39. Agrupación de perfiles de seguridad en Palo Alto Firewall

     

    Las políticas de seguridad se pueden asociar a grupos que conta de perfiles

Nosotros podemos crear un grupo y se pueden agregar todas los perfiles

Tambien podemos agregar un perfil a muchos grupos

Para crear un grupo vamos a objects / Security Profile Groups

y aqui si el damos en ADD podremos crearlo, Aqui le asignaremos un nombre , lo llamaremos Security-Profile-Group-1 y le asignaremos mas de un perfil de seguridad.

Vamos a crear otro grupo con otro perfiles, por ejemeplo Grupo Security-Profile-Group-1

O podremos crear otro grupo que se llamae Security-Profile-Group-All y que contenga todos los perfiles.

Le damos ok, y deberia quedarnos asi, 

Imaginese que tiene 150mil politicas de seguridad ya a cada una tiene que aplicarle un perfil de seguridad.

Si nosotros vamos a Policies y en Action seleccionamos Group vamos a poder asignarle un grupo que contendrá varios perfiles de seguridad.

O si quieres le puede agregar el grupo que contiene todos los perfiles

Bien ahora hagamos un Commit para guardar los datos.

Asi que, basicamente ahora segun la topologia, tenemos una poitica de seguridad disponible aqui para permitir el trafico

Bien nuestra política ya tienen un asignado un grupo de perfiles de seguridad.

• Anti Spyware
• antivirus
• Filtrado de datos
• filtrado de URL

Ahora hagamos un pruebas.

Entremos a nuestro server xammp y restartemos el servicio Apache

Si, intentamos acceder ahora desde nuestra pc User 1 a Facebook nos bloqueara el Palo alto

Lo mismo si con la maquina kali intentamos descargarnos el archivo Condidential

Nuestra política de seguridad estará protegida ya que le asignamos un grupo con muchos perfiles de seguridad.

38. Función de protección de zona en Palo Alto Firewall

 

En esta Entrada vamos a aprender sobre la protección de zonas

Para crear la protección en Zonas tenemos que ir a Network 

Si vamos a Cualquier zona veremos que no contamos con la protección de zonas

Para crear un perfil de proteccion de zonas, tenemos que ir a Network / Zone protection y crear nuesta zonadadd

Lo prmero que haremos es configurar el Flood Protection / protección contra inundaciones 

Aquí vamos a habilitar la protección contra escaneos SYN, UDP e ICMP estableciendo un unbral para la activación 

En Reconaissance Protection vamos a habilitar la protección contra Escaneos TCP, UDP port y Host

Lo podremos todos en Bloqueado y configuraremos los intervalos tal como figura en la imagen.

En la Pestaña PAcket Based Attack PRotection dejaremos las opciones tildadas por default, no vamos a tocar nada.

En Protocol Protection no tocamos nada.

Y Nada mas, guardamos le damos ok.

Ya hemos configurado la proteccion contra inundaciones ataques TCP, ataques de inundaciones Syn, icmp y ademas hemos agregado la proteccion para el escaneo Tcp

Ahora lo que debemos hacer es ir a las zonas y asociar este perfil, por ejemplo, vamos a proteger la zona DMZ

Entramos ala zona y le asignamos la zone protection Profile My-Zone-Protection

Lo mismo hacemos con la zona Out-Side y le damos ok

Le damos Commit.

Luego de guardar los cambio si recuerdan la entrada anterior que habilitamos la inundación de bufer, lo que queremos ahora es que antes que se active el buffer overflow queremos que se active primero la protección contra zonas, para esto vamos a realizar una configuraciones en Device / Setup

Ahora vayamos hasta Buffer Protection y configuremos los sigueintes valores.

Con esto logramos que la proteccion de Buffer se active después que el de zonas.

Le damos otro Commit

Luego de commit vamos a nuestro Kali linux e iniciamos la inundacion SMP hacia el Server en La DMZ

También en otra consola con NMAP ejecutaremos el siguiente comando.

Ahora luego de 5 min si vamos a Monitor / Threat en PA

Vamos a ver los siguientes bloqueos de ICMP FLOOD

37. Función de protección de búfer de paquetes en Palo Alto Firewall

 

En este video vamos a entender sobre la proteccion de buffer de paquetes

Por default todas las zonas estan protegidas con Buffer Protection

    

Las propiedades de Buffer la podemos ver en Session dentro de Divice

Ahora lo que vamos hacer teniendo el siguiente escenario es desde la maquina Atakante Linux hacer una inundación de ICMP hacia la DMZ donde tenemos el server de aplicaciones.

Por lo tanto el trafico de la maquina atacante pasara por el PA

Lo que vamos hacer ahora es reducir los contadores de los valores del buffer

Con la inundación vamos a pasar el umbral de detecciones y se activara y lo bloqueara.

Bien para modificar los valores de umbral tenemos que hacer clic en la Tuerca

En la parte de Buffer lo configuraremos de la siguiente manera y le damos en ok.

Ahora solo resta hacer commit

Luego del commit si vamos al PA y ejecutamos el siguiente comando veremos que la protección de paqutes contra Buffer no esta activa, eso es porque aún no alcanzamos un umbral de deteccion.

