Я и еще один человек скоро возьмем на себя часть ежедневных обязанностей по управлению брандмауэром, и я ищу способ отслеживать изменения в наших конфигурациях брандмауэра для целей аудита, и мне нужны идеи о том, как правильно отслеживать изменения. сделали.
У меня не так много конкретных критериев, но вот некоторые из основных вещей, которые я хотел бы делать:
Мне интересно, будет ли здесь работать какое-то программное обеспечение для контроля версий, чтобы отслеживать изменения? Или, если какой-то другой подход будет лучше работать для управления контролем изменений в этой ситуации.
На данный момент я открыт для любых предложений.
РЕДАКТИРОВАТЬ:
Мы используем пару контрольных точек, одну пассивную, другую активную. Я снова обновлю конкретные номера моделей, когда у меня будет возможность.
Другой вариант (оплачиваемый за продукт) - это AlgoSec Security Management Suite, которому в обзоре продукта SC Magazine было присвоено 5 звезд из 5 - http://www.scmagazine.com/algosec-security--management-suite/review/3666/. Этот пакет состоит из двух продуктов - AlgoSec Firewall Analyzer и AlgoSec FireFlow. AlgoSec Firewall Analyzer анализирует политики брандмауэра и отслеживает их изменения в соответствии с вашими требованиями.
Это может выходить за рамки того, что вы ищете на данном этапе, но дополнительно выявляет рискованные правила (основанные на отраслевых стандартах, таких как NIST, PCI и т. Д.), Возможности оптимизации политик (т. Е. Выявление неиспользуемых правил, предоставление рекомендаций по изменению порядка правил, и т. д.), ужесточить чрезмерно разрешительные правила (например, ЛЮБОЙ источник, назначение), отслеживать изменения и автоматизировать аудит соответствия для PCI, NERC CIP, SOX и других. AlgoSec FireFlow берет анализ из анализатора межсетевого экрана и автоматизирует весь рабочий процесс изменения (он может интегрироваться с существующей системой продажи билетов и обеспечивает базовый интеллект в том, что касается воздействия изменения, места его внесения и т. Д.).
Вот ссылка на информацию о продукте, если вы хотите узнать больше: http://www.algosec.com/en/products/products_overview
Удачи!
* Отказ от ответственности - я работаю в AlgoSec
Сегодня на сайте Resources.infosecinstitute.com есть статья, в которой рассказывается об аудите межсетевого экрана. Хотя я знаю, что это не совсем то, о чем вы просили, внизу есть некоторые инструменты, на которые они ссылаются, которые могут вам помочь.
Хотя оба они оплачиваются за продукты, вы можете использовать собственное решение с некоторыми базовыми скриптами. RANCID в основном выполняет различие различных файлов конфигурации. Поскольку Checkpoint поддерживает резервное копирование конфигурации в текстовом формате, вы можете запланировать это, а затем получить базовый сценарий, который сравнивает результаты и показывает различия. Наряду с этим вы можете просто вытащить журналы аудита, чтобы связать вместе, кто внес изменения, когда произошли различия.
У нас есть политика: если вы обновляете конфигурацию устройства, вы сохраняете копию конфигурации в виде обычного текста в нашем репозитории Subversion (SVN).
Одна из действительно замечательных вещей в этом заключается в том, что SVN можно настроить на рассылку по электронной почте различий для каждой проверки, поэтому, если я добавлю правило к брандмауэру, все, кому нужно знать, получат копию внесенных мной изменений.