Révision des règles de pare-feu

12

Je dois revoir les règles de pare-feu d'un pare-feu CheckPoint pour un client (avec plus de 200 règles).

J'ai utilisé FWDoc dans le passé pour extraire les règles et les convertir dans d'autres formats, mais il y a eu des erreurs avec les exclusions. Je les analyse ensuite manuellement pour produire une version améliorée des règles (généralement dans OOo Calc) avec des commentaires.

Je sais qu'il existe plusieurs techniques de visualisation, mais elles se résument toutes à l'analyse du trafic et je souhaite une analyse statique.

Je me demandais donc, quel processus suivez-vous pour analyser les règles de pare-feu? Quels outils utilisez-vous (pas seulement pour Checkpoint)?

chmeee
la source

Réponses:

4

Récemment, les gars de matasano ont sorti Flint , un vérificateur de règles de pare-feu. C'est GPL et fonctionne sur sinatra .

texte alternatif
(source: runplaybook.com )

Semble très prometteur. Même si je ne l'ai pas encore essayé . Il n'y a que la prise en charge des pare-feu PIX / ASA, mais ils en ajouteront d'autres à l'avenir.

MODIFIER :

Je l'ai installé et testé. L'installation est très simple. Quant à l'analyse, je l'ai alimentée avec une configuration de pare-feu complexe et son analyse a été longue. Les résultats étaient généralement corrects, mais il y avait des erreurs d'analyse.

Dans l'ensemble, il s'agit de la première version d'un outil prometteur. Et c'est ce que je cherchais avec cette question en premier lieu.

chmeee
la source
1

Playbook pourrait être ce que vous cherchez. Je ne l'ai pas exécuté, mais cela semble intéressant.

Bill Weiss
la source
1

L'automne dernier, j'ai passé beaucoup de temps à chercher un analyseur statique à faible coût.

Le plus proche que j'ai trouvé était un projet de recherche universitaire appelé Fireman que je n'ai jamais essayé de faire travailler.

Actuellement, je fais un nettoyage et un audit majeurs à la main et vérifie par rapport aux analyses NMAP et aux données de journal historiques.

S'il y a une meilleure façon qui est bon marché et efficace, j'aimerais en entendre parler.

Bob
la source
0

Je connais deux outils pour analyser les règles FW: SkyBox et RedSeal
Ce sont des outils commerciaux.

rayon
la source
Les avez-vous utilisés? Quelle production produisent-ils?
chmeee
Je ne les ai pas utilisés moi-même, mais skybox peut auditer la base de règles sur la politique de sécurité et la topologie du réseau et signaler les violations
rayon
RedSeal est plus que de simples règles de pare-feu, il fait toutes sortes de choses pour vous aider à visualiser votre architecture de sécurité réseau, notamment en déterminant si votre position actuelle de contrôle d'accès (implémentée via des pare-feu, des listes de contrôle d'accès, etc.) est conforme à la "politique" de votre entreprise ( ou d'autres normes, telles que PCI-DSS, et al). En ce qui concerne les règles de pare-feu, ils peuvent analyser un tas de vérifications des meilleures pratiques, en plus de certaines choses spécifiques au pare-feu telles que les règles inutilisées, la journalisation manquante, etc. pour une variété de fournisseurs différents.
Jed Daniels
0

La meilleure solution que j'ai vue est l'outil de visualisation Web de Checkpoint.

Lien de téléchargement Windows: https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=10708

Vous pouvez exporter au format HTML pour l'affichage ou au format XML si vous souhaitez faire quelque chose avec les données. Il exporte également des informations sur les objets dans les règles, au cas où ils seraient super obscurcis.

S'amuser! :RÉ

JakeRobinson
la source