Ahora en nuestro Kali vamos a ejecutar un comando para hacer una inundacion de paquetes

Ahora si vamos al PA y ejecutamos el comando Show session packet-buffer-protection veremos que ya esta activo la proteccion contra buffer 

Si miramos bien ya esta al 15%

Ahora si validamos en el monitor del pa vamos a ver trafico de buffer rechazado

35. Función de filtrado de datos en Palo Alto Firewall

 

En esta entrada entendemos sobre el filtrado de datos, el filtrado de datos forma parte de los perfiles de seguridad.

Este perfil analiza los datos y evita la filtración de cualquier  información confidencial, Si detecta este tipo de informacion podemos bloquearlo 

Este Sigue siendo nuestro escenario, Aqui nuestro usuario User 1 se va a conectar a la DMZ_Zone

Vamos a suponer  que nuestro server en la DMZ es un servidor que contiene información privada por ejemplo tarjetas de credito seguro social.

Nuestro servidor tendra instalada un xammp Server y su direccion ip sera la siguiente.:

Para probar desde la maquina servidor hagamos un ping a la ip 10.16.0.100 que es nuestro PA, Si toda funciona ok es decir tenemos ping sigamos.

Lo que vamos hacer ahora es iniciar nuestro servicio Apache 

Ahora si hacemos clic en config podremos ver como esta configurado httpd.conf, utilizaremos los puerto, 80 y 443

Ahora si vamos a nuestra maquina User 1 y abrimos el navegador y escribimos http://172.16.0.9 podremos ver la siguiente pantalla, quiero aclarar que aqui con una simple web y css hacemos esta pagina de bienvenida para probar.

Para motrarles mejor la estructura de la página, vamos a nuestro server y dentro de Xampp vamos a tener un index.html configurada-

También tendremos la información confidencial, por ejemplo:

Si abrimos Credicard.txt tendremos los siguientes datos.

También en confidencial.txt tendremos la siguiente palabra, estos txt los utilizaremos para hacer las reglas de Filtrado, vamos a buscar por números en caso de las tarjetas y por palabra claves

Si al momento de hacker el server donde está la información confidencial PA va a analizar el contenido detectando la palabra clave "confidencial" y en el caso de los números de tarjeta también lo podrá detectar y lo bloqueara.

Ahora vamos a PA para configurar esto, lo primer que debemos hacer es personalizar un patrón Para luego integrarlo en el perfil Data Filtering

Bien vamos primero a Data Petterns y vamos agregar uno.

El Primer patrón que vamos a crear se llamara Data_patterns-1

y vamos agregar todo patrón que sea tarjetas de crédito.

Y asi se crea el patro de tatos para bloquear la información de tarjetas

ok, Guardamos.

Ahora lo que debemos hacer es asociarlo en Data Filtering

Vamos a Data_filtering y agregamos uno ADD 

Bien, en Data Filtering vamos a asignar un nombre, en Data Pattern vamos a agregar nuestro patrón cargado anteriormente que se llama Data_pattern-1

En direcciones vamos asignar ambos, tipo de severidad vamos agregar critico. En Alertas y Block vamos agregar un umbral de detecciones, aqui solo vamos a dejar 1 y 2 ya que estamos realizando una prueba.

Ok, Guardamos, ya tenemos asociado el patron de datos en un perfil de Data_Filtering

Ahora lo que vamos hacer es asociar este perfil a la Politica de seguridad.

Vamos a nuestra política Security-Policy-1

Vamos a action y en los perfiles la asociamos

Guardamo ok.

Hagamos un Commit poderoso

Luego del commit hagamos lo siguiente:

En un navegador mozilla o chrome con modo incognito escribamos la siguiente dirección

172.16.0.9/creditcard.txt

Debería aparecernos el siguiente cartel.

Bien ahora generemos otro Data Patterns que contendrá la palabra clave "Confidencial"

Le pondremos el nombre pattern-2, le indicaremos una desccripccion y el tipo de Patter será del tipo Regular Expression ya que vamos a agregar la palabra clave "confidential"

Le asignamos un nombre que se llame tes2, indicamos que es para todos tipos de archivo y el data Pattern sera "confidential"

Con esto le estamos diciendo a PA que si hay algun archivo que se transfiera que este pasando atravez de el y que contenga la palabra confidencial lo bloquee

Ahora vamos a crear otro pattern 3 que indique el tipo de archivo, aqui la propiedad del archivo será Keywordtags y el formato será texto enriquecido 

Ok, guardamos.

Ahora Vamos a data_filterin para agregar estos Paterns

Le Damos en ADD

Y agregamos nuestros patrones o Patten 2 y 3 tal cual como esta en la imagen y guardamos.

Hagamos un Commit!

Ahora vayamos a nuestro navegador puede ser mozila o chrome en incognito y probemos los siguiente:

Escribamos en el buscador: 172.16.0.9/confidential.txt

Si es correcto es porque está funcionando.

Básicamente el filtrado de datos nos ayuda a evitar la fuga información.

Saludos!