快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

宜信防火墙自动化运维之路

写在前面

作者浅言

做了多年安全运维的我始终想出点干货,经常看众大神分享经验,仰望的同时老是想有一天本人也能奉献点什么。在宜信的这些年工作了许久,经验也积攒了一些,不敢说干货多硬,只能算是近几年工作经验的沉淀,希翼能给涉猎者带来启示以及帮助。更欢迎同行各位大佬给予斧正,共同交流经验以及从业心得体味,在此谢过。

本文简介

文章分为2个部分——正文篇1.0 & 正文篇2.0,1.0篇编写于2017年,2.0篇编写于2018年,是对1.0版本的升级与优化,通过标题标注以示区别。

正文篇1.0

互联网金融行业快速发铺,笼盖范围广, 行业规范监管请求等特点,宜信作为互联网金融企业,传统运维模式已问题凸显。

异构收集架构下多品牌防火墙并存,各大厂商产品从设置治理角度也不绝相同,包含GUI、CLI、WEB等多种方式,了解防火墙安全策略的使用状况,及时发现安全隐患,具体记录防火墙安全策略的变更,帮助治理员设置出正确的安全策略,确保防火墙的设置相符外部和内部的安全规范等问题,运维工作急迫一套集中治理平台实现这些内容。

Clipboard Image.png

更好的安全来源于更好的治理,我们要解决什么问题?

策略自立查询:提供用户自助查询功能,解决用户疑惑如A到B的走访是否默认已经开通?

策略申请:平台填写申致意全策略五元组及日期,事由等相干信息,平台行使预制规则对申请进行预判定,是否为合理需求?是否无需开通? 从需求提出阶段缩小人工成本以及快速预响应。

策略考核变更:治理员得到相应申请通知邮件后通过平台进行策略评估后,进行同意变更下发策略或打归动作。

审计:平台记录所有效户申请,治理员的操作记录,方便后期查询并餍足如等保及其他合规请求。

报表:可看到各部门当前使用了哪些安全规则。

设置治理:通过平台对设备设置进行备份,方便进行设置比对以及设置恢复工作。

平台开发过程中两个核心问题需要解决:

1:怎么样判定一个主机走访另外主机经过哪些收集设备?

2:怎么样将各个厂商防火墙策略导出并离线合并生成统一数据库作为平台基础。

综合考虑对比种种方案,如携程网运维平台路由计算要领,Firemon的设置抓取生成拓扑等,我们终极采用使用Python的三方库Networkx做拓扑计算以及生成,将各地区网段定义为点对象,按照生产拓扑连接情形进行边连接,终极行使最短路径以及权重特性实现主机通信路径判定,并定位到经过哪些防火墙。 

Clipboard Image.png

Nexworkx使用举例~

Clipboard Image.png

对于如Paloalto这类提供Rest XML API的防火墙直接行使其接口进行设置提取,Checkpoint因为好信暂未用到其最新有API的R80版本,只能通过厂商工具WebVisualization Tool 命令行将策略导出为XML格式做处理,平台底层使用自动化脚本准时上岸Smartcenter体系进行策略抓取,对于其他如使用命令行方式为主设置的防火墙,如山石/思科等通过命令实现策略相干导出以及设置,终极实现策略库生成(在此呼吁各大厂商开放自动化API,大势所趋呀!!!)

Clipboard Image.png 

Paloalto API举例

Clipboard Image.png

Checkpoint自动上岸并导出

Clipboard Image.png

统一策略库平台申请审批流程

Clipboard Image.png

审计&讲演

Clipboard Image.png 

平台其他功能:

安全策略使用状况阐发:如策略掷中数,策略可合并梳理,完成策略优化及设备性能抬举。

防火墙设置安全规范审计:完美宜信自身的安全规范,并根据此规范审计体系内所有防火墙设备上的安全策略设置,是否存在允许该惊险端口的安全策略,并做出相应的修改。

平台当前开发完美功能:

自动化防护确立:完美行使防火墙与其他安全设备或威胁情报体系集成通过攻击态势感知,自动创建针对攻击流量的安全策略防护。

正文篇2.0

功能更新

Clipboard Image.png

0×01日记联动

通过行使安整日记平台集成其他安全设备,如WAF/IDS/主机等类型日记,对攻击者Ip通过规则进行阐发以及后续操作。

0×02自动化拦截

默认的防火墙策略依靠静态策略,例如基本都会放行互联网到一个Web体系的80、443端口,然则通过自动化拦截功能完成在防火墙上对危害级别较高来源ip的动态拦阻,即使走访的是正常的端口或者应用。

0×03攻击可视化

通过日记平台对常规的入侵举动以及拦截情形进行分类实时铺示,并可生成讲演,对重点关注对象做告警操作。

0×04归溯阐发

对攻击类型或营业的关注级别较高的对象进行自动抓包,解决常规IPS/IDS海量日记阐发难题的困难。

0×05威胁情报对接

结合外部第三方威胁情报库自动化防御。

自动化拦截

Clipboard Image.png

日记平台通过如WAF日记进行阐发,通过订定规则,譬如某些IP采用多种攻击伎俩XSS+SQL组合对营业进行了攻击,会统计产出恶意IP更新至IP_list(攻击者ip清单),并执行⾃动拦截脚本通知防⽕墙运维平台,防火墙运维平台使用防火墙RESTful API接⼝去更新动态拦截策略的地址库对象,对恶意IP进⾏拦截。到达指定拦截时长后,一样方式进行开释操作。

Clipboard Image.png

(防火墙动态阻止列表功能)

通过日记平台对拦截情形进行实时监控

Clipboard Image.png

项目收益:

设备性能抬举,将危害较高IP直接在外层防火墙上拒尽,缩小内部 Waf/负载均衡 /服务器资源占用,物绝所用。

IP信誉库积累。

内部安整日记以及外部威胁情报的充分行使

单个地区发现的攻击IP可直接在多个数据中心出口同时拦截,抬举总体安全性。

IDS自动抓包告警功能

目前大多数的IPS/IDS照样基于各自特征库对数据包进行入侵防御识别,要是判定为攻击通常会直接拦截或低级事故采取记录日记动作,对于甲方安全人员能看到的只是某个地址到我们的应用有掷中IPS规则,给个CVE编号以及攻击基本诠释就结束了,想要复现基本很难。通常我们的需求需要知道到底数据包是什么内容,包含什么字段,为什么会掷中IPS规则,如许也好给到开发人员进行代码修改,所以我们对内网IDS工作流程进行了优化,完成对关注的攻击进行数据包保存溯源,针对特定攻击以及事故也进行高级告警。

Clipboard Image.png

流程

1:IDS接收内网所有需要关注的流量。

2:治理员对IDS规则进行调优,将需要关注的事故log发送到日记平台,黑客网,并指定自动抓包动作(IDS上针对某些攻击的动作指定为自动抓包),如针对种种应用层攻击,内网扫描事故等。

3:日记平台根据搜索语句准时进行搜索,要是搜索到攻击事故日记,将日记的时间戳以及自动抓包生成的Pcap ID发送到防火墙运维平台接口。

4-5:防火墙运维平台通过防火墙API接口,行使时间戳以及Pcap ID字段上岸设备进行数据包下载到内陆, 并执行提取X-forward For字段以及三层IP地址。

6:防火墙运维平台将提取出的X-forward For以及IP地址信息字段以及pcap文件下载url发送给日记平台,

7:日记平台进行白名单筛选,排除白名单后,日记平台进行邮件告警

告警内容:攻击源地址 目的地址 攻击类型 原始数据包下载链接 ,如图

Clipboard Image.png

项目收益

内网安全关注的攻击类型以及营业攻击事故发现时间大大收缩,从海量日记中准确提取了我们需要关注的信息,缩小人工参与工作量。

原始包的对我们的安全研究以及体系代码修改都提供了很好的材料。

写在最后

第一次发布文章,心境照样有点小激动,若有错误,欢迎斧正。

都说性命在于折腾,2018年我们的目标是能折腾出点大事,欢迎所有热爱折腾的同伙加入我们。

*

您可能还会对下面的文章感兴趣: