angry MARF

BIENVENIDOS AL PROYECTO MARF

El Motor de Analítica de Reglas de Firewall (MARF) es un software que permite realizar la lectura de la configuración de un Firewall Sophos y verificar si la configuración está acorde con las mejores prácticas o no. El objetivo final del proyecto MARF es correr una consultoría en línea completa con un par de clics identificando de forma rápida y concisa dónde se deben realizar los ajustes para que nuestro firewall pase “de la ilusión de seguridad a realmente estar seguro”.

La presentación de los datos se realiza utilizando Heat Maps (Mapas de Calor) una técnica de visualización de datos que muestra la magnitud de un fenómeno como color en 2 dimensiones, que en nuestro caso serán el rojo y el verde. Un mapa de calor predominante en el rojo, elevará una alerta visual inmediata, sugiriendo realizar los respectivos ajustes en el appliance.

Nota: no en todos los casos el rojo significa una ausencia o defecto en la configuración.

Advertencia: Esta versión BETA puede contener errores, es importante que la comunidad impulse y revise el proyecto y notifique los errores a través del chat dispuesto en el canal de Academia Sophos en español en Facebook.

¿Cómo surge el proyecto MARF?

Digital User SAS empresa radicada en Colombia, ejecuta consultorías a Firewall Sophos identificando si cumplen o no con las mejores prácticas...La ejecución de una consultoría es un proceso dispendioso ya que el análisis de las reglas se realiza 1 a 1, esto significa que en un firewall de 500 reglas, se realizan 500 análisis para identificar si dichas reglas sobran o les hace falta un empujón para que sean seguras. Las reglas se colocaban a manera de filas en Excel para su análisis y presentación del informe con los cambios detallados en su configuración, gastando por tanto largas horas recopilando la información fundamental…ahora el motor MARF lo hace por nosotros, agilizando el proceso de análisis de las reglas de Firewall.

Creemos firmemente que este proyecto se convertirá en una navaja suiza para consultores de Sophos que deseen auditar las configuraciones de seguridad de los equipos y proporcionar a sus clientes un status del estado de su configuración.

La gran mayoría de equipos en la región (90%), no están configurados para contener un ataque informático, sino bien para cumplir con los requisitos básicos de implementación que definieron con su reseller, dejando los equipos al 20% de su capacidad en materia de seguridad defensiva.

¿Cómo funciona el Proyecto MARF?

Toda la configuración del Firewall Sophos se encuentra contenida en un archivo XML que funciona con diversos TAGS para identificar las respectivas secciones del sistema. Nuestro motor lee la configuración contenida en cada sección y las traduce en mapas de calor. El proyecto es compatible 100% con la API de la V19 de Sophos, lastimosamente cada que hay un upgrade de firmware algunas etiquetas cambian de valor o nombre, reduciendo la capacidad del motor de presentar bien los datos.

Los datos son presentados utilizando el concepto de Genoma (conjunto completo de material genético de un organismo). Se dice que cuando todas las características, Ej. de una sección han sido “mapeadas” a mapas de calor, es porque el genoma de la sección ha sido completado al 100%.

Actualmente existen algunas secciones con Genomas al: 100% (usuario), 95% (firewall), 100% (seguridad sincronizada), 95% (WEB), 0% (APP CONTROL), 100% (Descifrado SSL), 100% ATP, 100% (Passwords).

¿El sitio web de MARF se comunica directamente con mi Firewall Vía API?

NO.El objetivo del proyecto MARF es aislarse totalmente del equipo Sophos, esto le da confianza al administrador del firewall ya que en ningún momento tendrás que tener credenciales de acceso o ver la configuración en la GUI de Sophos, esto asegura que no realizarás cambios accidentales en el sistema.

¿Cómo funciona entonces el proyecto MARF?

Para presentar los gráficos deberás exportar la configuración del Firewall que se presenta en la forma de un archivo Entities.xml y cargarla directamente en el sistema, de esta manera podemos ejecutar la lectura de los datos de forma segura.

¿Qué sucede con mi archivo Entities.xml si es comprometido?

El archivo Entities.xml se encuentra cifrado, de hecho, para poder realizar la lectura de tus mapas de calor, se solicitará una clave previamente configurada. El proceso completo es como sigue: se configura la clave de cifrado, el archivo es leído en texto plano, luego es cifrado utilizando AES y almacenado en el disco duro. Si se desea visualizar el documento, el sistema solicitará la clave privada para el descifrado, realizará la lectura y lo volverá a cifrar. Digital User SAS en ningún momento tiene acceso a los archivos descifrados, similar al "cifrado de extremo a extremo" donde solo el poseedor de la clave puede leer el archivo.

Licenciamiento y Operación

Existen 2 tipos de licenciamiento en la plataforma:

Licencia de Consultor

Te permite acceder a todos los mapas de calor:

  • Reglas de Firewall.
  • Seguridad sincronizada.
  • Web.
  • App Control: En curso.
  • Descifrado de SSL.
  • ATP.
  • Usuarios.
  • Passwords.

La licencia de consultor está deshabilitada por el momento.

Licencia de Usuario

Te permite acceder a los mapas de calor de:

  • Usuarios.
  • Passwords.

Actualmente la versión BETA habilitará de forma automática y gratuita la licencia de Usuario con una carga de hasta 10 mapas de calor para que puedas explorar como se presentan los datos. Te recomendamos veas la primera serie de videos donde se explicará el potencial de esta entrega. Una vez finalizado el tiempo de evaluación, se habilitarán otros módulos para su revisión.

El proyecto MARF dispondrá de secciones gratuitas y una sección premium que será de pago, aún no hay un concenso sobre los módulos del sistema que se entregarán sin cargo alguno.

HOJA DE RUTA

El proyecto MARF está dividido en 7 etapas:

MARF I

MARF II

MARF III

Implementación de los mapas de calor secundarios:

MARF IV

MARF V

MARF VI

MARF X