PAN-OS 8.0: PAN-OS Prevención de ataques de phishing

Problema / solución

• Ataques de phishing para obtener credenciales corporativas válidas son uno de los factores comunes en muchos incumplimientos hoy.
• Obtención de medios de credenciales válidos el atacante puede caminar a la derecha en la red de la empresa evitando soluciones de seguridad de la mayoría y no despertar sospechas.
• Los atacantes pueden engañar a los usuarios en una variedad de formas y niveles de sofisticación a los usuarios a entregar sus credenciales válidas de la empresa. Los ataques de hoy en día pueden ser tan simples como atraer a un usuario a un inicio de sesión empresarial falso en un dominio de aspecto similar a ponerse de pie en un servidor de Outlook Web Access ( ) rogue OWA o crear un solo signo falso en las páginas de autenticación.
• Porque estas técnicas de phishing más avanzadas de empresa no incluyen mecanismos de identificación comunes utilizados en consumidor bancario y ataques de phishing de correo web, no podemos confiar en el contenido o el aspecto de la página maliciosa para prevenir el ataque de phishing.

Descripción de la característica

• Esta característica amplía las URL capacidades de filtrado para detectar activamente ataques de phishing de credenciales dirigidas a través de un servicio de análisis basado en la nube, así como a través de la heurística en el propio dispositivo.
• La funcionalidad detecta HTTP publicaciones de formulario que contienen nombres de usuario corporativos válidos y contraseñas potenciales. El cliente puede configurar varias acciones (alerta/bloque) en un URL- perfil de filtrado cuando se detecta un golpe de credencial para una HTTP sesión.

Diagrama de flujo

Caso de uso
El cliente se enfrenta a una campaña de phishing de credenciales utilizando páginas web de phishing imitando una página corporativa, que se alojan en servidores web comprometidos de empresas legítimas.

• Los usuarios reciben enlaces a estos sitios web específicamente diseñados a través de webmail o correo electrónico corporativo.
• Los clientes intenta identificar las presentaciones si corporativo las credenciales de los usuarios internos a estos sitios web para prevenir la exposición de credenciales corporativas.

Detalles
Hay tres modos de operaciones:

• Modo de asignación de grupos: obtiene una lista de nombres de usuario de uno o varios AD grupos de usuarios. Si un HTTP POST parámetro coincide con cualquiera de los nombres de usuario de esa lista, es un golpe de credencial.
• IP-Modo de asignación de usuarios: Cuando la dirección de origen IP de una sesión tiene un UserID conocido + un parámetro en esa sesión que refleja la asignación HTTP POST UserID, hay un golpe de credencial.
• Modo de credencial de dominio:cuando la dirección de origen IP de una sesión tiene un UserID conocido y un parámetro de esa sesión coincide con la contraseña que pertenece a ese HTTP POST UserID, es un éxito de credenciales.
  • Este modo (además de requerir un agente de ID usuario), también requiere un ID agente de credenciales de usuario.

A nuevo ACC widget para "Hosts visitando URL maliciosas" contará / Gráficos hits para los usuarios internos que han iniciado sesión visitando sitios de malware y phishing. Este widget, sin embargo, es para URL bloques de categoría legítimos & no contará ni gráficos de aciertos basados en la detección de credenciales.

ACC Widget

 

Flujo de trabajo de configuración:
la característica se integra en los perfiles de filtrado existentes URL

• Se han realizado mejoras a la pestaña de categorías, que ahora incluye la adición de una opción de presentación de credenciales de usuario. Selección (cuando la función está activada) proporciona un control granular sobre acceso de categoría así como comportamiento para esa categoría, si se detecta un intento de phishing.

URL Mejoras en el perfil de filtrado

• Permitiendo la funcionalidad es a través de una nueva pestaña llamada "Detección de la credencial de usuario." Dentro de esta ficha, puede seleccionar 1 de 3 modos, así como la severidad de registro preferido para imprimir cuando se ha detectado un intento de phishing sospechoso.

Detección de credenciales de usuario

• Si se selecciona el modo de asignación de grupo, esto abre una opción para aplicar a cualquier grupo (por defecto) o para seleccionar una configuración definida de asignación de grupo.

Usar la asignación de grupo

 

• Grupo asignación lista está poblada basado en asignaciones de grupo definida mediante la ficha dispositivo >> identificación usuario >> configuración de asignación de grupo. En función de la lista/filtros de combinación de grupos, puede crear directivas personalizadas/ URL perfiles de filtrado, con acciones relevantes para un grupo específico.

