インターネットへの不必要な露出を制限する方法(GlobalProtectおよびその他のサービスの場合)
Objective
この KB の記事の目的は、インターネットに接続するインターフェイスの不必要な脅威の露出を制限することです。
Environment
- パロアルトネットワークファイアウォール
- 現在の PAN-OS バージョン
Procedure
ファイアウォールには、不要なトラフィックからネットワークを保護するためのさまざまな機能が用意されています。 これらを効果的に活用する方法は次のとおりです:
1。 曝露を制限するための DoS ポリシー: DoS ポリシーは、潜在的な脅威への露出を制限するのに役立ちます。 セキュリティポリシーが有効になる前にパケットを早期にドロップするため、システムの負荷とファイアウォールログのノイズが軽減されます。 ただし、DoS ポリシーを使用すると、トラフィックの可視性が低下する可能性があることに注意してください。 さらに、DoS ポリシーでは Destination Zone: any を使用した設定が許可されないことに注意することが重要です。 したがって、ファイアウォールでホストされているサービス宛ての受信トラフィックに対して個別の DoS ポリシーを確立し、ファイアウォールの背後でホストされているサービスを使用して各宛先ゾーンに向けられたトラフィックに対して個別のポリシーを確立する必要があります。
2. 包括的な保護のためのセキュリティポリシー:セキュリティポリシーは、トラフィックの処理と管理に不可欠です。 ネットワークセキュリティに対する包括的なアプローチを提供します。
3. PBFポリシーに関する注意:PBFポリシーはトラフィックを破棄することもできますが、DoSポリシーとセキュリティポリシーを優先することをお勧めします。 PBF ポリシーが正しく設定されていないと、意図しないドロップや信頼性の低い検出につながる可能性があります。 PBF ポリシーを使用する場合は注意が必要です。
4. DoS とセキュリティ ポリシーの組み合わせ:DoS とセキュリティ ポリシーを組み合わせて使用することで、繰り返し検出を抑制できます。 これには、ログ転送の組み込みアクションを備えたセキュリティ ポリシーを活用して動的リストを維持し、DoS ポリシーによって利用されて、拒否されたトラフィックの繰り返しを抑制することが含まれます。
露出を制限するには、次の構成をお勧めします。
DoS ルール番号:(最後)
DoS ルール名:Untrust から Untrust - Deny All - Other IP
Source Zone:Untrust
Destination Zone:Untrust
Destination Address: Public IP
Action: Deny
a. [DoS保護>ポリシー>追加]一般 :DoS ポリシー名 Untrust を Untrust - Deny All - Other IP
bに設定します。 [DoS保護>ポリシー>追加]Source :送信元ゾーンの信頼解除を追加します。
c.[DoS保護>ポリシー>追加]宛先 : ゾーンの信頼解除、宛先アドレスの設定: [パブリックIP]
d. [DoS防御>ポリシー>追加] オプション/保護 : その他のIPトラフィックをブロックする場合は、[アクション]を[拒否]に設定します。 その他の IP トラフィック (ICMP や ESP など) を許可する場合は、アクションを [許可] に設定します。
e. 結果のDoSポリシー:
DoS ルール番号:(最後)
DoS ルール名:Untrust to Untrust - Deny All - UDP and TCP
Source Zone: Untrust
Destination Zone: Untrust
Destination Address: Public IP
Option/Protection |サービス: [ udp-range-0-65535, tcp-range-0-65535 ]
アクション: 拒否
a. [DoS保護>ポリシー>追加]一般 :DoS ポリシー名 Untrust を Untrust - Deny All - UDP and TCP b に設定します
。 [DoS保護>ポリシー>追加]Source :送信元ゾーンの信頼解除を追加します。
c.[DoS保護>ポリシー>追加]宛先:ゾーンの信頼解除、宛先アドレスの設定:[パブリックIP]
d. [DoS保護>ポリシー>オプション/保護>アクション>の追加]:拒否。
[DoS 保護>ポリシー>>オプション/保護>サービスを追加]:udp-range-0-65535 および tcp-range-0-65535。
e. 結果として生じるDoSポリシー:
DoS ルール番号:(前から最後)
DoS ルール名:DMZ への信頼解除 - すべて
拒否(Untrust to DMZ - Deny All) 送信元ゾーン:信頼
できない宛先ゾーン:DMZ
宛先アドレス:パブリック IP
アクション:拒否
a。 [DoS保護>ポリシー>追加]一般 :DoS ポリシー名の [Untrust] を [DMZ - Deny All]
に設定します。 [DoS保護>ポリシー>追加]Source :送信元ゾーンの信頼解除を追加します。
c.[DoS保護>ポリシー>追加]宛先 : ゾーン DMZ と宛先アドレスを [パブリック IP]
d. [DoS 保護>ポリシー>追加] オプション/保護 : アクションを 拒否
に設定します。 結果のDoSポリシー:
GlobalProtect の例:
DoS ルール番号: (すべてのポリシーを拒否する前)
DoS ルール名: Untrust から Untrust へ - ピンホール - GlobalProtect
送信元ゾーン: Untrust 宛先ゾーン: Untrust
宛先アドレス: (パブリック IP)
サービス: [ tcp-443, udp-4501 ]
アクション: 許可または保護 (オプション)
IPSec の例:
DoS ルール番号: (すべてのポリシーを拒否する前)
DoS ルール名: Untrust から Untrust へ - ピンホール - IPSec
送信元ゾーン: Untrust
送信元アドレス:(IPSecトンネルピアIPアドレスを追加するか、少なくとも送信元国を定義して露出を制限します)
宛先ゾーン:信頼
できない宛先アドレス:(パブリックIP)
サービス:[udp-500、udp-4500]
アクション:許可または保護(オプション)
保護(オプション)設定:
DoSプロテクションプロファイル
名:信頼できない保護
タイプ:分類された
フラッド保護:SYNフラッド、UDPフラッド、ICMPフラッド、ICMPv6フラッド、その他のIPフラッド(必要に応じて有効)。
a. [Policies > DoS Protection > Add] [General] : [DoS Policy name Untrust] を [Untrust - Pinhole - <Service>
b] に設定します。[DoS保護>ポリシー>追加]Source :送信元ゾーンの信頼解除を追加します。
c.[DoS保護>ポリシー>追加]宛先 : 信頼しないゾーンを設定し、宛先アドレス: [パブリックIP]
d. [DoS 保護>ポリシー>追加] オプション/保護 : アクションを [許可] または 保護 に設定します。
GlobalProtect の例:
IPSec の例:
e。 結果の DoS ポリシー
DoS ルール番号: ([すべて拒否ポリシー] の前)
DoS ルール名: Untrust to DMZ - Pinhole - <Service>
Source Zone: Untrust
Destination Zone: DMZ
Destination Address: (Public IP)
Service: [ tcp-8443 ] (これらは例であり、必要なポートを追加します)。
アクション: 許可または保護 (オプション)
保護(オプション)設定:
DoSプロテクションプロファイル
名:信頼できない保護
タイプ:分類された
フラッド保護:SYNフラッド、UDPフラッド、ICMPフラッド、ICMPv6フラッド、その他のIPフラッド(必要に応じて有効)。
a. [Policies > DoS Protection > Add] General:DoS Policy name Untrust を DMZ - Pinhole - <Service>b に設定します
。[DoS保護>ポリシー>追加]Source :送信元ゾーンの信頼解除を追加します。
c.[DoS保護>ポリシー>追加]宛先 : ゾーン DMZ と宛先アドレス: [パブリック IP]
d. [DoS 保護>ポリシー>追加] オプション/保護 : アクションを [許可] または 保護 に設定します。
e. 結果の DoS ポリシー
3. セキュリティポリシーを利用して、許可された国のリストを作成します。 制限が厳しすぎる場合は、ブロックする国のリストを作成することを検討してください。 または、両方を組み合わせて、サービスへのアクセスが許可されていない国の包括的なブロックリストと、GlobalProtectへの接続が許可されている国の個別のリストを作成することもできます(その後にゾーン内信頼できないルールがあります)。 これらの許可リストとブロックリストは、送信トラフィックを規制するためにも使用できます。 サイバーセキュリティのリスクを軽減するために、ブロックする国(OFAC制裁対象国など)を選択します。 アクションが「ドロップ」に設定されていることを確認して、ファイアウォールが要求に応答せず、検出できないままになるようにします。
ある。 OFAC(例)国からの受信トラフィックを制限するポリシー。
b.特定の国がGlobalProtectに接続することを許可するポリシー。
c. ゾーン内信頼できないトラフィックを管理するためのポリシー。 ここでは、特定の送信元国または特定のピア IP アドレスから発信されたサイト間トンネルの IPSec を許可し、末尾にクリーンアップ intrazone-untrust-drop ルールを含めます。
5. 外部ダイナミックリスト(EDL)でIPブロックリストを活用することにより、(許可されたソース国からの)露出をさらに制限します。 脅威インテリジェンスプロバイダーは、評判の良いIPブロックリストへのアクセスを有料で提供します。 詳細については、 EDL Tech Docsを参照してください。
6.セキュリティ ポリシーを使用して望ましくない送信元からのトラフィックをブロックすると、大量のログ エントリが発生する可能性があります。 DoS ポリシーでこのアプローチを回避する理由は、IP から国へのマッピングが不正確になり、誤検出につながる可能性があるためです。 許可されたトラフィックが予期せずブロックされる状況が発生した場合、そのようなアクティビティのログエントリがあると、トラブルシューティングに非常に役立ちます。 ただし、同じ問題に対して繰り返しログエントリを受信したくない場合があります。 このような場合は、ログ転送の組み込みアクションを利用して、時間指定の IP タグを使用して動的アドレス グループを管理することで、これらの繰り返しエントリを抑制できます。
ある。 タグを作成します。
b. このタグを使用する動的アドレス グループを作成します。
c. 繰り返しエントリを抑制する必要があるログ転送プロファイルをポリシーに追加します。 この例では、OFAC抑制という名前を付けました。
d. ログ転送プロファイルを編集します。 IP タグ付けのために、一致した送信元 ofac-countries をフィルタリングするトラフィック ログのエントリを追加します。
e. 組み込みアクションを定義します。 ここでは、送信元IPに「ofac-countries」を480分間IPタグ付けします。 有効期限が切れると、エントリはダイナミック アドレス グループから削除されます。
f.DoS ポリシーをアクションに追加する [Deny anything matching Source Address: ofac-countries (time ip-taged dynamic address group)g]
に一致するものをすべて拒否します。 同じ設定でフェイルセーフセキュリティポリシーを定義します。 ログを記録したくないので、[Security Policy Actions] タブの [Log at Session End] チェックボックスをオフにします。 このフェイルセーフルールの理由は、DoSポリシーが宛先ゾーンとして「any」を定義できないため、DNATルールがDoSポリシーで設定されていない宛先ゾーンに定義されているか、または定義され、検出漏れが発生する可能性があるためです。