Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình DoS Protection trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình DoS Protection trên PAN VM-series
DoS Protection (viết tắt của Denial-of-Service Protection) là một tập hợp các tính năng trên Firewall Palo Alto giúp bảo vệ mạng của bạn khỏi các cuộc tấn công DoS. Tấn công DoS cố gắng làm cho các thiết bị mạng không thể truy cập được bằng cách làm gián đoạn các dịch vụ. Nó cố gắng làm gián đoạn các dịch vụ mạng bằng cách làm mạng quá tải với lưu lượng không mong muốn.
Tính năng DoS Protection trên Palo Alto gồm các đặc điểm:
Aggregate:
Lưu ý: theo khuyến nghị của hãng để phòng chống DoS attack chỉ cần sử dụng DoS Protection cho các thiết bị cụ thể (Classified) còn để bảo vệ các thiết bị thì sử dụng tính năng Zone Protection (chi tiết được để cập ở link sau)
Vì tính năng DoS Protection hoạt động theo dạng Rate Limitting nên trước hết cần phải xác định được các thông số sau:
Sau khi đã xác định được 2 giá trị cần thiết tùy vào loại Flooding Acttack mà cần phải cài đặt các thông số:
Để cấu hình DoS Protection trước hết cần tạo Profile trong phần OBJECTS > Security Profiles > DoS Protection > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin cho DoS Profile, vì yêu cầu của bài lab nên sẽ cấu hình dạng Classified để bảo vệ web server 172.16.10.100 (Nated IP: 10.120.190.51), bao gồm các thông tin: (giả sử peak CPS của server là : 2500 và average là: 1500)
Action: SYN cookies sử dụng cookie SYN để tạo xác nhận để không cần phải ngắt kết nối trong cuộc tấn công SYN flood (nếu cấu hình là Random Early Drop sẽ drop ngẫu nhiên khi kết nối mỗi giây đạt ngưỡng Activate)
Tiếp theo tại phần Resources Protection sẽ tiến hành cấu hình thông tin Max Concurrent Limit để chỉ định số lượng phiên đồng thời tối đa.
Để tính năng DoS Protection hoạt động cần tiến hành tạo Policy để áp dụng Profile vừa cấu hình tại phần POLICIES > DoS Protection > chọn Add.
Tiến hành tạo như Security Policy, trước hết định nghĩa tên của DoS Protection Policy ở phần General.
Tại phần Source tiến hành cấu hình thông tin nơi traffic bắt đầu, ở bài lab này sẽ là từ bên ngoài vào nên source là ouside_zone.
Tại phần Destination tiến hành cấu hình đích của traffic ở bài Lab này sẽ là web server (địa chỉ public đã Nated 10.120.190.51).
Tại phần Option/Protection tiến hành cấu hình service muốn bảo vệ đồng thời tại phần chọn Protect (sẽ dựa vào các thông số đã cấu hình trong DoS Protection Profile để xử lý traffic ngoài ra còn có action allow và block). Sau cùng chọn vào Classified và chọn profile đã cấu hình cho server cũng như lựa chọn Address (các kết nối đến có được tính vào ngưỡng trong cấu hình hay không nếu chúng khớp với chỉ ip nguồn, chỉ ip đích hoặc cả hai src-dest-ip) là destination-ip-only khi traffic source từ internet.
Từ một thiết bị bên ngoài thực hiện giả lập tấn công SYN Flood bằng lệnh hping vào IP public web server 10.120.190.51 với số lượng connection là 1900 connection/s (hping3 -i u20 -S -p 80 -c 1900 <IP>). Lúc này vẫn thấy việc truy cập server bằng port 80 vẫn hoạt động bình thường vì 1900 connection/s chỉ mới vượt ngưỡng Alert (1800) đã cấu hình.
Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng là 99.
Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...
Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
Lúc này tiếp tục giả lập tấn công SYN Flood nhưng với connection là 3500 connection/s sẽ thấy được việc truy cập server bằng port 80 đã bị chặn do ngưỡng Max Rate đã cấu hình là 3000.
Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng alert là 1201 (1800 + 1201 = 3001 vượt ngưỡng Max Rate), nên các gói tin sau sẽ bị block 498 gói (3001 + 498 = 3499 tương đương với số gói tin giả lập tấn công)
Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...
Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
Để cấu hình DoS Protection bảo vệ một nhóm thiết bị khỏi tấn công ICMP Flood tiến hành vào tạo 1 DoS Protection Profile với Type là Aggregate tại tab Flood Protection chọn ICMP Flood và định nghĩa các thông số: (giả sử peak CPS group là 100 connection/s ICMP và average là 50)
Sau đó tiến hành tạo DoS Protection Policy để bảo vệ ICMP giữa các subnet nội bộ trong internal_zone.
Tại phần Source và Destination sẽ để là inside_zone để match với các traffic thuộc các subnet 172.16.198.0/24 và 172.16.199.0/24
Tại phần Option/Protection sẽ chọn Action là Protec và tại phần Aggregate sẽ chọn DoS Protection Profile đã cấu hình.
Trên PC thuộc subnet 172.16.198.0/24 sẽ thực hiện giả lập tấn công ICMP Flood bằng hping3 (hping3 <IP> --flood --rand-source --icmp -c 5000) sẽ thấy lúc này gói ping từ các PC khác tới subnet 172.16.199.0/24 sẽ không hoạt động.
Trên Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được các traffic ICMP Flood đã được phát hiện vào tiến hành drop traffic ICMP trong vòng 300s.
Chọn Detail để quan sát thông tin chi tiết của traffic vi phạm chính sách DoS Protection đã được cấu hình
I. Giới thiệu về mô hình bài Lab
II. Cấu hình DoS Protection trên PAN VM-series
[LAB-13] Cấu hình tính năng DoS Protection trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình DoS Protection profile để ngăn chặc tấn công SYN Flood từ bên ngoài vào Server 172.16.10.100
- Cấu hình DoS Protection profile để ngăn chặc tấn công ICMP Flood trong mạng nội bộ giữa các Subnet 172.16.198.0/24 và 172.16.199.0/24
II. Cấu hình DoS Protection trên PAN VM-series
DoS Protection (viết tắt của Denial-of-Service Protection) là một tập hợp các tính năng trên Firewall Palo Alto giúp bảo vệ mạng của bạn khỏi các cuộc tấn công DoS. Tấn công DoS cố gắng làm cho các thiết bị mạng không thể truy cập được bằng cách làm gián đoạn các dịch vụ. Nó cố gắng làm gián đoạn các dịch vụ mạng bằng cách làm mạng quá tải với lưu lượng không mong muốn.
Tính năng DoS Protection trên Palo Alto gồm các đặc điểm:
- Các tính năng bảo vệ DoS của PAN-OS bảo vệ tường lửa của bạn khỏi tất cả các kiểu tấn công flooding.
- Tính năng DoS Protection trên PAN-OS có thể bảo vệ một thiết bị hoặc một nhóm thiết bị khỏi các kiểu tấn công DoS.
- Cấu hình bảo vệ DoS có thể được sử dụng để giảm thiểu một số loại tấn công DoS như: Syn Flood, ICPMP Flood, UDP Flood,...
- DoS Protection trên PAN-OS hoạt động theo dạng Rate Limiting chỉ cho phép giới hạn các gói tin ở một ngưỡng nào đó nếu vượt ngưỡng sẽ tiến hành action. Chưa có hỗ trợ chống DoS bằng các công nghệ tiên tiến như: AI, behavior,...
- Tính năng DoS Protection trên Firewall Palo Alto là tính năng không cần phải có license đặc biệt để hoạt động. Tính năng này áp dụng cho 1 server cụ thể (Classified) hay một nhóm thiết bị (Aggregate) cần bảo vệ.
Aggregate:
- Áp dụng ngưỡng DoS được cấu hình trong hồ sơ cho tất cả các gói phù hợp với tiêu chí quy tắc.
- Cấu hình Aggregate cho phép tạo tốc độ phiên tối đa cho tất cả chính sách khớp gói.
- Ví dụ: quy tắc Aggregate có ngưỡng tràn SYN là 10000 pps sẽ tính tất cả các gói.
- Áp dụng ngưỡng DoS được cấu hình trong hồ sơ cho tất cả các gói đáp ứng tiêu chí phân loại.
- Classified profile cho phép tạo ngưỡng áp dụng cho một IP nguồn duy nhất.
- Ví dụ: được phân loại như IP nguồn, IP đích hoặc IP nguồn và đích
Lưu ý: theo khuyến nghị của hãng để phòng chống DoS attack chỉ cần sử dụng DoS Protection cho các thiết bị cụ thể (Classified) còn để bảo vệ các thiết bị thì sử dụng tính năng Zone Protection (chi tiết được để cập ở link sau)
Vì tính năng DoS Protection hoạt động theo dạng Rate Limitting nên trước hết cần phải xác định được các thông số sau:
- peak CPS: số lượng kết nối trên 1 giây cao nhất
- average CPS: số lượng kết nối trên 1 giây trung bình
Sau khi đã xác định được 2 giá trị cần thiết tùy vào loại Flooding Acttack mà cần phải cài đặt các thông số:
- Alert: ngưỡng mà hệ thống sẽ cảnh báo do số lượng connection/s tăng đột ngột nhưng vẫn cho phép lưu lượng đi qua Firewall (thông thường nó sẽ tăng 20% so với average CPS)
- Activate: ngưỡng mà hệ thống nhận định là có tấn công sẽ thực hiện các action cài đặt khi connection vượt ngưỡng (thông thường nó sẽ tăng 20% so với Alert)
- Maximum: ngưỡng connection/s mà hệ thống chấp nhận nếu vượt ngưỡng sẽ tiến hành chặn các connection mới cho tới khi nó hạ xuống dưới mức này (sẽ có 3 kiểu cấu hình giá trị này: đầu tiên là nó tăng 20% so với peak CPS, hoặc dựa vào CPU nếu CPU dưới 50% thì nó gấp 3 lần Activate còn CPU trên 50% thì nó gấp 2 lần Activate tùy trường hợp mà cấu hình giá trị theo các cách phù hợp)
- Block Duration: thời gian mà connection mới bị chặn khi nó vượt quá ngưỡng khi hết thời gian này thì traffic mới được xử lý tiếp
Để cấu hình DoS Protection trước hết cần tạo Profile trong phần OBJECTS > Security Profiles > DoS Protection > chọn Add.
Tiếp theo tiến hành cấu hình các thông tin cho DoS Profile, vì yêu cầu của bài lab nên sẽ cấu hình dạng Classified để bảo vệ web server 172.16.10.100 (Nated IP: 10.120.190.51), bao gồm các thông tin: (giả sử peak CPS của server là : 2500 và average là: 1500)
- Name: tên của DoS Protection profile
- Type: Classified Áp dụng các ngưỡng DoS được cấu hình trong cấu hình cho từng kết nối riêng lẻ phù hợp với tiêu chí phân loại (IP nguồn địa chỉ IP đích hoặc cặp địa chỉ IP nguồn và đích).
Action: SYN cookies sử dụng cookie SYN để tạo xác nhận để không cần phải ngắt kết nối trong cuộc tấn công SYN flood (nếu cấu hình là Random Early Drop sẽ drop ngẫu nhiên khi kết nối mỗi giây đạt ngưỡng Activate)
- Alarm Rate: Ngưỡng cảnh báo khi số connection/s bị cao, nên cấu hình tăng 20% so với CPS average = 1500*1.2 = 1800
- Activate Rate: Ngưỡng kích hoạt action khi số connection/s vượt ngưỡng, nên cấu hình bằng với Max Rate = 3000 trong trường hợp Action là SYN cookies hoặc tăng 20% Alarm Rate trong trường hợp dùng Random Early Drop
- Max Rate: Số lượng kết nối tối đa nếu vượt ngưỡng sẽ bị drop, nên cấu hình nó tăng 20% so với peak CPS = 2500*1.2 = 3000 hoặc tùy vào CPU
- Block Duration: Chỉ định khoảng thời gian (giây) trong đó địa chỉ IP vi phạm vẫn nằm trong danh sách Block IP và các kết nối có địa chỉ IP đó sẽ bị chặn
Tiếp theo tại phần Resources Protection sẽ tiến hành cấu hình thông tin Max Concurrent Limit để chỉ định số lượng phiên đồng thời tối đa.
Để tính năng DoS Protection hoạt động cần tiến hành tạo Policy để áp dụng Profile vừa cấu hình tại phần POLICIES > DoS Protection > chọn Add.
Tiến hành tạo như Security Policy, trước hết định nghĩa tên của DoS Protection Policy ở phần General.
Tại phần Source tiến hành cấu hình thông tin nơi traffic bắt đầu, ở bài lab này sẽ là từ bên ngoài vào nên source là ouside_zone.
Tại phần Destination tiến hành cấu hình đích của traffic ở bài Lab này sẽ là web server (địa chỉ public đã Nated 10.120.190.51).
Tại phần Option/Protection tiến hành cấu hình service muốn bảo vệ đồng thời tại phần chọn Protect (sẽ dựa vào các thông số đã cấu hình trong DoS Protection Profile để xử lý traffic ngoài ra còn có action allow và block). Sau cùng chọn vào Classified và chọn profile đã cấu hình cho server cũng như lựa chọn Address (các kết nối đến có được tính vào ngưỡng trong cấu hình hay không nếu chúng khớp với chỉ ip nguồn, chỉ ip đích hoặc cả hai src-dest-ip) là destination-ip-only khi traffic source từ internet.
Từ một thiết bị bên ngoài thực hiện giả lập tấn công SYN Flood bằng lệnh hping vào IP public web server 10.120.190.51 với số lượng connection là 1900 connection/s (hping3 -i u20 -S -p 80 -c 1900 <IP>). Lúc này vẫn thấy việc truy cập server bằng port 80 vẫn hoạt động bình thường vì 1900 connection/s chỉ mới vượt ngưỡng Alert (1800) đã cấu hình.
Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng là 99.
Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...
Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
Lúc này tiếp tục giả lập tấn công SYN Flood nhưng với connection là 3500 connection/s sẽ thấy được việc truy cập server bằng port 80 đã bị chặn do ngưỡng Max Rate đã cấu hình là 3000.
Trên thiết bị Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được thông tin cảnh báo về tấn công TCP Flood cùng với số packet vượt ngưỡng alert là 1201 (1800 + 1201 = 3001 vượt ngưỡng Max Rate), nên các gói tin sau sẽ bị block 498 gói (3001 + 498 = 3499 tương đương với số gói tin giả lập tấn công)
Chọn Detail để quan sát thông tin chi tiết của traffic tấn công TCP Flood như thông tin đích, policy match,...
Lưu ý: vì trong phần Address của DoS Protection Policy đã chọn destination-ip-only nên tại thông tin nguồn tấn công sẽ không được hiển thị.
Để cấu hình DoS Protection bảo vệ một nhóm thiết bị khỏi tấn công ICMP Flood tiến hành vào tạo 1 DoS Protection Profile với Type là Aggregate tại tab Flood Protection chọn ICMP Flood và định nghĩa các thông số: (giả sử peak CPS group là 100 connection/s ICMP và average là 50)
- Alarm rate: tăng 20% so với average CPS = 50 *1.2 = 75
- Activate Rate: tăng 20% so với Alarm Rate = 75*1.2 = 90
- Max Rate: tăng 20% so với peak CPS = 100*1.2 = 120
- Block Duration: thời gian chặn khi ICMP connection vượt ngưỡng.
Sau đó tiến hành tạo DoS Protection Policy để bảo vệ ICMP giữa các subnet nội bộ trong internal_zone.
Tại phần Source và Destination sẽ để là inside_zone để match với các traffic thuộc các subnet 172.16.198.0/24 và 172.16.199.0/24
Trên PC thuộc subnet 172.16.198.0/24 sẽ thực hiện giả lập tấn công ICMP Flood bằng hping3 (hping3 <IP> --flood --rand-source --icmp -c 5000) sẽ thấy lúc này gói ping từ các PC khác tới subnet 172.16.199.0/24 sẽ không hoạt động.
Trên Firewall Palo Alto vào phần MONITOR > Logs > Threat sẽ thấy được các traffic ICMP Flood đã được phát hiện vào tiến hành drop traffic ICMP trong vòng 300s.
Chọn Detail để quan sát thông tin chi tiết của traffic vi phạm chính sách DoS Protection đã được cấu hình
Attachments
Last edited: