Mitigar las vulnerabilidades mediante la aplicación adecuada de la prevención de amenazas

Incidencia

Se requiere una configuración adecuada de un dispositivo pan-os para detectar y prevenir la explotación de vulnerabilidades con éxito.

Mientras que la acción recomendada por Palo Alto Networks es parchear todos los dispositivos vulnerables, incluidos los dispositivos pan-os, a los niveles de versión apropiados especificados en los avisos de seguridad, las versiones de contenido de emergencia contienen firmas para ayudar a proteger pan-os.

Solución

La solución se romperá en pequeños pasos:

1. Instalación de contenido
2. Configuración de un perfil de protección de vulnerabilidad para realizar una acción adecuada contra la coincidencia de patrones de firma (RESET-both)
3. Asignar el perfil de protección de vulnerabilidad configurado a una regla de seguridad 
4. Configuración de desencriptación SSL entrante 

Detalles

1. La instalación
   de contenido garantiza que el contenido se actualice a la versión más reciente.
   
   
   
2. Configurar un perfil de protección
   de vulnerabilidad en esta sección se describe brevemente cómo configurar un perfil de protección contra vulnerabilidades para que tome medidas preventivas contra la detección de los IDS de amenazas asociados con cualquier aviso de seguridad.
   Hay dos opciones para esta parte de la configuración:
   1. En este ejemplo, el perfil de protección contra vulnerabilidades "STRICT" está configurado para realizar una reinicialización-ambas acciones contra la detección de firmas de alta severidad; 38902, 38903 y 38904 son firmas de alta severidad. Como tal, este perfil se puede utilizar en la regla de seguridad que coincide con el tráfico entrante destinado al cortafuegos.
   2. Un perfil de protección de vulnerabilidad personalizado con acciones para estas tres firmas establecida en RESET-both. Por favor, haga referencia a este enlace para obtener ayuda con este proceso.
       
3. Asignar el perfil de protección de vulnerabilidad a una regla de seguridad en
   esta sección se describe cómo asignar el perfil de protección de vulnerabilidad configurado previamente a una regla de seguridad que coincida con el tráfico destinado a global Protect y cualquier plan de interfaz que se utiliza para la gestión.
   
   Para este ejercicio, asumamos que global Protect está alojado en una interfaz que se encuentra en la zona "Untrust" y el tráfico VPN también se originará en la zona "Untrust".
   
   Para proteger contra la explotación a Global Protection, u otros servicios publicados en el plan de la misma, el perfil de protección de vulnerabilidad debe asignarse a una regla de seguridad que inspeccione la zona "Untrust" al tráfico de zona "no confiable".  
   
   
   En la captura de pantalla anterior, el icono bajo la columna perfil es el perfil de protección de vulnerabilidad "STRICT" al que se hace referencia en nuestro paso anterior. La zona de origen es "Untrust" y la zona de destino es "Untrust". Se
   
   debe tomar el siguiente paso en caso de que se utilice una interfaz de plan de conexión para la administración de dispositivos.
4. Configure el descifrado SSL entrante haga
   referencia a los siguientes documentos para ayudar a configurar el descifrado SSL entrante: 
   • Configurar la inspección SSL entrante 
   • Cómo implementar y prueba de descifrado de SSL