Her er en rask guide på hvordan man kan konfigurere opp GlobalProtect på nettlinjer med dynamisk IP, jeg har satt opp dette for å koble meg på nettet mitt hjemme for å administrere … trafikk på internett.. (Vi holder oss til det).

Det første valget jeg tok var at jeg ikke ville sette en fast IP på interfacet mot internett, da jeg har Get hjemme og de er notorisk ustabile, og jeg får da ofte ny IP.
Valget ble da å bruke loopback interface for GlobalProtect portal og Gateway, vi kan da bruke statiske IPer og eneste vi må endre når vi får ny IP er “External Gateway” som vi kommer til senere.

Steg 1:

Opprette loopback og tunnel interface for GlobalProtect Gateway og Portal.

Mitt ble “loopback.1” og jeg satt en RFC1918 adresse der. Dette blir IPen vi bruker både for Portal og Gateway.

NB! Husk og lag en Managment profil for Interfacet som tillater HTTPS!

Så må vi opprette ett “tunnel” interface som blir interfacet der VPN-trafikken kommer ifra.

Jeg kalte mitt bare for “tunnel.1” enkelt og greit. Security Zone er viktig å tenke igjennom også, dette definerer hvilken policy VPN klientene skal få. I mitt tilfelle assignet jeg den til “trust” sonen som er mitt interne nettverk.
Anbefalingen min er å opprette en egen VPN-sone som man kan ha kontroll på, men dette var ett raskt oppsett for å vise hvordan det gjøres.

Steg 2:

Opprettelse av sertifikater

Først oppretter du ett Selvsignert ROOT CA ved å gå på “Device – Certificates – Generate”.

Jeg pleier å sette IPen til MGMT i Common Name feltet, krysser så av for “Certificate Authority” og trykker Generate. (Hva du gjør med Bits og digest er opptil deg).

Deretter trykker du på “Generate” igjen for å lage ett sub-sertifikat til ROOT CA.

Her har jeg kalt sertifikatet for “IPSEC Sertifikat” for å ha kontroll på hva det skal brukes til, under “Common Name” legger du inn IPen til utside interfacet.
Det viktigste er å velge ROOT CA under “Signed by” og deretter trykk “Generate”.

Gratulerer, du har nå laget en gyldig sertifikat kjede!

Steg 3:

Konfigurere GlobalProtect Portal

Under Network Settings ser du at vi har valgt loopback interfacet og Ipen vi laget tidligere. Vi har også valgt ett SSL sertifikat (Ignorer at det er ett annet enn jeg lagde som eksempel..) som blir det sertifikatet som presenteres til klienten når vi kobler oss mot Portalen for autentisering.

Authentication definerer opp hvordan brukere skal koble seg opp, jeg har laget en rask Auth-profil som jeg ikke dekker i denne guiden. Min bruker lokal database for brukernavn og passord, men man kan bruke LDAP, RADIUS med mer for autentisering. Jeg valgte og heller ikke kreve sertifikat fra klienten, da jeg ønsker å koble meg på fra mange forskjellige klienter.

Appearance handler om ut seende på login siden, her har jeg gått fullstendig standard.

Under “Client Configuration” kan man lage forskjellige konfigurasjoner for brukere.. Jeg har kun laget en da jeg kun har min egen bruker å tenke på.

Man kan definere opp om brukere skal få bruke SSO(Må være medlem av ett domene for at det skal fungere), og hvordan VPN-klienten skal oppføre seg. Jeg har valgt “on-demand” slik at jeg kan koble av og på slik jeg vil.
Resten av funksjonene her er selvforklarende.

Under Gateways definerer man opp Internal og External Gateways. Siden vi kun skal bruke VPN på maskiner utenfor nettverket vårt, så definerer jeg kun opp en External Gateway her. Hele poenget med denne funksjonen er at Portalen skal ha kontroll på alle mulige VPN endepunkt, og kan sende deg til den som gir best respons og ytelse. Men når vi kun har 1 portal og 1 gateway så blir det seende slik ut.

