Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Data Filtering trên PAN VM-series
III. Cấu hình Security Profile Groups trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình Data Filtering trên PAN VM-series
Data Filtering là một tính năng quan trọng của Next-Generation Firewall (NGFW) Palo Alto Networks, giúp bảo vệ mạng khỏi các mối đe dọa dựa trên dữ liệu như:
Data Filtering trên Palo Alto Networks hoạt động bằng cách sử dụng các chính sách được định nghĩa bởi người dùng để xác định và kiểm soát lưu lượng truy cập dựa trên các tiêu chí sau:
Các đặc điểm của tính năng Data Filtering trên Palo Alto:
Trước tiên để cấu hình tính năng Data Filtering, cần phải định nghĩa các mẫu dữ liệu (hay là Data Pattern) ở trong phần OBJECTS > Custom Objects > Data Patterns > chọn Add.
Tiếp theo tiến hành điền tên cho mẫu và chọn loại mẫu ở đây tiến hành chọn mẫu Predefined Pattern (Sử dụng Predefined Pattern để quét các tệp để tìm số CCCD và số thẻ tín dụng). Tiến hành chọn loại dữ liệu về Credit Card Numbers sẽ giúp xác định các thẻ ngân hàng (số thẻ tín dụng gồm 16 chữ số), đối với số CCCD chọn Social Security Numbers (without dash separator) (số CCCD 9 chữ số không có dấu gạch ngang).
Lưu ý: tùy vào loại dữ liệu muốn xác định mà lựa chọn phù hợp tất cả các Predefined Pattern hỗ trợ được liệt kê theo link sau.
Sau đó tiến hành cấu hình Data Filtering Profile trong phần OBJECTS > Security Profiles > Data Filtering > chọn Add.
Tiến hành điền tên cho Profile và cấu hình các thông tin sau:
Tiếp theo để Data Filtering hoạt động cần apply vào Security Policy, trong bài lab này sẽ apply vào Policy cho phép giao tiếp của các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24
Trên PC thuộc subnet 172.16.198.0/24 tiến hành tạo 2 File với định dạng Credit Card và CCCD như hình bên dưới.
Lưu ý: phải tuân thủ theo format mà Predefied Pattern đề ra, nếu không thì tính năng Data Filtering sẽ không hoạt động được.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập SMB vào PC thuộc subnet 172.16.198.0/24 để tiến hành download và mở File liên quan đến Credit Card. Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Tương tự từ PC thuộc subnet 172.16.199.0/24 truy cập SMB vào PC thuộc subnet 172.16.198.0/24 để tiến hành download và mở File liên quan đến CCCD. Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Trên Firewall Palo Alto tiến hành truy cập phần MONITOR > Logs > Data Filtering sẽ thấy các log liên quan đến việc các traffic vi phạm chính sách.
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm. lưu ý bởi vì thông qua giao thức SMB nên sẽ không hiển thị được tên của File vi phạm.
Định nghĩa các mẫu dữ liệu dạng File Properties (Quét các tập tin để tìm các thuộc tính và giá trị tập tin cụ thể) tiến hành tương tự nhưng ở phần Pattern Type chọn File Properties. Đồng thời tiến hành cấu hình để xác định các File Word có chứa tag là "Password".
Tiếp theo tiến hành add Data Pattern này vào Data Filtering Profile đã tạo và cấu hình match với tất cả ứng dụng với tất cả loại file theo 2 chiều thực hiện cảnh bảo và block khi phát hiện giá trị Data Pattern xuất hiện 1 lần trong File.
Trên PC thuộc subnet 172.16.198.0/24 tiến hành tạo File Word với tag "Password" như hình bên dưới.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập FTP vào FTP server thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa tag "Password". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Trên Firewall Palo Alto tiến hành truy cập phần MONITOR > Logs > Data Filtering sẽ thấy các log liên quan đến việc các traffic vi phạm chính sách.
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm, đồng thời sẽ thấy được tên File đã vi phạm chính sách.
II.3. Cấu hình Data Filtering dựa vào Regular Expression
Định nghĩa các mẫu dữ liệu dạng Regular Expression (Tạo các mẫu dữ liệu tùy chỉnh bằng cách sử dụng Regex) tiến hành tương tự nhưng ở phần Pattern Type chọn Regular Expression. Đồng thời tiến hành cấu hình để xác định các File có chứa nội dung "confidential" hoặc "CONFIDENTIAL".
Tiếp theo tiến hành add Data Pattern này vào Data Filtering Profile đã tạo và cấu hình match với tất cả ứng dụng với tất cả loại file theo 2 chiều thực hiện cảnh bảo và block khi phát hiện giá trị Data Pattern xuất hiện 1 lần trong File.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập FTP vào FTP server thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa nội dung vơi từ khóa "confidential" hoặc "CONFIDENTIAL". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập SMB vào PC thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa nội dung vơi từ khóa "confidential" hoặc "CONFIDENTIAL". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Trên Firewall Palo Alto tiến hành truy cập phần MONITOR > Logs > Data Filtering sẽ thấy các log liên quan đến việc các traffic vi phạm chính sách.
