Tutorial: verhärten Sie Ihre Konfiguration (CC)

Tutorial: verhärten Sie Ihre Konfiguration (CC)

30512
Created On 09/25/18 18:59 PM - Last Modified 06/08/23 03:24 AM


Resolution


Hallo

 

Das ist Tom mit dem Community-Team und heute werden wir einen Blick darauf werfen, wie wir Ihre Konfiguration verhärten.

Die Palo Alto Firewalls wurden mit Blick auf die Sicherheit entworfen, aber Sie müssen noch ein paar Schritte Unternehmen, um die Sicherheit ihrer Management-Schnittstelle zu verbessern.

 

 

Eines der ersten Dinge, die Sie tun möchten, ist das Standard-Administrator-Passwort zu ändern. Wenn Sie auf die Registerkarte Device klicken und zu Administratoren gehen: 

  • Offenes Admin-Konto
  • Ändern Sie das Standardpasswort von ' admin', das leicht zu erraten ist, zu etwas sicherem

Dadurch wird bereits ein unerlaubter Zugriff verhindert, während Sie Ihre Firewall auf weitere Einsätze vorbereiten.

 

Ein weiterer Schritt ist es, Administratoren in verschiedene Gruppen zu trennen und Ihnen einen anderen Zugriff zu gewähren. Sie können dies tun, indem Sie in die admin-Rollen gehen und eine neue Rolle schaffen. Es gibt schon ein paar Ausfälle, aber ich beginne mit einem frischen, um zu zeigen, was wir tun können.

 

Zum Beispiel, wenn wir eine Gruppe von Administratoren haben, die zum Beispiel nur Zugriff auf bestimmte Protokolle haben müssen. Wir können einfach alle Teile deaktivieren, auf die Sie keinen Zugriff benötigen. Zum Beispiel können wir Richtlinien deaktivieren, wir können Objekte, Netzwerke, das Gerät Tab deaktivieren. Wenn wir nicht wollen, dass Sie vollständige IP-Adressen oder Benutzernamen in Protokollen angehängt sehen, können wir diese auch für die Privatsphäre deaktivieren.

 

Wenn wir jetzt einen Administrator erstellen und ihn auf "Rollen basiert" setzen und das log-admin-Profil wählen.

 

Lassen Sie uns einfach vorangehen und begehen...

 

Ich werde mich ausloggen, und dann werde ich mich als neu geschaffenes logadmin wieder einloggen.

 

Wie Sie sehen können, wurden einige der üblichen Tabs entfernt: Es gibt keine Netzwerk-Registerkarte mehr, es gibt keine Objekte mehr, es gibt kein System mehr. Das einzige, was zur Verfügung steht, sind die Funktionen, die im Profil gelassen wurden. So kann ich jetzt nur mit diesem Administrator-Konto auf das ArmaturenBrett, ACC und den Monitor zugreifen. Alle IP-Adressen wurden ebenfalls anonomisiert, so dass dieser Administrator keine einzige IP-Adresse identifizieren kann.

 

Ich möchte mich wieder einloggen.

 

Aus der Registerkarte Management können Sie die minimale Passwort-Komplexität wählen: 

 

Auf diese Weise können Sie mehrere Parameter festlegen, wie die minimale Passwortlänge, die Mindestanzahl der oberen/unteren, numerischen und Sonderzeichen. Block Wiederholung von Zeichen. Es kann von Administratoren verlangen, dass Sie Ihr Passwort bei der ersten Anmeldung ändern und eine Zeitspanne festlegen, für die jedes Passwort gültig ist. 

 

Lassen Sie uns ein paar gemeinsame Werte wie eine minimale Passwort-Länge von sieben, minimale Anzahl von Großbuchstaben eins, minimale Anzahl von Kleinbuchstaben eins, minimale numerische eine, minimale Anzahl von Sonderzeichen eins setzen. lassen Sie uns die Wiederverwendung von 2 Passwörtern verhindern, müssen Sie alle 60 Tage das Passwort ändern, haben eine zehntägige Schonfrist, bevor das Passwort geändert werden muss, und benötigen dann den Administrator, um sein Passwort zu ändern, wenn Sie sich zum ersten Mal einloggen.