Under Agent kan vi konfigurere opp hva som er lov og ikke lov å gjøre med VPN-klienten, jeg har gitt meg selv alle tilganger, men her kan man leke litt med innstillingene. Det er også støtte for andre VPN-klienter.

Steg 4:

Konfigurere GlobalProtect Gateway

Vi velger akkurat de samme innstillingene som vi gjorde på GlobalProtect Portal, da kjører både Portal og Gatewayen på samme ip.

Under Client Configuration velger vi hvordan klienten skal kommunisere med GlobalProtect gatewayen. Her velger vi da tunnel interfacet vi laget tidligere ellers lot jeg innstillingene stå som standard.

Under Network Settings definerer vi opp DNS, WINS og IP-Pool for VPN-klientene. Vi definerer også opp Access Route for VPN-klientene, jeg ønsket at all trafikk skal gå via VPN og har da satt 0.0.0.0/0 for å oppnå dette. Om man f.eks kun ønsker tilgang til en filserver hjemme og, resten skal gå over lokal breakout så definerer man f.eks bare opp 192.168.1.0/24 her. Da vil alt annet gå ut lokalt.

Når du nå trykker OK så har vi en fullverdig konfigurasjon for GlobalProtect. Men siden dette er knyttet opp mot ett internt interface, så må vi gjøre noe med Policy!

Steg 5:

NAT-policy

Her har vi min NAT regel for å gi tilgang til GlobalProtect Portal og GW.

FW-Policy

Her har vi min FW regel for å tillatte globalprotect trafikk over https.

Kjør en Commit, og gå deretter mot din eksterne IP over HTTPS og få følgende vindu:

Logg inn og du får muligheten til å laste ned klienten

Last ned den som passer til ditt OS og installer klienten.

I klienten taster man brukernavn og passord som man har definert opp og får opp følgende vindu om alt har gått bra:

Du er nå ferdig og kan nyte tilgangen til ditt private nettverk! 🙂

 

 

Jeg fikk ikke vært på BlackHat i år, men nå har det sluppet mange av presentasjonene som var der.

Anbefaler alle å ta en titt, da det er mye spennende lesning for oss som er interessert!

Samling av BlackHat presentasjoner

Jeg synes disse var særlig spennende:

What got us here, won’t get us there! – Diskuterer måten vi jobber på nå ikke vil fungere i fremtiden.. (Helt enig! )

How to manipulate oil stocks – Hvordan man kan manipulere olje aksjer!

Oppsummert så er det nok mennesker der ute som tester sikkerheten til verdens bedrifter på en daglig basis.. tør du å havne på en BlackHat presentasjon neste år?

Det kommer ett webinar om hvordan Paloalto og Splunk sammen kan gi deg en sikrere IT hverdag!

Anbefaler alle å bli med på webinaret, det kan ikke bli annet enn bra når 2 ledende teknologier i sine markeder samarbeider!

Påmelding finner du her: Webinar Paloalto + Splunk

Paloalto sin løsning for endepunkt har nå kommet i versjon 3.3!

Og listen med nye funksjoner og endringer er lang!

Du finner den her: Release Notes Traps 3.3

Kort oppsummert er de største nyhetene dette:

• Windows 10 support (32/64 bit)
• FIPS Sertifisert på alle OS unntatt XP og Server 2003
• Direkte rapportering i Traps av falske positive, med e-post rapport tilbake
• Mer granulær policy
• Bedre støtte for VDI løsninger
• Bedre rapportering til brukeren når blokkering skjer

Jeg anbefaler alle å lese igjennom rapporten som har kommet fra “Cyber threat Alliance” der Palo Alto Networks med Unit 42 er medlem.

I korte trekk har Cryptowall gjort stor skade, og dette vil mest sannsynlig føre til bedre kampanjer med bedre infrastruktur for å hente inn enda større beløp.
De har nå funnet ut at det er mer effektivt å skade data, enn å stjele dem. Viktigheten for å introdusere gode sikkerhetsmekanismer er nå enda større!

Link til rapport finner du: HER

Paloalto har lansert en ny tjeneste i form av Aperture.

