Tips & Trucos: conexiones salientes de palo alto Devices

Cuando se considera un sistema de cortafuegos, la mayoría de los administradores piensan en el tráfico procedente de la red LAN que va a Internet o a un área de la DMZ, y algunas conexiones que vienen de Internet a un servidor web o servidor de correo en el centro de datos de la empresa. Las conexiones al cortafuegos sí mismo se consideran generalmente solamente con respecto a la gerencia.

En los consejos y trucos de esta semana, vamos a echar un vistazo a qué tipo de tráfico podría venir desde el cortafuegos y las formas de asegurarse de que todo está funcionando sin problemas de seguridad.

Asumiendo que todas las licencias posibles se aplican al firewall y todas las actualizaciones configuradas para ser descargadas automáticamente:

Varias conexiones salientes procedentes de la interfaz de administración deben ser capaces de llegar a Internet. El Firewall necesita descargar actualizaciones, obtener nuevas firmas AV, comprobar URLs para una categoría apropiada y realizar una serie de otras actividades.

Las conexiones salientes serán todas de navegación web y sesiones SSL, destinadas a varias URLs diferentes, dependiendo del contenido que se esté subiendo o descargando.

• updates.paloaltonetworks.com y downloads.paloaltonetworks.com se utilizan para las actualizaciones de AV, APP-ID, Content y PAN-OS.
• Wildfire.paloaltonetworks.com se utiliza para las actualizaciones de contenido de Wildfire y la carga de archivos para su análisis.
• urlcloud.paloaltonetworks.com y Service.brightcloud.com se utilizan para búsquedas URL y descargar base-dB.

Las URLs anteriores, sin embargo, son las URLs principales que redirigen el cortafuegos a un subdominio región-basado (s0100.urlcloud.paloaltonetworks.com, EU-West-1.Wildfire.paloaltonetworks.com y así sucesivamente). 

Si puede recopilar una lista de todas las URL regionales apropiadas para su dispositivo, puede habilitar un perfil de filtrado de URL para permitir estas conexiones, pero esto es bastante engorroso, por lo que hemos proporcionado varias aplicaciones para que se utilicen en una política de seguridad para hacer las cosas un poco más fáciles.

• pan-dB-Cloud permite conexiones salientes a todas las URLs y suburls necesarias para operar el filtrado de URL.
• brightcloud permite la misma funcionalidad, si se utiliza la base de datos de filtrado de URL de brightcloud.
• Paloalto-updates permite la recuperación de todas las aplicaciones, amenazas y contenido, actualizaciones de pan-os, software GlobalProtect y actualizaciones.
• Paloalto-Wildfire-Cloud permite la descarga de las actualizaciones de contenido de Wildfire y la carga de archivos a la nube para su inspección.

Las aplicaciones permiten una política de seguridad simple, por lo que todos los servicios pueden recibir actualizaciones o archivos subidos a la nube para su análisis, en el caso de incendios forestales.

En algunos casos, la interfaz de administración puede no estar conectada a la LAN local o estar en una red fuera de banda sin tener acceso a Internet. Para instalar actualizaciones vitales en el sistema sin que el administrador Realice estas tareas manualmente, cree una ruta de servicio para cada servicio.

Una ruta de servicio es una ruta interna desde el plano de administración, atravesando la columna vertebral interna, hasta el plano de los mismos, donde puede enlazarse a una interfaz interna o externa. Si una ruta de servicio está enlazada a una interfaz interna, la Directiva de seguridad anterior todavía se puede utilizar para controlar y realizar el ID de aplicación en conexiones salientes, y si lo desea, realice la exploración de AV y de contenido también.

Si la ruta de servicio está enlazada a la interfaz externa, los servicios pueden conectarse a sus respectivos servicios Cloud de Palo Alto Networks sin requerir más configuración de la Directiva de seguridad. Si la ruta de servicio está enlazada a la interfaz externa, la conexión simplemente se permite conectarse a Palo Alto Networks Cloud Services sin requerir más configuración de la Directiva de seguridad.

Espero que hayas disfrutado de los consejos y trucos de esta semana. Como siempre, los comentarios y sugerencias son bienvenidos en la sección a continuación.

Tom Piens