31. Perfiles de vulnerabilidad en Palo Alto Firewall

 

Aquí vamos a entender sobre el perfil de vulnerabilidad como PA nos ayuda a detectar tráfico vulnerable, detectarlo y bloquearlo.

Nuestro Kali linux será el atacante.

Aquí mostramos la configuración de la maquina Kali linux

Realizamos una Pruebe la conexión a PA, vemos que llega correctamente.

Aqui no tendremos una política para la conexión a internet, solo para acceder al PA.

Ahora entremos al Router para realizar las configuraciones.

Configuración del Router DMZ

Router#

Router# configure terminal

Router# hostname DMZ_Server

Router# int fa0/0

Router# ip address 172.16.0.9 255.255.255.0

Router# no shutdown

Router# ip http server

Router# ip http secure-server

Router# ip domain name cisco.com

Router# kkey generate rsa modules 1024

Router# ip ssh version 2

Router# username shiva pass

Router# username shiva password cisco

Router# lin vty 0 4

Config-line# login local

Config-line# password cisco

Config-line# trasnport input all

Config-line# exit

Ahora creamos la ruta hacia el Palo Alto

ip route 0,0,0,0 0,0,0,0 172.16.0.100

do write

exit

Ahora Vamos a Palo alto y editamos una zona, le cambiamos el nombre y dejamos la interface Ethernet 1/1 ya que la Ethernet 1/2 no la utilizaremos.

Esta es la configuración de la zona DMZ, solo dejamos la Ethernet 1/3

Aqui mostramos ambas zonas y debemos crear una zona DMZ, nos debe quedar asi.

Aqui muestro nuestra configuración Ethernet

La ethernet 1/2 no la cuente ya que no la estamos usando

Bien seguimos con la configuraciones.

Ahora vamos a Static Router y creamos la ruta para que el kali linux pueda llegar a la DMZ

Configuramos la Virtual Router de la sigueinte manera.

Debería quedar asi 

ahora Vamos a modificar nuestra policy de seguridad.

Le cambiamos el nombre 

LA source será todo ANY

Lo mismo será con la destination zone

Y en Action permitimos y guardamos.

Nuestro objetivo es hacer vulnerable o detectar el trafico de vulnerabilidad

Ahora lo que debemos hacer es ir a Objects / Security Profiles / Vulnerability Protection y clonar el perfil de vulnerabilidad Por defaul tendremos dos perfiles creados, Stric y default. Nosotros debemos crear otro.

Nosotros vamos a clonar el Default

Le damos ok y deberiams tener el clonado

ahora seleccionamos este perfil, ingresamos.

Le vamos a cambiar el nombre y eliminar todas sus Rules

Ahora agregamos una rule con el boton ADD t la configuramos 

Al nombre le pondremos Vul-Rule-1, el tipo de acción será DROP

los hostname será cualquiera y el tipo de severidad seran todos.

LE damos Ok y salimos

ahora Iremos a nuestra politica de seguridad y le asignaremos este perfil.

Vamos a POLICIES / SECURITY y asociaremos nuestro perfil

Ahora Hacemos Commit.

Luego que se grabe vamos al Kali para comenzar atacar la DMZ

Ingresamos al Kali

USer : kali

Pass:kali

Ahora probamos la conexion al 172.16.0.9 que es nuestra DMZ

hora vamos al Router y verificamos la conectividad al kali

Ahora ejecutemos un scan desde kali linux

Abrimos NMAP y ejecutamos el siguiente comando.

Ahora vamos al PALO ALTO en la parte de Monitor/Threat para ver el scan de kali linux

si vemos la fuente de Origen será nuestro KALI

Aquí Palo lato detecta que un usuario del exterior está realizando scaneos, gracias a la regla de vulnerabilidad podemos detectar esto

y esta droppeando este tráfico.

 

to