20. Shadow Rule de una política de seguridad

Una Shadow Rule se refiere al subconjunto de una politica ya existente.

Vamos a ver como se hace, vamos a crear una nueva política para mostrarte.

Creamo una nuevo politica que se llame policy-2

En Source creo una Source Zone de tipo Inside-zone y en Source Address indico la ip, configuramos todo en la misma zona.

Cuando sea el destino agregamos la Outside-Zone con destination Address Any

VVamos a Actions y dejamos en Allow, guardamos!

Ahora si vemos entenderemos que es la política sombra, si ves existe una politics que se llama Test_in_to_out corresponde a la preponderancia 1. Ahora si ves al política numero 2 es exactamente lo mismo salvo que en Address tendrá un conjunto de IPs.

si ves, la politica policy - 2 no tiene razón de existir por que ya con la policy numero 1 la condición se cumple.

si procedemos a realizar un commit nos avisara que la politica que estamos guardado es una Shadown Rule

Esto significa que la politica que creamos no tiene razón de existir porque ya hay otra policy que cumple la función, 

19. Política de seguridad - Diferentes tipos de acciones

 

En esta entrada Partiremos con la siguiente topologia 

Este escenario yaesta configurado, el user 1 pueder acceder a internet sin problemas. Asi que solo vamosa  ver sibrelas acciones que estan disponibles en la politica de seguridad siendo este el tema de esta nueva entrada.

Esta topologia es la misma que la entrada numero 18, solo que aqui quitamos el user 2

Tenemos creada una politica.

La politica se llama in_2_aout:securityPolicy y entraremos en ella para conocer mas.

Si vamos  Source tendremos las mismas configuraciones que la entrada anterior. 

Lo que es el destino es cualquier cosa en la zona exterior

En Application si recordamos teniamos a Youtube y google-Base pero lo hemos eliminado.

En este video trataremos de entender los diferentes tipo de acciones que estan disponibles.

Lo primero que vamos hacer es Denegar la politica que se llama In_2_out_security_policyA

Y lo que vamos hacer ahora es crear una policy DNS y la podremos con la prponderancia en 1 como se muestra en la siguiente Imagen.

Lo que tenemos que hacer es crear una polic que se llame DNSy permitirla.

Todo debe quedar de la siguiene manera

Lo que vamos a probar es cuando se envie un trafico si la consulta no corresponde a una solicitud DNS se activara la primera policy en caso contrario si la resolucion no es DNS actuara la policy numero 2 negando el trafico.

Probemos..

Primero activemos para catprurar el trafico de esta interface eth 1/1

Automaticamente luego de unos segundo se nos abrira Whireshark

ahora para generar trafico vamos a la maquina user 1, abriremos el navegador inetentando ingresar a https://twitter.com

Si nos podemos a analizar Whireshark no verems ningun apreton de manos exitoso

No veremos ninguna comunicacion SYNC

Por lo tanto el cliente tratara de retrasmitir el SYN

Como nuestra regla en PA es negar, si vemos con mas detalle se estan negando las peticiones  desde la ip 10.10.10.11

De esta manera es como funciona la Negacion en PA

Tampoco permitirael envio de ping a los DNS de google.

Ahora vamos a probar la opcion DROP, vamos a nuestra policy

y habilitemos tambien el envio de ICMP Unreachable

Ahora Guardemos esta confi y COmmit!

si probamos este conportamiento con Drop sera muy similar a Negar y tambien enviara una respuesta al cliente que no se puede alcanzar

Para poder porbar esto iniciemos captura nuevamente.

y agreguemos el filtro ICMP

ahora si vamos al cliente 1 y hacemos un ping al dns 8.8.8.8 veremos destino Unreachable

Si vemore Wireshark tambien veremos lo mismo.

Ahora probemos la opcion de accion Reset Client

Seleccionemos nuestra policy in_2_out y asignemoles la Accion Reset Client

Demosle Ok y Commit.

Nos tiene que quedar asi.

Entonces cuando vamos con el cliente de reinicio y si es una conexion TCP que sucede? Por lo tanto PA restablecera del lado del cliente.

Cuando el User 1 quiera ir alguna pagina y tenga que pasar por el Firewall que pasara?

Comencemos a capturar nuevamente para ver esto.

Si intenamos ingresar a Youtube desde la maquina del user 1veremos que dice RST, ACK

Es decir el cliente intenta restablacer o reiniciar la solicitud, pero siempre del lado del cliente.

Entonces, cuando decimos restablecer el cliente, se restablecera la conexion a su cliente, es.

 decir la maquina del user 1

En el Caso de Reset Server se reiniciara tambien del lado del servidor o Reinciar ambos.

18. Política de seguridad Vista granular

 

En el articulo 17 vimos y explicamos sibre los diferentes tipo de politicas de seguridad ahora vamos a entender como funciona una politica de seguridad.

En el siguiente escenario vamos crear una politica para que  son usuarios uno pueda acceder a youtube y el otro no.

Nosotros tenemos dos usuarios 

Vamos a ver la configurcion que tiene le usuario 1

 Su puerta de enlace predeterminada sera la del Palo alto 10.10.10.100, es muy imporante que posamos configurarle los DNS en esta caso 8.8.8.8 delo conrario no funcionara.

