Cómo limitar la exposición innecesaria a Internet (para GlobalProtect y otros servicios)

30253

Created On 04/28/24 23:48 PM - Last Modified 05/14/24 20:56 PM

Objective

El objetivo de este artículo de kb es limitar la exposición innecesaria a amenazas de las interfaces orientadas a Internet.

Environment

Palo Alto Networks Firewall
Versiones actuales de PAN-OS

Procedure

Su firewall ofrece varias funciones para proteger su red del tráfico no deseado. A continuación, le indicamos cómo puede utilizarlos de manera efectiva:

1. Políticas de DoS para limitar la exposición: Las políticas de DoS ayudan a limitar la exposición a posibles amenazas. Descartan paquetes antes de tiempo, antes de que entren en juego las políticas de seguridad, lo que reduce la carga del sistema y el ruido en los registros del firewall. Sin embargo, tenga en cuenta que el uso de políticas de DoS puede reducir la visibilidad del tráfico. Además, es importante tener en cuenta que las directivas de DoS no permiten una configuración con Destination Zone: any. Por lo tanto, se deben establecer políticas de DoS distintas para el tráfico entrante destinado a los servicios alojados por el firewall, así como políticas separadas para el tráfico dirigido hacia cada zona de destino con servicios alojados detrás del firewall.

2. Políticas de seguridad para una protección integral: Las políticas de seguridad son esenciales para procesar y administrar el tráfico. Ofrecen un enfoque integral de la seguridad de la red.

3. Precaución con las políticas de PBF: Si bien las políticas de PBF también pueden descartar el tráfico, es recomendable priorizar las políticas de seguridad y DoS. Las políticas PBF configuradas incorrectamente pueden dar lugar a caídas no deseadas o detecciones poco confiables. Tenga cuidado al usar políticas de PBF.

4. Combinación de DoS y políticas de seguridad: puede combinar el uso de DoS y políticas de seguridad para suprimir las detecciones repetidas. Esto implica aprovechar las políticas de seguridad con acciones integradas de reenvío de registros para mantener una lista dinámica, que luego es utilizada por una política de DoS para suprimir el tráfico denegado repetido.

Para limitar la exposición, recomendamos la siguiente configuración:

1. [Desconfiar de desconfiar - Denegar todo - Otra IP]: Situada en la parte inferior del conjunto de políticas de DoS, esta regla descarta todos los paquetes destinados a cualquier servicio alojado por el firewall, que no estaban permitidos por las políticas de DoS anteriores. Tenga en cuenta que esta política descartará cualquier paquete, ya sea UDP, TCP u otra IP, como paquetes ICMP y ESP.

Número de regla DoS: (último)
Nombre de la regla DoS: Desconfiar de la desconfianza a Desconfiar - Denegar todo - Otra IP
Zona de origen: Desconfiar
Zona de destino: No confiar
Dirección de destino: IP
pública Acción: Denegar

a. [Políticas > Protección DoS > Agregar ] General : Establezca el nombre de la política de DoS Untrust en Untrust - Denegar todo - Otra IP
Imagen
b. [Políticas > Protección DoS > Agregar ] Origen: Agregue la falta de confianza de la zona de origen.

c.[Políticas > Protección DoS > Agregar ] Destino: Establezca la falta de confianza de la zona y la dirección de destino: [IP pública]

d. [Políticas > Protección DoS > Agregar ] Opción/Protección : Si desea bloquear Otro tráfico IP, establezca Acción en Denegar. Si desea permitir otro tráfico IP (como ICMP y ESP), establezca la acción en Permitir.

e. Política de DoS resultante:

Imagen

2. [Desconfiar de desconfiar - Denegar todo - UDP y TCP]: Situada en la parte inferior del conjunto de políticas de DoS, esta regla descarta todos los paquetes destinados a cualquier servicio alojado por el firewall, que no estaban permitidos por las políticas de DoS anteriores. Tenga en cuenta que esta política descartará todos los paquetes UDP y TCP.

Número de regla DoS: (último)
Nombre de la regla DoS: Desconfiar de desconfiar a desconfiar - Denegar todo - Zona de origen UDP y TCP
: Zona de destino de desconfianza
: Dirección de destino de desconfianza
: Opción/protección de IP
pública | Servicio: [ udp-range-0-65535, tcp-range-0-65535 ]
Acción: Denegar

a. [Políticas > Protección DoS > Agregar ] General : Establezca el nombre de la política de DoS Untrust en Untrust - Denegar todo - UDP y TCP

b. [Políticas > Protección DoS > Agregar ] Origen: Agregue la falta de confianza de la zona de origen.

c.[Políticas > Protección DoS > Agregar ] Destino: Establezca la falta de confianza de la zona y la dirección de destino: [IP pública]

d. [Directivas > protección DoS > Agregar > opción/acción > protección]: Denegar.
Imagen
[Directivas > protección DoS > Agregar > opción/servicio de > de protección]: udp-range-0-65535 y tcp-range-0-65535.

e. Política de DoS resultante:

3. [Desconfiar de DMZ - Denegar todo]: Colocada antes de las dos últimas políticas de DoS, esta regla descarta todos los paquetes dirigidos a los servicios alojados detrás del firewall, que no estaban permitidos por las políticas de DoS anteriores.

Número de regla DoS: (antes-último)
Nombre de la regla DoS: Desconfiar de la red perimetral - Denegar todo
la zona de origen: Desconfiar
Zona de destino: Dirección de destino de la red perimetral
: IP
pública Acción: Denegar

a. [Políticas > Protección DoS > Agregar ] General : Establezca el nombre de la política de DoS Untrust en DMZ - Denegar todo

b. [Políticas > Protección DoS > Agregar ] Origen: Agregue la falta de confianza de la zona de origen.

c.[Políticas > Protección DoS > Agregar ] Destino: Establecer DMZ de zona y dirección de destino: [IP pública]

d. [Directivas > Protección DoS > Agregar ] Opción/Protección : Establecer acción en Denegar

e. Política de DoS resultante:

4. [Untrust to Untrust - Pinhole - <Service>]: Solo permite el tráfico entrante a los puertos alojados por los servicios del firewall que están destinados a ser expuestos (por ejemplo, para túneles GlobalProtect e IPSec). En el caso de los túneles IPSec, se recomienda establecer una política de DoS estenopeica IPSec distinta, especificando las direcciones IP de origen de los pares de túnel.

Ejemplo de GlobalProtect:
Número de regla de DoS: (antes de Denegar todas las directivas)
Nombre de la regla de DoS: Desconfiar de desconfiar de desconfiar - Estenopeico - GlobalProtect
Zona de origen: Desconfiar Zona de destino: Desconfiar

Dirección de destino: (IP pública)
Servicio: [ tcp-443, udp-4501 ]
Acción: Permitir o Proteger (opcional)

Ejemplo
de IPSec:Número de regla de DoS: (antes de Denegar todas las directivas)
Nombre de la regla de DoS: Desconfiar de desconfiar a Desconfiar - Estenopeico - IPSec
Zona de origen: Desconfianza
Dirección de origen: (Agregue direcciones IP de pares de túnel IPSec o, al menos, limite la exposición definiendo el país de origen)
Zona de destino: Dirección de destino de desconfianza
: (IP pública)
Servicio: [ udp-500, udp-4500 ]
Acción: Permitir o Proteger (Opcional)

Proteger (opcional)
Configuración:Perfil
de protección DoS Nombre: Desconfianza Tipo de protección
: Clasificado
Protección contra inundaciones: Inundación SYN, Inundación UDP, Inundación ICMP, Inundación ICMPv6, Otra inundación IP (habilite según sea necesario).

a. [Directivas > Protección DoS > Agregar ] General : Establezca el nombre de la política DoS Untrust en Untrust - Pinhole - <Service>

b.[Políticas > Protección DoS > Agregar ] Origen: Agregue la falta de confianza de la zona de origen.

c.[Políticas > Protección DoS > Agregar ] Destino : Establezca la falta de confianza de la zona y la dirección de destino: [IP pública]

d. [Políticas > protección DoS > agregar ] Opción/Protección : Establezca la acción para permitir o proteger.

Ejemplo de GlobalProtect:

Ejemplo de IPSec:

e. Política de DoS resultante

3. [Desconfiar de DMZ - Pinhole - <Service>]: (Opcional) Esta regla permite selectivamente el tráfico entrante a puertos específicos alojados por servicios detrás del firewall que están destinados a ser accesibles. Por ejemplo, podría permitir el tráfico de servidores de aplicaciones, servidores web u otros servicios designados. Si no tiene ningún servicio alojado detrás del firewall, omita esta configuración.

Número de regla DoS: (antes de Denegar todas las directivas)
Nombre de la regla DoS: Desconfiar de DMZ - Estenopeico - <Servicio>Zona de origen: Desconfiar
Zona de
destino: DMZ
Dirección de destino: (IP pública)
Servicio: [ tcp-8443 ] (Estos son ejemplos, agregue los puertos que sean necesarios).
Acción: Permitir o Proteger (opcional)

a. [Directivas > Protección DoS > Agregar ] General : Establezca el nombre de la política DoS Untrust en DMZ - Pinhole - <Service>

b.[Políticas > Protección DoS > Agregar ] Origen: Agregue la falta de confianza de la zona de origen.

c.[Políticas > Protección DoS > Agregar ] Destino: Establecer DMZ de zona y Dirección de destino: [IP pública]

d. [Directivas > Protección DoS > Agregar ] Opción/Protección : Establecer acción para permitir o proteger.

e. Política de DoS resultante

En esta etapa, el firewall solo permitirá conexiones desde Internet a puertos TCP y UDP específicos con agujeros, descartando de manera eficiente todo lo demás. Las acciones Denegar y Permitir de DoS no generan entradas de registro en los registros de amenazas. Las acciones de protección escribirán entradas en los registros de amenazas como tipo de registro "inundación" siempre que se alcancen o superen los umbrales de alerta definidos en los perfiles de DoS.

3. Utilice las políticas de seguridad para establecer una lista de países permitidos. Si esto resulta demasiado restrictivo, considere compilar una lista de países para bloquear. Alternativamente, puede combinar ambos para crear una lista de bloqueo completa de países a los que no se les permite acceder a ningún servicio, junto con una lista separada para los países a los que se les permite conectarse a GlobalProtect (con una regla de eliminación de confianza dentro de la zona a continuación). Estas listas de permitidos y bloqueados también se pueden emplear para regular el tráfico saliente. Seleccione los países que desea bloquear (por ejemplo, los países sancionados por la OFAC) para mitigar los riesgos de ciberseguridad. Asegúrese de que la acción esté configurada en "Descartar" para evitar que el firewall responda a cualquier solicitud y permanezca indetectable.

un. Política que limita el tráfico entrante desde los países de la OFAC (ejemplo).

b. Política que permite que ciertos países se conecten a GlobalProtect.

c. Políticas para administrar el tráfico de desconfianza dentro de la zona. Aquí, permitimos IPSec para túneles de sitio a sitio que se originan en países de origen específicos o en direcciones IP del mismo nivel específicas, e incluimos una regla de limpieza dentro de la zona y eliminación de confianza al final.

4. Limite aún más la exposición (de los países de origen permitidos) aprovechando las listas de bloqueo de IP. Utilice las EDL predefinidas de Palo Alto Networks. Dado que este documento cubre la exposición a Internet, solo se presenta un ejemplo de una política de entrada. También es una buena idea crear una política separada para el tráfico saliente. Consulte: https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/policy/use-an-external-dynamic-list-in-policy/built-in-edls para obtener información adicional.

5. Limite aún más la exposición (de los países de origen permitidos) aprovechando las listas de bloqueo de IP con listas dinámicas externas (EDL). Los proveedores de inteligencia de amenazas ofrecen acceso a listas de bloqueo de IP de buena reputación por una tarifa. Para obtener más información, consulte nuestros documentos técnicos de EDL.

6.Al bloquear el tráfico de fuentes no deseadas mediante directivas de seguridad, puede dar lugar a un volumen significativo de entradas de registro. La razón para evitar este enfoque con las políticas de DoS se debe a las posibles imprecisiones en las asignaciones de IP a país, lo que conduce a detecciones de falsos positivos. Si se encuentra con situaciones en las que el tráfico permitido se bloquea inesperadamente, tener una entrada de registro de dicha actividad es invaluable para la resolución de problemas. Sin embargo, es posible que no desee recibir entradas de registro repetitivas para el mismo problema. En tales casos, puede suprimir estas entradas recurrentes administrando un grupo de direcciones dinámico a través de etiquetas IP cronometradas, utilizando acciones integradas de reenvío de registros.

un. Cree una etiqueta.

b. Cree un grupo de direcciones dinámicas con el que utilizar esta etiqueta.

c. Agregue un perfil de reenvío de registros a la directiva que necesita que se supriman las entradas repetidas. En este ejemplo, lo denominamos supresión de la OFAC.

d. Edite el perfil de reenvío de registros. Agregue una entrada para los registros de tráfico que filtre la fuente coincidente de los países para el etiquetado de IP.

e. Defina la acción integrada. Aquí etiquetamos la IP de origen con 'ofac-countries' durante 480 minutos. Después de la expiración, la entrada se eliminará del grupo de direcciones dinámicas.

f.Agregar una política de DoS a la acción Denegar cualquier cosa que coincida con la dirección de origen: ofac-countries (grupo de direcciones dinámicas con etiqueta ip de tiempo)

g. Defina una política de seguridad a prueba de fallos con la misma configuración. Dado que no queremos iniciar sesión, desmarque la casilla de verificación Registrar al final de la sesión en la pestaña Acciones de política de seguridad. La razón de esta regla a prueba de fallos es que las políticas de DoS no pueden definir 'ninguna' como zona de destino, es posible que una regla DNAT se defina o se defina en una zona de destino que no se configuró en las políticas de DoS, lo que provoca detecciones perdidas.

Cómo limitar la exposición innecesaria a Internet (para GlobalProtect y otros servicios)

Objective

Environment

Procedure

Other users also viewed: