Comment limiter l’exposition inutile à Internet (pour GlobalProtect et d’autres services)
Objective
L’objectif de cet article est de limiter l’exposition inutile aux menaces des interfaces Internet.
Environment
- Pare-feu Palo Alto Networks
- Versions actuelles de PAN-OS
Procedure
Votre pare-feu offre diverses fonctionnalités pour protéger votre réseau contre le trafic indésirable. Voici comment vous pouvez les utiliser efficacement :
1. Politiques DoS pour limiter l’exposition : Les politiques DoS aident à limiter l’exposition aux menaces potentielles. Ils abandonnent les paquets tôt, avant que les politiques de sécurité n’entrent en jeu, réduisant ainsi la charge du système et le bruit dans les journaux de pare-feu. Cependant, gardez à l’esprit que l’utilisation de politiques DoS peut réduire la visibilité sur le trafic. En outre, il est important de noter que les stratégies DoS n'autorisent pas une configuration avec Destination Zone : any. Par conséquent, des politiques DoS distinctes doivent être établies pour le trafic entrant destiné aux services hébergés par le pare-feu, ainsi que des politiques distinctes pour le trafic dirigé vers chaque zone de destination avec des services hébergés derrière le pare-feu.
2. Politiques de sécurité pour une protection complète : Les stratégies de sécurité sont essentielles pour le traitement et la gestion du trafic. Ils offrent une approche complète de la sécurité réseau.
3. Attention aux politiques PBF : Bien que les politiques PBF puissent également éliminer le trafic, il est conseillé de donner la priorité aux politiques DoS et de sécurité. Des stratégies PBF mal configurées peuvent entraîner des pertes involontaires ou des détections peu fiables. Soyez prudent lorsque vous utilisez des politiques PBF.
4. Combinaison de stratégies de déni de service et de sécurité : vous pouvez combiner l’utilisation de déni de service et de stratégies de sécurité pour supprimer les détections répétées. Cela implique de tirer parti des stratégies de sécurité avec des actions intégrées de transfert de journal pour maintenir une liste dynamique, qui est ensuite utilisée par une stratégie DoS pour supprimer le trafic refusé répété.
Pour limiter l’exposition, nous recommandons alors la configuration suivante :
Numéro de règle DoS : (dernier)
Nom de la règle DoS : Ne pas faire confiance à Ne pas faire confiance - Refuser tout - Autre adresse IP
Source Zone : Ne pas faire confiance
Zone de destination : Ne pas faire confiance
Adresse de destination : Adresse IP
publique Action : Refuser
un. [Stratégies > Protection contre le déni de service > Ajouter] Général : Définissez le nom de la stratégie DoS Ignorer l’approbation sur Ne pas approuver - Refuser tout - Autre adresse IP
b. [Stratégies > Protection contre le déni de service > Ajouter] Source : Ajouter la zone source de non-confiance.
c.[Stratégies > Protection contre le déni de service > Ajouter] Destination : définissez Zone Untrust et Adresse de destination : [IP publique]
d. [Stratégies > Protection DoS > Ajouter ] Option/Protection : Si vous souhaitez bloquer le trafic d’autres adresses IP, définissez Action sur Refuser. Si vous souhaitez autoriser d’autres trafics IP (tels que ICMP et ESP), définissez l’action sur Autoriser.
e. Politique DoS résultante :
Numéro de règle DoS : (dernier)
Nom de la règle DoS : Ne pas faire confiance à Ne pas faire confiance - Refuser tout - Zone source UDP et TCP
: Zone de destination de non-confiance
: Adresse de
destination de non-confiance
: Option/Protection IP publique | Service : [ udp-range-0-65535, tcp-range-0-65535 ]
Action : Refuser
un. [Stratégies > Protection contre le déni de service > Ajouter] Général : Définissez le nom de la stratégie DoS Untrust sur Untrust - Deny All - UDP et TCP
b. [Stratégies > Protection contre le déni de service > Ajouter] Source : Ajouter la zone source de non-confiance.
c.[Stratégies > Protection contre le déni de service > Ajouter] Destination : définissez Zone Untrust et Adresse de destination : [IP publique]
d. [Stratégies > Protection DoS > Ajouter > option/Protection > action] : Refuser.
[Stratégies > Protection DoS > Ajouter > option/Protection > Service] : udp-range-0-65535 et tcp-range-0-65535.
e. Politique DoS qui en résulte :
Numéro de règle DoS : (avant-dernier)
Nom de la règle DoS : Ne pas faire confiance à la DMZ - Refuser toute
la zone source : Ne pas faire confiance
à la zone de destination : DMZ
Adresse de destination : IP
publique Action : Refuser
a. [Stratégies > Protection contre le déni de service > Ajouter] Général : Définissez le nom de la stratégie DoS Ignorer sur DMZ - Refuser tout
b. [Stratégies > Protection contre le déni de service > Ajouter] Source : Ajouter la zone source de non-confiance.
c.[Stratégies > Protection contre le déni de service > Ajouter] Destination : Définissez la zone DMZ et l’adresse de destination : [IP publique]
d. [Stratégies > Protection contre le DoS > Ajouter ] Option/Protection : Définissez l’action sur Refuser
e. Politique DoS résultante :
Exemple GlobalProtect :
Numéro de règle DoS : (avant Refuser toutes les stratégies)
Nom de la règle DoS : Ne pas faire confiance à Ne pas faire confiance - Sténopé - Zone source GlobalProtect
: Ne pas faire confiance
Zone de destination : Ne pas faire confiance
Adresse de destination : (IP publique)
Service : [ tcp-443, udp-4501 ]
Action : Autoriser ou Protéger(Facultatif)
IPSexemple :
Numéro de règle DoS : (avant Refuser toutes les stratégies)
Nom de la règle DoS : Ne pas faire confiance à Ne pas faire confiance - Sténopé - Zone source IPSec
: Ne pas faire confiance
Adresse source : (Ajoutez des adresses IP homologues IPSec-tunnel, ou à tout le moins limitez l’exposition en définissant le pays source)
Zone de destination : Ne pas faire confiance
Adresse de destination : (IP publique)
Service : [ udp-500, udp-4500 ]
Action : Autoriser ou Protéger (Facultatif)
Protéger (facultatif) paramètres :
Nom du profil
de protection DoS : Non fiable Type de protection
: Classé
Protection contre les inondations : SYN Flood, UDP Flood, ICMP Flood, ICMPv6 Flood, Other IP Flood (activer si nécessaire).
a. [Stratégies > Protection contre le déni de service > Ajouter ] Général : Définissez le nom de la stratégie déni de service Ignorer sur Défier - sténopé - <Service>
b.[Stratégies > Protection contre le déni de service > Ajouter] Source : Ajouter la zone source de non-confiance.
c.[Stratégies > Protection contre le déni de service > Ajouter] Destination : définissez la zone non fiable et l’adresse de destination : [IP publique]
d. [Stratégies > Protection contre le déni de service > Ajouter ] option/protection : définissez l’action sur Autoriser ou Protéger.
Exemple GlobalProtect :
IPSec exemple :
e. Politique DoS résultante
Numéro de règle DoS : (avant Refuser toutes les stratégies)
Nom de la règle DoS : Ne pas faire confiance à la DMZ - Sténopé - <Service>
Zone source :
Zone de destination : Zone de destination : DMZ
Adresse de destination : (IP publique)
Service : [ tcp-8443 ] (Ce sont des exemples, ajoutez tous les ports nécessaires).
