebrowser-based39775304
google-calendar-basebusiness-systemsoffice-programsbrowser-based5543
hubspotbusiness-systemsmarketingbrowser-based6657
windows-azure-basebusiness-systemsgeneral-businessbrowser-based35307
bitrix24business-systemserp-crmbrowser-based102916201
salesforce-basebusiness-systemserp-crmbrowser-based3231
adobe-updatebusiness-systemssoftware-updateclient-server782760792
ms-updatebusiness-systemssoftware-updateclient-server37306979
ms-smsbusiness-systemsmanagementclient-server440450451
eset-remote-adminbusiness-systemsmanagementclient-server49650280
github-basebusiness-systemsmanagementclient-server15115
soapbusiness-systemsgeneral-businessclient-server86570957
ldapbusiness-systemsauth-serviceclient-server1826
mail.ru-basecollaborationsocial-networkingbrowser-based1337406
twitter-basecollaborationsocial-networkingbrowser-based324831
vkontakte-basecollaborationsocial-networkingbrowser-based60566
odnoklassniki-basecollaborationsocial-networkingbrowser-based57030
facebook-basecollaborationsocial-networkingbrowser-based14346
linkedin-basecollaborationsocial-networkingbrowser-based1318
sharepoint-basecollaborationsocial-businessbrowser-based8536214
confluence-basecollaborationsocial-businessbrowser-based17603
telegramcollaborationinstant-messagingclient-server37686
web-browsinggeneral-internetinternet-utilitybrowser-based97595584642
web-crawlergeneral-internetinternet-utilitybrowser-based21175241
google-basegeneral-internetinternet-utilitybrowser-based20595418
yandex-mapsgeneral-internetinternet-utilitybrowser-based9699762
google-mapsgeneral-internetinternet-utilitybrowser-based4570121
google-analyticsgeneral-internetinternet-utilitybrowser-based3025564
flashgeneral-internetinternet-utilitybrowser-based2619471
websocketgeneral-internetinternet-utilitybrowser-based740807
bing-mapsgeneral-internetinternet-utilitybrowser-based518081
silverlightgeneral-internetinternet-utilitybrowser-based241640
google-translate-basegeneral-internetinternet-utilitybrowser-based4350
google-cloud-storage-downloadgeneral-internetfile-sharingbrowser-based96246048
google-cloud-storage-basegeneral-internetfile-sharingbrowser-based448350
webdavgeneral-internetfile-sharingbrowser-based10636
rssgeneral-internetinternet-utilityclient-server1408540
google-earthgeneral-internetinternet-utilityclient-server72542
owncloud-basegeneral-internetfile-sharingclient-server28030450
bittorrentgeneral-internetfile-sharingpeer-to-peer255311
http-videomediaphoto-videobrowser-based1802022379
youtube-basemediaphoto-videobrowser-based168954
imgur-basemediaphoto-videobrowser-based9384
http-audiomediaaudio-streamingbrowser-based164406630
steammediagamingclient-server1206799
originmediagamingclient-server40212
xbox-livemediagamingclient-server29807
shoutcastmediaaudio-streamingclient-server8838223
http-proxynetworkingproxybrowser-based346789
sslnetworkingencrypted-tunnelbrowser-based13076750
anydesknetworkingremote-accessclient-server130897265
ms-rdpnetworkingremote-accessclient-server21360
teamviewer-basenetworkingremote-accessclient-server4220
ocspnetworkinginfrastructureclient-server31566328
socksnetworkingproxynetwork-protocol4335
cotpnetworkinginfrastructurenetwork-protocol5540
t.120networkinginfrastructurenetwork-protocol3418
stunnetworkinginfrastructurenetwork-protocol2418

Как запретить bittorent портовым firewall? 

Если у вас есть задача что-то из динамических приложений запретить или разрешить, то нужен критерий «приложение» в политике безопасности, потому что в поле «порт» написано «any».

Мне больше нечего сказать. 

Сколько разных приложений видит NGFW по 80 и 443 порту. Практический эксперимент:


Можно купить L4 firewall и написать правило, разрешающее порт tcp/80, можно не покупать и не писать - влияние на безопасность будет одинаковое... только второе бесплатно. На роутерах есть такие же списки доступа.

Приложения давно изменились: они специально заточены, чтобы обходить межсетевые экраны L4 и работают над обходом L7.
Вы пробовали когда-нибудь заблокировать skype, telegram, tor, teamviewer?
Вы пробовали отловить админа, который вместо web приложения повесил на 80 порт сервис RDP, для работы из дома удаленно? 
Как только у вас будет такая задача - вы поймете зачем вам NGFW.

PS: 

Для разнообразия список приложений реальной компании, которые идут по 3389 порту
15 разных приложений рвалось на порт 3389. 
ApplicationApp CategoryApp Sub CategoryApp TechnologyBytes
ms-rdpnetworkingremote-accessclient-server222 010 161 069
cotpnetworkinginfrastructurenetwork-protocol6 344 743
web-browsinggeneral-internetinternet-utilitybrowser-based5 993
sslnetworkingencrypted-tunnelbrowser-based5 553
socksnetworkingproxynetwork-protocol867
sipcollaborationvoip-videopeer-to-peer503
dicombusiness-systemsgeneral-businessclient-server491
ms-ds-smb-basebusiness-systemsstorage-backupclient-server448
mssql-db-basebusiness-systemsdatabaseclient-server332
corbabusiness-systemsgeneral-businessclient-server328
rpcnetworkinginfrastructurenetwork-protocol324
afpbusiness-systemsstorage-backupclient-server298
ms-smsbusiness-systemsmanagementclient-server296
rmi-iiopbusiness-systemsgeneral-businessclient-server287

Специально привел порт 3389, чтобы показать что там не только Microsoft RDP.
Вы видите, что часть приложений передало мало байт. Это  трафик сетевых сканеров. То есть в компании открыт порт 3389 наружу, а сканер пытается тыкать в него пакетами разных приложений и это видит APP-ID.

По порту 3389 стандартно работает 8 различных приложений.
На портале applipedia.paloaltonetworks.com в поиске ввести «3389»

И список примеров можно продолжать бесконечно…

Подробнее в чем преимущества L7 firewall и вообще NGFW описано в этой статье

Повышайте свой профессионализм в Академии Palo Alto Networks: panacademia.ru