Acompanhamento de alterações nas configurações do firewall?

Navegue suas respostas
2

Eu e mais um indivíduo estaremos assumindo algumas das tarefas diárias de gerenciamento de firewall em breve e estou procurando uma maneira de rastrear alterações em nossas configurações de firewall para fins de auditoria e precisar de algumas ideias sobre uma boa maneira de controlar as alterações. mudanças que são feitas.

Eu não tenho muitos critérios específicos, mas aqui estão algumas das coisas básicas que eu gostaria de poder fazer:

  • Acesso a revisões anteriores de configurações de firewall
  • Acesso às alterações feitas e por quem
  • Quando alterações específicas foram feitas

Eu estou querendo saber se algum tipo de software de controle de revisão funcionaria aqui como uma maneira de rastrear as mudanças? Ou se alguma outra abordagem funcionasse melhor para gerenciar o controle de alterações nessa situação.

Estou aberto a todas e quaisquer sugestões neste momento.

EDITAR:

Estamos usando um par Checkpoint, uma configuração ativa passiva. Vou atualizar novamente com números de modelo específicos quando tiver uma chance.

    
por jmreicha 15.06.2012 / 16:23

3 respostas

1

Há um artigo atual em Resources.infosecinstitute.com que fala sobre auditoria de firewall. Embora eu saiba que isso não é exatamente o que você estava pedindo, há algumas ferramentas para o fundo que elas mencionam que podem ajudá-lo.

  • Pinça
  • Firemon Security Manager (Este faz o gerenciamento de configuração.)

Embora ambos sejam pagos por produtos, você pode usar sua própria solução interna com alguns scripts básicos. RANCID basicamente faz diffs de vários arquivos de configuração. Como o Checkpoint suporta o backup da configuração em formato de texto, você pode agendar isso e ter um script básico que difira os resultados e mostre as diferenças. Junto com isso, você pode simplesmente puxar os logs de auditoria para unir quem fez as alterações quando os diffs ocorreram.

    
por 15.06.2012 / 17:50
1

Outra opção (paga pelo produto) é o AlgoSec Security Management Suite, que recebeu apenas 5 de 5 estrelas em uma análise de produto da SC Magazine - link . Esta Suite é composta por dois produtos - AlgoSec Firewall Analyzer e AlgoSec FireFlow. O AlgoSec Firewall Analyzer analisa as políticas de firewall e rastreia as alterações nas políticas de acordo com seus requisitos.

Isso pode ir além do que você está procurando neste momento, mas também identifica regras arriscadas (baseadas em padrões do setor como NIST, PCI, etc.), oportunidades para otimizar políticas (isto é, identificar regras não utilizadas, fornecer recomendações para reordenar regras, etc.), reforçar regras excessivamente permissivas (ou seja, QUALQUER Origem, Dest), rastrear alterações e automatizar auditorias de conformidade para PCI, NERC CIP, SOX e outras. O AlgoSec FireFlow analisa o Firewall Analyzer e automatiza todo o fluxo de trabalho de alterações (pode ser integrado a um sistema de bilhetagem existente e fornece a inteligência subjacente até o impacto da mudança, onde fazer a alteração, etc.).

Aqui está um link para as informações do produto, se você estiver interessado em saber mais: link

Boa sorte!

* Isenção de responsabilidade - Eu trabalho para o AlgoSec

    
por 20.06.2012 / 14:11
0

Nós temos uma política, se você atualizar a configuração de um dispositivo, então você salva uma cópia da configuração em texto simples em nosso repositório Subversion (SVN).

Uma das coisas realmente boas sobre isso é que o SVN pode ser configurado para enviar e-mails com diffs de cada check-in, portanto, se eu adicionar uma regra a um firewall, todos que precisarem saber receberão uma cópia das alterações feitas.

    
por 20.06.2012 / 15:53

Tags

É possível criar um destino iSCSI multipath com dois nós DRBD? O ZenOSS pode integrar o Ganglia sem problemas?