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm, đồng thời sẽ thấy được tên File đã vi phạm chính sách.
III. Cấu hình Security Profile Groups trên PAN VM-series
Tính năng Security Profile Groups giúp nhóm các Security Profile lại với nhau và áp dụng cho từng vùng phù hợp cho việc phân chia chính sách bảo mật cho từng vùng. Để cấu hình vào phần OBJECTS > Security Profile Groups > chọn Add.
Tiếp theo tiến hành điền tên cho Group và chọn các Security Profiles phù hợp như hình bên dưới.
Tiến hành áp dụng cho Security Policy thay vì ở phần Profile Type chọn Profiles thì lúc này chọn Group và ở phần Group Profile chọn Security Profile Group đã cấu hình phù hợp với từng phân vùng mạng.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Data Filtering trên PAN VM-series
III. Cấu hình Security Profile Groups trên PAN VM-series
[LAB-12] Cấu hình tính năng Data Filtering trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình Data Filtering profile để ngăn chặc các file được định nghĩa (thông tin credit cards, SSN) được chia sẻ giữa các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
- Cấu hình Data Filtering profile để ngăn chặc các file word với tag "Password" được chia sẻ giữa các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
- Cấu hình Data Filtering profile để ngăn chặc các file word với tag "Password" được chia sẻ giữa các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
- Cấu hình Data Filtering profile để ngăn chặc các file có chứa từ "confidential hoặc CONFIDENTIAL" được chia sẻ giữa các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
- Cấu hình Security Profile Groups để nhóm các Securtiy Profile thành các nhóm thích hợp.
II. Cấu hình Data Filtering trên PAN VM-series
Data Filtering là một tính năng quan trọng của Next-Generation Firewall (NGFW) Palo Alto Networks, giúp bảo vệ mạng khỏi các mối đe dọa dựa trên dữ liệu như:
- Rò rỉ dữ liệu nhạy cảm: Ngăn chặn việc truyền dữ liệu nhạy cảm như thông tin cá nhân, dữ liệu tài chính hoặc tài sản trí tuệ ra khỏi mạng.
- Tấn công tiêm nhiễm mã độc: Lọc các tệp đính kèm email, tệp tải xuống và lưu lượng truy cập web có thể chứa mã độc hại.
- Lạm dụng dữ liệu: Giới hạn việc sử dụng các ứng dụng và trang web nhất định để ngăn chặn việc lãng phí thời gian làm việc hoặc truy cập nội dung không phù hợp.
Data Filtering trên Palo Alto Networks hoạt động bằng cách sử dụng các chính sách được định nghĩa bởi người dùng để xác định và kiểm soát lưu lượng truy cập dựa trên các tiêu chí sau:
- Loại dữ liệu: Hình ảnh, tài liệu, video, âm thanh,...
- Nội dung tệp: Sử dụng các kỹ thuật quét nội dung như DLP (Data Loss Prevention) để xác định và chặn dữ liệu nhạy cảm.
- Ứng dụng: Kiểm soát việc sử dụng các ứng dụng cụ thể như mạng xã hội, trò chơi trực tuyến,...
Các đặc điểm của tính năng Data Filtering trên Palo Alto:
- Xác định và chặn việc truyền mẫu dữ liệu cụ thể được tìm thấy trong lưu lượng mạng.
- Cho phép phát hiện các thông tin nhạy cảm như thẻ tín dụng hoặc số CCCD.
- Lọc dữ liệu cho phép phát hiện thông tin nhạy cảm như tài liệu nội bộ của công ty.
- Cũng cho phép lọc các từ khóa, chẳng hạn như tên dự án nhạy cảm hoặc từ bí mật.
- Có ba Loại mẫu dữ liệu: Predefined, Regular Expression và File Properties.
Trước tiên để cấu hình tính năng Data Filtering, cần phải định nghĩa các mẫu dữ liệu (hay là Data Pattern) ở trong phần OBJECTS > Custom Objects > Data Patterns > chọn Add.
Tiếp theo tiến hành điền tên cho mẫu và chọn loại mẫu ở đây tiến hành chọn mẫu Predefined Pattern (Sử dụng Predefined Pattern để quét các tệp để tìm số CCCD và số thẻ tín dụng). Tiến hành chọn loại dữ liệu về Credit Card Numbers sẽ giúp xác định các thẻ ngân hàng (số thẻ tín dụng gồm 16 chữ số), đối với số CCCD chọn Social Security Numbers (without dash separator) (số CCCD 9 chữ số không có dấu gạch ngang).
Lưu ý: tùy vào loại dữ liệu muốn xác định mà lựa chọn phù hợp tất cả các Predefined Pattern hỗ trợ được liệt kê theo link sau.
Sau đó tiến hành cấu hình Data Filtering Profile trong phần OBJECTS > Security Profiles > Data Filtering > chọn Add.
Tiến hành điền tên cho Profile và cấu hình các thông tin sau:
- Data Capture: Chọn tùy chọn này để tự động thu thập dữ liệu bị bộ lọc chặn.
