Next Generation Firewall Những điều cần xem xét lựa chọn NGFW Hội thảo bắt đầu lúc 10h15’ Minh Trinh Ph.D, CISSP, CyberSecurity Specialist 25/03/2020 Agenda © 2019 Cisco and/or its affiliates All rights reserved Cisco Public Confidential Những vấn đề ATTT Vai trò NGFW toán ATTT? Vấn đề cần xem xét lựa chọn NGFW câu đố Q&A (>15p) Thực thi ATTT từ Chia hệ thống (người dùng, ứng dụng, mạng…) thành vùng an ninh (vùng có độ tin cậy) Kiểm sốt truy cập vùng Ví dụ: • Xây dựng Security domain: triển phân hoạch mạng (segmentation), chia nhóm ứng dụng… • Kiểm sốt truy cập: Kiểm tra định danh để ghép người dùng vào nhóm cấp quyền truy cập tương ứng tới ứng dụng © 2019 Cisco and/or its affiliates All rights reserved Cisco Confidential Mục tiêu quản lý truy cập từ Là quản lý rủi ro, hay giảm rủi ro xuống mức độ chấp nhận Firewall biện pháp làm giảm thiểu rủi ro cho tổ chức © 2019 Cisco and/or its affiliates All rights reserved Cisco Confidential Vai trò tường lửa thực thi ATTT Thực thi sách ATTT biên vùng an ninh để thực thi kiểm sốt truy cập Ví dụ: mở số cổng dịch vụ để thực thi sách cho phép cung ứng số dịch vụ; kiểm tra tập tin chuyển qua để thực thi sách ngăn mã độc xâm nhập… Qua đó, giảm mức độ rủi ro tổ chức xuống mức chấp nhận Ví dụ: giảm mức độ lây nhiễm mã độc số mã độc lọt qua… ATTT khơng có firewall? • • • Chung cư khơng có bảo vệ Nhà nhiều phòng khơng có cửa Chính phủ đưa sách “cách ly cộng đồng” không thực người dân “cứ đường, có đâu” Lịch sử Tường lửa (Firewall) • 1989: Firewall đưa Digital Equipment Corp (DEC) với chức lọc gói tin IP đơn lẻ • 199x: UTM (Unified Threat Management) đưa với khả lọc thơng tin, lọc mã độc dòng liệu … Mặt trái UTM khả xử lý nhỏ độ trễ lớn • 2010: Next Gen Firewall (NGFW): Palo Alto Networks với chức bổ sung nhận biết kiểm soát ứng dụng (khơng phục thuộc vào cổng dòng liệu) • Gần đây: New Next Gen Firewall (NNGFW) đề cập số tổ chức (VD Gartner) • Một số hãng triển khai giải pháp IPS chuyên dụng với số tính Firewall khơng nên đặt thiết bị vào chung chủng loại với NGFW (N)NGFW gì? • Có tính lọc gói tin (packet filtering) • Nhận biết kiểm sốt ứng dụng (AVC) • Tích hợp tính IPS • Khả cập nhật thông tin từ trung tâm tình báo thay đổi thời gian thực khả kiểm sốt Firewall NGFW Băng thơng, khả xử lý NGFW • Khả FW • Khả FW + AVC • Khả FW + AVC + IPS • Khả FW + AVC + IPS + Malware • Khả giám sát SSL qua giải mã • Giải mã phần mềm • Giải mã phần cứng chuyên dụng Cần ý sau số Mbps? • Kích cỡ gói tin: gói nhỏ (VD nửa), hiệu thấp (cần gấp 4) • Tỷ lệ https (SSL/TLS): nhiều SSL hiệu thấp (giảm nửa có SSL decyption) • Khả tối đa thực tế: tối đa không xảy đồng thời (bang thông, số cổng…) Ảnh hưởng IPS tới ứng dụng • IPS làm tăng độ trễ ứng dụng • Xem xét khả giám sát, phát ngăn chặn với độ trễ cho phép: Số lượng rule • Khả chống kỹ thuật lẩn tránh hacker • Chế độ fail-to-wire • IDS thay cho IPS (slide sau) • Hiệu NGFW kỹ thuật lẩn tránh (Evasion) áp dụng => © 2019 Cisco and/or its affiliates All rights reserved Cisco Confidential Chọn IDS hay IPS? • IDS điều tra sâu vào lường liệu không làm ảnh hưởng ứng dụng khơng ngăn chặn cơng • IPS chặn công, làm tăng độ trễ mạng làm ảnh hưởng ứng dụng • IDS với khả kiểm sốt qua cơng cụ khác Network Access Control lựa chọn nên xem xét Nên trang bị FW IPS riêng hay chung? • Nên triển khai FW trước IPS dòng liệu • Rất khó tối ưu thiết bị rời • FW IPS thiết bị đảm bảo dòng liệu kiểm sốt FW trước IPS Khả lọc mã độc NGFW • Tải tập tin thường qua NGFW nên NGFW cần có khả chặn mã độc • NGFW cần có khả hồi tố tập tin “lọt lưới”: Mã độc vào từ lúc nào? • Đã đến máy tính đầu tiên? • Đã lây đến máy tính nào? • • Được sandbox hỗ trợ quan trọng Độ xác cảnh báo NGFW • Giảm cảnh báo sai (faul positive faul negative) mục tiêu IPS • “Biết” hệ thống mà cần bảo vệ để cảnh báo xác hơn, đánh giá mức nguy hại cơng • Đề xuất rule IPS cần thiết để giảm thiểu