Action : Autoriser ou Protéger(facultatif)
Protéger (facultatif) paramètres :
Nom du profil
de protection DoS : Non fiable Type de protection
: Classé
Protection contre les inondations : SYN Flood, UDP Flood, ICMP Flood, ICMPv6 Flood, Other IP Flood (activer si nécessaire).
a. [Stratégies > Protection contre le déni de service > Ajouter ] Général : Définissez le nom de la stratégie déni de service sur DMZ - Sténopé - <Service>
b.[Stratégies > Protection contre le déni de service > Ajouter] Source : Ajouter la zone source de non-confiance.
c.[Stratégies > Protection contre le déni de service > Ajouter] Destination : Définissez la zone DMZ et l’adresse de destination : [IP publique]
d. [Stratégies > Protection contre le déni de service > Ajouter ] Option/Protection : Définissez l’action sur Autoriser ou Protéger.
e. Politique DoS résultante
3. Utilisez les politiques de sécurité pour établir une liste de pays autorisés. Si cela s’avère trop restrictif, envisagez de compiler une liste de pays à bloquer. Vous pouvez également combiner les deux pour créer une liste de blocage complète des pays non autorisés à accéder à des services, ainsi qu’une liste distincte pour les pays autorisés à se connecter à GlobalProtect (suivie d’une règle de non-confiance et de suppression intrazone). Ces listes d’autorisation et de blocage peuvent également être utilisées pour réguler le trafic sortant. Sélectionnez les pays à bloquer (par exemple, les pays sanctionnés par l’OFAC) pour atténuer les risques de cybersécurité. Assurez-vous que l'action est définie sur « Abandonner » pour empêcher le pare-feu de répondre aux demandes et de rester indétectable.
un. Politique limitant le trafic entrant en provenance des pays OFAC (exemple).
b. Politique permettant à certains pays de se connecter à GlobalProtect.
c. Stratégies de gestion du trafic de méfiance intrazone. Ici, nous autorisons IPSec pour les tunnels site à site provenant de pays sources spécifiques ou d’adresses IP homologues spécifiques, et incluons une règle de nettoyage intrazone-untrust-drop à la fin.
5. Limitez davantage l’exposition (des pays sources autorisés) en tirant parti des listes de blocage d’adresses IP avec des listes dynamiques externes (EDL). Les fournisseurs de renseignements sur les menaces offrent un accès payant à des listes de blocage d’adresses IP réputées. Pour plus d’informations, veuillez consulter notre documentation
technique sur les PCA.6.Lorsque vous bloquez le trafic provenant de sources indésirables à l’aide de stratégies de sécurité, cela peut entraîner un volume important d’entrées de journal. La raison d’éviter cette approche avec les politiques DoS est due à des inexactitudes potentielles dans les mappages IP à pays, entraînant des détections de faux positifs. Si vous rencontrez des situations où le trafic autorisé est bloqué de manière inattendue, il est inestimable de disposer d’une entrée de journal de cette activité pour le dépannage. Toutefois, vous ne souhaiterez peut-être pas recevoir d’entrées de journal répétitives pour le même problème. Dans ce cas, vous pouvez supprimer ces entrées récurrentes en gérant un groupe d’adresses dynamique via des balises IP chronométrées, à l’aide d’actions intégrées de transfert de journal.
un. Créez une balise.
b. Créez un groupe d’adresses dynamique avec lequel utiliser cette balise.
c. Ajoutez un profil de transfert de journaux à la stratégie qui doit supprimer les entrées répétées. Dans cet exemple, nous l’avons appelé suppression OFAC.
d. Modifiez le profil de transfert de journaux. Ajoutez une entrée pour les journaux de trafic filtrant la source correspondante ofac-countries pour le marquage IP.
e. Définissez l’action intégrée. Ici, nous avons marqué l'adresse IP source avec 'ofac-countries' pendant 480 minutes. Après l’expiration, l’entrée sera supprimée du groupe d’adresses dynamiques.
f.Ajoutez une stratégie DoS à l’action Refuser tout ce qui correspond à l’adresse source : ofac-countries (time ip-tagged dynamic address group)
g. Définissez une stratégie de sécurité intégrée avec les mêmes paramètres. Comme nous ne voulons pas enregistrer, décochez la case Journaliser à la fin de la session dans l'onglet Actions de stratégie de sécurité. La raison de cette règle de sécurité intégrée est que les stratégies DoS ne peuvent pas définir « any » comme zone de destination, il est possible qu'une règle DNAT soit ou soit définie pour une zone de destination qui n'a pas été configurée dans les stratégies DoS, ce qui entraîne des détections manquées.