phile

Internship/Fresher
Jan 4, 2021
87
16
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình DoS Protection trên PAN VM-series

[LAB-13] Cấu hình tính năng DoS Protection trên PAN VM-series

Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

I. Giới thiệu về mô hình bài Lab

Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.16.198.0/24 và 172.16.199.0/24
  • Server network: 172.16.100.0/24 và 172.16.10.0/24
Gateway lần lượt được cấu hình trên PAN VM-series: 10.120.190.50/24, 172.16.198.250, 172.16.198.250, 172.16.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình DoS Protection profile để ngăn chặc tấn công SYN Flood từ bên ngoài vào Server 172.16.10.100
  • Cấu hình DoS Protection profile để ngăn chặc tấn công ICMP Flood trong mạng nội bộ giữa các Subnet 172.16.198.0/24 và 172.16.199.0/24
1712657167379.png


II. Cấu hình DoS Protection trên PAN VM-series

DoS Protection (viết tắt của Denial-of-Service Protection) là một tập hợp các tính năng trên Firewall Palo Alto giúp bảo vệ mạng của bạn khỏi các cuộc tấn công DoS. Tấn công DoS cố gắng làm cho các thiết bị mạng không thể truy cập được bằng cách làm gián đoạn các dịch vụ. Nó cố gắng làm gián đoạn các dịch vụ mạng bằng cách làm mạng quá tải với lưu lượng không mong muốn.

Tính năng DoS Protection trên Palo Alto gồm các đặc điểm:
  • Các tính năng bảo vệ DoS của PAN-OS bảo vệ tường lửa của bạn khỏi tất cả các kiểu tấn công flooding.
  • Tính năng DoS Protection trên PAN-OS có thể bảo vệ một thiết bị hoặc một nhóm thiết bị khỏi các kiểu tấn công DoS.
  • Cấu hình bảo vệ DoS có thể được sử dụng để giảm thiểu một số loại tấn công DoS như: Syn Flood, ICPMP Flood, UDP Flood,...
  • DoS Protection trên PAN-OS hoạt động theo dạng Rate Limiting chỉ cho phép giới hạn các gói tin ở một ngưỡng nào đó nếu vượt ngưỡng sẽ tiến hành action. Chưa có hỗ trợ chống DoS bằng các công nghệ tiên tiến như: AI, behavior,...
  • Tính năng DoS Protection trên Firewall Palo Alto là tính năng không cần phải có license đặc biệt để hoạt động. Tính năng này áp dụng cho 1 server cụ thể (Classified) hay một nhóm thiết bị (Aggregate) cần bảo vệ.
Phân biệt 2 loại DoS Protection trên Firewall Palo Alto:
Aggregate:
  • Áp dụng ngưỡng DoS được cấu hình trong hồ sơ cho tất cả các gói phù hợp với tiêu chí quy tắc.
  • Cấu hình Aggregate cho phép tạo tốc độ phiên tối đa cho tất cả chính sách khớp gói.
  • Ví dụ: quy tắc Aggregate có ngưỡng tràn SYN là 10000 pps sẽ tính tất cả các gói.
Classified:
  • Áp dụng ngưỡng DoS được cấu hình trong hồ sơ cho tất cả các gói đáp ứng tiêu chí phân loại.
  • Classified profile cho phép tạo ngưỡng áp dụng cho một IP nguồn duy nhất.
  • Ví dụ: được phân loại như IP nguồn, IP đích hoặc IP nguồn và đích

Lưu ý: theo khuyến nghị của hãng để phòng chống DoS attack chỉ cần sử dụng DoS Protection cho các thiết bị cụ thể (Classified) còn để bảo vệ các thiết bị thì sử dụng tính năng Zone Protection (chi tiết được để cập ở link sau)

Vì tính năng DoS Protection hoạt động theo dạng Rate Limitting nên trước hết cần phải xác định được các thông số sau:
  • peak CPS: số lượng kết nối trên 1 giây cao nhất
  • average CPS: số lượng kết nối trên 1 giây trung bình
Có nhiều cách để xác định các thông số này: có thể thông qua Panorama, SNMP (lấy giá ra nhận được chia 2 mới ra số CPS thực tế), CLI. Trong trường hợp muốn đo bằng giao diện của Firewall Palo Alto thì vào phần ACC > chỉnh time trong 7 ngày > Network Actitvity > tại phần Source hoặc Destination IP Activity sẽ thấy được các thông số này như hình bên dưới. (đổi 7 ngày ra giây thành 604,800 rồi lấy giá trị trong phần Destination IP Activity chia cho 604,800 sẽ ra được giá trị average CPS)
1712657956963.png

Sau khi đã xác định được 2 giá trị cần thiết tùy vào loại Flooding Acttack mà cần phải cài đặt các thông số:
  • Alert: ngưỡng mà hệ thống sẽ cảnh báo do số lượng connection/s tăng đột ngột nhưng vẫn cho phép lưu lượng đi qua Firewall (thông thường nó sẽ tăng 20% so với average CPS)
  • Activate: ngưỡng mà hệ thống nhận định là có tấn công sẽ thực hiện các action cài đặt khi connection vượt ngưỡng (thông thường nó sẽ tăng 20% so với Alert)
  • Maximum: ngưỡng connection/s mà hệ thống chấp nhận nếu vượt ngưỡng sẽ tiến hành chặn các connection mới cho tới khi nó hạ xuống dưới mức này (sẽ có 3 kiểu cấu hình giá trị này: đầu tiên là nó tăng 20% so với peak CPS, hoặc dựa vào CPU nếu CPU dưới 50% thì nó gấp 3 lần Activate còn CPU trên 50% thì nó gấp 2 lần Activate tùy trường hợp mà cấu hình giá trị theo các cách phù hợp)
  • Block Duration: thời gian mà connection mới bị chặn khi nó vượt quá ngưỡng khi hết thời gian này thì traffic mới được xử lý tiếp
Như hình bên dưới sẽ thấy được cách hoạt động của DoS Protection, khi bị tấn công tùy vào cấu hình Rate Limitting mà traffic sẽ được cho phép đi qua hoặc bị chặn.
1712657845332.png



Để cấu hình DoS Protection trước hết cần tạo Profile trong phần OBJECTS > Security Profiles > DoS Protection > chọn Add.
1712657964669.png

Tiếp theo tiến hành cấu hình các thông tin cho DoS Profile, vì yêu cầu của bài lab nên sẽ cấu hình dạng Classified để bảo vệ web server 172.16.10.100 (Nated IP: 10.120.190.51), bao gồm các thông tin: (giả sử peak CPS của server là : 2500 và average là: 1500)
  • Name: tên của DoS Protection profile
  • Type: Classified Áp dụng các ngưỡng DoS được cấu hình trong cấu hình cho từng kết nối riêng lẻ phù hợp với tiêu chí phân loại (IP nguồn địa chỉ IP đích hoặc cặp địa chỉ IP nguồn và đích).
Tại cấu hình chống SYN Flood tiến hành cấu hình các thông tin sau:
Action: SYN cookies sử dụng cookie SYN để tạo xác nhận để không cần phải ngắt kết nối trong cuộc tấn công SYN flood (nếu cấu hình là Random Early Drop sẽ drop ngẫu nhiên khi kết nối mỗi giây đạt ngưỡng Activate)
  • Alarm Rate: Ngưỡng cảnh báo khi số connection/s bị cao, nên cấu hình tăng 20% so với CPS average = 1500*1.2 = 1800
  • Activate Rate: Ngưỡng kích hoạt action khi số connection/s vượt ngưỡng, nên cấu hình bằng với Max Rate = 3000 trong trường hợp Action là SYN cookies hoặc tăng 20% Alarm Rate trong trường hợp dùng Random Early Drop
  • Max Rate: Số lượng kết nối tối đa nếu vượt ngưỡng sẽ bị drop, nên cấu hình nó tăng 20% so với peak CPS = 2500*1.2 = 3000 hoặc tùy vào CPU
  • Block Duration: Chỉ định khoảng thời gian (giây) trong đó địa chỉ IP vi phạm vẫn nằm trong danh sách Block IP và các kết nối có địa chỉ IP đó sẽ bị chặn
1712657981476.png

Tiếp theo tại phần Resources Protection sẽ tiến hành cấu hình thông tin Max Concurrent Limit để chỉ định số lượng phiên đồng thời tối đa.
1712657995352.png

Để tính năng DoS Protection hoạt động cần tiến hành tạo Policy để áp dụng Profile vừa cấu hình tại phần POLICIES > DoS Protection > chọn Add.
1712658004226.png