- Data Pattern: Thêm mẫu dữ liệu hiện có để sử dụng cho việc lọc hoặc chọn New để cấu hình.
- Applications: Chỉ định các ứng dụng cần đưa vào quy tắc lọc, giúp ích cho việc giới hạn phạm vi lọc dữ liệu.
- File Types: Chỉ định loại File cần đưa vào quy tắc lọc, giúp ích cho việc giới hạn phạm vi lọc dữ liệu.
- Direction: Áp dụng bộ lọc theo hướng tải lên, hướng tải xuống hoặc cả hai.
- Alert Threshold: Chỉ định số lần mẫu dữ liệu phải được phát hiện trong tệp để kích hoạt cảnh báo.
- Block Threshold: Chỉ định số lần mẫu dữ liệu phải được phát hiện trong tệp để kích hoạt chặn.
- Log Severity: Xác định mức độ nghiêm trọng của nhật ký được ghi lại cho các sự kiện khớp với chính sách này.
Tiếp theo để Data Filtering hoạt động cần apply vào Security Policy, trong bài lab này sẽ apply vào Policy cho phép giao tiếp của các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24
Trên PC thuộc subnet 172.16.198.0/24 tiến hành tạo 2 File với định dạng Credit Card và CCCD như hình bên dưới.
Lưu ý: phải tuân thủ theo format mà Predefied Pattern đề ra, nếu không thì tính năng Data Filtering sẽ không hoạt động được.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập SMB vào PC thuộc subnet 172.16.198.0/24 để tiến hành download và mở File liên quan đến Credit Card. Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
| 
|
| 
|
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm. lưu ý bởi vì thông qua giao thức SMB nên sẽ không hiển thị được tên của File vi phạm.
Định nghĩa các mẫu dữ liệu dạng File Properties (Quét các tập tin để tìm các thuộc tính và giá trị tập tin cụ thể) tiến hành tương tự nhưng ở phần Pattern Type chọn File Properties. Đồng thời tiến hành cấu hình để xác định các File Word có chứa tag là "Password".
Tiếp theo tiến hành add Data Pattern này vào Data Filtering Profile đã tạo và cấu hình match với tất cả ứng dụng với tất cả loại file theo 2 chiều thực hiện cảnh bảo và block khi phát hiện giá trị Data Pattern xuất hiện 1 lần trong File.
Trên PC thuộc subnet 172.16.198.0/24 tiến hành tạo File Word với tag "Password" như hình bên dưới.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập FTP vào FTP server thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa tag "Password". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Trên Firewall Palo Alto tiến hành truy cập phần MONITOR > Logs > Data Filtering sẽ thấy các log liên quan đến việc các traffic vi phạm chính sách.
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm, đồng thời sẽ thấy được tên File đã vi phạm chính sách.
II.3. Cấu hình Data Filtering dựa vào Regular Expression
Định nghĩa các mẫu dữ liệu dạng Regular Expression (Tạo các mẫu dữ liệu tùy chỉnh bằng cách sử dụng Regex) tiến hành tương tự nhưng ở phần Pattern Type chọn Regular Expression. Đồng thời tiến hành cấu hình để xác định các File có chứa nội dung "confidential" hoặc "CONFIDENTIAL".
Tiếp theo tiến hành add Data Pattern này vào Data Filtering Profile đã tạo và cấu hình match với tất cả ứng dụng với tất cả loại file theo 2 chiều thực hiện cảnh bảo và block khi phát hiện giá trị Data Pattern xuất hiện 1 lần trong File.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập FTP vào FTP server thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa nội dung vơi từ khóa "confidential" hoặc "CONFIDENTIAL". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Tiến hành từ PC thuộc subnet 172.16.199.0/24 truy cập SMB vào PC thuộc subnet 172.16.198.0/24 để tiến hành download và mở File word có chứa nội dung vơi từ khóa "confidential" hoặc "CONFIDENTIAL". Lúc này sẽ thấy xuất hiện cảnh báo không thể hoàn thành tác vụ.
Trên Firewall Palo Alto tiến hành truy cập phần MONITOR > Logs > Data Filtering sẽ thấy các log liên quan đến việc các traffic vi phạm chính sách.
Chọn Detail để xem chi tiết thông tin traffic bị vi phạm cũng như số lượng vi phạm, đồng thời sẽ thấy được tên File đã vi phạm chính sách.
III. Cấu hình Security Profile Groups trên PAN VM-series
Tính năng Security Profile Groups giúp nhóm các Security Profile lại với nhau và áp dụng cho từng vùng phù hợp cho việc phân chia chính sách bảo mật cho từng vùng. Để cấu hình vào phần OBJECTS > Security Profile Groups > chọn Add.
Tiếp theo tiến hành điền tên cho Group và chọn các Security Profiles phù hợp như hình bên dưới.
Tiến hành áp dụng cho Security Policy thay vì ở phần Profile Type chọn Profiles thì lúc này chọn Group và ở phần Group Profile chọn Security Profile Group đã cấu hình phù hợp với từng phân vùng mạng.
Attachments
Last edited:
![[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)