Ahora les mostraremos la configuracion del usuario 2

Podran ver que su defaul gateway es la interface del Palo alto, misma que tiene el usuario1

Ambos usuarios aputan a la interface del Palo Alto

Ahora si Vamos al PA vamos a poder ver como cramos su configuracion para tener conexion con los usarios.

Aqui podran visualizar que cramos zonas, es lo primero que hacemos.

La Ethernet 1/1 es parte de la zona interior y la ethernet 1/2 es parte de la zona exterior 

En la parte de interfaces tenemos configuras las sigueintes.

Si vamos Virtual Router tenemos la sigueinte configuracion.

En las Roer Setting tendremos agregadas las sigueinte redes

En la configuracion para OSPF tendremos la siguiente Router ID configurada anteriormente, pero ya no esta habilitado.

En el caso de la static Route tenemos la sigueinte configuracion.

La ip 192.168.0.1 pertenece a la ip de mi enrutador, la interface 1/2 es la interface del palo alto.

El destino 0.0.0.0 corresponde a todo internet.

El primer paso es la configuracion, creacion de zonas,

Segundo paso creacion de interfaces

Tercer paso creacion del enrrutado

Cuarto paso la creacion de la politica NAT

Lo que vamos hacer ahora es crear la politica de NAT

Vamos Policies/ NAT

Primero le configuraremos el nombre y el tipo de nat ip

Esta rula se la estamos generando para el usuario 1

La zona de origen sera la inside zone ya que nuestro usuario 1 pertenece a la misma

En destination zone indicaremos la Outside zone ya que queremos salir de cara a internet, es decir fuera de mi inside zona.

La interface donde queremo llegar es la Ethetnet 1/2

Ahora en la pestaña de Translate Packet configuramos cual es la interface y direccion ip que vamos a traducir para que salga con una ip publica de nuestro proveedor de servicios.

La traduccion sera de una ip dinamica y puerto.

en Address Type sera de tipo interfaces address y la direccion de la interface sera la Ethenet 1/2 y luego indicamos la ip.

Guardamos! y Commit!

Ahora vamos a crear una politica de seguridad. Vamos a Policies/ Add

Asignamos un nombre a la politica 

El Source seleccionamos la zona donde iniciara el trafico en este caso agregamos la Inside-Zone

El destinatios agregamos la OutSide-Zone.

En Aplicaciones no hacemos ningun cambio, solo lo dejamos en ANy

En Service Url no realizamos ningun cambio tampoco.

En Action solo dejamos en Allow

Guardamos y nos tiene que quedar de la siguiente manera.

No se olviden de realizar el Commit!

Ya tenemos las policitas de seguridad tambien tenemos una policy nat par que haga las traslacion de las peticiones con la ip publica para salir a internet.

Ahora si intentamos conectarno a internet y ah cualquier aplicacion con el user 1 y user 2 debe funcionar sin problemas.

Vamos a probarel trafico a internet desde la maquina User 1

si observan pueden ver que si realizamo un ping al 8.8.8.8 responder con normalidad, esto quiere decir que la policy que creamos esta funcionando.

Si probamos la conexion a Facebook.com funciona correctamente.

Lo mismo pasara si probamos desde el user 2

Ahora vamos afinar mejor esta policy como podras ver ambos usuarios estan accediendo correctamente.

Abramos la policy de seguridad en nuestro PA 

/

En source vamos a permitir el acceso a la aplicaciones para la ip 10.10.10.11/32 la ip 10.10.10.12 no tendra mas acceso a las aplicaciones de internet

Le damos ok y guardamos cambios con Commit!

Si luego de unos minutos entramos al usuario 2 y queremos probar youtube no funcioanara.

Si intentamos hacer un pinga los DNS de google o salir a internet, este no funcionara.

Pero pongamos una regla mas que diga que el User 1 solo puede acceder solo a youtube y no a facebook.

Vamos a nuestra politica de seguridad.

Vamosa application Destildamos Any y agregamos youtube

Algo muy importante al agregar aplicaciones que para que la aplicacion fnucione tiene dependencias en esta caso la dependecia de youtube es google-base

Pero podemos acer una exepciones a la regla seleccionando la dependencia y picando en Add To Current Rule

La dependencia se nos agregara junto con youtube

Ya que para quefuncione youtube es necesario que tenga google-base

Entonces,cada vez que agregues cualquier aplicaciones simplemente verifique en el lado derecho o simplmente verifique si hay laguna dependencia.

Otra cosa importante, si nosotros no tenemos configurado los registros  DNS, nuestro PA nunca podra reconoccer youtube porque no sabra resolver ese nombre,

Nosotros al inicio de este curso hemos agregado lo DNS de google. 8.8.8.8

Si no es asi es importae agregar en applications  el DNS

Guardamos y hacemo commit para poder probar esto.

Entonces, si veqie una vez que se configme el commit, el usuario 1 intentara conectarse a facebook  y no le funcionara.

Para probar esto entremos al user 1