What is Firewall Rule (Policy) Review / Firewall Rule Review คืออะไร มาดูกัน

สามารถอ่าน version ภาษาไทยได้ด้านล่างเช่นเคยครับ

Sometime it's call Firewall Rule Re-validate or Firewall Rule-base review .

Firewall Rule review is part of Firewall audit process. Auditor will review Firewall Rule or ACLs on router that appropriate to network security no need rule will be removed for example

permit ip any any : it's should not be placed in top of each segment of network.

why ! firewall rule review
From my experience, many organization will have firewall admin who is responsible for add, move, delete, modify rules but he never come back to see which rule is expired or no need, which rule can be merge or have to re-arrange sequence to improve performance and mitigate risk from attacker.

what can we do

1. Duplicate object include host, ip, group, service must be removed.

2. Expired rule or no need rule must be removed.

3. Duplicate rule --> remove ^^

4. There is rule that can be merge no bad impact to business --> merge them.

5. Sequencing rule, we can use utilize log or matching count to see which rule is be used frequently --> move them up on the top of each network segment.

6. Unused rule in last 6 months will be sent to requester to get confirmation that he still need to use this rule or not. This process is related with Firewall change request document (should be kept).

Before modify or remove rule as above. If organization which is compiled to ISO27001 or other standard. They have change management process , we need to create change to approver before (should have).

Normally we should do firewall rule review once a year. 

Interested document from GIAC : https://www.giac.org/paper/gsec/3037/firewall-rule-review/102017

If you have any inquiry or recommend please advise.

Additional from author.

- In some big Japanese company, they no need to review firewall rule because they have strong change management process that requester and related parties must review request document carefully before implement. That make all new rule is not duplicate with the old one.

- Firewall admin should keep all Change request to be reference.

- Naming convention is very important. You should design carefully and make it easy to your job (admin).

- Should implement or turn on monitoring to see rule statistic and use them to improve firewall's performance.


Remark : I write this post from my experience. If you have any suggestion please let me know all time. Thanks.

--------------------------------------------------------------------------------------------------------------------------------------

บางแห่งก็ใช้คำว่า Firewall Rule Re-validate หรือ Firewall Rule-base review อะไรประมาณนี้ เป็นเรื่องเดียวกัน

การทำ Firewall rule review นั้นเป็นส่วนนึงของการทำ Firewall audit โดยปกติ คนที่เป็น auditor จะ review ดูว่ามีการจัดการ rule ที่ไม่เหมาะสมหรือไม่จำเป็นหรือป่าว ยกตัวอย่างที่ผู้เขียนเคยเจอของลูกค้าก่อนทำการ review คือ มี

permit ip any any อยู่บนสุด ยังงี้ไม่ต้องมี  firewall ก็ได้นะ ^^

การทำ Firewall Rule review นั้นทำเพราะอะไร ให้นึกถึงว่าปกติ องค์กรต่างๆที่ใช้ Firewall ในการป้องกันระบบเครือข่ายของตนเองนั้น  ในแต่ละปีๆ admin ก็จะมีการ add, move, delete, modify กันเยอะแยะ แต่มีไม่เยอะหรอกนที่ admin จะกลับไปนั่งดูว่า rule ไหนหมดอายุละ (ในกรณีที่ไม่มี auto disable) หรือ rule ไหนสามารถยุบรวมกันได้, เหล่านี้มันเป็นความเสี่ยงในการถูกโจมตีได้เหมือนกันนะ และก็ทำให้ performance ของ firewall ลดลง 

แล้วเราจะทำอะไรบ้างสำหรับ Rule review เรามาดูกัน 

1. เช็คการซ้ำกันของ object ต่างๆ ทั้งที่เป็นกลุ่มของ host หรือ ip หรือ service ถ้ามีซ้ำกันก็ลบทิ้ง

2. เช็คการหมดอายุของ rule ว่ามี rule ไหนบ้างที่ obsolete หรือ expire ไปแล้วก็ลบทิ้ง

3. มี rule ที่ซ้ำกันบ้างไหม ถ้ามีซ้ำก็ลบทิ้ง

4. มี rule ที่สามารถ merge รวมกันได้ไหม แล้วยังสามารถให้การบริการได้เหมือนเดิม ไม่กระทบผู้ใช้ ก็ทำการรวมกันซะ