 

Sie können auch ein Passwort-Profil festlegen, das eine vereinfachte Version der minimalen Passwort-Komplexität ist. Die minimale Passwort-Komplexität wird global angewendet, wo ein Passwort-Profil auf einen einzelnen Administrator angewendet werden kann, wo es die globale Einstellung außer Kraft setzt. Wenn ich das also zum Beispiel auf zehn Tage und nichts anderes ändere, kann ich zu den Administratoren gehen und die globale Einstellung mit meinem Passwort-Profil überschreiben.

 

Nächster Schritt: die Begrenzung des Zugriffs auf die Schnittstelle selbst ist immer eine gute Idee. Wenn wir zum Setup-Tab gehen und Schnittstellen auswählen und dann die Management-Schnittstelle öffnen.

 

Zunächst können Sie auswählen, welche Dienste auf der Schnittstelle selbst zur Verfügung gestellt werden. Es ist immer eine gute Idee, Ping zu deaktivieren, das macht die Schnittstelle unentdeckbar durch Ping: macht es weniger wahrscheinlich für jemanden auf die Schnittstelle stolpern. Gleiches gilt für alle Management Profile, die auf die dataplane-Schnittstellen angewendet werden. Und fügen Sie eine Liste der erlaubten IP-Adressen für Ihre Administratoren hinzu, entweder ein Subnetz oder eine einzelne Slash 32 (.../32) IP-Adressen, so dass nur diese IP-Adressen Zugriff auf diese Schnittstelle haben.

 

Für die dataplane-Schnittstellen können Sie zum Netzwerk-Tab gehen, auf das Interface-Management zugreifen, ein Profil erstellen, die Dienste, die Sie zur Verfügung stellen möchten, aktivieren. für Administratoren können SSH und SSL also interessant sein. SNMP könnte eine gute Idee für eine gewisse Überwachung sein, und dann alle IP-Adressen hinzufügen, die erlaubt sein sollten, auf diese Schnittstelle zuzugreifen, einschließlich eines SNMP-Monitors. dann gehen Sie vor und greifen Sie auf die Schnittstelle zu, und fügen Sie das Profil an die Schnittstelle.

 

Während wir uns mit dem Thema SNMP beschäftigen, können wir, wenn Sie in den Betrieb gehen und das SNMP-Setup ändern, den SNMP-Community-String zu etwas komplexem ändern, so dass er nicht leicht erraten werden kann und die Leute ihre SNMP-Umgebung nicht missbrauchen können, oder wenn Sie einen SNMPv3-fähigen SNMP-Server haben. , gehen Sie vor und aktivieren Sie dies, was noch sicherer ist.

 

Schließlich könnte es eine gute Idee sein, ein Log-Forwarding-Profil für Systemprotokolle einzurichten, genau hier, für ihre Konfigurations Protokolle. Auf diese Weise, wenn etwas auf Ihrem System passiert, vielleicht jemand Ihre Konfiguration ändert oder etwas anderes passiert, werden Ihre Protokolle vom System auf vielleicht ein Panorama oder möglicherweise eine e-Mail-Adresse weitergeleitet.

 

Lassen Sie mich Ihnen zeigen, wie das aussieht: Sie können ein e-Mail-Profil hinzufügen, Sie können einen Server, einen Display-Namen, von, zu, zusätzlichen Empfänger hinzufügen (lassen Sie uns das für jetzt leer lassen), und dann das e-Mail-Gateway.

 

Meine letzte Empfehlung ist eher physischer Natur: Vergewissern Sie sich, dass sich die Managementschnittstelle in einem abgetrennten Netzwerk befindet, entweder in einem Out-of-Band-Netzwerk oder in einem separaten VLAN, das nur von den Administratoren abgerufen werden kann, die darauf zugreifen sollen, dass Schnittstelle.

 

 Nun die letzten Schritte:

  • Klicken Sie auf den like-Button
  • Abonnieren Sie den Kanal
  • Kommentare hinterlassen

 

Dank!

 Schnitter
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS4CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language