Oppsett av GlobalProtect for hjemmebruk!

Her er en rask guide på hvordan man kan konfigurere opp GlobalProtect på nettlinjer med dynamisk IP, jeg har satt opp dette for å koble meg på nettet mitt hjemme for å administrere … trafikk på internett.. (Vi holder oss til det).

Det første valget jeg tok var at jeg ikke ville sette en fast IP på interfacet mot internett, da jeg har Get hjemme og de er notorisk ustabile, og jeg får da ofte ny IP.
Valget ble da å bruke loopback interface for GlobalProtect portal og Gateway, vi kan da bruke statiske IPer og eneste vi må endre når vi får ny IP er “External Gateway” som vi kommer til senere.

Steg 1:

Opprette loopback og tunnel interface for GlobalProtect Gateway og Portal.

blogg_gp_17

Mitt ble “loopback.1” og jeg satt en RFC1918 adresse der. Dette blir IPen vi bruker både for Portal og Gateway.

NB! Husk og lag en Managment profil for Interfacet som tillater HTTPS!

blogg_gp_16

Så må vi opprette ett “tunnel” interface som blir interfacet der VPN-trafikken kommer ifra.

blogg_gp_14

Jeg kalte mitt bare for “tunnel.1” enkelt og greit. Security Zone er viktig å tenke igjennom også, dette definerer hvilken policy VPN klientene skal få. I mitt tilfelle assignet jeg den til “trust” sonen som er mitt interne nettverk.
Anbefalingen min er å opprette en egen VPN-sone som man kan ha kontroll på, men dette var ett raskt oppsett for å vise hvordan det gjøres.

Steg 2:

Opprettelse av sertifikater

Først oppretter du ett Selvsignert ROOT CA ved å gå på “Device – Certificates – Generate”.

blogg_gp_10

Jeg pleier å sette IPen til MGMT i Common Name feltet, krysser så av for “Certificate Authority” og trykker Generate. (Hva du gjør med Bits og digest er opptil deg).

Deretter trykker du på “Generate” igjen for å lage ett sub-sertifikat til ROOT CA.

blogg_gp_11

Her har jeg kalt sertifikatet for “IPSEC Sertifikat” for å ha kontroll på hva det skal brukes til, under “Common Name” legger du inn IPen til utside interfacet.
Det viktigste er å velge ROOT CA under “Signed by” og deretter trykk “Generate”.

Gratulerer, du har nå laget en gyldig sertifikat kjede!

Steg 3:

Konfigurere GlobalProtect Portal

blogg_gp_2

Under Network Settings ser du at vi har valgt loopback interfacet og Ipen vi laget tidligere. Vi har også valgt ett SSL sertifikat (Ignorer at det er ett annet enn jeg lagde som eksempel..) som blir det sertifikatet som presenteres til klienten når vi kobler oss mot Portalen for autentisering.

Authentication definerer opp hvordan brukere skal koble seg opp, jeg har laget en rask Auth-profil som jeg ikke dekker i denne guiden. Min bruker lokal database for brukernavn og passord, men man kan bruke LDAP, RADIUS med mer for autentisering. Jeg valgte og heller ikke kreve sertifikat fra klienten, da jeg ønsker å koble meg på fra mange forskjellige klienter.

Appearance handler om ut seende på login siden, her har jeg gått fullstendig standard.

blogg_gp_3

Under “Client Configuration” kan man lage forskjellige konfigurasjoner for brukere.. Jeg har kun laget en da jeg kun har min egen bruker å tenke på.

blogg_gp_4

Man kan definere opp om brukere skal få bruke SSO(Må være medlem av ett domene for at det skal fungere), og hvordan VPN-klienten skal oppføre seg. Jeg har valgt “on-demand” slik at jeg kan koble av og på slik jeg vil.
Resten av funksjonene her er selvforklarende.

blogg_gp_5

Under Gateways definerer man opp Internal og External Gateways. Siden vi kun skal bruke VPN på maskiner utenfor nettverket vårt, så definerer jeg kun opp en External Gateway her. Hele poenget med denne funksjonen er at Portalen skal ha kontroll på alle mulige VPN endepunkt, og kan sende deg til den som gir best respons og ytelse. Men når vi kun har 1 portal og 1 gateway så blir det seende slik ut.

blogg_gp_6

Under Agent kan vi konfigurere opp hva som er lov og ikke lov å gjøre med VPN-klienten, jeg har gitt meg selv alle tilganger, men her kan man leke litt med innstillingene. Det er også støtte for andre VPN-klienter.

Steg 4:

Konfigurere GlobalProtect Gateway

blogg_gp_7

Vi velger akkurat de samme innstillingene som vi gjorde på GlobalProtect Portal, da kjører både Portal og Gatewayen på samme ip.

blogg_gp_8

Under Client Configuration velger vi hvordan klienten skal kommunisere med GlobalProtect gatewayen. Her velger vi da tunnel interfacet vi laget tidligere ellers lot jeg innstillingene stå som standard.

blogg_gp_9

Under Network Settings definerer vi opp DNS, WINS og IP-Pool for VPN-klientene. Vi definerer også opp Access Route for VPN-klientene, jeg ønsket at all trafikk skal gå via VPN og har da satt 0.0.0.0/0 for å oppnå dette. Om man f.eks kun ønsker tilgang til en filserver hjemme og, resten skal gå over lokal breakout så definerer man f.eks bare opp 192.168.1.0/24 her. Da vil alt annet gå ut lokalt.

Når du nå trykker OK så har vi en fullverdig konfigurasjon for GlobalProtect. Men siden dette er knyttet opp mot ett internt interface, så må vi gjøre noe med Policy!

Steg 5:

NAT-policy

blogg_gp_12

Her har vi min NAT regel for å gi tilgang til GlobalProtect Portal og GW.

FW-Policy

blogg_gp_13

Her har vi min FW regel for å tillatte globalprotect trafikk over https.

Kjør en Commit, og gå deretter mot din eksterne IP over HTTPS og få følgende vindu:

blogg_gp_15

Logg inn og du får muligheten til å laste ned klienten

blogg_gp_18

Last ned den som passer til ditt OS og installer klienten.

I klienten taster man brukernavn og passord som man har definert opp og får opp følgende vindu om alt har gått bra:

blogg_gp_19

Du er nå ferdig og kan nyte tilgangen til ditt private nettverk! 🙂

 

 

BlackHat Europe – Presentasjoner

Jeg fikk ikke vært på BlackHat i år, men nå har det sluppet mange av presentasjonene som var der.

Anbefaler alle å ta en titt, da det er mye spennende lesning for oss som er interessert!

Samling av BlackHat presentasjoner

Jeg synes disse var særlig spennende:

What got us here, won’t get us there! – Diskuterer måten vi jobber på nå ikke vil fungere i fremtiden.. (Helt enig! )

How to manipulate oil stocks – Hvordan man kan manipulere olje aksjer!

Oppsummert så er det nok mennesker der ute som tester sikkerheten til verdens bedrifter på en daglig basis.. tør du å havne på en BlackHat presentasjon neste år?

Traps versjon 3.3 lansert!

Paloalto sin løsning for endepunkt har nå kommet i versjon 3.3!

Og listen med nye funksjoner og endringer er lang!

Du finner den her: Release Notes Traps 3.3

Kort oppsummert er de største nyhetene dette:

  • Windows 10 support (32/64 bit)
  • FIPS Sertifisert på alle OS unntatt XP og Server 2003
  • Direkte rapportering i Traps av falske positive, med e-post rapport tilbake
  • Mer granulær policy
  • Bedre støtte for VDI løsninger
  • Bedre rapportering til brukeren når blokkering skjer

Cryptowall rapport

Jeg anbefaler alle å lese igjennom rapporten som har kommet fra “Cyber threat Alliance” der Palo Alto Networks med Unit 42 er medlem.

I korte trekk har Cryptowall gjort stor skade, og dette vil mest sannsynlig føre til bedre kampanjer med bedre infrastruktur for å hente inn enda større beløp.
De har nå funnet ut at det er mer effektivt å skade data, enn å stjele dem. Viktigheten for å introdusere gode sikkerhetsmekanismer er nå enda større!

Link til rapport finner du: HER

Aperture – Noe å tenke på?

Paloalto har lansert en ny tjeneste i form av Aperture.

Så hva gjør Aperture? Som foto entusiast vet jeg godt hva det gjør på kameraet mitt, men jeg tviler på at Paloalto kommer med ett speilreflekskamera .. (Men det hadde vært kult!)

Aperture

Aperture er en SaaS tjeneste, som hjelper deg med å ta kontroll over filer som forsvinner ut i skyen.
Siden introduksjonen av skytjenester som dropbox, box for business, google drive, salesforce og alle de andre der man kan laste opp data, så har sikkerhet vært ett stort tema.blogg_aperture_problem

Man mister enkelt og greit oversikten på hva som skjer med filene så fort de forsvinner ut til en slik tjeneste. Hvem laster de ned? Hvem modifiserer? Hvem deler man de med? Er det virus på noen av filene?
Så da tar man kontroll, og bruker en Paloalto NGFW for å stenge ned tilgangen til disse tjenestene.

Men så kommer noen selgere(I mitt hode er det alltid selgerne sin feil..) som absolutt trenger en skytjeneste de kan bruke på iPaden for presentasjoner.

Så da går man til innkjøp av Box for business som er en populær tjeneste, og åpner opp for denne.. for man vet at Box for business har relativ god sikkerhet.
Men da er man tilbake til samme problem, for hvor god kontroll har du på hva som skjer med filen når den er i Box for business? Blir den delt med andre i bedriften som ikke skal se den? Blir den lastet ned på en annen enhet og deretter sendt videre? Laster noen opp virus fra sin private PC? Her har ikke Paloalto sin NGFW noen synlighet, og det er derfor de har laget Aperture.

Aperture kobler seg opp mot SaaS tjeneste dine og hjelper deg med å ta kontroll igjen!
blogg_aperture_kontroll

Aperture overvåker da filene dine i de tjenestene du har tillatt, og håndhever regler basert på en policy man selv har laget. Samtidig blir filer scannet med Wildfire for å sikre at malware ikke spres via disse tjenestene.

blogg_aperture_policy_web

Slik kan en policy se ut, og den kan være global for alle tjenester, eller spesifikk for enkelte.
Kontrollen er veldig granulær også.

blogg_aperture_policy

Dette er kontrollmekanismene man har for tjenesten Box, og hvilken funksjon som brukes for å oppnå det.

Oppsummert

Aperture er en SaaS tjeneste som hjelper deg med å ta kontroll på filene dine i skyen, og forhindrer uønsket lekkasjer og malware. Dette alene gir mye verdi, men om man samtidig bruker en Paloalto NGFW for å blokkere andre sky-tjenester man ikke har kontroll på, så er man sikret at de ansatte må bruke bedriften sin løsning.
Dette løser det evige problemet som er “minste motstands vei”.
Brukere bruker alltid det som er lettest for dem uansett intern policy. Så om man allerede har Dropbox installert på maskinen sin på jobb og hjemme så bruker man bare dette fremfor å installere denne “nye vanskelige applikasjonen fra IT..”.

For mer info: Solution Brief fra Palo Alto

 

Blokkere ny versjon av CryptoWall V4

CryptoWall V4 observert

Det har kommet en ny versjon av Cryptowall som er enda mer effektiv og strømlinjeformet. Dette gjør det igjen svært viktig å ha sikkerheten i orden på nettverket sitt!

Den største endringen for mange er nok at det er nå vanskeligere å se om filer er kryptert eller ikke, ved at de beholder sitt orginale filnavn. (Før endret de filene slik at man så hva som var kryptert).

Min anbefaling inntil videre er å sette opp Region blokkering mot Russland i sin Paloalto, og sette opp fileblocking regler med de navnene i blogg-innlegget.

  • Syria.exe
  • analitics.exe

Det vil selvfølgelig komme flere navn på disse filene, men dette er en start!

Og har du WildFire er du allerede beskyttet!

File Blocking – Bruker du det?

File Blocking er en funksjon som kan øke sikkerheten betraktelig ved ett par enkle steg.

F.eks kan vi legge en regel for å blokkere filtyper som ofte inneholder malware:

  • EXE – Litt vanskelig å blokkere da mye legitimt er her (Sleng iallefall opp en alert!)
  • HTA – Applikasjon som inneholder HTML, kjører utenfor nettleser
  • PIF – Snarvei til MS-DOS programmer.. Se over.
  • BAT/CMD – Batch fil, sier seg vel nesten selv at det trenger vi ikke å laste ned fra internett
  • SCR – Screensaver fil, noe man iallefall bør blokkere. Og hadde man hatt denne aktiv for 2-3 mnd siden hadde man stoppet Posten kampanjen.. (!)

Forslag til regel:

blogg_fileblock_malware

PE står for Portable Executable og inneholder exe, dll, com, scr, ocx, cpl, sys, drv og tlb

Med denne regelen har man effektivt stengt ute en hel del potensielle infeksjoner, og om noen skulle ha behov for å laste ned disse filene så kan man alltids lage unntak. Men da bør man lage unntak som er så spesifikke som mulig slik at man ikke mister kontrollen igjen.

Multi-Level-Encoding

Multi-Level-Encoding filer er kort og godt filer som er pakket ned 5 ganger eller fler. Dette er ofte en teknikk som blir brukt for å få filer igjennom IDS\IPS sensorer da de ofte bare støtter 1-2 nivåer av utpakking.

Paloalto støtter 4 nivåer, og har deretter laget en egen kategori under “Object->Security Profiles->File Blocking” som kan brukes for å blokkere alle filer som har flere nivåer enn dette.
Min personlige mening er at det er _INGEN_ god grunn til å slippe slike filer igjennom, ingen pakker ned filene sine slik om man ikke har ondsinnede hensikter.

Så min anbefaling er å lage følgende regel i File Blocking og aktivere den i policyen deres!:

blogg_multilevel_block

 

Kjører du fortsatt BrightCloud URL-filter?

BrightCloud URL filter var det Paloalto leverte til sin løsning frem til PAN-OS 5.0 ble lansert, da de selv kom med sitt eget alternativ som vi nå kjenner som PAN-DB.

Men veldig mange fortsatte bare å kjøre videre med BrightCloud da det var allerede installert og konfigurert, hvorfor endre på noe som fungerer er en strategi mange følger.
Vel, jeg kan gi deg ett par veldig gode grunner for å skifte fra BrightCloud til PAN-DB:

  • PAN-DB vil gi deg enda bedre beskyttelse mot Zero-day angrep da den er integrert mot Wildfire
  • PAN-DB er en skytjeneste som alltid er oppdatert, fremfor BrightCloud som har jevnlige oppdateringer
  • PAN-DB gir deg mulighet å laste ned en “seed-db” for ditt område for enda raskere ytelse (URLer som ikke ligger her vil fortsatt sjekkes mot skyen)
  • PAN-DB koster akkurat det samme som BrightCloud
  • PAN-DB er utviklet av Paloalto, og ikke kjøpt inn…

Så når BrightCloud lisensen din løper ut, ikke bare be om ny, gå over til PAN-DB!
For mer info så er det bare å ta kontakt med meg eller din forhandler!

Hvordan mappingen mellom BrightCloud og PAN-DB vil se ut ved bytte: (Dette skjer automatisk)

BrightCloud Category PAN-DB Category
Abortion Abortion
Abused Drugs Abused Drugs
Adult and Pornography Adult
Alcohol and Tobacco Alcohol and Tobacco
Auctions Auctions
Bot Nets Malware
Business and Economy Business and Economy
Cheating Questionable
Computer and Internet Info Computer and Internet Info
Computer and Internet Security Computer and Internet Info
Confirmed SPAM Sources Malware
Content Delivery Networks Content Delivery Networks
Cult and Occult Religion
Dating Dating
Dead Sites N/A
Dynamically Generated Content N/A (no mapping as URL will be categorized based on the content)
Educational Institutions Educational Institutions
Entertainment and Arts Entertainment and Arts
Fashion and Beauty Society
Financial Services Financial Services
Games Games
Government Government
Gross Questionable
Hacking Hacking
Hate and Racism Questionable
Health and Medicine Health and Medicine
Home and Garden Home and Garden
Hunting and Fishing Hunting and Fishing
Illegal Questionable
Image and Video Search Search Engines
Individual Stock Advice and Tools Stock advice and tools
Internet Communications Internet Communications and Telephony
Internet Portals Internet Portals
Job Search Job Search
Keyloggers and Monitoring Malware
Kids Society
Legal Legal
Local Information Travel
Malware Sites Malware
Marijuana Abused Drugs
Military Military
Motor Vehicles Motor Vehicles
News and Media News
not-resolved Not-resolved
Nudity Nudity
Online-gambling Gambling
Online Greeting cards Entertainment and Arts
Online – music Music
Online – personal-storage Online storage and backup
Open HTTP Proxies Proxy Avoidance and Anonymizers
Parked Domains Parked
Pay to Surf Web Advertisements
Peer to Peer Peer-to-peer
Personal sites and Blogs Personal sites and blogs
Personal Storage Online storage and backup
Philosophy and Political Advocacy Philosophy and Political Advocacy
Phishing and Other Frauds Phishing
Private IP Addresses Private IP Addresses
Proxy Avoidance and Anonymizers Proxy Avoidance and Anonymizers
Questionable Questionable
Real Estate Real Estate
Recreation and Hobbies Recreation and Hobbies
Reference and Research Reference and Research
Religion Religion
Search Engines Search Engines
Sex Education Sex Education
Shareware and Freeware Shareware and Freware
Shopping Shopping
Social Networking Social Networking
Society Society
SPAM URLs Malware
Sports Sports
Spyware and Adware Malware
Streaming Media Streaming Media
Swimsuits & Intimate Apparel Swimsuits and Intimate Apparel
Training and Tools Training and Tools
Translation Translation
Travel Travel
Unconfirmed SPAM Sources Malware
Unknown Unknown
Violence Questionable
Weapons Weapons
Web Advertisements Web Advertisements
Web based email Web-based Email
Web Hosting Web Hosting