Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình File Blocking trên PAN VM-series
III. Cấu hình loại trừ File Type trong File Blocking
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình File Blocking trên PAN VM-series
Tính năng File Blocking cho phép xác định các loại tệp cụ thể muốn chặn hoặc giám sát. Đối với hầu hết lưu lượng truy cập (bao gồm cả lưu lượng truy cập trên mạng nội bộ), hãy chặn các tệp được xác định là chứa mối đe dọa hoặc không có trường hợp sử dụng thực sự để tải lên/tải xuống. Hiện tại, chúng bao gồm batch file, DLL, Java class file, help file, Windows shortcut (.lnk) và tệp BitTorrent. Ngoài ra, để cung cấp tính năng bảo vệ tải xuống, hãy cho phép tải xuống/tải lên các tệp thực thi và tệp lưu trữ (.zip và .rar), nhưng buộc người dùng phải thừa nhận rằng họ đang truyền tệp để họ nhận thấy rằng trình duyệt đang cố tải xuống thứ gì đó họ đã không nhận thức được. Đối với các quy định chính sách cho phép duyệt web nói chung, hãy nghiêm ngặt hơn với việc chặn file của bạn vì nguy cơ người dùng vô tình tải file độc hại cao hơn rất nhiều. Đối với loại lưu lượng truy cập này, hãy đính kèm một cấu hình chặn tệp nghiêm ngặt hơn, cấu hình này cũng chặn các tệp thực thi PE.
Lưu ý: Tính năng không cần thiết phải có license đặc biệt mới hoạt động được, nên cấu hình để tránh trường hợp người dùng vô tình tải các file độc hại không biết xuống máy.
Để cấu hình File Blocking tiến hành vào phần OBJECTS > Security Profiles > File Blocking > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin cho File Blocking Profile bao gồm:
Để tính năng File Blocking cần apply nó vào Security Policy trong bài lab sẽ apply vào traffic đi internet của các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
Truy cập vào PC thuộc Subnet 172.16.198.0/24 và tiến hành download File ZIP từ bên ngoài mạng Internet, như kết quả hình bên dưới thấy được file đã được download thành công.
Trên Palo Alto vào phần MONITOR > Logs > Data Filtering sẽ thấy được logs ghi lại thông tin file download do match policy alert trong File Blocking Profile.
Chọn Detail để xem thông tin chi tiết của traffic match policy bao gồm tên file cũng như các thông tin khác của traffic.
Tiếp tục từ PC thuộc subnet 172.16.198.0/24 download 1 file thuộc PE file "Test_PE.exe" thì lúc này sẽ thấy việc download không hoàn thành như hình.
Trên Palo Alto kiểm tra logs sẽ thấy traffic về download file PE "Test_PE.exe" đã bị chặn.
Chọn Detail để xem chi tiết tên File bị chặn cũng như các thông tin khác của traffic đã match policy.
III. Cấu hình loại trừ File Type trong File Blocking
Trong một số trường hợp việc cấu hình File Blocking Profile theo File Type với action block sẽ chặn hết tất cả các traffic liên quan đến File Type đã được định nghĩa mà không có hỗ trợ cấu hình exception. Để giải quyết vấn đề đó cần sử dụng URL CATEGORY để loại trừ một số URL sẽ cho phép download File Type bị chặn. Trong bài lab này sẽ tiến hành tạo 1 URL Category để cho phép download file "Test_PE.exe" từ URL "misp.securityzone.vn" như hình bên dưới. (tham khảo link sau để tạo URL Category)
Sau đó tiến hành tạo 1 Security Policy mới trước Security Policy đã apply cấu hình File Blocking ở trên (Policy cho phép các subnet 172.16.198.0/24 và 172.16.199.0/24 đi Internet) với URL Category đã cấu hình.
Thực hiện truy cập PC thuộc subnet 172.16.198.0/24 và download file "Test_PE.exe" lúc này sẽ thấy file không còn bị chặn download như ở trên nữa.
Trên Palo Alto vào phần Logs > Traffic thấy được traffic download file "Test_PE.exe" đã match với policy có cấu hình URL Category.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình File Blocking trên PAN VM-series
III. Cấu hình loại trừ File Type trong File Blocking
[LAB-10] Cấu hình tính năng File Blocking trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình File Blocking profile để chặn download các file PE và ZIP từ các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 bằng web browser.
- Cấu hình cho phép download file Test_PE.exe từ các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 bằng web browser.
II. Cấu hình File Blocking trên PAN VM-series
Tính năng File Blocking cho phép xác định các loại tệp cụ thể muốn chặn hoặc giám sát. Đối với hầu hết lưu lượng truy cập (bao gồm cả lưu lượng truy cập trên mạng nội bộ), hãy chặn các tệp được xác định là chứa mối đe dọa hoặc không có trường hợp sử dụng thực sự để tải lên/tải xuống. Hiện tại, chúng bao gồm batch file, DLL, Java class file, help file, Windows shortcut (.lnk) và tệp BitTorrent. Ngoài ra, để cung cấp tính năng bảo vệ tải xuống, hãy cho phép tải xuống/tải lên các tệp thực thi và tệp lưu trữ (.zip và .rar), nhưng buộc người dùng phải thừa nhận rằng họ đang truyền tệp để họ nhận thấy rằng trình duyệt đang cố tải xuống thứ gì đó họ đã không nhận thức được. Đối với các quy định chính sách cho phép duyệt web nói chung, hãy nghiêm ngặt hơn với việc chặn file của bạn vì nguy cơ người dùng vô tình tải file độc hại cao hơn rất nhiều. Đối với loại lưu lượng truy cập này, hãy đính kèm một cấu hình chặn tệp nghiêm ngặt hơn, cấu hình này cũng chặn các tệp thực thi PE.
Lưu ý: Tính năng không cần thiết phải có license đặc biệt mới hoạt động được, nên cấu hình để tránh trường hợp người dùng vô tình tải các file độc hại không biết xuống máy.
Để cấu hình File Blocking tiến hành vào phần OBJECTS > Security Profiles > File Blocking > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin cho File Blocking Profile bao gồm:
- Name: Tên của File Blocking Profile
- NAME: tên policy trong File Blocking Profile (thứ tự match rule sẽ từ trên xuống dưới)
- APPLICATIONS: App-ID của traffic thuộc policy
- FILE TYPES: hỗ trợ chọn các loại file khác nhau cùng một lúc
- DIRECTION: chiều hoạt động của traffic có 2 chiều download/upload hoặc cả hai (both)
- ACTION: hành động khi traffic match với Policy bao gồm: continue xuất hiện trang portal cảnh báo về thông tin tệp match policy chọn "continue" để tiếp tục cho phép tệp đi qua, Alert vẫn chp phép tệp được thực hiện nhưng ghi lại cảnh báo trong phần Data Filterings logs, block chặn tệp khi match policy.
Để tính năng File Blocking cần apply nó vào Security Policy trong bài lab sẽ apply vào traffic đi internet của các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
Truy cập vào PC thuộc Subnet 172.16.198.0/24 và tiến hành download File ZIP từ bên ngoài mạng Internet, như kết quả hình bên dưới thấy được file đã được download thành công.
Trên Palo Alto vào phần MONITOR > Logs > Data Filtering sẽ thấy được logs ghi lại thông tin file download do match policy alert trong File Blocking Profile.
Chọn Detail để xem thông tin chi tiết của traffic match policy bao gồm tên file cũng như các thông tin khác của traffic.
Tiếp tục từ PC thuộc subnet 172.16.198.0/24 download 1 file thuộc PE file "Test_PE.exe" thì lúc này sẽ thấy việc download không hoàn thành như hình.
Trên Palo Alto kiểm tra logs sẽ thấy traffic về download file PE "Test_PE.exe" đã bị chặn.
Chọn Detail để xem chi tiết tên File bị chặn cũng như các thông tin khác của traffic đã match policy.
III. Cấu hình loại trừ File Type trong File Blocking
Trong một số trường hợp việc cấu hình File Blocking Profile theo File Type với action block sẽ chặn hết tất cả các traffic liên quan đến File Type đã được định nghĩa mà không có hỗ trợ cấu hình exception. Để giải quyết vấn đề đó cần sử dụng URL CATEGORY để loại trừ một số URL sẽ cho phép download File Type bị chặn. Trong bài lab này sẽ tiến hành tạo 1 URL Category để cho phép download file "Test_PE.exe" từ URL "misp.securityzone.vn" như hình bên dưới. (tham khảo link sau để tạo URL Category)
Sau đó tiến hành tạo 1 Security Policy mới trước Security Policy đã apply cấu hình File Blocking ở trên (Policy cho phép các subnet 172.16.198.0/24 và 172.16.199.0/24 đi Internet) với URL Category đã cấu hình.
Thực hiện truy cập PC thuộc subnet 172.16.198.0/24 và download file "Test_PE.exe" lúc này sẽ thấy file không còn bị chặn download như ở trên nữa.
Trên Palo Alto vào phần Logs > Traffic thấy được traffic download file "Test_PE.exe" đã match với policy có cấu hình URL Category.
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)