cơng việc admin nâng cao độ xác Threat Intelligence sau NGFW • NGFW có Threat Intelligent • Chất lượng Threat Intelligent định khả phát công NGFW (chứ device ta nhìn thấy on-prem) • Số lượng thơng tin đầu vào (số lượng mã độc, domain, email…) khả “tiêu hóa” thơng tin thành tri thức (như số lượng người toàn thời gian) tham số quan trọng để đánh giá Threat Intelligent • Hãy thử kết nối hỏi Threat Intelligent để tự đánh giá Khả hỗ trợ điều tra xử lý cố NGFW • Khi có cố, NGFW giúp trả lời câu hỏi sau nào? • • • • • • • Sự cố xảy từ lúc nào? Có qua NGFW hay khơng? Những hệ thống liên quan tới cố? Ai nguồn công? Ai victim? Ngăn chặn NGFW nào? Trả lời câu hỏi dễ hay khó, có nhanh khơng? Khả tích hợp NGFW với sản phẩm khác • NGFW giám sát kiểm sốt dòng liệu qua • NGFW nhìn chung signature-based • Vì vậy, NGFW phải liên kết với hệ thống khác để có hiệu • • • • • • Hệ thống quản lý người dùng để có thơng tin người dùng kết nối Hệ thống chống mã độc + AV Hệ thống SIEM Hệ thống điều tra Hạ tầng mạng mô hình Software Defined Hệ thống kiểm sốt (enforcement) Cần làm tham khảo đánh giá 3rd? • Nhiều tổ chức đánh giá độc lập: Gartner, IDC, Forrester, NSS LAB, NetSecOPEN… • Cần đọc phần Summary/Strengths/Cautions • Ví dụ: Các sản phẩm khác hãng phần đầu nhận xét hãng • Nội dung “Cautions” có nằm u cầu tổ chức hay khơng? (VD dùng để triển khai SDWAN, thiết bị lại yếu phần SDWAN, muốn dùng cho Cloud FW lại yếu phần cho cloud) • Chọn hay nhiều loại FW khác nhau? © 2019 Cisco and/or its affiliates All rights reserved Cisco Confidential Doanh nghiệp cần loại NGFW trở lên? Yêu cầu mang tính chất sách cơng ty Có đủ người đào tạo để chống lại công đại Phát sinh yêu cầu NGFW tổ chức chuyển qua Software Defined Network Có nhu cầu quản lý (micosegmentation) dòng liệu ngang (est-west) Chiến lược chuyển 01 loại NGFW: • Từ DMZ => chi nhánh => cloud SDN => giảm giá cho tổng đơn hàng Summary • Chọn NGFW cơng việc đòi hỏi xem xét kỹ lưỡng để có sản phẩm phù hợp với doanh nghiệp • Cần cân thiết kế, cấu hình NGFW với chọn mua sản phẩm tốt • Luôn nhớ NGFW thành phần kiến trúc chung ATTT với nhiều thành phần khác • NGFW có lỗi q trình sử dụng Hãy tham dự Webminar 09h00-12h30 ngày 26/3/2020 “Approach Firepower like TAC” để tham khảo Cisco TAC làm để tìm giải lỗi Our contacts: Sơn Phan: pson@cisco.com Duyên Trần: duyetran@cisco.com Minh Trịnh: tminh@cisco.com Q&A Câu miêu tả ý kiến Gartner chọ hay hãng FW khác nhau? A NGFW để lọt lưới có lỗi sản xuất khuyến cáo cần hệ thống NGFW từ hãng khác B NGFW để lọt lưới cấu hình NGFW bị sai sót Sai sót thường cấu hình NGFW phức tạp nắm cấu hình loại NGFW khác lại phức tạp có lỗi dẫn tới bị xâm nhập C NGFW lọt lưới khơng nhận biết Phương thức lẩn tránh tin tặc Câu IPS: A Nên kích hoạt tất qui tắc để IPS có khả phát công tốt B IPS thường cảnh báo xác xâm nhập C Khi cấu hình IPS càn cân nhắc giữ khả phát công độ trễ hoạt dộng mạng IPS sinh D Fail to wire tính IPS có Câu chức chống mã độc NGFW: A Các NGFW có chống mã độc mặc định B Phần mềm chống mã độc IPS có khả quét hết mã độc qua NGFW C NGFW khơng có khả biết mã độc lây nhiêm máy PC D NGFW có khả bỏ sót mã độc Quan trọng phải lưu lại thơng tin để truy cứu © 2019 Cisco and/or its affiliates All rights reserved Cisco Confidential lại mã độc “lọt lưới”  ... nhau? A NGFW để lọt lưới có lỗi sản xuất khuyến cáo cần hệ thống NGFW từ hãng khác B NGFW để lọt lưới cấu hình NGFW bị sai sót Sai sót thường cấu hình NGFW phức tạp nắm cấu hình loại NGFW khác... Câu chức chống mã độc NGFW: A Các NGFW có chống mã độc mặc định B Phần mềm chống mã độc IPS có khả quét hết mã độc qua NGFW C NGFW khơng có khả biết mã độc lây nhiêm máy PC D NGFW có khả bỏ sót... hỏi dễ hay khó, có nhanh khơng? Khả tích hợp NGFW với sản phẩm khác • NGFW giám sát kiểm sốt dòng liệu qua • NGFW nhìn chung signature-based • Vì vậy, NGFW phải liên kết với hệ thống khác để có