Tiến hành tạo như Security Policy, trước hết định nghĩa tên của DoS Protection Policy ở phần General.
1712658963614.png

Tại phần Source tiến hành cấu hình thông tin nơi traffic bắt đầu, ở bài lab này sẽ là từ bên ngoài vào nên source là ouside_zone.
1712659000630.png

Tại phần Destination tiến hành cấu hình đích của traffic ở bài Lab này sẽ là web server (địa chỉ public đã Nated 10.120.190.51).
1712658474328.png

Tại phần Option/Protection tiến hành cấu hình service muốn bảo vệ đồng thời tại phần chọn Protect (sẽ dựa vào các thông số đã cấu hình trong DoS Protection Profile để xử lý traffic ngoài ra còn có action allow và block). Sau cùng chọn vào Classified và chọn profile đã cấu hình cho server cũng như lựa chọn Address (các kết nối đến có được tính vào ngưỡng trong cấu hình hay không nếu chúng khớp với chỉ ip nguồn, chỉ ip đích hoặc cả hai src-dest-ip) là destination-ip-only khi traffic source từ internet.
1712658484272.png

Từ một thiết bị bên ngoài thực hiện giả lập tấn công SYN Flood bằng lệnh hping vào IP public web server 10.120.190.51 với số lượng connection là 1900 connection/s (hping3 -i u20 -S -p 80 -c 1900 <IP>). Lúc này vẫn thấy việc truy cập server bằng port 80 vẫn hoạt động bình thường vì 1900 connection/s chỉ mới vượt ngưỡng Alert (1800) đã cấu hình.
1712658743141.png

Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng là 99.
1712658732218.png

Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...

Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
1712658864311.png

Lúc này tiếp tục giả lập tấn công SYN Flood nhưng với connection là 3500 connection/s sẽ thấy được việc truy cập server bằng port 80 đã bị chặn do ngưỡng Max Rate đã cấu hình là 3000.
1712658761536.png

Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng alert là 1201 (1800 + 1201 = 3001 vượt ngưỡng Max Rate), nên các gói tin sau sẽ bị block 498 gói (3001 + 498 = 3499 tương đương với số gói tin giả lập tấn công)
1712658773435.png

Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...

Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
1712658846733.png



Để cấu hình DoS Protection bảo vệ một nhóm thiết bị khỏi tấn công ICMP Flood tiến hành vào tạo 1 DoS Protection Profile với Type là Aggregate tại tab Flood Protection chọn ICMP Flood và định nghĩa các thông số: (giả sử peak CPS group là 100 connection/s ICMP và average là 50)
  • Alarm rate: tăng 20% so với average CPS = 50 *1.2 = 75
  • Activate Rate: tăng 20% so với Alarm Rate = 75*1.2 = 90
  • Max Rate: tăng 20% so với peak CPS = 100*1.2 = 120
  • Block Duration: thời gian chặn khi ICMP connection vượt ngưỡng.
1712659149206.png

Sau đó tiến hành tạo DoS Protection Policy để bảo vệ ICMP giữa các subnet nội bộ trong internal_zone.
1712659302236.png

Tại phần Source và Destination sẽ để là inside_zone để match với các traffic thuộc các subnet 172.16.198.0/24 và 172.16.199.0/24
1712659308633.png
1712659621623.png
Tại phần Option/Protection sẽ chọn Action là Protec và tại phần Aggregate sẽ chọn DoS Protection Profile đã cấu hình.
1712659476788.png

Trên PC thuộc subnet 172.16.198.0/24 sẽ thực hiện giả lập tấn công ICMP Flood bằng hping3 (hping3 <IP> --flood --rand-source --icmp -c 5000) sẽ thấy lúc này gói ping từ các PC khác tới subnet 172.16.199.0/24 sẽ không hoạt động.
1712659483186.png

Trên Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được các traffic ICMP Flood đã được phát hiện vào tiến hành drop traffic ICMP trong vòng 300s.
1712659493807.png

Chọn Detail để quan sát thông tin chi tiết của traffic vi phạm chính sách DoS Protection đã được cấu hình
1712659500068.png
 

Attachments

  • 1712658327695.png
    1712658327695.png
    89.1 KB · Views: 0
  • 1712658399154.png
    1712658399154.png
    94.9 KB · Views: 0
  • 1712659227130.png
    1712659227130.png
    113.3 KB · Views: 0
  • 1712659317018.png
    1712659317018.png
    99.7 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu