Optimiser votre stratégie de sécurité

Optimiser votre stratégie de sécurité

69041
Created On 09/26/18 13:44 PM - Last Modified 06/08/23 08:35 AM


Resolution


Nous allons couvrir quelques bonnes pratiques à garder à l'esprit lors de la construction ou l'examen de votre politique de sécurité. Considérez ces conseils pour assurer l'expérience optimale de votre configuration, mais pas obligatoire ou nécessaire pour le pare-feu de Palo Alto Networks pour fonctionner correctement. Ce sont des pratiques que j'ai vu dans mes années en tant qu'ingénieur de soutien, où les administrateurs ont été confrontés à des questions inattendues qui auraient pu être empêchés par coller à quelques-unes des lignes directrices.

 

 

 

 

Zones

 

Une infraction commune contre les meilleures pratiques est l'utilisation de'any'dans la zone source ou de destination. Dans de nombreux cas, un administrateur commencera par définir une règle «any-any» lors de la première connexion du pare-feu dans le réseau dans la configuration VWire par défaut. Cela permet de trafic dans les deux directions sans avoir besoin de créer deux règles distinctes, une pour chaque direction de la circulation.

 

L'utilisation de «any» dans une zone ouvre la possibilité pour la stratégie d'autoriser involontairement les sessions qui n'ont pas été comptabilisées, y compris, par exemple, le trafic intrazone ou les zones qui sont ajoutées à un stade ultérieur alors que la stratégie n'a pas été mise à jour pour tenir compte de la zone supplémentaire.

 

Il ya, cependant, un petit truc qui permettra une seule règle pour contrôler le trafic dans des directions spécifiques entre les zones:

Le type de stratégie peut être changé de Universal à interzone ou intrazone, pour limiter toutes les zones d'une stratégie à communiquer uniquement les unes avec les autres mais pas avec la même zone, ou uniquement avec la même zone mais pas avec les autres zones.

 

Les stratégies 2 et 3 dans l'image ci-dessous sont identiques (l'une est, en fait, un clone de l'autre) dans tous les sens, sauf le «type», mais ils se comportent complètement différemment, que la règle #2 est définie à intrazone et ne permettra que les sessions de local à local , et à distance à distance, mais pas local à distant, ou distant à local. Règle #3 fait le contraire; il ne permettra que les sessions de local à distance et étau versa, mais pas entre local et local, ou à distance et à distance. L'application de ce petit paramètre au lieu d'utiliser le redoutable «tout» permettra de simplifier, mais toujours fournir la sécurité et prévenir les oublis.

 

2016-05 -25 _13-57 -33. jpg

 

Service

 

Depuis Pan-OS 6,0, le paramètre par défaut du service lors de la création d'une nouvelle stratégie est défini sur application-default, mais n'applique que les ports d'application par défaut lorsque des applications sont également ajoutées à l'onglet application de la règle. À partir de Pan-OS 7,1, le fait d'avoir une application par défaut définie dans une stratégie appliquera les ports d'application par défaut à utiliser, même sans application dans l'onglet application de la stratégie. Cependant, il est encore assez fréquent de voir des politiques où les services ont été mis à «tout». Cela aussi, peut entraîner des effets secondaires inattendus en permettant des connexions indésirables ou inutiles.

 

Toute session gérée par le pare-feu de Palo Alto Networks aura, au moins, traversé la stratégie de sécurité deux fois: lorsque le paquet SYN initial est reçu, la stratégie de pare-feu est vérifiée pour voir si une règle correspond à la zone source, sous-réseau source/IP, destination zone, sous-réseau de destination/IP et port de destination. Si une règle est créée avec l'intention de permettre la navigation Web, mais avec le service défini sur «any», cette stratégie va permettre la poignée de main pour une connexion FTP sur le port 21 à travers. Cette session va ensuite prendre des ressources sur le pare-feu comme une session est créée dans la table d'État, NAT peut être appliquée, etc. La session ne sera bloquée qu'après la poignée de main TCP, lorsque App-ID a été en mesure de l'identifier comme «non» une application autorisée. En attendant, des ressources inutiles ont été consacrées à une session qui aurait pu être bloquée de la première syn.

 

Application

 

Plusieurs fois, l'onglet application est laissé comme «any», car un administrateur peut ne pas avoir une vue d'ensemble complète des applications qui doivent être autorisés. Cela peut également être remédié en tirant parti des caractéristiques comportementales pour créer une politique permissive ou restrictive pour certains traits d'application lorsque les applications exactes ne sont pas encore connus.

 

Le bloqué-Apps-Filter énumère une série de comportements qui peuvent être considérés mauvais dans beaucoup de réseaux d'entreprise, ainsi tandis qu'un administrateur peut ne pas être au courant de toutes les applications qui pourraient être mauvaises, il peut créer une stratégie de sécurité pour bloquer n'importe quelle application qui se comporte dans un manière indésirable. Chaque mise à jour de contenu hebdomadaire mettra également à jour le filtre d'application avec des applications nouvelles ou mises à jour, de sorte que les nouvelles applications sont ajoutées automatiquement sans qu'il soit nécessaire que le Administartor actualise sa politique.

 

2016-05 -25 _13-56 -43. jpg

 

Le filtre autorisé-App-, à son tour, répertorie une série de traits «bons» qui doivent être attendus pour les applications pertinentes pour les entreprises.

 

allow1. jpg

Profils de sécurité

 

Si vous n'avez pas de prévention des menaces ou de l'abonnement Wildfire, s'il vous plaît envisager d'investir dans ces offres que les profils de sécurité font le pare-feu Palo Alto vraiment prochaine génération (en raison de l'architecture de traitement parallèle de numérisation pour les menaces/virus avec loin moins d'impact sur le débit, par rapport aux produits pare-feu traditionnels avec un module de numérisation supplémentaire). Un examen plus approfondi des profils de sécurité montrera comment tirer le meilleur parti des meilleurs.

 

Bien que les profils de sécurité par défaut qui viennent préchargés soient utiles pour configurer un système en très peu de temps, je recommande à chaque administrateur de créer de nouvelles stratégies de sécurité.

 

Il ya plusieurs avantages à la création de nouveaux profils, comme certaines fonctionnalités ne peuvent être activées dans un profil personnalisé: vous serez en mesure d'activer la capture de paquets pour les vulnérabilités qui permettra d'analyse médico-légale. Le gouffre DNS peut être activé dans l'anti-spyware qui empêchera les connexions sortantes malveillantes en changeant l'adresse IP DNS associée à un nom d'hôte, non seulement en empêchant la connexion mais aussi en faisant le suivi de l'hôte infecté/suspect plus facilement pour le Administrateur.

 

Des stratégies plus strictes peuvent être activées pour bloquer tous les types de menaces et plus de journalisation peut être définie pour le filtrage d'URL (le filtrage d'URL par défaut ne consigne pas les sessions de navigation autorisées, par exemple).

 

Je vais mettre en évidence quelques exemples de profils ci-dessous:

 

Un profil antivirus personnalisé permet à un administrateur d'activer les captures de paquets et est également livré avec Wildfire activé (le profil par défaut n'inclut pas les paramètres Wildfire).

 

Av. jpg

 

Le profil anti-spyware personnalisé permet à l'administrateur de définir une approche plus agressive pour les hôtes envoyant des logiciels espions. C'est également là que les paramètres DNS peuvent être configurés: le gouffre s'assurera que les domaines malveillants sont empoisonnés avec une adresse IP factice qui empêchera la communication C&C ou le téléchargement de charge utile malveillante.

 

D'autres mesures permettront également de faciliter le suivi du client infecté. Étant donné que la requête DNS malveillante peut provenir d'un serveur DNS interne, la connexion C&C est originaire du demandeur d'origine (hôte infecté).

 

Si vous avez des listes de blocage dynamiques externes, celles-ci peuvent également être ajoutées au profil et définies sur un gouffre ou une action différente.

 

As. jpg

 

Dans un profil de vulnérabilité personnalisé, un administrateur peut choisir de bloquer une adresse IP pendant un certain laps de temps et d'inclure des menaces de sévérité faible et informatif, qui ne sont pas incluses dans le profil par défaut.

 

VP. jpg

 

Dans le filtrage d'URL, toutes les catégories autorisées peuvent être définies sur'Alert', ce qui garantit que les journaux sont stockés pour les sessions de navigation bloquées et autorisées. Les paramètres supplémentaires comme «sécurité de la recherche d'exécution» peuvent également être activés à partir d'un profil de filtrage d'URL personnalisé.

 

url1. jpg

 

J'ai couvert quelques types intéressantes à bloquer et pourquoi dans un article différent et la vidéo: conseils à partir du champ: fichier de blocage du profil.

 

FB. jpg

 

J'espère que cette information a été utile. N'hésitez pas à laisser tous les commentaires ci-dessous.

 

Sinceres salutations

Reaper
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClmACAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language