Do testów zgłoszono produkty firm: AlgoSec, RedSeal, Secure Passage, Skybox i Tufin. Przedstawiamy wyniki testów produktów dostępnych na rynku polskim: AlgoSec Firewall Analyzer i Tufin SecureTrack.

Funkcje wykonywane przez te produkty można skrótowo opisać w następujący sposób: pobieranie plików konfiguracyjnych z zapór ogniowych (a także innych urządzeń sieciowych), zapamiętanie tych danych i ich analiza. W ramach analizy może być przeglądana historia zmian oraz kwerendowanie zebranych danych (według określonych reguł). W ramach działań prewencyjnych mogą być przeorganizowywane reguły i wysyłane alarmy o naruszaniu reguł polityki. Produkty mogą także zapewniać automatyczne tworzenie analiz i raportów dla potrzeb audytu zgodności z przepisami o ochronie danych.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych
• Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania

AlgoSec Firewall Analyzer

Pakiet programowy firmy AlgoSec, oparty na Linuksie, zawiera silnik analizy, silnik zbierania danych, serwer webowy, interfejs graficzny dla lokalnej i zdalnej administracji oraz bazy danych użytkownika, polityk i syslogów.

Silnik analizujący uruchamia kwerendy na zbiorze zebranych danych, w oparciu o predefiniowane lub specjalizowane reguły, i następnie generuje szczegółowy raport. Serwer webowy wysyła pocztą elektroniczną alarmy do osoby zarządzającej zaporami ogniowymi.

Zestaw instalacyjny tego oprogramowania dostępny jest dla 32-bitowego Red Hat Linux (4 i 5) i Centos (4 i 5). Do testów oprogramowanie zostało zainstalowane jako urządzenie wirtualne (VMware) na serwerze Dell 600SC.

Produkt oferuje trzy sposoby zbierania danych: kreator dostępny w zakładce Aministration, półautomatyczny skrypt zapewniany przez AlgoSec lub ręczna, która jednak zabiera trochę czasu i może powodować błędy.

Po odszukaniu i zapamiętaniu plików, Firewall Analyzer uruchamia analizę ryzyka opartą na zgodność z wymogami PCI, NIST, SNS Top 20 i dobrych praktyk dostawcy. Możliwe jest również tworzenie specjalistycznych raportów z analiz. Po wyborze opcji Firewall Reports, wyświetlane są wykresy i schematy połączeń, wykazy zmian, wyniki badań, optymalizacja polityk, przeorganizowanie reguł, informacje z zapór ogniowych i schemat połączeń zapory ogniowej. Wybranie opcji Risks udostępnia rezultaty badań z kodami ryzyka oraz wykresami i sugestiami jak sobie z nim poradzić.

Raport Change History przedstawia szczegóły zmian w regułach zapory ogniowej. Na pulpicie Change History można odnaleźć mechanizmy uruchamiające interaktywne kwerendy ruchu, porównujące bieżące raporty z innymi raportami i tworzące raport grupowy, obejmujący inne zapory ogniowe.

Mechanizm Optimization Policy zapewnia narzędzia Rules Cleanup i Reordering. Raporty Cleanup pokazują wszystkie reguły, które wymagają poprawek oraz liczbę ich instancji. Reguły pokazane w raporcie mogą mieć etykiety: unused, redundant, disabled oraz rules with non-compliant name. Raport Rule Reordering dostarcza informacji o tym, w jakim zakresie można ulepszyć reguły i ile reguł może być ulepszonych. Dostępny jest też szczegółowy raport wyjaśniający jak można wykonać takie zmiany.

Pulpit aplikacji klienckiej Firewall Analyzer jest dobrze zorganizowany i wielowarstwowy, co ułatwia znajdywanie mechanizmów i kreatorów. Kreator Optimize Policy może identyfikować reguły, które trzeba doprowadzić do porządku. Raporty dostępne są w formatach PDF, HTML i XML. Wadą jest brak integracji ze skanerem podatności (VA).

Tufin SecureTrack

Secure Track firmy Tufin pozwala na zarządzanie i przeprowadzenie audytu zapór ogniowych, routerów i przełączników, a także zapewnia ogląd zapór ogniowych i innych urządzeń sieciowych. Zapewnia zautomatyzowane raporty ryzyka i stanu audytu, monitoruje systemy operacyjne zapór ogniowych i obsługuje standardy zapewniania bezpieczeństwa.

Urządzenie Tufin T-500 zawiera preinstalowane oprogramowanie TufinOS i Secure Track. Podczas testów, proces instalowania przeprowadzono na urządzeniu wirtualnym VMware. Instalacja jest szybka i bezproblemowa. Po zachowaniu ustawień, pojawia się ekran logowania i można uzyskać dostęp do serwera Tufin SecureTrack.

Na ekranie prezentowane są ikony: Policy Change Reports, Rule Usage Statistics, Security Risk Reports oraz Best Practices Audit. Użytkownik może wybrać: bezpośrednie powiadamianie go o zmianach polityki lub otrzymywanie raportów tygodniowych.

Monitorowanie urządzeń jest podzielone na kategorie: Devices, Plugins oraz Firewall OS Monitoring. Monitorowanie Plugins jest preinstalowane dla Blue Coat Proxy SG, F5 Big IP i Linux iptables. Można także wybierać wtyczki dla urządzeń Check Point, Cisco, Juniper, Fortinet, Blue Coat i innych dostawców. Zakładka Firewall OS Monitoring jest mechanizmem licencjonowanym oddzielnie, który jest przeznaczony do poszerzenia Secure Track o możliwość użycia SNMP do zmian w urządzeniach, w uzupełnieniu monitorowania.

Optymalizacja i "cleanup" to główne funkcje Secure Track. Skupiają się one na sprawdzaniu czy baza reguł nie narusza wymogów korporacyjnych i zewnętrznych w zakresie bezpieczeństwa. W tym celu Secure Track monitoruje w sposób ciągły zapory ogniowe, routery i przełączniki. Mechanizm Compare listuje numery ostatnich rewizji reguł przy nazwie urządzenia. Alarm rewizji reguł pojawia się, gdy takie rewizje są generowane. Revision List może być filtrowania z użyciem 10 atrybutów.

W czasie testów używano Secure Track Analyzer do identyfikowania pokrywających się lub nadmiarowych reguł. Do skorzystania z predefiniowanych polityk dobrych praktyk, przechowywanych w bazie danych Secure Track, może być użyta opcja Audit and Compliance. Dostępna jest kontrola dobrych praktyk dla wszystkich zapór lub specyficznej zapory, np. Check Point. Secure Track oferuje także predefiniowane audyty z analizy polityk dla celów zgodności z PCI-DSS. Można także ustawiać alarmy powiadamiające o zmianach w regułach polityki bezpieczeństwa.

Kreator Secure Track Audit pozwala na tworzenie specjalistycznych audytów zapór ogniowych. Zapewnia także predefiniowaną listę szablonów audytu. Raporty z analiz zawierają wykresy oraz tablice sumaryczne, wyświetlające punktację ryzyka. Produkt nadaje się szczególnie do przeprowadzania audytu i utrzymywania zgodności z dobrymi praktykami w zakresie bezpieczeństwa.