Por lo general, primero observo los diagramas de red y cómo se configura o debería configurarse la red. Esto me dará una idea de dónde está el perímetro, las redes internas, los segmentos funcionales, etc. Luego observo cuáles son los dispositivos (marca, modelo) que se usan para administrar el ambiente, ya sean de clase empresarial y tienen una funcionalidad para unificar la administración. Esto debería darme una indicación de cuánto puedo ver centralmente en comparación con cuánto tiempo necesitaré para ir a través de sistemas individuales.
Veré la administración básica del firewall: actualizaciones y versiones de firmware, administración de usuarios, syslog y configuraciones NTP. Luego veré las reglas.
Lo ideal sería que las reglas se justifiquen / expliquen con un comentario o un enlace a un control de cambios. Habrá una fuente válida, un destino con protocolos específicos para la mayoría de las reglas; habrá muy pocas instancias de 'any'. Se utilizarán protocolos seguros cuando sea posible, HTTPS, SFTP y se justificarán si no. Las reglas y objetos redundantes serán deshabilitados o eliminados. Los equipos de aplicaciones y operaciones ayudarán en la revisión para validar sus requisitos.
El uso de reglas o herramientas para identificar reglas / objetos no utilizados es útil.
Una vez que haya completado la revisión y tenga una lista de problemas, las preguntas deben ingresarse en un informe o en una hoja de cálculo y los cambios deben identificarse y priorizarse. Las reglas redundantes se deben deshabilitar temporalmente antes de eliminar y actualizar los comentarios. Las reglas que pueden ser más restrictivas deben actualizarse y comentarse.
Una vez que hayas hecho lo anterior en el estado, ¡probablemente sea hora de comenzar de nuevo!