miércoles, 6 de marzo de 2024

29. Perfil antivirus en Palo Alto Firewall

 


Aqui vamos a verificar cómo funciona la detección de contenido malicioso utilizando un perfil de seguridad.


Vamos a asignar un perfil de Seguridad a nuestra policy y vamos a ver como bloquea el archivo malicioso y también vamos a agregar una excepción para a ver cómo funciona dejando descargar el archivo.

Nuestro escenario es el siguiente.



}

La configuración de nuestra zona es la siguiente.












Esta es nuestra actual policy








Nuestra Source






Nuestra Zonas de Destino







Aplicaciones






Url Categories






En Action no tenemos ningún perfil asignado.







Ahora ingresamos ala pc, previamente vemos su configuración y probamos la confguracion a Internet o youtube por ejemeplo.










ahora descargaos un archivo de prueba para probar https://www.eicar.org/download-anti-malware-testfile








Podremos descargar alguno de los sigueintes.







o podremos ingresar al siguiente sitio y descargarlo de aqui www.eicar.eu







Luego de descagr el archivo en la pc vamos al Palo alto y hacemos click en nuestra policy

Los perfiles de seguridad solo se pueden asociar a una política de seguridad.







Algo importante es que en Objects/ Antivirus nosotros podemos clonar el perfil de seguridad y custoizarlos a nuestra necesidad.










Nosotros tambien podemos agregar una excepción de firmas para que nuestro perfil no lo analice, esto se puede utilizar cuando tenemos aplicaciones internas que no están fuera de mi área segura.









Ahora si volvamos a nuestra policy


Lo que hacemos ahora en Action es agregar el perfil de Default








Nose olviden del commit.


Ahora que tenemos el perfil configurado conectémonos a la maquina y tratemos de descargar nuevamente el wilecard















Ahora si lo intentamos descargar nos saldrá el siguiente anuncio.










Ahrora si Vamos a PA en Monitor/ Threat podremos ver el registro de la amanaza








Algo muy importante es identificar el ID de la aplicación que está bloqueando en PA para hacer una excepción







Vamos a nuestri perfil de AV en Objects/ Antivirus  y lo agregamos















Pero si estamos en el perfil predeterminado no nos dejara

NO tendremos las opcnes para agregarlo


Lo que tenemos que hacer es ir a Objects/Antivirus y clonar el Perfil de Antivirus










y Agregar el ID en Signature






Vamos a tener un clon pero con el ID agregado ya que no podemos editar nada en el perfil de Default









Luego vamos a policies y en nuestra rule agregamos el nuevo perfil clonado











No se olviden del Commit!


Ahora como hemos agregado una Firma de exepcion si probamos descargar el archivo Palo alto lo dejara pasar porque justamente lo que hicimos fue agregarlo una by pass






a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

39. Agrupación de perfiles de seguridad en Palo Alto Firewall

           Las políticas de seguridad se pueden asociar a grupos que conta de perfiles Nosotros podemos crear un grupo y se pueden agregar t...