In che modo le persone tipicamente eseguono verifiche di sicurezza dei firewall?

Di solito guardo prima ai diagrammi di rete e al modo in cui la rete è o dovrebbe essere configurata. Questo mi darà un'idea di dove si trova il perimetro, le reti interne, i segmenti funzionali e così via. Poi guardo a quali sono i dispositivi - marca, modello - usati per gestire l'ambiente, se sono di classe enterprise e hanno funzionalità per unificare la gestione. Questo dovrebbe darmi un'indicazione di quanto posso vedere centralmente rispetto a quanto tempo avrò bisogno di passare attraverso i singoli sistemi.

Vedrò la gestione di base del firewall: aggiornamenti del firmware e versione, gestione degli utenti, syslog e configurazioni NTP. Poi guarderò le regole.

Idealmente le regole saranno giustificate / spiegate con un commento o un link a un controllo delle modifiche. Ci sarà una fonte valida, una destinazione con protocolli specifici per la maggior parte delle regole - ci saranno pochissime istanze di "qualsiasi". Verranno utilizzati protocolli sicuri ove possibile, HTTPS, SFTP e giustificati se non. Le regole e gli oggetti ridondanti saranno disabilitati o rimossi. I team applicativi e operativi assisteranno nella revisione per convalidare i loro requisiti.

I conteggi sull'uso di regole o strumenti per identificare regole / oggetti inutilizzati sono utili.

Una volta completata la revisione e un elenco di problemi, domande, questi devono essere inseriti in un report o foglio di calcolo e le modifiche richieste identificate e con priorità. Le regole ridondanti dovrebbero essere disabilitate temporaneamente prima della cancellazione e i commenti aggiornati. Le regole che possono essere più restrittive dovrebbero essere aggiornate e commentate.

Dopo aver eseguito la procedura sopra descritta, è probabilmente ora di ricominciare da capo!

Creo script manuali per testare le regole previste e non volute. Richiede l'accesso alle regole del firewall, così come l'intento (commenti, ticket) di ciascuno. Ogni regola del firewall ottiene un test specifico nello stesso modo in cui un programmatore crea test unitari (approccio Test-Driven Development). Inoltre, i casi angolari sono concepiti e testati.

Genero traffico di test sia all'interno che all'esterno dei confini che sto testando. Con una buona sceneggiatura, puoi anche dare il via a un test continuo e apportare modifiche alle regole del firewall per vedere l'effetto dei cambiamenti in tempo reale. Il codice sorgente degli script può essere salvato nei repository di gestione dei controlli di origine (svn, git, hg, ecc.) Per la verifica. Un membro junior può eseguire regolarmente gli script (mensilmente?) Per controllare i firewall. Lo script può cambiare per ogni modifica ai firewall.

Inoltre, utilizzo nmap per uno sweep generale per vedere la linea di base di una scansione completa delle porte, ma le sweep delle porte non possono testare tutte le possibili configurazioni dei tipi di traffico (pacchetti malformati, traffico delle app personalizzate, ecc.)

In termini pratici, usavo hping3 abbastanza ampiamente (supporto per script di tcl), ma ho molto recentemente convertito i miei script in Python usando Scapy .