Revendo regras de firewall

12

Preciso revisar as regras de firewall de um firewall CheckPoint para um cliente (com mais de 200 regras).

Eu usei o FWDoc no passado para extrair as regras e convertê-las para outros formatos, mas houve alguns erros com exclusões. Em seguida, analiso-os manualmente para produzir uma versão aprimorada das regras (geralmente no OOo Calc) com comentários.

Eu sei que existem várias técnicas de visualização, mas todas elas se resumem à análise do tráfego e eu quero análises estáticas.

Então, eu estava pensando, qual processo você segue para analisar as regras de firewall? Quais ferramentas você usa (não apenas para o Checkpoint)?

chmeee
fonte

Respostas:

4

Recentemente, o pessoal do matasano lançou o Flint , um verificador de regras de firewall. É GPL e roda em sinatra .

texto alternativo
(fonte: runplaybook.com )

Parece muito promissor. Embora eu não tenha tentado ainda . Só há suporte para firewalls PIX / ASA, mas eles adicionarão outros no futuro.

EDIT :

Eu instalei e testei. A instalação é muito simples. Quanto à análise, eu a alimentei com uma configuração complexa de firewall e demorou muito tempo para analisar. Os resultados foram na maioria corretos, mas houve erros de análise.

No geral, este é um lançamento inicial de uma ferramenta promissora. E foi o que eu estava procurando com essa pergunta em primeiro lugar.

chmeee
fonte
1

Playbook pode ser o que você está procurando. Eu não o executei, mas parece interessante.

Bill Weiss
fonte
1

Passei um tempo considerável procurando um analisador estático de baixo a nenhum custo no outono passado.

O mais próximo que encontrei foi um projeto de pesquisa universitário chamado Fireman, que nunca tentei trabalhar.

Atualmente, estou fazendo uma grande limpeza e auditoria manualmente e verificando as verificações históricas do NMAP e os dados de log.

Se existe uma maneira melhor e barata e eficaz, eu adoraria ouvir sobre isso.

Prumo
fonte
0

Conheço duas ferramentas para analisar as regras do fw: SkyBox e RedSeal
São ferramentas comerciais.

raio
fonte
Você já os usou? Que saída eles produzem?
21810 chmeee
Eu mesmo não os usei, mas o skybox pode auditar a base de regras na política de segurança e na topologia de rede e relatar violações #
raio
O RedSeal é mais do que apenas regras de firewall, elas fazem todo o tipo de coisas para ajudar a visualizar sua arquitetura de segurança de rede, incluindo determinar se sua postura atual de controle de acesso (implementada por firewalls, ACLs etc.) é uma reclamação da "política" da empresa desejada ( ou outros padrões, como PCI-DSS, et al). No que diz respeito às regras de firewall, elas podem analisar diversas verificações de práticas recomendadas, além de algumas informações específicas sobre firewall, como regras não utilizadas, falta de registro etc. para vários fornecedores diferentes.
precisa
0

A melhor solução que eu já vi é a ferramenta de visualização da Web da Checkpoint.

Link para download do Windows: https://supportcenter.checkpoint.com/supportcenter/portal/role/supportcenterUser/page/default.psml/media-type/html?action=portlets.DCFileAction&eventSubmit_doGetdcdetails=&fileid=10708

Você pode exportar para HTML para visualização ou XML, se desejar fazer algo com os dados. Também exporta informações sobre os objetos nas regras, caso sejam super ofuscados.

Diverta-se! : D

JakeRobinson
fonte