Så hva gjør Aperture? Som foto entusiast vet jeg godt hva det gjør på kameraet mitt, men jeg tviler på at Paloalto kommer med ett speilreflekskamera .. (Men det hadde vært kult!)

Aperture

Aperture er en SaaS tjeneste, som hjelper deg med å ta kontroll over filer som forsvinner ut i skyen.
Siden introduksjonen av skytjenester som dropbox, box for business, google drive, salesforce og alle de andre der man kan laste opp data, så har sikkerhet vært ett stort tema.

Man mister enkelt og greit oversikten på hva som skjer med filene så fort de forsvinner ut til en slik tjeneste. Hvem laster de ned? Hvem modifiserer? Hvem deler man de med? Er det virus på noen av filene?
Så da tar man kontroll, og bruker en Paloalto NGFW for å stenge ned tilgangen til disse tjenestene.

Men så kommer noen selgere(I mitt hode er det alltid selgerne sin feil..) som absolutt trenger en skytjeneste de kan bruke på iPaden for presentasjoner.

Så da går man til innkjøp av Box for business som er en populær tjeneste, og åpner opp for denne.. for man vet at Box for business har relativ god sikkerhet.
Men da er man tilbake til samme problem, for hvor god kontroll har du på hva som skjer med filen når den er i Box for business? Blir den delt med andre i bedriften som ikke skal se den? Blir den lastet ned på en annen enhet og deretter sendt videre? Laster noen opp virus fra sin private PC? Her har ikke Paloalto sin NGFW noen synlighet, og det er derfor de har laget Aperture.

Aperture kobler seg opp mot SaaS tjeneste dine og hjelper deg med å ta kontroll igjen!

Aperture overvåker da filene dine i de tjenestene du har tillatt, og håndhever regler basert på en policy man selv har laget. Samtidig blir filer scannet med Wildfire for å sikre at malware ikke spres via disse tjenestene.

Slik kan en policy se ut, og den kan være global for alle tjenester, eller spesifikk for enkelte.
Kontrollen er veldig granulær også.

Dette er kontrollmekanismene man har for tjenesten Box, og hvilken funksjon som brukes for å oppnå det.

Oppsummert

Aperture er en SaaS tjeneste som hjelper deg med å ta kontroll på filene dine i skyen, og forhindrer uønsket lekkasjer og malware. Dette alene gir mye verdi, men om man samtidig bruker en Paloalto NGFW for å blokkere andre sky-tjenester man ikke har kontroll på, så er man sikret at de ansatte må bruke bedriften sin løsning.
Dette løser det evige problemet som er “minste motstands vei”.
Brukere bruker alltid det som er lettest for dem uansett intern policy. Så om man allerede har Dropbox installert på maskinen sin på jobb og hjemme så bruker man bare dette fremfor å installere denne “nye vanskelige applikasjonen fra IT..”.

For mer info: Solution Brief fra Palo Alto

 

CryptoWall V4 observert

Det har kommet en ny versjon av Cryptowall som er enda mer effektiv og strømlinjeformet. Dette gjør det igjen svært viktig å ha sikkerheten i orden på nettverket sitt!

Den største endringen for mange er nok at det er nå vanskeligere å se om filer er kryptert eller ikke, ved at de beholder sitt orginale filnavn. (Før endret de filene slik at man så hva som var kryptert).

Min anbefaling inntil videre er å sette opp Region blokkering mot Russland i sin Paloalto, og sette opp fileblocking regler med de navnene i blogg-innlegget.

• Syria.exe
• analitics.exe

Det vil selvfølgelig komme flere navn på disse filene, men dette er en start!

Og har du WildFire er du allerede beskyttet!

Alltid greit med en påminnelse på hvordan Paloalto prosesserer pakkene:

BrightCloud URL filter var det Paloalto leverte til sin løsning frem til PAN-OS 5.0 ble lansert, da de selv kom med sitt eget alternativ som vi nå kjenner som PAN-DB.

