SchwachStellen durch OrdnungsGemäße Anwendung der Bedrohungs Prävention verringern

Problem

Um die Ausnutzung von Schwachstellen erfolgreich zu erkennen und zu verhindern, ist eine korrekte Konfiguration eines PAN-OS-Geräts erforderlich.

Während die empfohlene Aktion von Palo Alto Networks darin besteht, alle gefährdeten Geräte, einschließlich PAN-OS-Geräte, auf die in den Sicherheitsankündigungen angegebenen Versions Stufen zu patchen, enthalten Notfall-Content-Veröffentlichungen Signaturen, die zum Schutz von PAN-OS beitragen.

Lösung

Die Lösung wird in kleine Schritte zerlegt:

1. Content Installation
2. Konfiguration eines Schwachstellen Schutz Profils, um gegen Signatur-Muster-Match richtig vorzugehen (Reset-beides)
3. Weisen Sie das konfigurierte Schwachstellen Schutzprofil einer Sicherheitsregel zu 
4. Konfiguration der eingehenden SSL-Entschlüsselung 

Details

1. Die Installation
   von Inhalten stellt sicher, dass die Inhalte auf die neueste Version aktualisiert werden.
   
   
   
2. Konfigurieren Sie ein Schwachstellen SchutzProfil
   in diesem Abschnitt wird kurz beschrieben, wie ein Schwachstellen Schutzprofil konfiguriert werden kann, um vorbeugende Maßnahmen gegen die Erkennung der Bedrohungs Ausweise zu ergreifen, die mit einem Sicherheitsgutachten
   verbunden sind Es gibt zwei Optionen für diesen Teil der Konfiguration:
   1. In diesem Beispiel ist das Verwundbarkeits Schutzprofil "Strict" so konfiguriert, dass es einen RESET nimmt-beide Maßnahmen gegen die Erkennung von hohen schwere Unterschriften; 38902, 38903 und 38904 sind hohe schwere Unterschriften. Als solches kann dieses Profil auf der Sicherheitsregel verwendet werden, die dem eingehenden Verkehr für die Firewall entspricht.
   2. EIN individuelles Verwundbarkeits Schutzprofil mit Aktionen für diese drei Signaturen, die neu gesetzt werden sollen-beides. Bitte verweisen Sie auf diesen Link, um bei diesem Prozess zu helfen.
       
3. Weisen Sie das Schwachstellen SchutzProfil einer SicherheitsRegel zu. in
   diesem Abschnitt wird beschrieben, wie das zuvor konfigurierte Sicherheitsprofil einer Sicherheitsregel zugeordnet werden kann, die dem für den globalen Schutz bestimmten Verkehr entspricht, und jedes dataplane Schnittstelle, die für das Management verwendet wird.
   
   Nehmen wir für diese Übung an, dass Global Protect auf einer Schnittstelle gehostet wird, die in der "Untrust"-Zone heimisch ist, und der VPN-Verkehr wird auch aus der "Untrust"-Zone kommen.
   
   Um sich vor Ausbeutung zu globalem Schutz oder anderen auf dem dataplane veröffentlichten Diensten zu schützen, muss das Schwachstellen Schutzprofil einer Sicherheitsregel zugeordnet werden, die die "Treuhand Zone" auf den Zonen Verkehr "unvertrauen" prüft.  
   
   
   Im obigen Screenshot ist das Icon unter der Profil Spalte das Schwachstellen Schutzprofil "streng", auf das in unserem vorherigen Schritt verwiesen wird. Quell Zone ist "Unvertrauen" und Zielzone ist "Unvertrauen."
   
   Der folgende Schritt sollte getan werden, falls eine dataplane-Schnittstelle für die Geräteverwaltung verwendet wird.
4. Konfigurieren Sie die eingehende SSL-Entschlüsselungs
   Referenz die folgenden Dokumente, um die EINGEHende SSL-Entschlüsselung zu konfigurieren: 
   • SSL-eingehende Inspektion konfigurieren 
   • Gewusst wie: implementieren und testen SSL-Entschlüsselung