Optimieren Sie Ihre Sicherheits-Policy

Optimieren Sie Ihre Sicherheits-Policy

69061
Created On 09/26/18 13:44 PM - Last Modified 06/08/23 08:35 AM


Resolution


Lassen Sie uns einige Best Practices abdecken, die wir beim Aufbau oder der Überprüfung ihrer Sicherheitspolitik im Auge behalten sollten. Betrachten Sie diese Tipps, um die optimale Erfahrung aus Ihrer Konfiguration zu gewährleisten, aber nicht zwingend oder erforderlich, damit die Palo Alto Networks Firewall richtig funktioniert. Das sind Praktiken, die ich in meinen Jahren als Support-Ingenieur gesehen habe, wo Administratoren mit unerwarteten Problemen konfrontiert waren, die durch das Festhalten an einigen der Richtlinien hätten verhindert werden können.

 

 

 

 

Zonen

 

Eine häufige Verletzung gegen bewährte Verfahren ist die Verwendung von "Any" in der Quell-oder Zielzone. In vielen Fällen beginnt ein Administrator mit der Einstellung einer "Any-Any"-Regel, wenn zuerst die Firewall in der Standard-vWire-Konfiguration in das Netzwerk angeschlossen wird. Dies ermöglicht den Verkehr in beide Richtungen, ohne dass zwei verschiedene Regeln erstellt werden müssen, eine für jede Verkehrs Richtung.

 

Die Verwendung von "Any" in einer Zone eröffnet der Politik die Möglichkeit, unabsichtlich Sitzungen zuzulassen, die nicht abgerechnet wurden, wie zum Beispiel Inner Zonen Verkehr oder Zonen, die in einem späteren Stadium hinzugefügt werden, während die Richtlinie nicht aktualisiert wurde, um die zusätzliche Zone.

 

Es gibt jedoch einen kleinen Trick, der eine einheitliche Regel ermöglichen wird, den Verkehr in bestimmten Richtungen zwischen den Zonen zu kontrollieren:

Der Policy Type kann von Universal zu Interzone oder intrazone geändert werden, um alle Zonen in einer Politik zu begrenzen, um nur miteinander zu kommunizieren, aber nicht mit der gleichen Zone, oder nur mit der gleichen Zone, aber nicht mit den anderen Zonen.

 

Die Richtlinien 2 und 3 im Bild unten sind identisch (der eine ist in der Tat ein Klon des anderen) in jeder Hinsicht, außer dem "Typ," aber Sie werden sich völlig anders Verhalten, da die Regel #2 auf intrazone eingestellt ist und nur Sitzungen von lokalen bis lokalen erlauben wird. , und fern bis fern, aber nicht lokal bis fern, oder fern zu lokal. Herrschaft #3 tut das Gegenteil; Es erlaubt nur Sitzungen von lokal bis fern und vise versa, aber nicht zwischen lokal und lokal, oder fern und fern. Diese kleine Einstellung anzuwenden, anstatt das gefürchtete "Any" zu verwenden, wird Einfachheit ermöglichen, aber trotzdem Sicherheit bieten und Übersichten verhindern.

 

2016-05 -25 _13-57 -33. jpg

 

Service

 

Seit Pan-OS 6,0 wird die Standardeinstellung des Dienstes bei der Erstellung einer neuen Richtlinie auf Application-default gesetzt, wird aber die Standard-Anwendungs-Ports nur dann durchsetzen, wenn die Anwendungen auch in den Anwendungsbereich der Regel aufgenommen werden. Ausgehend von Pan-OS 7,1 wird der in einer Richtlinie festgelegte Anwendungsstandard die Standard-Anwendungs-Ports durchsetzen, die auch ohne Anwendungen im Anwendungsbereich der Richtlinie verwendet werden. Es ist jedoch immer noch ziemlich üblich, eine Politik zu sehen, bei der die Dienste auf "irgendwelche" eingestellt wurden. Auch dies kann zu unerwarteten Nebenwirkungen führen, wenn man unerwünschte oder unnötige Verbindungen zulässt.

 

Jede Sitzung, die von der Palo Alto Networks Firewall durchgeführt wird, wird zumindest zweimal durch die Sicherheitsrichtlinien gegangen sein: Wenn das anfängliche SYN-Paket empfangen wird, wird die Firewall-Richtlinie überprüft, um zu sehen, ob eine Regel mit der Quell Zone übereinstimmt, Quelle Subnet/IP, Ziel Zone, Destination Subnet/IP und Destination Port. Wenn eine Regel mit der Absicht erstellt wird, das Surfen im Internet zu erlauben, aber mit dem Service, der auf "Any" gesetzt ist, wird diese Richtlinie den Handschlag für eine FTP-Verbindung auf Port 21 erlauben. Diese Sitzung wird dann Ressourcen auf der Firewall aufnehmen, da eine Sitzung in der Zustands Tabelle erstellt wird, NAT angewendet werden kann usw. Die Session wird erst nach dem TCP-Handshake blockiert, wenn APP-ID in der Lage war, dies als "nicht" als erlaubte Anwendung zu identifizieren. In der Zwischenzeit wurden unnötige Mittel für eine Sitzung ausgegeben, die vom ersten SYN aus hätte blockiert werden können.

 

Anwendung

 

Oft wird die Registerkarte Anwendung als "Any" belassen, weil ein Administrator möglicherweise keinen vollständigen Überblick über Anwendungen hat, die erlaubt sein müssen. Dies kann auch dadurch behoben werden, dass Verhaltensmerkmale genutzt werden, um eine freizügige oder restriktive Richtlinie für bestimmte Anwendungsmerkmale zu schaffen, wenn genaue Anwendungen noch nicht bekannt sind.

 

Der blockierte-apps-Filter listet eine Reihe von Verhaltensweisen auf, die in vielen Unternehmensnetzwerken als schlecht angesehen werden können, so dass ein Administrator zwar nicht über alle Anwendungen Bescheid weiß, die schlecht sein könnten, aber eine Sicherheitsrichtlinie erstellen kann, um jede Anwendung zu blockieren, die sich in einem unerwünschte Weise. Jedes wöchentliche Content-Update wird auch den Anwendungs Filter mit neuen oder aktualisierten Anwendungen aktualisieren, so dass neue Anwendungen automatisch hinzugefügt werden, ohne dass der Administartor seine Richtlinien aktualisieren muss.

 

2016-05 -25 _13-56 -43. jpg

 

Der erlaubte-App-Filter wiederum listet eine Reihe von "guten" Merkmalen auf, die für geschäftsrelevante Anwendungen zu erwarten sind.

 

allow1. jpg

Sicherheitsprofile

 

Wenn Sie keine Bedrohungs Vorbeugung oder Wildfire-Abonnement haben, erwägen Sie bitte, in diese Angebote zu investieren, da Sicherheitsprofile die Palo Alto Firewall wirklich nächste Generation machen (aufgrund der parallelen Verarbeitungs Architektur, die nach Bedrohungen/Viren mit weit weniger Einfluss auf den Durchsatz, im Vergleich zu herkömmlichen Firewall-Produkten mit einem zusätzlichen Scanmodul). Ein genauerer Blick auf Sicherheitsprofile wird zeigen, wie man das Beste aus dem besten herauszuholen.

 

Obwohl die Standard-Sicherheitsprofile, die vorgeladen kommen, nützlich sind, um ein System in sehr kurzer Zeit einzurichten, würde ich jedem Administrator empfehlen, neue Sicherheitsrichtlinien zu erstellen.

 

Es gibt mehrere Vorteile bei der Erstellung neuer Profile, da einige Funktionen nur in einem eigenen Profil aktiviert werden können: Sie werden in der Lage sein, Paket Aufzeichnung für Schwachstellen zu aktivieren, die eine forensische Analyse ermöglichen. DNS-Sink Loch kann in Anti-Spyware aktiviert werden, die bösartige ausgehende Verbindungen verhindert, indem es die DNS-IP-Adresse ändert, die mit einem Hostnamen verbunden ist, und nicht nur die Verbindung verhindert, sondern auch die Verfolgung des infizierten/verdächtigen Hosts erleichtert, was die Administrator.

 

Strengere Richtlinien können in die Lage versetzt werden, alle Arten von Bedrohungen zu blockieren, und es kann mehr Protokollierung für die URL-Filterung eingestellt werden (Standard-URL-Filterung protokolliert beispielsweise nicht erlaubte Browsersitzungen).

 

Ich möchte ein paar Beispiel Profile unten hervorheben:

 

Ein benutzerdefiniertes Antiviren-Profil ermöglicht es einem Administrator, Paketaufnahmen zu aktivieren und kommt auch mit Wildfire-Aktivierung (das Standardprofil enthält keine Wildfire-Einstellungen).

 

AV. jpg

 

Das benutzerdefinierte Anti-Spyware-Profil ermöglicht es dem Administrator, einen aggressiveren Ansatz für Hosts zu setzen, die Spyware verschicken. Hier können auch die DNS-Einstellungen konfiguriert werden: das Sink Loch wird sicherstellen, dass bösartige Domains mit einer Mock-IP-Adresse vergiftet werden, die die Kommunikation von c&c oder das Herunterladen von böswilliger Nutzlast verhindert.

 

Weitere Maßnahmen werden auch die Verfolgung des infizierten Kunden erleichtern. Da die böswillige DNS-Abfrage von einem internen DNS-Server stammen kann, wird die c&c-Verbindung vom ursprünglichen Antragsteller (infizierter Host) stammen.

 

Wenn Sie irgendwelche externen dynamischen Sperr Listen haben, können diese auch dem Profil hinzugefügt und auf Sink Loch oder eine andere Aktion gesetzt werden.

 

AS. jpg

 

In einem eigenen Verwundbarkeits Profil kann sich ein Administrator dafür entscheiden, eine IP-Adresse für eine bestimmte Zeit zu sperren und niedrige und informationelle schwere-Bedrohungen einzuschließen, die nicht im Standardprofil enthalten sind.

 

VP. jpg

 

Bei der URL-Filterung können alle erlaubten Kategorien auf ' Alert ' gesetzt werden, was sicherstellt, dass Protokolle sowohl für blockierte als auch für erlaubte Browsing-Sessions gespeichert werden. Die zusätzlichen Einstellungen wie "sichere Such Vollstreckung" können auch von einem benutzerdefinierten URL-Filter Profil aus aktiviert werden.

 

url1. jpg

 

Ich habe einige interessante Filetypen abgedeckt, um zu blockieren und warum in einem anderen Artikel und Video: Tipps aus dem Feld: Dateisperrung Profil.

 

FB. jpg

 

Ich hoffe, diese Information war hilfreich. Lassen Sie uns alle Kommentare unten.

 

Alles Gute

Schnitter
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmACAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language