Asignación de grupo

• Una vez seleccionado el modo de detección de credenciales de usuario & acciones adecuadas definidas para las categorías, el paso final sería enlazar el objeto (como es el caso de cualquier URL perfil de filtrado), a una seguridad Policy .

Perfil añadido 

 

• Si se detecta un golpe (es decir, La asignación de usuarios existe + URL Categoría establecida para bloquear el envío de credenciales de usuario con la detección de credenciales habilitada), se presentará una página de bloque al usuario:

Bloquear página

• Agentes de Windows : Hay (2) agentes para desbloquear la funcionalidad completa de esta característica (lo que le permite seleccionar cualquiera de los 3 modos de detección de credenciales de usuario).
  • Usuario- ID Agente
    • El User- ID Agent seguirá funcionando como un agente de usuario ID estándar, así como admitir modos de detección de credenciales como IP asignación de usuario o grupo (que solo requiere la detección del nombre de usuario asignado).

  • Agente ID de credenciales de usuario

    • El Agente de credenciales se utiliza para obtener credenciales de dominio (hashes de contraseña) que se alimentan a través del Agente de ID usuario. El agente debe residir en un Windows Server con servicios de directorio unidos al dominio como un RODC archivo .
      • Para un RODC , el Permitir objetos identificados en el localhost RODC 's (replicación de PRP policy contraseñas - es decir, msDS-RevealOnDemandGroup atributo) se puede consultar automáticamente recursivamente para que los usuarios protejan.
      • Por otra parte, una lista de usuario de credenciales puede ser alimentada en el agente de usuario como un archivo xml
  • Notas de seguridad:
    • Ninguna credencial o añejo/archivos de almacenamiento con información sensible queda en cualquier lugar en el servidor donde se ejecuta UIDAgent. Esto incluye archivos temporales (si existe), depuración de registros, etc..
    • La única información exportada desde UIDAgent y el servidor en el que se ejecuta el agente serán los BloomFilters y los metadatos de BloomFilter (como recuentos de credenciales, longitudes de cadena max/min de nombre de usuario) y una lista de UID incluidos en el BF archivo . En ningún caso, incluyendo resolución de problemas el UIDAgent exponer o guardar cualquier hash de contraseña.

Notas:
El widget Hosts Visiting Malicious URLs ACC NOT registrará los hits de los usuarios internos bloqueados/registrados únicamente a través de la detección de credenciales. Este widget se utiliza para conceder visibilidad a todos los usuarios que han sido registrados / bloqueados del filtrado a través de URL alertas de categoría / bloques,etc... La siguiente captura de pantalla muestra un # de hits/ bloques registrados estrictamente para la detección de credenciales (sitios potenciales de phishing), aunque el ACC widget informa como "Sin datos para mostrar." Si estos sitios hubieran sido detectados como "malware", o "phishing", entonces los golpes se habrían registrado & gráfico poblado.

No hay datos para mostrar

• Al implementar el Agente de credenciales de usuario ID para aprovechar al máximo todos los modos de operación, es muy recomendable leer a través de TechNet Doc de Microsoft explicando las opciones de implementación de procedimientos recomendados para RODC administración.  

  Un RODC IS REQUIRED al implementar el UaCredService/UaService. No seguir los pasos estándar recomendados por , podría dar lugar a MS errores con el Agente de credenciales recuperando credenciales de dominio (o suponiendo que todos los conectores parezcan funcionales), la incapacidad de recuperar información de grupo / extraer usuarios, etc...

Limitaciones:

• Verificación de credenciales de contraseña requiere que un agente de ID de usuario para desplegarse. La implementación sin agente funcionará, aunque solo admitir coincidencias de nombre de usuario (es decir, el modo Credenciales de dominio requiere un agente de ID usuario, ya que hay una dependencia con el servicio de credenciales).
• Las decisiones de alertas/bloqueos están vinculadas a URL categorías. A categoría no se puede identificar en el momento en que los parámetros a inspeccionar se reciben en el firewall !
• Al implementar la detección de credenciales de usuario (que requiere el ID Agente de credenciales de usuario), el agente reside en un Windows Server MUST w/ Directory Services unido al dominio como un RODC .

 Depuración:

• Las estadísticas/el estado de la sincronización de la asignación de grupo ya se muestran con el comando"show user-id-agent state". CLI  Sin embargo, los cambios incluyen ( BF ) contadores "Bloom Filter", es decir: Se agregará la última BF actualización y número de serie para cada BF UIDAgent. El último BF campo de marca de tiempo de actualización se marca como deshabilitado si una configuración del lado UIDAgent tiene la opción de extracción de credenciales deshabilitada. La salida a continuación es un ejemplo completamente funcional con una implementación de User- ID /Credential Agent.