Men veldig mange fortsatte bare å kjøre videre med BrightCloud da det var allerede installert og konfigurert, hvorfor endre på noe som fungerer er en strategi mange følger.
Vel, jeg kan gi deg ett par veldig gode grunner for å skifte fra BrightCloud til PAN-DB:

• PAN-DB vil gi deg enda bedre beskyttelse mot Zero-day angrep da den er integrert mot Wildfire
• PAN-DB er en skytjeneste som alltid er oppdatert, fremfor BrightCloud som har jevnlige oppdateringer
• PAN-DB gir deg mulighet å laste ned en “seed-db” for ditt område for enda raskere ytelse (URLer som ikke ligger her vil fortsatt sjekkes mot skyen)
• PAN-DB koster akkurat det samme som BrightCloud
• PAN-DB er utviklet av Paloalto, og ikke kjøpt inn…

Så når BrightCloud lisensen din løper ut, ikke bare be om ny, gå over til PAN-DB!
For mer info så er det bare å ta kontakt med meg eller din forhandler!

Hvordan mappingen mellom BrightCloud og PAN-DB vil se ut ved bytte: (Dette skjer automatisk)

BrightCloud Category	PAN-DB Category
Abortion	Abortion
Abused Drugs	Abused Drugs
Adult and Pornography	Adult
Alcohol and Tobacco	Alcohol and Tobacco
Auctions	Auctions
Bot Nets	Malware
Business and Economy	Business and Economy
Cheating	Questionable
Computer and Internet Info	Computer and Internet Info
Computer and Internet Security	Computer and Internet Info
Confirmed SPAM Sources	Malware
Content Delivery Networks	Content Delivery Networks
Cult and Occult	Religion
Dating	Dating
Dead Sites	N/A
Dynamically Generated Content	N/A (no mapping as URL will be categorized based on the content)
Educational Institutions	Educational Institutions
Entertainment and Arts	Entertainment and Arts
Fashion and Beauty	Society
Financial Services	Financial Services
Games	Games
Government	Government
Gross	Questionable
Hacking	Hacking
Hate and Racism	Questionable
Health and Medicine	Health and Medicine
Home and Garden	Home and Garden
Hunting and Fishing	Hunting and Fishing
Illegal	Questionable
Image and Video Search	Search Engines
Individual Stock Advice and Tools	Stock advice and tools
Internet Communications	Internet Communications and Telephony
Internet Portals	Internet Portals
Job Search	Job Search
Keyloggers and Monitoring	Malware
Kids	Society
Legal	Legal
Local Information	Travel
Malware Sites	Malware
Marijuana	Abused Drugs
Military	Military
Motor Vehicles	Motor Vehicles
News and Media	News
not-resolved	Not-resolved
Nudity	Nudity
Online-gambling	Gambling
Online Greeting cards	Entertainment and Arts
Online – music	Music
Online – personal-storage	Online storage and backup
Open HTTP Proxies	Proxy Avoidance and Anonymizers
Parked Domains	Parked
Pay to Surf	Web Advertisements
Peer to Peer	Peer-to-peer
Personal sites and Blogs	Personal sites and blogs
Personal Storage	Online storage and backup
Philosophy and Political Advocacy	Philosophy and Political Advocacy
Phishing and Other Frauds	Phishing
Private IP Addresses	Private IP Addresses
Proxy Avoidance and Anonymizers	Proxy Avoidance and Anonymizers
Questionable	Questionable
Real Estate	Real Estate
Recreation and Hobbies	Recreation and Hobbies
Reference and Research	Reference and Research
Religion	Religion
Search Engines	Search Engines
Sex Education	Sex Education
Shareware and Freeware	Shareware and Freware
Shopping	Shopping
Social Networking	Social Networking
Society	Society
SPAM URLs	Malware
Sports	Sports
Spyware and Adware	Malware
Streaming Media	Streaming Media
Swimsuits & Intimate Apparel	Swimsuits and Intimate Apparel
Training and Tools	Training and Tools
Translation	Translation
Travel	Travel
Unconfirmed SPAM Sources	Malware
Unknown	Unknown
Violence	Questionable
Weapons	Weapons
Web Advertisements	Web Advertisements
Web based email	Web-based Email
Web Hosting	Web Hosting