Tutorial: endurece tu configuración (CC)

Hola,

Este es Tom con el equipo de la comunidad y hoy vamos a echar un vistazo a cómo endurecer su configuración.

Los cortafuegos de palo alto han sido diseñados pensando en la seguridad, pero usted todavía necesita tomar un par de pasos para mejorar la seguridad de su interfaz de administración.

Una de las primeras cosas que desea hacer es cambiar la contraseña de administrador predeterminada. Si navega a la ficha dispositivo y vaya a administradores: 

• Abrir cuenta de administrador
• Cambiar la contraseña predeterminada de ' admin, que es fácilmente conjeturable, a algo más seguro

Esto ya evitará cualquier acceso no autorizado mientras prepara el cortafuegos para su posterior despliegue.

Otro paso es separar a los administradores en diferentes grupos y proporcionarles un acceso diferente. Puede hacerlo yendo a las funciones de administración y creando un nuevo rol. Ya hay un par de predeterminados, pero empezaré con uno nuevo para demostrar lo que podemos hacer.

Por ejemplo, si tenemos un grupo de administradores que sólo necesitan tener acceso a registros específicos, por ejemplo. Podemos simplemente desactivar todas las partes a las que no necesitan acceso. Por ejemplo, podemos deshabilitar las directivas, podemos deshabilitar objetos, redes, la ficha dispositivo. Si no queremos que sean capaces de ver direcciones IP completas o nombres de usuario conectados en los logs, también podemos deshabilitarlos para la privacidad.

Si ahora creamos un administrador y lo establecemos en ' rol basado ' y elegimos el perfil log-admin.

Vamos a seguir adelante y cometer esto...

Voy a cerrar sesión, y luego voy a iniciar sesión de nuevo como el recién creado LogAdmin.

Como se puede ver, varias de las fichas habituales se han eliminado: no hay más pestaña de red, no hay más objetos, no hay más sistema. Lo único que está disponible son las características que quedaron en el perfil. Así que ahora sólo puedo acceder al Dashboard, ACC y el monitor con esta cuenta de administrador. Todas las direcciones IP también han sido anonomized, por lo que este administrador no puede identificar una sola dirección IP.

Déjame conectarme de nuevo.

En la ficha Administración, puede seleccionar la complejidad mínima de la contraseña: 

Esto le permitirá establecer varios parámetros, como la longitud mínima de la contraseña, el número mínimo de caracteres superior/inferior, numéricos y especiales. Bloquear repetición de caracteres. Puede requerir que los administradores cambien su contraseña en el primer inicio de sesión y establezcan un período de tiempo en el que cada contraseña será válida. 

Vamos a establecer un par de valores comunes como una longitud de contraseña mínima de siete, número mínimo de mayúsculas uno, número mínimo de minúsculas uno, mínimo numérico uno, número mínimo de caracteres especiales uno. Prevengamos la reutilización de 2 contraseñas, requerimos cambiar la contraseña cada 60 días, tenemos un período de gracia de diez días antes de que la contraseña necesite ser cambiada y después requerimos que el administrador cambie su contraseña la primera vez que inicie sesión.

También puede establecer un perfil de contraseña, que es una versión simplificada de la complejidad mínima de la contraseña. La complejidad mínima de la contraseña se va a aplicar en todo el mundo, donde se puede aplicar un perfil de contraseña a un único administrador donde se anulará la configuración global. Así que si cambio esto a, por ejemplo, diez días y nada más, puedo ir a los administradores y anular la configuración global con mi perfil de contraseña.

Siguiente paso: limitar el acceso a la interfaz en sí mismo siempre es una buena idea. Si vamos a la pestaña Setup y seleccionamos interfaces, y luego abrimos la interfaz de administración.

En primer lugar, puede seleccionar qué servicios están disponibles en la propia interfaz. Siempre es una buena idea desactivar ping, lo que hace que la interfaz sea descubierta por ping: hace que sea menos probable que alguien se tropiece con la interfaz. Lo mismo ocurre con los perfiles de administración aplicados a las interfaces de los planos de los mismos. Y agregue una lista de direcciones IP permitidas para sus administradores, ya sea una subred o una sola barra de direcciones IP 32 (.../32) para que sólo esas direcciones IP tengan acceso a esta interfaz.

Para las interfaces de plano de los mismos, puede ir a la pestaña red, acceder a la gestión de la interfaz, crear un perfil, habilitar los servicios que desea que se hagan disponibles. así que para los administradores SSH y SSL pueden ser interesantes. SNMP podría ser una buena idea para algunos monitoreos y, a continuación, agregar cualquier y todos los Addres IP que se debe permitir acceder a esta interfaz, incluyendo cualquier monitor SNMP. luego acceda a la interfaz y añada el perfil a la interfaz.

Mientras estamos en el tema de SNMP, si usted va a operaciones y alterar la configuración de SNMP, podemos cambiar la cadena de comunidad SNMP a algo complejo, por lo que no se puede adivinar fácilmente y la gente no puede abusar de su entorno de SNMP, o si usted tiene un servidor SNMP SNMPv3 habilitado , siga adelante y habilite esto, que es aún más seguro.

Por último, podría ser una buena idea configurar un perfil de reenvío de registro para los registros del sistema, aquí mismo, para las entradas del registro de configuración. De esa manera, si algo sucede en su sistema, tal vez alguien cambia su configuración o algo más sucede, sus registros se reenviará fuera del sistema en tal vez un panorama o, posiblemente, una dirección de correo electrónico.

Déjenme mostrarles cómo se ve: puede Agregar un perfil de correo electrónico, puede Agregar un servidor, un nombre para mostrar, de, a, destinatario adicional (dejemos eso vacío por ahora) y, a continuación, el gateway de correo electrónico.

Mi última recomendación es más bien una naturaleza física: Asegúrese de que la interfaz de administración se encuentra en una red segregada, ya sea una red fuera de banda o una VLAN separada, que sólo puede ser accesado por los administradores que se supone que están accediendo a que Interfaz.

 Ahora, los pasos finales:

• Haga clic en el botón like
• Suscribirse al canal
• Dejar comentarios

¡Gracias!

 usuario: