So begrenzen Sie die unnötige Exposition gegenüber dem Internet (für GlobalProtect und andere Dienste)

30253

Created On 04/28/24 23:48 PM - Last Modified 05/14/24 20:56 PM

Objective

Das Ziel dieser KB-Artikel ist es, die unnötige Bedrohungsexposition von Schnittstellen mit Internetzugriff zu begrenzen.

Environment

Palo Alto Networks Firewall
Aktuelle PAN-OS-Versionen

Procedure

Ihre Firewall bietet verschiedene Funktionen, um Ihr Netzwerk vor unerwünschtem Datenverkehr zu schützen. So können Sie sie effektiv nutzen:

1. DoS-Richtlinien zur Begrenzung der Exposition: DoS-Richtlinien helfen dabei, die Gefährdung durch potenzielle Bedrohungen zu begrenzen. Sie verwerfen Pakete frühzeitig, bevor Sicherheitsrichtlinien ins Spiel kommen, wodurch die Systemlast und das Rauschen in Firewall-Protokollen reduziert werden. Beachten Sie jedoch, dass die Verwendung von DoS-Richtlinien die Sichtbarkeit des Datenverkehrs verringern kann. Darüber hinaus ist es wichtig zu beachten, dass DoS-Richtlinien keine Konfiguration mit Destination Zone: any zulassen. Daher müssen unterschiedliche DoS-Richtlinien für eingehenden Datenverkehr festgelegt werden, der für Dienste bestimmt ist, die von der Firewall gehostet werden, sowie separate Richtlinien für Datenverkehr, der an jede Zielzone mit Diensten gerichtet ist, die hinter der Firewall gehostet werden.

2. Sicherheitsrichtlinien für umfassenden Schutz: Sicherheitsrichtlinien sind für die Verarbeitung und Verwaltung des Datenverkehrs unerlässlich. Sie bieten einen umfassenden Ansatz für die Netzwerksicherheit.

3. Vorsicht bei PBF-Richtlinien: Obwohl PBF-Richtlinien auch Datenverkehr verwerfen können, ist es ratsam, DoS- und Sicherheitsrichtlinien zu priorisieren. Falsch konfigurierte PBF-Richtlinien können zu unbeabsichtigten Verwerfungen oder unzuverlässigen Erkennungen führen. Seien Sie vorsichtig, wenn Sie PBF-Richtlinien verwenden.

4. Kombinieren von DoS und Sicherheitsrichtlinien: Sie können die Verwendung von DoS- und Sicherheitsrichtlinien kombinieren, um wiederholte Erkennungen zu unterdrücken. Dies beinhaltet die Nutzung von Sicherheitsrichtlinien mit integrierten Aktionen zur Protokollweiterleitung, um eine dynamische Liste zu verwalten, die dann von einer DoS-Richtlinie verwendet wird, um wiederholt verweigerten Datenverkehr zu unterdrücken.

Um die Gefährdung zu begrenzen, empfehlen wir dann die folgende Konfiguration:

1. [Untrust to Untrust - Deny All - Other IP]: Diese Regel befindet sich am Ende des DoS-Richtliniensatzes und verwirft alle Pakete, die auf Dienste abzielen, die von der Firewall gehostet werden und die von den vorherigen DoS-Richtlinien nicht zugelassen wurden. Beachten Sie, dass diese Richtlinie alle Pakete verwirft, sei es UDP, TCP oder andere IP-Pakete wie ICMP- und ESP-Pakete.

DoS-Regelnummer: (letzte)
DoS-Regelname: Nicht vertrauenswürdig zu nicht vertrauenswürdig - Alle verweigern - Andere IP-Quellzone
: Nicht vertrauenswürdig
Zielzone: Nicht vertrauenswürdig
Zieladresse: Öffentlich IP-Adresse
Aktion: Verweigern

a. [Richtlinien > DoS-Schutz > hinzufügen ] Allgemein: Legen Sie den Namen der DoS-Richtlinie Untrust auf Untrust - Deny All - Other IP
Bild
b fest. [Richtlinien > DoS-Schutz > hinzufügen ] Quelle: Quellzone nicht vertrauenswürdig hinzufügen.

c.[Richtlinien > DoS-Schutz > hinzufügen ] Ziel: Legen Sie Zone Untrust und Zieladresse fest: [Öffentliche IP]

d. [Richtlinien > DoS-Schutz > Hinzufügen ] Option/Schutz: Wenn Sie anderen IP-Datenverkehr blockieren möchten, legen Sie Aktion auf Verweigern fest. Wenn Sie anderen IP-Datenverkehr (z. B. ICMP und ESP) zulassen möchten, legen Sie die Aktion auf Zulassen fest.

e. Resultierende DoS-Richtlinie:

Bild

2. Anmelden [Untrust to Untrust - Deny All - UDP and TCP]: Diese Regel befindet sich am unteren Rand des DoS-Richtliniensatzes und verwirft alle Pakete, die auf Dienste abzielen, die von der Firewall gehostet werden und die von den vorherigen DoS-Richtlinien nicht zugelassen wurden. Beachten Sie, dass diese Richtlinie alle UDP- und TCP-Pakete verwirft.

