Trucs et astuces: connexions sortantes par les appareils de Palo Alto

Lors de l'examen d'un système de pare-feu, la plupart des admins penser au trafic provenant du réseau LAN de sortir à l'Internet ou une zone DMZ, et certaines connexions provenant de l'Internet à un serveur Web ou un serveur de messagerie dans le centre de données de l'entreprise. Les connexions au pare-feu lui-même sont généralement considérées uniquement en ce qui concerne la gestion.

Dans les conseils de cette semaine et astuces, nous allons jeter un oeil à ce type de trafic pourrait être en provenance du pare-feu et les moyens de s'assurer que tout fonctionne bien sans compromettre la sécurité.

En supposant que toutes les licences possibles sont appliquées au pare-feu et toutes les mises à jour configurées pour être téléchargées automatiquement:

Plusieurs connexions sortantes issues de l'interface de gestion doivent pouvoir atteindre l'Internet. Le pare-feu doit télécharger les mises à jour, obtenir de nouvelles signatures AV, vérifier les URL d'une catégorie appropriée et effectuer une multitude d'autres activités.

Les connexions sortantes seront toutes des sessions de navigation sur le Web et SSL, destinées à plusieurs URL différentes, selon le contenu en cours de téléchargement.

• Updates.paloaltonetworks.com et downloads.paloaltonetworks.com sont utilisés pour les mises à jour AV, app-ID, content et Pan-OS.
• Wildfire.paloaltonetworks.com est utilisé pour les mises à jour de contenu Wildfire et le téléchargement de fichiers pour analyse.
• urlcloud.paloaltonetworks.com et service.brightcloud.com sont utilisés pour les recherches d'URL et le téléchargement de base-DB.

Toutefois, les URL ci-dessus sont les principales URL qui redirigent le pare-feu vers un sous-domaine basé sur une région (S0100.urlcloud.paloaltonetworks.com, eu-West-1.Wildfire.paloaltonetworks.com et ainsi de suite). 

Si vous pouvez collecter une liste de toutes les URL régionales appropriées à votre appareil, vous pouvez activer un profil de filtrage D'URL pour autoriser ces connexions, mais cela est assez encombrant, nous avons donc fourni plusieurs applications à utiliser dans une stratégie de sécurité pour faire les choses un peu plus facile.

• Pan-DB-Cloud permet des connexions sortantes à toutes les URL et sous-URL requises pour opérer le filtrage d'URL.
• brightcloud permet la même fonctionnalité, si la base de données de filtrage D'URL brightcloud est utilisée.
• paloalto-updates permet la récupération de toutes les applications, les menaces et le contenu, les mises à jour Pan-OS, le logiciel GlobalProtect et les mises à jour.
• paloalto-Wildfire-Cloud permet de télécharger des mises à jour de contenu Wildfire et de télécharger des fichiers dans le Cloud pour inspection.

Les applications permettent une stratégie de sécurité simple, de sorte que tous les services peuvent recevoir des mises à jour ou des fichiers téléchargés dans le nuage pour analyse, dans le cas de Wildfire.

Dans certains cas, l'interface de gestion peut ne pas être connectée au LAN local ou être dans un réseau hors bande sans accès Internet. Pour installer des mises à jour vitales sur le système sans que l'administrateur effectue ces tâches manuellement, créez un itinéraire de service pour chaque service.

Un itinéraire de service est un itinéraire interne à partir du plan de gestion, traversant la dorsale interne, sur le dataplane, où il peut être lié à une interface interne ou externe. Si un itinéraire de service est lié à une interface interne, la stratégie de sécurité ci-dessus peut toujours être utilisée pour contrôler et exécuter l'application-ID sur les connexions sortantes, et si désiré, ne l'analyse de contenu et de l'AV ainsi.

Si l'itinéraire de service est lié à l'interface externe, les services sont autorisés à se connecter à leurs services Cloud respectifs de Palo Alto Networks, sans nécessiter de configuration supplémentaire de la stratégie de sécurité. Si l'itinéraire de service est lié à l'interface externe, la connexion est simplement autorisée à se connecter aux services Cloud de Palo Alto Networks sans nécessiter de configuration supplémentaire de la stratégie de sécurité.

J'espère que vous avez apprécié les trucs et astuces de cette semaine. Comme toujours, les commentaires et suggestions sont bien accueillis dans la section ci-dessous.

Tom Piens