译文 | 防火墙分析:基于图的可移植方法
2022-4-11 13:1:14 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

开卷有益 · 不求甚解


前言

有时会要求您执行防火墙分析,以确定是否可以改进配置以降低攻击者横向移动网络的能力或识别由于许多防火墙更改而遗漏的攻击路径。

您可以使用许多工具和方法执行此分析,范围从手动检查每条规则,到使用自动工具(如nipper或我个人最喜欢的基于图形的方法(也适用于日志数据))。这篇文章的参考部分包含深入研究这种方法的论文。

使用基于图形的方法,您可以可视化规则集以识别具有大量传入和/或传出连接的节点,但您还可以跟踪通过网络的路径以了解是否应该删除它们。当与 Bloodhound 数据和 neo4j 结合使用时,您可以查询数据并让图形数据库回答诸如“从工作站到财务服务器是否有路径?”之类的问题。这需要相当多的知识,以及支持软件来完成所有设置,这反过来又使将知识传递给网络工程师或防火墙管理员以便能够自己执行这些分析变得复杂,以便更好地了解他们是否变化影响了网络的安全性。

对我而言,此类分析的底线是:我如何以简单易懂的方式将安全知识传递给必须每天处理环境维护的人们?

出于这个原因,我开始四处寻找替代品,并找到了一个不错的小实用程序,在我看来,它填补了便携性、易用性和仍然足够强大以执行一些分析工作之间的空白。我的主要要求是:

  • 易于安装
  • 无需编程技能即可使用
  • 能够可视化图表
  • 能够回答基本问题,例如:哪些节点连接到该节点?

环顾四周,我发现了 yEd(适用于所有主要操作系统的简单安装程序),它的额外好处是它可以直接摄取 Excel 文件。以防万一您不熟悉企业界,当您请求导出防火墙规则时,除非您提供非常具体的说明,否则人们倾向于提供带有规则、对象等的 excel 文件。因此,如果我们的目标之一是让这些人能够执行自己的分析,那么能够以本地方式提取 Excel 将是一大优势!

动手示例

我们所需要的只是将接收到的 Excel 文件转换为具有三列的 Excel 文件,因为我没有运行任何复杂的防火墙设置,所以我生成了一些随机数据,只是为了说明它是如何工作的。:

包含所需数据的 Excel 文件

  • 来源
  • 目的地
  • 端口或协议

对于我们的分析,我们只关注“接受”规则并忽略所有其他规则。这种类型的数据转换可以在 Excel 中完成,从而降低了大多数人进行自己分析的门槛。

当我们第一次打开 yEd 时,我们选择“打开”选项来导入我们的 Excel 文件。

您可以看到它在右侧显示 Excel 内容,如果 Excel 工作簿有多个工作表,您将能够更改工作表。您也可以拥有原始 Excel 文件并选择所需的列,但我发现使用单独的表更方便,其中仅包含 src、dst 和端口数据。

配置 yEd 如何处理数据

下面的“边缘列表”设置使用了“数据范围”的所有列,然后您为 src/dst 节点选择您喜欢的列。“节点列表”的设置也将所有列用于“数据范围”,然后将第一列用于“标签文本”。

配置 yEd 如何处理数据

在演示选项卡中,我们选择节点标签的第一列和边的第三列。

配置 yEd 如何显示数据

如果一切按计划进行,我们现在应该对防火墙规则有一个直观的概览。

使用圆形布局显示数据

由于这是一个小数据集,为了说明这个概念,导航图表相当容易。现在使用 yEd,我们牺牲了查询或检索从节点 A 到节点 X 的完整路径的能力,但它仍然保留了足够有用的功能。例如,当您单击一个节点时,它会显示直接邻居:

选择一个节点显示直接邻居

您当然可以弹出更大的视图:

节点邻居的弹出

这使得理解进出节点的流并了解涉及哪些直接邻居节点变得容易且容易。它还有大量的布局选项来帮助你浏览更复杂的图表,一些例子:

使用径向布局显示数据并显示许多布局选项

使用树状图布局显示数据

使用 SBGN 布局显示数据

使用有机布局显示数据

参考

  • https://www.cs.princeton.edu/courses/archive/fall10/cos561/papers/FireMan06.pdf
  • https://www.giac.org/paper/gcia/1651/visualizing-firewall-log-data-detect-security/109883
  • https://research.nccgroup.com/2013/04/04/visualising-firewall-rulesets-simplifying-firewall-administration-and-spotting-the-pivot-point/
  • https://www.yworks.com/products/yed
  • 原文: https://diablohorn.com/2022/04/09/firewall-analysis-a-portable-graph-based-approach/

译文申明

  • 文章来源为近期阅读文章,质量尚可的,大部分较新,但也可能有老文章。
  • 开卷有益,不求甚解,不需面面俱到,能学到一个小技巧就赚了。
  • 译文仅供参考,具体内容表达以及含义, 以原文为准 (译文来自自动翻译)
  • 如英文不错的,尽量阅读原文。(点击原文跳转)
  • 每日早读基本自动化发布(不定期删除),这是一项测试

最新动态: Follow Me

微信/微博:red4blue

公众号/知乎:blueteams



文章来源: http://mp.weixin.qq.com/s?__biz=MzU0MDcyMTMxOQ==&mid=2247486414&idx=3&sn=455f5aa2e5ad8be18d9ef9581c118f5d&chksm=fb35a206cc422b10b1fb8300abfecb22189b50100bd417de280e36ce5888ac697165324d9103#rd
如有侵权请联系:admin#unsafe.sh