DoS-Regelnummer: (letzte)
DoS-Regelname: Nicht vertrauenswürdig zu nicht vertrauenswürdig - Alle verweigern - UDP- und TCP-Quellzone
: Nicht vertrauenswürdig
Zielzone: Nicht vertrauenswürdig
Zieladresse: Öffentliche IP-Option
/Schutz | Dienst: [ udp-range-0-65535, tcp-range-0-65535 ]
Aktion: Verweigern

a. [Richtlinien > DoS-Schutz > hinzufügen ] Allgemein: Legen Sie den Namen der DoS-Richtlinie Untrusted auf Untrust - Deny All - UDP and TCP

b fest. [Richtlinien > DoS-Schutz > hinzufügen ] Quelle: Quellzone nicht vertrauenswürdig hinzufügen.

c.[Richtlinien > DoS-Schutz > hinzufügen ] Ziel: Legen Sie Zone Untrusted und Zieladresse fest: [Öffentliche IP]

d. [Richtlinien > DoS-Schutz > Hinzufügen > Option/Schutz > Aktion]: Verweigern.
Bild
[Richtlinien > DoS-Schutz > Hinzufügen > Option/Schutz > Service]: udp-range-0-65535 und tcp-range-0-65535.

e. Resultierende DoS-Richtlinie:

3. Anmelden [DMZ nicht vertrauen - Alle verweigern]: Diese Regel wird vor den letzten beiden DoS-Richtlinien positioniert und verwirft alle Pakete, die an Dienste gerichtet sind, die hinter der Firewall gehostet werden und die von den vorherigen DoS-Richtlinien nicht zugelassen wurden.

DoS-Regelnummer: (vorletzt)
DoS-Regelname: DMZ nicht vertrauenswürdig - Alle
verweigern Quellzone: Nicht vertrauenswürdig
Zielzone: DMZ
Zieladresse: Öffentliche IP-Adresse
Aktion: Verweigern

a. [Richtlinien > DoS-Schutz > hinzufügen ] Allgemein: Legen Sie den Namen der DoS-Richtlinie Untrust auf DMZ - Deny All

fest. [Richtlinien > DoS-Schutz > hinzufügen ] Quelle: Quellzone nicht vertrauenswürdig hinzufügen.

c.[Richtlinien > DoS-Schutz > hinzufügen ] Ziel: Legen Sie die Zonen-DMZ und die Zieladresse fest: [Öffentliche IP]

d. [Richtlinien > DoS-Schutz > hinzufügen ] Option/Schutz: Legen Sie die Aktion auf Verweigern

fest. Resultierende DoS-Richtlinie:

4. Anmelden [Untrust to Untrust - Pinhole - <Service>]: Lässt nur eingehenden Datenverkehr zu Ports zu, die von Diensten in der Firewall gehostet werden, die verfügbar gemacht werden sollen (z. B. für GlobalProtect- und IPSec-Tunnel). Für IPSec-Tunnel wird empfohlen, eine eindeutige IPSec-Pinhole-DoS-Richtlinie einzurichten, in der die Quell-IP-Adressen der Tunnelpeers angegeben werden.

GlobalProtect-Beispiel:
DoS-Regelnummer: (vor "Alle Richtlinien verweigern)
DoS-Regelname: Nicht vertrauenswürdig zu nicht vertrauenswürdig - Pinhole - GlobalProtect
Quellzone: Nicht vertrauenswürdig
Zielzone: Nicht vertrauenswürdig
Zieladresse: (Öffentliche IP)
Dienst: [ tcp-443, udp-4501 ]
Aktion: Zulassen oder Schützen (optional)

IPSec-Beispiel:
DoS-Regelnummer: (vor "Alle Richtlinien verweigern)
DoS-Regelname: Nicht vertrauenswürdig zu nicht vertrauenswürdig - Lochblende - IPSec-Quellzone
: Nicht vertrauenswürdig
Quelladresse: (Fügen Sie IPSec-Tunnel-Peer-IP-Adressen hinzu oder begrenzen Sie zumindest die Gefährdung, indem Sie das Quellland definieren)
Zielzone: Nicht vertrauenswürdig
Zieladresse: (Öffentliche IP)
Dienst: [ udp-500, udp-4500 ]
Aktion: Zulassen oder Schützen (optional)

Protect(Optional)-Einstellungen:
DoS-Schutzprofilname
: Nicht vertrauenswürdig Schutztyp
: Klassifiziert
Flood-Schutz: SYN-Flood, UDP-Flood, ICMP-Flood, ICMPv6-Flood, Andere IP-Flood (nach Bedarf aktivieren).

a. [Richtlinien > DoS-Schutz > hinzufügen ] Allgemein: Legen Sie den Namen der DoS-Richtlinie Untrusted auf Untrust - Pinhole - <Service>

b fest.[Richtlinien > DoS-Schutz > hinzufügen ] Quelle: Quellzone nicht vertrauenswürdig hinzufügen.

c.[Richtlinien > DoS-Schutz > hinzufügen ] Ziel: Legen Sie die nicht vertrauenswürdige Zone und die Zieladresse fest: [Öffentliche IP]

d. [Richtlinien > DoS-Schutz > hinzufügen ] Option/Schutz: Legen Sie die Aktion auf Zulassen oder Schützen fest.

GlobalProtect-Beispiel:

IPSec-Beispiel:

e. Resultierende DoS-Richtlinie

3. Anmelden [Untrust to DMZ - Pinhole - <Service>]: (Optional) Diese Regel lässt selektiv eingehenden Datenverkehr zu bestimmten Ports zu, die von Diensten hinter der Firewall gehostet werden, auf die zugegriffen werden soll. Beispielsweise kann es Datenverkehr für Anwendungsserver, Webserver oder andere bestimmte Dienste zulassen. Wenn Sie keine Dienste hinter der Firewall gehostet haben, überspringen Sie diese Konfiguration.

DoS-Regelnummer: (vor "Alle Richtlinien verweigern)
Name der DoS-Regel: Nicht vertrauenswürdig für DMZ - Lochblende - <Dienst>
Quellzone: Nicht vertrauenswürdig
Zielzone: DMZ
Zieladresse: (Öffentliche IP)
Dienst: [ tcp-8443 ] (Dies sind Beispiele, fügen Sie alle erforderlichen Ports hinzu).
Aktion: Zulassen oder Schützen (optional)

a. [Richtlinien > DoS-Schutz > hinzufügen ] Allgemein: Legen Sie den Namen der DoS-Richtlinie Untrusted auf DMZ - Pinhole - <Service>

b fest.[Richtlinien > DoS-Schutz > hinzufügen ] Quelle: Quellzone nicht vertrauenswürdig hinzufügen.

c.[Richtlinien > DoS-Schutz > hinzufügen ] Ziel: Legen Sie die Zonen-DMZ und die Zieladresse fest: [Öffentliche IP]

d. [Richtlinien > DoS-Schutz > hinzufügen] Option/Schutz: Legen Sie die Aktion auf Zulassen oder Schützen fest.

e. Resultierende DoS-Richtlinie

Zu diesem Zeitpunkt lässt die Firewall nur Verbindungen aus dem Internet zu bestimmten TCP- und UDP-Ports zu, wodurch alles andere effizient verworfen wird. DoS-Aktionen Verweigern und Zulassen generieren keine Protokolleinträge in den Bedrohungsprotokollen. Schutzaktionen schreiben Einträge in die Bedrohungsprotokolle als Protokolltyp "flood", wenn die in den DoS-Profilen definierten Warnungsschwellenwerte erreicht oder überschritten werden.

3. Verwenden Sie Sicherheitsrichtlinien, um eine Liste der zulässigen Länder zu erstellen. Wenn sich dies als zu restriktiv erweist, sollten Sie eine Liste von Ländern erstellen, die gesperrt werden sollen. Alternativ können Sie beides kombinieren, um eine umfassende Sperrliste von Ländern zu erstellen, die nicht auf Dienste zugreifen dürfen, zusammen mit einer separaten Liste für Länder, die sich mit GlobalProtect verbinden dürfen (gefolgt von einer Intrazone-Untrust-Drop-Regel). Diese Zulassungs- und Sperrlisten können auch verwendet werden, um ausgehenden Datenverkehr zu regulieren. Wählen Sie Länder aus, die blockiert werden sollen (z. B. OFAC-sanktionierte Länder), um Cybersicherheitsrisiken zu mindern. Stellen Sie sicher, dass die Aktion auf "Löschen" festgelegt ist, um zu verhindern, dass die Firewall auf Anfragen reagiert und nicht auffindbar bleibt.

ein. Richtlinie zur Begrenzung des eingehenden Datenverkehrs aus OFAC-Ländern (Beispiel).

b. Richtlinie, die es bestimmten Ländern ermöglicht, sich mit GlobalProtect zu verbinden.

c. Richtlinien für die Verwaltung von nicht vertrauenswürdigem Datenverkehr innerhalb der Zone. Hier erlauben wir IPSec für Site-to-Site-Tunnel, die aus bestimmten Quellländern oder von bestimmten Peer-IP-Adressen stammen, und fügen am Ende eine Bereinigungsregel für Intrazone-Untrust-Drop hinzu.

4. Anmelden Begrenzen Sie die Gefährdung (aus den zulässigen Quellländern) durch die Nutzung von IP-Sperrlisten. Verwenden Sie die vordefinierten EDLs von Palo Alto Networks. Da dieses Dokument die Internetpräsenz abdeckt, wird nur ein Beispiel für eine Inbound-Richtlinie vorgestellt. Es empfiehlt sich, auch für ausgehenden Datenverkehr eine separate Richtlinie zu erstellen. Weitere Informationen finden Sie unter: https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/built-in-edls.

5. Begrenzen Sie die Gefährdung (aus zulässigen Quellländern) weiter, indem Sie IP-Sperrlisten mit externen dynamischen Listen (EDLs) nutzen. Threat-Intelligence-Anbieter bieten gegen eine Gebühr Zugang zu seriösen IP-Sperrlisten. Weitere Informationen finden Sie in unseren EDL Tech Docs.

6.Wenn Datenverkehr aus unerwünschten Quellen mithilfe von Sicherheitsrichtlinien blockiert wird, kann dies zu einer erheblichen Anzahl von Protokolleinträgen führen. Der Grund für die Vermeidung dieses Ansatzes bei DoS-Richtlinien liegt in potenziellen Ungenauigkeiten bei IP-zu-Länder-Zuordnungen, die zu falsch positiven Erkennungen führen. Wenn Sie auf Situationen stoßen, in denen zulässiger Datenverkehr unerwartet blockiert wird, ist ein Protokolleintrag solcher Aktivitäten für die Fehlerbehebung von unschätzbarem Wert. Möglicherweise möchten Sie jedoch keine sich wiederholenden Protokolleinträge für dasselbe Problem erhalten. In solchen Fällen können Sie diese wiederkehrenden Einträge unterdrücken, indem Sie eine dynamische Adressgruppe über zeitgesteuerte IP-Tags verwalten und integrierte Aktionen zur Protokollweiterleitung verwenden.

ein. Erstellen Sie ein Tag.

b. Erstellen Sie eine dynamische Adressgruppe, mit der dieses Tag verwendet werden soll.

c. Fügen Sie der Richtlinie ein Protokollweiterleitungsprofil hinzu, bei dem wiederholte Einträge unterdrückt werden müssen. In diesem Beispiel haben wir es OFAC-Unterdrückung genannt.

d. Bearbeiten Sie das Profil für die Protokollweiterleitung. Fügen Sie einen Eintrag für Datenverkehrsprotokolle hinzu, die die übereinstimmende Quelle von ac-Ländern für das IP-Tagging filtern.

e. Definieren Sie die integrierte Aktion. Hier markieren wir die Quell-IP 480 Minuten lang mit 'ofac-countries'. Nach Ablauf wird der Eintrag aus der dynamischen Adressgruppe entfernt.

f.Hinzufügen einer DoS-Richtlinie zur Aktion Verweigern Sie alles, was mit der Quelladresse übereinstimmt: ofac-countries (time ip-tagged dynamic address group)

g. Definieren Sie eine ausfallsichere Sicherheitsrichtlinie mit den gleichen Einstellungen. Da wir nicht protokollieren möchten, deaktivieren Sie das Kontrollkästchen Bei Sitzungsende protokollieren auf der Registerkarte Sicherheitsrichtlinienaktionen. Der Grund für diese ausfallsichere Regel ist, dass DoS-Richtlinien nicht "beliebig" als Zielzone definieren können, es ist möglich, dass eine DNAT-Regel für eine Zielzone definiert ist oder wird, die nicht in DoS-Richtlinien konfiguriert wurde, was zu verpassten Erkennungen führt.

So begrenzen Sie die unnötige Exposition gegenüber dem Internet (für GlobalProtect und andere Dienste)

Objective

Environment

Procedure

Other users also viewed: