Any user vs Known-user

I min spede begynnelse med Palo Alto, så skal jeg innrømme at jeg gjorde denne feilen..

User-ID er kjernefunksjonalitet i Palo Alto sin løsning, den gir oss mulighet å granulert filtrere på brukere i nettverket vårt. Noe som gjør det lettere å finne hvem som er infisert eller gjør “ulovlig” aktiviteter på nettverket.
Etter at man har satt opp dette, så lager man sin første policy regler:

blogg_users_policy

I mine første oppsett så satt jeg User til “any”, da jeg tenkte at det gjaldt “any” bruker i AD-domenet mitt. Dette stemmer ikke, “any” i dette tilfeller tillater all trafikk.
Den jeg skulle ha brukt er “known-user” som betyr at Palo Alto må kjenne til brukeren, som betyr at den må finnes i AD-domenet du har knytt opp via User-ID.

Det kan hende det bare var jeg som var så dum i starten, men nevner det uansett slik at jeg kanskje kan hjelpe noen andre der ute!

Ny applikasjon “google-base”!

I desember vil Palo Alto implementere en ny applikasjon som heter “google-base”, dette gir nye muligheter for styringen av google relaterte applikasjoner som kalender, mail, docs med mer.

Jeg anbefaler sterkt å lese denne linken: Google-base FAQ

Kort fortalt så slipper man å tillate “ssl” og “web-browsning” eksplisitt i regelsettet, så for mange vil ikke denne endringen gjøre så mye da vi i Norge ikke har som vane og låse ned tilgangen til internett for mye.

SSL – Hva gjør du med det?

Jeg har sett endel brannmur regelsett igjennom årene, og med unntak av noen få så er det veldig ofte at jeg ser følgende linje i regelsettet:

Source: Any | Destination: Any | Port: 443 | Action: Allow

Utover dette finnes det heller ingen SSL-inspeksjon, for det er ofte “knotete”, for “dyrt”, ikke “nødvendig”, eller “Hva mener du med SSL?”.

Og alle er fornøyde, for https og andre applikasjoner som bruker SSL fungerer slik de skal. Og det er vel hele poenget?

Tja.. I en perfekt verden der alle har gode hensikter så skal jeg være enig med deg.
Men så vet vi alle at vi har disse lurende ute på internett:

blogg_hacker

Det er slik media vil at vi skal tro hackere ser ut..

For når vi ikke inspiserer SSL-trafikk så gjør det effektivt SSL til ett våpen mot deg!
De kriminelle vet veldig godt at de fleste ikke gjør noe med SSL-trafikken, og det har igjen ført til at nesten all malware og exploits bruker SSL i en eller annen form.

Enten via at de kan snike malwaren inn i nettverket via en SSL-sesjon til klienten som har besøkt en infisert side, eller ved at de sender ut data via SSL til sine eksterne servere. Du som har ansvaret for nettverket vet ikke hva som skjer, for alt er skjult i trafikk-loggen under SSL eller HTTPS.

På den måten kan kriminelle være inne på nettverket ditt i måneder, kanskje år før det blir oppdaget. Da er nok skaden allerede skjedd..

Hva skal man da gjøre?
Jo, man må gjøre det vi alle synes er “knot” eller “dyrt”, dere må investere i en løsning for SSL-inspeksjon.
Over 60% av all web-trafikk er nå over SSL\HTTPS, og dette vil bare øke.. snart vil man faktisk være “blind” om man ikke gjør noe.
F.eks er all trafikk mot google nettverket over SSL\HTTPS.

Har man allerede en Palo Alto i nettverket sitt så er man allerede godt skodd, da kan man bare følge denne linken for en rask gjennomgang for hva som må til: Palo Alto SSL Guide
Dette vil også gi Palo Altoen enda ett ledd i sin “kill-chain”, som vil igjen vil øke sikkerheten enda ett nivå for bedriften.

Det er også viktig å huske at SSL-inspeksjon er en veldig krevende prosess, så i noen tilfeller vil ikke eksisterende brannmur være kraftig nok til å håndtere lasten.

Lykke til!

Applipedia!

Den største fordelen med Palo Alto Networks sine brannmurer er at de forholder seg til applikasjoner, og ikke porter. (I de fleste tilfeller)
Dette gjør det lettere og lage en sikker policy, der man heller “whitelister” applikasjonene man vil ha i nettverket sitt. På denne måten sikrer man seg full kontroll på nettverket, samtidig at man slipper å forholde seg til porter, som ofte fører til unødvendige åpninger.

Dette betyr selvfølgelig ingenting om man ikke kan identifisere applikasjoner, men det kan så absolutt Palo Alto Networks!

Sjekk ut denne siden: https://applipedia.paloaltonetworks.com/

Man kan grave seg ned i databasen, og hente ut masse informasjon. Som eksempel har jeg hentet ut info om Spotify og Hola-unblocker, to programmer mange bruker, og man kanskje vil sperre:spotify_blogg

hola_blogg

Man kan hente ut masse god informasjon fra dette, f.eks kan man filtrere på kategorien “Evasive” for å se alle applikasjoner som hadde funnet veien ut via en port-basert brannmur som Palo Alto Networks nå kan stoppe. Eller kanskje man bare vil lære litt?