Firewall Audit and Review / ประสบการณ์จาก Firewall Audit และ Review

สามารถอ่าน version ภาษาไทยได้ด้านล่างเช่นเคยครับ ขอบคุณครับ

Firewall audit is part of many IT security Standard audit and compliance. 

From my experience, auditor can assess and audit something like following (maybe more)

1. Patch Level or OS version -- > Latest version, vulnerable version or not.

2. Configuration and parameter  --> must follow hardening document , recommend parameter which should be configured.

               Hardening document is establish from security baseline and must be approved by all related parties such as IT Security, Network Security, Management level of company before publish to use etc. 

3. Audit firewall change request form (sometime this activity is in rule validate) --> If customer organization is complied with ISO27001 or other security standard eg. PCI-DSS. They will audit firewall request document , it must be as same as current rule.  Actual equal Approved.

4. Rules or ACLs review -- > Auditor will review Firewall Rule or ACLs that appropriate, no need rule will be removed   and analyze rule base hit count 

for example 

permit ip any any : it's should not be placed in top of each segment of network.

can see more detail about Firewall rule review --> click <--

5. and traffic that is approved to flow through firewall is appropriated with Network infrastructure.

Finally auditor will recommend remediation to mitigate risk.

Interested document from SANS : https://www.sans.org/reading-room/whitepapers/auditing/methodology-firewall-reviews-pci-compliance-34195

Remark : I write this post from my experience. If you have any suggestion please let me know all time. Thanks for reading.

=======================================================================

การทำ Firewall rule review นั้นเป็นส่วนนึงของ IT Security standard audit และ compliance องค์กรที่ compile ตาม ISO27001 หรือ PCI ก็จะมีเรื่องเหล่านี้เวลา audit เข้าในแต่ละครั้ง

จากประสบการณ์ที่เคยทำงานและเจอการ audit ทั้งของไทยและคนต่างประเทศ มีหลายรูปแบบบางคนตรวจไม่ละเอียดก็มี หรือละเอียดหนักมากๆ ก็มี ที่เคยเจอก็นั่งไล่ configuration ทุกหน้า และทุกข้อตาม baseline หรือ hardening doc เลย ซึ่งเป็นเรื่องที่ถูกต้องแล้ว ขอสรุปจากประสบการณ์ที่เคยเจอมาว่า auditor จะตรวจอะไรบ้าง ประมาณนี้หลักๆ

1. Patch level หรือพวก OS Version ว่าเป็น version ที่มีช่องโหว่หรือไม่ มีการลง patch บ้างปิดช่องโหว่หรือยัง 

2. Configuration ก็จะต้องเอาเอกสารการ hardening มากางแล้วดูกันเป็นข้อๆ ว่าได้ทำ hardening เรียบร้อยไหม ไม่เท่านั้น  auditor จะดูด้วยว่า มีอะไรที่ควรจะ configure เพิ่มเติมอีกไหม ที่จะทำให้ตัวอุปกรณ์แข็งแกร่งขึ้น

               เอกสาร hardening เป็นเอกสารที่เขียนขึ้นมาตาม Security Baseline  ซึ่งต้องผ่านการ approve จากหน่วยงานต่างๆที่เกี่ยวข้อง ยกตัวอย่างเช่น แผนก IT Security, Network Security, ระดับ management ขององค์กรนั้นๆที่มีอำนาจลงนามเป็นต้นครับ

3. การขอตรวจเอกสาร change request form (ขั้นตอนนี้บางทีก็เป็นอันเดียวกับการทำ Rule review ในข้อ 4)--> auditor บางคน ถ้าตรวจให้กับองค์กรที่ comply ตาม iso27001 หรือ security standard อื่นๆ เช่น PCI จะมีการขอดู request form ที่ทีมต้องเก็บไว้เป็นเอกสารอ้างอิงว่ามีการขอให้ add, modify, delete อะไรบ้างในรอบปีที่ผ่านมา แล้วนำเอา request เหล่านั้นมาเช็คกับ rule ในปัจจุบันว่า มันตรงกันหรือป่าว (Actual equal approved)

เช่นถ้าเจอ request ให้ลบ 

permit ip 192.168.1.1 --> web server 172.16.1.5 ด้วย port 80 

rule นี้ก็ต้องไม่มี ถ้าตรวจแล้วยังมีอยู่ก็มีประเด็นละ ซึ่งบางทีก็ถือว่าอยู่ในขั้นตอน Firewall rule review นะ

4. Rule หรือ ACLs review (มาถึงเรื่องของบทความนี้) ก็จะ review ดูว่ามีการจัดการ rule ที่ไม่เหมาะสมหรือไม่จำเป็นหรือป่าว ยกตัวอย่างที่ผู้เขียนเคยเจอของลูกค้าก่อนทำการ review คือ มี permit ip any any อยู่บนสุด ยังงี้ไม่ต้องมี  firewall ก็ได้ ^^  รวมถึงการดู hit count ของแต่ละ rule ด้วย

อยากรู้เรื่องของ Firewall rule review มากกว่านี้ อ่านได้ ที่ --> click <--

5. และที่เคยเจอแบบละเอียดที่เป็นคนจากต่างประเทศมาก็จะมีการตรวจ flow ของ traffic รวมไปด้วย ว่าเหมาะสมหรือไม่ 

หลังจากนั้น สุดท้าย auditor ก็จะมีการให้คำแนะนำ ให้นำไปปรับปรุงแก้ไข เพื่อลดความเสี่ยงที่สามารถจะเกิดขึ้น

ถ้ามีข้อสงสัยหรือสอบถาม แนะนำ สามารถเขียนมาแนะนำได้เลยครับ ขอบคุณครับ

----------------------------------------------------------

Tag : Firewall review audit methodology

------------------------------------------------------------