> show user user-id-agent state all 
 Agent: 10.46.48.104(vsys: vsys1) Host: 10.46.48.104(10.46.48.104):5007
         Status                                            : conn:idle
         Version                                           : 0x5
         num of connection tried                           : 697
         num of connection succeeded                       : 28
         num of connection failed                          : 669
         num of status msgs rcvd                           : 21080
         num of request of status msgs sent                : 21092
         num of request of ip mapping msgs sent            : 5587
         num of request of new ip mapping msgs sent        : 0
         num of request of all ip mapping msgs sent        : 52
         num of user ip mapping msgs rcvd                  : 122
         num of ip msgs rcvd but failed to proc            : 0
         num of user ip mapping add entries rcvd           : 166
         num of user ip mapping del entries rcvd           : 26
         num of bloomfilter requests sent                  : 4
         num of bloomfilter response received              : 4
         num of bloomfilter response failed to proc        : 0
         num of bloomfilter resize requests sent           : 0
         Last heard(seconds ago)                           : 1
         Messages State:
           Job ID                                          : 0
           Sent messages                                   : 26787
           Rcvd messages                                   : 21274
           Lost messages                                   : 0
           Failed to send messages                         : 0
           Queued sending msgs with priority 0             : 0
           Queued sending msgs with priority 1             : 0
           Queued rcvring msgs with priority 0             : 0
           Queued rcvring msgs with priority 1             : 0
         Credential Enforcement Status : In Sync
           Last BF digest received(seconds ago)            : 1
           Last BF request sent(seconds ago)               : 11417
           Last BF updated(seconds ago)                    : 11417
           Current BF digest : 1fbd572bdf1f5170edb13d6e4d32ba86

• Cuando el modo de aplicación de credenciales de dominio está habilitado en cualquier URL perfil de filtrado activo, se incluye una lista de UIDAgents de donde se obtiene a BF y el número de credenciales en cada BF .
• Cuando el modo de aplicación de asignación de grupo está habilitado en cualquier URL perfil de filtrado activo, se incluye el número de nombres de usuario en la tabla de búsqueda trie/hash y las longitudes de cadena de nombre de usuario mínima/máxima.

> show user credential-filter statistics
Built 5 unique users table.
 toi_test_001                            : 251
 toi_test_002                            : 251
 phishing001                             : 251
 phishing002                             : 251
 bryan                                   : 251

 

• Otro comando preexistente, aunque ahora incluye información relevante para la aplicación de credenciales (que también sombrea la salida de estadísticas de características de credenciales), es decir: 251 URL- Perfiles de filtrado ID 's, así como nombres de usuario asociados:

> show user group-mapping state all
Group Mapping(vsys1, type: active-directory): PANTAC
 
        Bind DN    : administrator@pantac.local
         Base       : DC=pantac,DC=local
         Group Filter: (None)
         User Filter: (None)
         Servers    : configured 1 servers
                 10.192.0.189(389)
                         Last Action Time: 2546 secs ago(took 0 secs)
                         Next Action Time: In 1054 secs
         Number of Groups: 1
         cn=phishing_test,ou=security groups,dc=etac2008,dc=com
         Credential Enforcement: 1 URL-Filtering Profiles.
         URL-Filtering Profile IDs: 251
         Usernames:
         bryan, phishing001, phishing002, toi_test_001
         toi_test_002

Registro:
Con esta característica integrada en filtrado URL &usuario- ID , muchos de los mismos registros también se utilizan.

> useridd menos mp-log.log Log

ahora incluye registros relacionados con credenciales, así como BF actualizaciones, es decir:

 

2016-09-07 01:29:32.640 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:37.647 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:42.654 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:47.661 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:52.668 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:29:57.674 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.
2016-09-07 01:30:02.683 -0700 Warning:  pan_user_group_handle_cred_stats(pan_user_group.c:9090): UIA 10.192.0.189 error: credential enabled but no digest.

2016-09-07 18:07:09.640 -0700 Processed 5 ldap users for group mapping PANTAC. Added 5 unique usernames to username vector.
2016-09-07 18:07:09.667 -0700 Building userinfo.xml takes 0s
2016-09-07 18:07:42.699 -0700 Built 5 unique users table, vsys 1.
2016-09-07 18:07:42.699 -0700 Sending serialized vsys 1 credential map of 119 bytes to slots 0xffffffff.
2016-09-07 18:25:18.419 -0700 UIA 10.192.0.198 new Credential BF: digest 1fbd572bdf1f5170edb13d6e4d32ba86, 4 users, 8 KB.
2016-09-07 18:26:00.506 -0700 Sending serialized vsys 1 credential BF of 8217 bytes to slots 0xffffffff.

 

URL Los registros de filtrado se registrarán en función de la acción definida dentro del URL perfil de filtrado (envío de credenciales de usuario).

URL Los registros de filtrado ahora incluyen una nueva columna "Credencial detectada" que se puede habilitar (deshabilitada de forma predeterminada).

Esta nueva bandera también es visible a través de la vista detallada de registro, así:

 

Banderas

Registros de ID usuarios y agentes:

C:\Archivos de programa (x86)\Palo Alto Networks\User- ID Agent\UaDebug.log

 

09/07/16 18:25:33:088[ Info  798]: New connection 10.46.64.91 : 53029.
09/07/16 18:25:33:103[ Info  871]: Device thread 1 with 10.46.64.91 : 53029 is started.
09/07/16 18:25:33:103[ Info 2899]: Device thread 1 accept finished
09/07/16 18:25:35:131[ Info 2688]: Sent config to UaCredService.
09/07/16 18:25:38:345[ Info 2746]: Received BF Push. Same as current one. 1fbd572bdf1f5170edb13d6e4d32ba86

Registros del ID agente de credenciales de usuario:

C:\Archivos de programa\Palo Alto Networks\User- ID Credential Agent\UaCredDebug.log

 

09/07/16 12:42:58:568 [ Info 731]: No user in group 
09/07/16 12:43:05:448 [ Info 731]: No user in group 
09/07/16 12:43:12:296 [ Info 731]: No user in group  
 
09/07/16 12:58:01:193 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:08:307 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.
09/07/16 12:58:17:652 [ Warn 779]: No user extracted. Domain: PANTAC, 0/4 users. 0/2 preloads. 0 lookup failed. BF version: 1, 0 Patterns, 64 Kbits, 8 KB.

09/07/16 12:58:59:876 [ Info 704]: Sent BF to UaService. 3816cb8cc68069d56f558f06709afdf7
09/07/16 12:59:16:391 [ Info 704]: Sent BF to UaService. 6b07c78ef7252377f105652dc6ad5c66
09/07/16 17:27:47:557 [ Info 704]: Sent BF to UaService. C735b0836490dc55f927ca30cb6c9aa2
 
09/07/16 18:23:45:182 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:52:265 [Error 707]: Failed to send BF to UaService.
09/07/16 18:23:59:332 [Error 707]: Failed to send BF to UaService.

 

Como siempre, user- ID Agent también mostrará varios mensajes de registro con el último agente / registros ahora haciendo referencia a las BF empujones, etc...

UID Registros del agente

 

CLI comandos de depuración :

 

> debug user-id reset group-mapping

all         all
<value>     group mapping to reset

 

• Además de reajustar las asignaciones de grupo (comportamiento existente) esto también restablecerá la tabla trie/hash de username (credencial en modo de asignación de grupo)

> debug user-id reset credential-filter

all      reset domain credential and group mapping username filters for all user-id agent
<value>  specify one agent to reset domain credential and group mapping username filter

 

• borra todos MP y DP BloomFilters (modo credencial de dominio) y la tabla trie/hash de nombre de usuario (modo de asignación de grupo) para la aplicación de credenciales.

 

Consejos:
Si hay algún problema con la obtención de credenciales/hash a través de RODC implementaciones, asegúrese de que los grupos destinados a ser incluidos con la detección de credenciales se agregan al "Grupo de RODC replicación de contraseñas permitido."

Usuarios y equipos de Active Directory

Si los errores siguen presentes, asegúrese de que estos grupos no se incluyen (de forma predeterminada), en el "Grupo de RODC replicación de contraseñas denegada. A continuación se muestra una lista de miembros del grupo incluidos en este grupo de forma predeterminada (que incluye administradores de dominio).

Negado RODC Propiedades del grupo de replicación de contraseñas


Los comandos adicionales se pueden ejecutar en el para probar si la DC replicación de secretos para un usuario determinado se realiza correctamente. Si se produce un error, el mensaje que proporciona Windows es extremadamente informativo.

 

Sintaxis :
repadmin /rodcpwdrepl [DSA_LIST] Hub DC > <User1 DN > [ <User2 DN > <User3 DN >...]

Ejemplo de este comando que puede encontrar en la página de Windows Server Technet:
Repadmin /rodcpwdrepl