5. การจัดวางลำดับของ rule ก็มีผลต่อ performance ของ firewall ผมยกตัวอย่าง ถ้ามี rule ที่เราเก็บ utilize log แล้วเห็นว่ามันมีการใช้บ่อย ก็ให้เลื่อนขึ้นมาไว้บนๆ ซะ เพื่อที่เวลามี traffic วิ่งผ่านจะได้ match ตั้งแต่บนๆ ไม่ต้องไล่เช็คไปถึงข้างล่าง

อันนี้เป็นเบื้องต้น ถ้าเป็นบางแห่งจะมีการใช้ log มารวมพิจารณาด้วยว่า rule ไหน ไม่มีการใช้งานมาเป็นเวลานานเกิน 3-6 เดือน ก็จะมีการออกเอกสารไปยัง requestor ขอทำเรื่องลบ rule นั้นๆ ทิ้ง

ทีนี้ การจะลบ rule ไหนทิ้ง ตามที่เราได้เช็คตามข้อกำหนดด้านบนมาแล้วนั้น ถ้าในองค์กรที่มีมาตรฐานก็จะต้องมีเรื่องของ change management process และ document เข้ามาเกี่ยวข้องอีกพอสมควรเลยก่อนจะดำเนินการลบหรือแก้ไขต่างๆ

ปกติจะมีการ review กันทุกปี ปีละ 1ครั้ง โดยการทำ Firewall Policy Review ให้มีประสิทธิภาพ และประหยัดเวลา ก็ควรนำ Optimize Tools เข้ามาช่วย ยิ่งอย่างของแบงค์ที่ผมเคยอยู่มา Firewall บาง zone มีเป็นหมื่นๆ policy ก็นึกดูว่าถ้าทำด้วยตัวเราเองก็คงไม่ไหวมั้ง 

เอกสารที่น่าสนใจจาก GIAC เกี่ยวกับ Firewall rule review น่าสนใจครับ

https://www.giac.org/paper/gsec/3037/firewall-rule-review/102017

ถ้ามีข้อสงสัยหรือแนะนำสามารถบอกกล่าวได้ตลอดครับ

เพิ่มเติมจากผู้เขียน

การทำ Firewall Rule review นี้บริษัทญี่ปุ่นบางแห่งเขาไม่ทำกัน เพราะการทำงานของ admin จะมีการรีวิว change request จาก requestor ทุกครั้ง ไม่ได้เฉพาะจาก admin หรือ approver อย่างเดียว ว่าเป็นไปตาม checklist ด้านบนรึป่าว ก็เหมือนการรีวิวทุกๆครั้งนะละ เขาเลยไม่มีพวก object ซ้ำกัน หรือ rule ก็ไม่ซ้ำ มีการเรียงลำดับที่ดีอยู่แล้ว

คนที่เป็น Firewall admin หรือ security officer ควรจะมีการเก็บเอกสาร change request form ใส่แฟ้มเก็บไว้เสมอ เพื่อเป็นเอกสารอ้างอิง และสามารถตรวจสอบย้อนหลังได้

การตั้งชื่อ object หรือ group ต่างๆใน firewall ก็เป็นสิ่งนึงที่สำคัญโดยเฉพาะถ้ามีคนที่สามารถแก้ไข Firewall ได้หลายคน ควรจะมีการกำหนด standard ในการตั้งชื่อให้เหมือนกัน

อย่างที่กล่าวข้างต้น ถ้าเป็นไปได้ควรจะมีการ monitor การใช้งาน rule ของ firewall และเก็บเป็นสถิติอย่างชัดเจนเพื่อใช้ในการวิเคราะห์อื่นๆต่อไป

ปล. เขียนจากประสบการณ์การทำงาน ถ้ามีข้อผิดพลาดหรือคำชี้แนะสามารถแจ้งได้เสมอครับ

---------------------------------------------------------------------------------------------------------------
Tag : Howto ทำอย่างไร ทำยังไง Cleanup optimize
---------------------------------------------------------------------------------------------------------------