Optimizar su política de seguridad

Optimizar su política de seguridad

69049
Created On 09/26/18 13:44 PM - Last Modified 06/08/23 08:35 AM


Resolution


Vamos a cubrir algunas de las mejores prácticas a tener en cuenta al construir o revisar su política de seguridad. Considere estos consejos para asegurar la experiencia óptima de su configuración, pero no es obligatorio o requerido para que el cortafuegos de Palo Alto Networks funcione correctamente. Estas son prácticas que he visto en mis años como Ingeniero de apoyo, donde los administradores se enfrentan a problemas inesperados que podrían haber sido evitados por apegarse a algunas de las directrices.

 

 

 

 

Zonas

 

Una infracción común contra las mejores prácticas es el uso de ' any ' en la zona de origen o de destino. En muchos casos, un administrador comenzará estableciendo una regla ' any-any ' cuando conecte primero el Firewall a la red en la configuración predeterminada de VWire. Hacerlo permite el tráfico en ambas direcciones sin necesidad de crear dos reglas distintas, una para cada dirección de tráfico.

 

El uso de ' cualquiera ' en una zona abre la posibilidad de que la política permita sin querer sesiones que no se contabilizan, incluyendo, por ejemplo, el tráfico intrazonal o las zonas que se agregan en una etapa posterior, mientras que la Directiva no se ha actualizado para dar cuenta de la zona adicional.

 

Hay, sin embargo, un pequeño truco que permitirá una sola regla para controlar el tráfico en direcciones específicas entre las zonas:

El tipo de Directiva se puede cambiar de universal a Interzone o intrazone, para limitar todas las zonas de una directiva para comunicarse sólo entre sí pero no con la misma zona, o sólo con la misma zona pero no con las otras zonas.

 

Las políticas 2 y 3 en la imagen siguiente son idénticas (una es, de hecho, un clon del otro) en todos los sentidos excepto el ' tipo ', pero se comportarán de manera completamente diferente, ya que la regla #2 se establece en intrazone y sólo permitirá sesiones de local a local , y remoto a remoto, pero no local a remoto, o remoto a local. La regla #3 hace lo contrario; sólo permitirá sesiones de local a remoto y viceversa, pero no entre locales y locales, o remotas y remotas. La aplicación de este pequeño ajuste en lugar de utilizar el temido ' any ' permitirá la simplicidad, pero aún así proporcionar seguridad y evitar las descuidos.

 

2016-05 -25 _13-57 -33. jpg

 

Servicio

 

Dado que pan-os 6,0, la configuración predeterminada del servicio al crear una nueva Directiva se establece en la aplicación predeterminada, pero sólo aplicará los puertos de aplicación predeterminados cuando las aplicaciones también se agreguen a la ficha aplicación de la regla. A partir de pan-os 7,1, tener la aplicación predeterminada establecida en una directiva impondrá los puertos de aplicación predeterminados que se usarán incluso sin aplicaciones en la ficha de aplicación de la Directiva. Sin embargo, sigue siendo bastante común ver las políticas en las que los servicios se han establecido en "cualquiera". Esto también puede llevar a efectos secundarios inesperados al permitir conexiones no deseadas o innecesarias.

 

Cualquier sesión manejada por el cortafuegos de Palo Alto Networks, por lo menos, ha pasado a través de la Directiva de seguridad dos veces: cuando se recibe el paquete SYN inicial, se comprueba la Directiva de cortafuegos para ver si una regla coincide con la zona de origen, subred/IP de origen, destino Zone, subred/IP de destino y puerto de destino. Si se crea una regla con la intención de permitir la navegación web, pero con el servicio establecido en ' any ', esta directiva va a permitir el apretón de mano para una conexión FTP en el puerto 21 a través de. Esta sesión se va a tomar los recursos en el Firewall como una sesión se crea en la tabla de estado, NAT puede ser aplicado, etc. La sesión sólo se bloqueará después del Protocolo de enlace TCP, cuando app-id fue capaz de identificar esto como ' not ' una aplicación permitida. Mientras tanto, los recursos innecesarios se gastaban en una sesión que podría haber sido bloqueada desde el primer SYN.

 

Aplicación

 

Muchas veces, la ficha de la aplicación se deja como ' cualquiera ' porque un administrador puede no tener una visión general completa de las aplicaciones que se deben permitir. Esto también puede remediarse aprovechando las características de comportamiento para crear una política permisiva o restrictiva para ciertos rasgos de aplicación cuando las aplicaciones exactas aún no se conocen.

 

El bloqueado-apps-Filter enumera una serie de comportamientos que se pueden considerar malos en muchas redes corporativas, así que mientras un administrador puede no ser consciente de todas las aplicaciones que podrían ser malas, puede crear una política de seguridad para bloquear cualquier aplicación que se comportara en un manera indeseable. Cada actualización de contenido semanal también actualizará el filtro de la aplicación con aplicaciones nuevas o actualizadas, por lo que las nuevas aplicaciones se agregarán automáticamente sin necesidad de que el administrador actualice su política.

 

2016-05 -25 _13-56 -43. jpg

 

El permitir-App-Filter, a su vez, enumera una serie de "buenos" rasgos que se esperan para las aplicaciones relevantes para el negocio.

 

allow1. jpg

Perfiles de seguridad

 

Si usted no tiene una suscripción de prevención de amenazas o incendios forestales, por favor considere invertir en estas ofertas como perfiles de seguridad hacen de palo alto Firewall verdaderamente de próxima generación (debido a la arquitectura de procesamiento en paralelo escaneo de amenazas/virus con mucho menos impacto en el rendimiento, en comparación con los productos tradicionales de firewall con un módulo de escaneo adicional). Una mirada más cercana a los perfiles de seguridad mostrará cómo sacar el máximo provecho de los mejores.

 

Aunque los perfiles de seguridad predeterminados que vienen precargados son útiles para configurar un sistema en un tiempo muy corto, recomendaría a todos los administradores crear nuevas directivas de seguridad.

 

Hay varias ventajas en la creación de nuevos perfiles, ya que algunas funciones sólo se pueden habilitar en un perfil personalizado: podrá habilitar la captura de paquetes para detectar vulnerabilidades que permitan el análisis forense. El sumidero DNS se puede activar en anti-spyware que evitará las conexiones de salida maliciosas cambiando la dirección IP DNS asociada a un nombre de host, no sólo evitando la conexión, sino también haciendo que el rastreo del host infectado/sospechoso sea más fácil para el Administrador.

 

Se pueden habilitar directivas más estrictas para bloquear todo tipo de amenazas y se puede establecer más registro para el filtrado de URL (el filtrado de URL predeterminado no registrará sesiones de exploración permitidas, por ejemplo).

 

Voy a destacar un par de perfiles de ejemplo a continuación:

 

Un perfil de antivirus personalizado permite a un administrador habilitar las capturas de paquetes y también viene con Wildfire activado (el perfil predeterminado no incluye los ajustes de Wildfire).

 

Av. jpg

 

El perfil de Custom anti-spyware permite al administrador establecer un enfoque más agresivo para los hosts que envían spyware. Este es también el lugar donde se pueden configurar los ajustes de DNS: el sumidero se asegurará de que los dominios maliciosos se envenenen con una dirección IP falsa que impida la comunicación CIC o la descarga de la carga útil maliciosa.

 

Otras acciones también harán que el seguimiento del cliente infectado sea más fácil. Como la consulta DNS maliciosa puede originarse desde un servidor DNS interno, la conexión CIC se originará desde el solicitante original (host infectado).

 

Si tiene alguna lista externa de bloqueo dinámico, éstas también pueden agregarse al perfil y establecerse en un sumidero o en una acción diferente.

 

as. jpg

 

En un perfil de vulnerabilidad personalizado, un administrador puede optar por bloquear una dirección IP durante un período de tiempo determinado e incluir amenazas de gravedad bajas e informativas, que no se incluyen en el perfil predeterminado.

 

VP. jpg

 

En el filtrado de URL, todas las categorías permitidas se pueden establecer en ' Alert ', lo que asegura que los logs se almacenen para sesiones de navegación bloqueadas y permitidas. Los ajustes adicionales como ' aplicación segura de la búsqueda ' también se pueden habilitar desde un perfil de filtrado de URL personalizado.

 

url1. jpg

 

He cubierto algunos tipos interesantes para bloquear y por qué en un artículo y vídeo diferentes: consejos del campo: Perfil de bloqueo de archivos.

 

FB. jpg

 

Espero que esta información sea útil. Siéntase libre de dejar cualquier y todos los comentarios a continuación.

 

Saludos

Reaper
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmACAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language