Segmentering – Hva kan man gjøre?

Det høres enkelt ut i prinsipp, man bare skiller enhetene i nettverket fra hverandre og kun tillater trafikk som tilhører applikasjonene man trenger.

For eksempel så trenger ikke klientene til de ansatte full tilgang SQL-serveren på alle porter? Trenger de tilgang til den i det hele tatt egentlig? For det er jo web-applikasjonen på web-serveren som faktisk henter data derfra?

Og den nye fine printeren som har alle de kule funksjonene, er det så lurt at den står i samme nettverk som klientene dine? Den kjører jo Windows Embedded, og du har vel ikke akkurat kontroll på patch-nivået på den?

Eller enda verre, hva med kaffe-maskinen som du har koblet i nettverket slik at den kan si ifra automatisk når den trenger service til leverandøren? Hvordan gjør den det? Mest sannsynlig ett UNIX-basert OS. Vet du sikkerheten på den? «Admin/kaffe123» er ikke sikkerhet på toppnivå. Og tror du ikke den kan kjøre en FTP server?

Som sagt, tanken er enkel, men ikke alltid så lett å følge opp i prinsipp.

Ofte blir nye løsninger og enheter innført uten mye tanke på sikkerhet, men at «dette må vi bare ha nå!». Over lang tid ender man opp med uoversiktlige nettverk, der man ikke har full kontroll på hva som prater med hva.

Når man da skal begynne å ta tak i problemet, så kan det ofte bli ett veldig omfattende prosjekt.
Det er ikke alltid så lett å bare endre IP på en haug med servere eller printere, ikke alt av tjenester bruker DNS som oppslag.

Så hvor starter man? Etter min mening er den beste strategien å starte med det viktigste i nettverket, og jobbe seg nedover.

For mange vil det være database serverne, det er de som ofte har sensitiv informasjon som man absolutt ikke vil se ute på internett i en ZIP fil.

Og det er her en av de største styrkene til Palo Alto Networks ligger!

Ett vanlig flatt nettverk som mange mange bedrifter i det norske land har:

blogg_segmentering_001

Dette er en angripers drøm, ett helt flatt nett der man ikke har noen barrierer, og der man ikke har noen barrierer har man heller ikke noe visibiltet. Noe som igjen betyr at angriperen kan være i nettverket nesten så lenge han ønsker.
Noe må gjøres! Men hva kan man gjøre uten å måtte endre hele nettet? Hva kan man gjøre NÅ?

blogg_segmentering_002

Man kan innføre en Palo Alto Networks brannmur inn i nettverket, og sette den opp på Lag 2, man kan da si at all trafikk som kommer inn eller ut fra ethernet1/2 er Servere, ethernet1/3 er klienter og ethernet1/4 er Printere.

På den måten har man raskt laget soner, som man igjen kan legge regler på. Uten og faktisk endre en eneste IP-adresse i nettverket.
Styrken som jeg vil komme frem til er at Palo Alto Networks støtter Lag 2, Lag 3, Virtual-Wire og TAP om hverandre, dette gjør det mulig å beskytte hele nettverket ditt med de metodene du trenger.

Så kan segmentere videre når man har anledning for nedetid, og prosjektplanen er spikret.

Lykke til 🙂

Endelig var jeg instruktør!

Mitt første mål når jeg startet i Arrow ECS var at jeg skulle bli instruktør på Palo Alto Networks sine produkter.
Det har jeg jobbet målrettet mot i 4 måneder, og det hele ble avsluttet med en tur til Amsterdam fra 18-20 januar for det Palo Alto Networks kaller for “ICW” (Instructor Certification Workshop).

Palo Alto Networks har endret kurset etter de ansatte en ny sjef for opplæring som heter David Day, som kommer fra VMware. Det er nå mye mer krevende, og noe man absolutt ikke skal ta lett på.
Palo Alto Networks sin innstilling er at instruktørene som jobber rundt i verden representerer dem, og må dermed holde den absolutt høyeste kvalitet. (Slik som produktet deres gjør.. 🙂 )

For å si det mildt ble det 3 harde dager, hvor vi ble testet og korrigert på alt som har med det å være instruktør.
Øyekonktakt, bevegelser, “fillerwords” (hummm, aaahh etc), whiteboard bruk, eksempler fra virkeligheten, og sist men ikke minst spørsmål fra studentene.
Her fikk vi høre at man kan høre det meste. En av favrittene mine var “So what happened with IPv5? Why the jump to IPv6?”.

Gleden var dermed stor når jeg fikk beskjed om at jeg stod, og jeg nå er klar til å lære bort 201 og 205 kursene til Palo Alto Networks!
Jeg gleder meg veldig, og tror det blir en morsom opplevelse for alle parter som kommer på ett kurs hos meg!

Håper å se deg snart, på ett kurs på Palo Alto Networks hos Arrow!

Dynamic Blocklist – For å stoppe TOR Noder!

Dynamic Blocklist er en kul funksjon i Palo Alto Networks, det gir deg muligheten å hente ut info fra andre tjenester som kan gi ekstra verdi til løsningen.

Du finner funksjonen her:

blogg_dynamic_01

Her kan du legge til flere lister, i denne skal jeg fokusere på hvordan du legger inn en liste fra http://panwdbl.appspot.com/ , da spesifikt listen som blokkerer TOR Noder. Du kan legge inn flere lister om du ønsker det i ditt oppsett.

Steg 1:

blogg_dynamic_02

Trykk på “Add” og legg inn listen, jeg har valgt “Daily” på repeat, som betyr at listen vil oppdatere hver dag klokken 00:00. Dette kan endres til 5 min, Hourly, Daily, Weekly og Monthly.
I dette tilfellet er daglig bra nok.

Når du har trykket på OK så er listen laget, og den vil bli hentet ned så fort du har kjørt en commit på konfigurasjonen.

Steg 2:

blogg_dynamic_03

Lage en regel for å blokkere trafikken, dette bør være enkelt for de fleste.

blogg_dynamic_04

På source legger du sonen som er internett, for meg er det “Untrust_L3”, og under Source address legger du inn listen du lagde i steg 1.

Resten setter du til Any, utenom Destination hvor du velger de sonene du vil beskytte med denne regelen.

blogg_dynamic_05

Sist er å sette Deny på action, og legge regelen så høyt du kan i regelsettet.

Commit, og du er beskyttet mot angrep fra TOR Exit noder.

PS: Mitt GUI ser annerledes ut siden jeg kjører PANOS Nagoya 7.1 Beta.

Håper også alle får ett godt PANÅR!