Tutoriel: durcissez votre configuration (CC)

Tutoriel: durcissez votre configuration (CC)

30524
Created On 09/25/18 18:59 PM - Last Modified 06/08/23 03:24 AM


Resolution


Salut

 

C'est Tom avec l'équipe de la communauté et aujourd'hui nous allons jeter un oeil à la façon de durcir votre configuration.

Les pare-feu de Palo Alto ont été conçus avec la sécurité à l'esprit, mais vous avez encore besoin de prendre quelques mesures pour améliorer la sécurité de votre interface de gestion.

 

 

Une des premières choses que vous voudrez faire est de changer le mot de passe administrateur par défaut. Si vous naviguez sur l'onglet Device et accédez aux administrateurs: 

  • Ouvrir le compte admin
  • Changer le mot de passe par défaut de'admin, qui est facilement devinable, à quelque chose de plus sûr

Cela empêchera déjà tout accès non autorisé pendant que vous préparez votre pare-feu pour un déploiement ultérieur.

 

Une autre étape consiste à séparer les administrateurs en différents groupes et à leur fournir un accès différent. Vous pouvez le faire en allant dans les rôles Admin et en créant un nouveau rôle. Il ya un couple de défauts là-dedans déjà, mais je vais commencer par une nouvelle pour démontrer ce que nous pouvons faire.

 

Par exemple, si nous avons un groupe d'administrateurs qui ont seulement besoin d'avoir accès à des journaux spécifiques par exemple. Nous pouvons tout simplement désactiver toutes les parties auxquelles ils n'ont pas besoin d'accéder. Par exemple, nous pouvons désactiver les stratégies, nous pouvons désactiver les objets, les réseaux, l'onglet périphérique. Si nous ne voulons pas qu'ils soient en mesure de voir les adresses IP complètes ou les noms d'utilisateur attachés dans les journaux, nous pouvons désactiver ceux de la vie privée ainsi.

 

Si nous créons maintenant un administrateur et le définir sur «rôle basé» et choisissez le log-admin profil.

 

Nous allons juste aller de l'avant et de commettre ce...

 

Je vais me déconnecter, et puis je vais me connecter en tant que nouvellement créé logadmin.

 

Comme vous pouvez le voir, plusieurs des onglets habituels ont été supprimés: il n'y a plus d'onglet réseau, il n'y a plus d'objets, il n'y a plus de système. La seule chose qui est disponible sont les fonctionnalités qui ont été laissés dans le profil. Donc, je ne peux maintenant accéder au tableau de bord, ACC et le moniteur avec ce compte administrateur. Toutes les adresses IP ont également été anonomized, de sorte que cet administrateur ne peut pas identifier une seule adresse IP.

 

Laisse-moi me reconnecter.

 

Dans l'onglet gestion, vous pouvez sélectionner la complexité minimale du mot de passe: 

 

Cela vous permettra de définir plusieurs paramètres, comme longueur minimale du mot de passe, nombre minimum de caractères supérieurs/inférieurs, numériques et spéciaux. Bloquer la répétition des caractères. Il peut exiger des administrateurs de changer leur mot de passe lors de la première ouverture de session et définir une période de temps chaque mot de passe sera valide pour. 

 

Nous allons définir un couple de valeurs communes comme une longueur de mot de passe minimum de sept, le nombre minimum de majuscules, un nombre minimum de minuscules, un minimum numérique, le nombre minimum de caractères spéciaux un. empêchons la réutilisation de 2 mots de passe, nécessitent de changer le mot de passe tous les 60 jours, ont une période de grâce de dix jours avant que le mot de passe doit être changé et ensuite demander à l'administrateur de changer leur mot de passe la première fois qu'ils se connectent.

 

Vous pouvez également définir un profil de mot de passe, qui est une version simplifiée de la complexité minimale du mot de passe. La complexité minimale du mot de passe va être appliquée globalement où un profil de mot de passe peut être appliqué à un seul administrateur où il remplacera le paramètre global. Donc, si je change cela pour, par exemple, dix jours et rien d'autre, je peux aller à l'administrateur et de remplacer le paramètre global avec mon profil de mot de passe.

 

Étape suivante: limiter l'accès à l'interface elle-même est toujours une bonne idée. Si nous allons à l'onglet Setup et sélectionnez interfaces, puis ouvrez l'interface de gestion.

 

Tout d'abord, vous pouvez sélectionner les services qui sont rendus disponibles sur l'interface elle-même. C'est toujours une bonne idée de désactiver le ping, qui rend l'interface indiscovery par ping: il est moins probable pour quelqu'un de trébucher sur l'interface. Il en va de même pour tous les profils de gestion appliqués aux interfaces dataplane. Et ajoutez une liste d'adresses IP autorisées pour vos administrateurs, soit un sous-réseau, soit un seul slash 32 (.../32) adresses IP de sorte que seules ces adresses IP auront accès à cette interface.

 

Pour les interfaces dataplane, vous pouvez aller à l'onglet réseau, accéder à la gestion de l'interface, créer un profil, activer les services que vous souhaitez rendre disponibles. ainsi, pour les administrateurs SSH et SSL peut être intéressant. SNMP peut être une bonne idée pour certains de surveillance, puis ajouter tout et tous les adresses IP qui devraient être autorisés à accéder à cette interface, y compris tout moniteur SNMP. Ensuite, allez-y et accédez à l'interface, et ajoutez le profil à l'interface.

 

Alors que nous sommes sur le sujet de SNMP, si vous allez à des opérations et modifier la configuration SNMP, nous pouvons changer la chaîne de la communauté SNMP à quelque chose de complexe, de sorte qu'il ne peut pas être facilement deviné et les gens ne peuvent pas abuser de votre environnement SNMP, ou si vous avez un serveur SNMP SNMPv3 , allez-y et activez-le, ce qui est encore plus sûr.

 

Enfin, il peut être judicieux de configurer un profil de transfert de journal pour les journaux système, ici, pour vos entrées de journal de configuration. De cette façon, si quelque chose se passe sur votre système, peut-être quelqu'un change votre configuration ou quelque chose d'autre se passe, vos journaux seront transférés hors système sur peut-être un panorama ou éventuellement une adresse e-mail.

 

Permettez-moi de vous montrer comment cela ressemble: vous pouvez ajouter un profil d'email, vous pouvez ajouter un serveur, un nom complet, de, à, destinataire supplémentaire (laissons ce vide pour l'instant), puis la passerelle d'email.

 

Ma dernière recommandation est plus de nature physique: Assurez-vous que l'interface de gestion est située dans un réseau séparé, soit un réseau hors bande ou un VLAN séparé, qui ne peut être accessible par les administrateurs qui sont censés accéder à ce Interface.

 

 Maintenant, les étapes finales:

  • Cliquez sur le bouton like
  • Abonnez-vous à la chaîne
  • Laisser des commentaires

 

Merci!

 Reaper
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClS4CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language