phile

Internship/Fresher
Jan 4, 2021
87
16
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Zone Protection trên PAN VM-series
III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng

[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series

Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

I. Giới thiệu về mô hình bài Lab

Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.16.198.0/24 và 172.16.199.0/24
  • Server network: 172.16.100.0/24 và 172.16.10.0/24
Gateway lần lượt được cấu hình trên PAN VM-series: 10.120.190.50/24, 172.16.198.250, 172.16.198.250, 172.16.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình Zone Protection để ngăn chặn Flooding, Scanning và bảo vệ khỏi tấn công vào các gói tin IP, TCP, ICMP.
  • Kiểm tra hoạt động của Zone Protection trên các vùng đã được áp dụng.
1712759723180.png


II. Cấu hình Zone Protection trên PAN VM-series

Tính năng Zone Protection là tổng hợp các tính năng giúp bảo vệ từng zone trong Firewall Palo Alto, bao gồm:
  • Flood Protection: tương tự tính năng DoS Protection giúp bảo vệ flood chống lại các gói SYN, ICMP, ICMPv6, SCTP INIT và UDP, cũng như bảo vệ flood từ các loại gói IP khác dựa vào rate limit (tham khảo link sau để xem chi tiết về DoS Protection)
  • Reconnaissance Protection: ngăn chặn việc scan hệ thống để tìm kiếm các điểm yếu của thiết bị hoặc lỗ hổng từ đó sẽ khai thác các yếu điểm hay lỗ hổng đó, có các cơ chế ngăn chặn: TCP Scan, UDP Scan, Host Sweep
  • Packet Based Attack Protection: kiểm tra IP, TCP, ICMP, IPv6 và ICMPv6 packet headers để tiến hành các hành động thích hợp khi các packet vi phạm các đặc điểm quy định
  • Protocol Protection: chống lại các cuộc tấn công dựa trên giao thức không phải IP, bật tính năng này để chặn hoặc cho phép các giao thức không phải IP giữa các vùng bảo mật trên Vlan lớp 2 hoặc trên virtual wire hoặc giữa các giao diện trong một vùng duy nhất trên Vlan lớp 2
  • Ethernet SGT Protection: sử dụng các tag nhận được từ các hệ thống khác để tiến hành các hành động theo từng packet
Ngoài ra, Zone Protection còn hỗ trợ Packet Buffer Protection chống lại các cuộc tấn công DoS trong một phiên duy nhất có thể tràng bộ đệm gói của tường lửa và khiến lưu lượng truy cập hợp pháp bị giảm.

Lưu ý: Tính năng Zone Protection không cần license đặc biệt để hoạt động, đối với bảo vệ Flooding traffic thì Zone Protection sẽ đóng vai trò bảo vệ tất cả thiết bị trong zone đó trong khi DoS Protection (Classified) sẽ đóng vai trò bảo vệ 1 server cụ thể.
Trước tiên, cần tiến hành vào phần DEVICE > Setup > Session > tại phần Session Settings chọn bánh răng cưa để tiến hành cấu hình các thông số cho Packet Buffer Protection.
1712760053001.png

Sau đó tiến hành chọn Packet Buffer Protection để enable tính năng đồng thời cấu hình các thông số:
  • Alert: Khi việc sử dụng bộ đệm gói vượt quá ngưỡng này trong hơn 10 giây, tường lửa sẽ tạo một sự kiện nhật ký mỗi phút
  • Activate: Khi đạt đến ngưỡng này, tường lửa bắt đầu giảm thiểu các phiên lạm dụng nhất
  • Block Countdown Threshold: Tỷ lệ phần trăm sử dụng bộ đệm hoặc ngưỡng độ trễ tính bằng mili giây bắt đầu đếm ngược để loại bỏ hoặc chặn lưu lượng truy cập vi phạm
  • Block Hold Time: Khoảng thời gian, tính bằng giây, mà phiên được phép tiếp tục trước khi phiên bị hủy hoặc địa chỉ IP nguồn bị chặn
  • Block Duration: Lượng thời gian, tính bằng giây, mà phiên bị loại bỏ hoặc địa chỉ IP bị chặn vẫn bị chặn
Lưu ý: có thể kiểm tra việc sử dụng bộ đệm gói trong một khoảng thời gian xác định có thể thông qua lệnh
show running resource-monitor [day | hour | ingress-backlogs | minute | second | week]

Để có kết quả tốt nhất có thể chọn option Monitor Only để xác định các ngưỡng buffer packet cần thiết cấu hình mà không block các packet.
1712760059638.png

Tiếp theo tiến hành tạo Zone Protection trong phần NETWORK > Network Profile > Zone Protection > chọn Add.
1712760065861.png

Tại đây tiến hành điền tên cho Zone Protection sau đó tiến hành cấu hình Flood Protection các thông số sẽ tương tự như DoS Protection (tham khảo link sau), trong bài lab này ngưỡng CPS peak của zone là: 2500 còn zone average CPS là: 1500.
1712760071255.png

Tại tab Reconnaissance Protection tiến hành cấu hình các loại scan sẽ bị ngăn chặn khi Threshold (các gói tin scan) vượt ngưỡng quy định trong một khọagr Interval (thời gian gửi các gói scan). Hỗ trợ các Action sau khi vi phạm:
  • Allow: Cho phép quét cổng hoặc trinh sát quét máy chủ
  • Alert: Tạo cảnh báo cho mỗi lần quét cổng hoặc quét máy chủ phù hợp với ngưỡng trong khoảng thời gian đã chỉ định
  • Block: chặn tất cả các gói tiếp theo từ nguồn tới đích trong khoảng thời gian còn lại của Interval.
  • Block IP: chặn tất cả các gói tiếp theo trong khoảng thời gian được chỉ định, tính bằng giây (phạm vi là 1-3.600). Theo dõi theo xác định xem có chặn lưu lượng truy cập nguồn hoặc nguồn và đích hay không. Ví dụ: chặn các lần thử vượt quá số ngưỡng trên mỗi khoảng thời gian Interval từ một nguồn duy nhất (nghiêm ngặt hơn) hoặc chặn các lần thử có cặp nguồn và đích (ít nghiêm ngặt hơn).
1712760077369.png

Tại phần Packet Based Attack Protection phần IP Drop tiến hành cấu hình loại bỏ các IP theo khuyến cáo bao gồm: Spoofed IP address (là IP source không thuộc bất cứ subnet nào của interface trong zone đó), Strict Source Routing, Loose Source Routing, Unkown, Malformed.
1712760264255.png

Tiếp theo phần TCP Drop tiến hành chọn loại bỏ các gói TCP theo khuyến cáo bao gồm: Mismatched overlapping TCP segment, Split Handshake, TCP SYN with Data, TCP SYNACK with Data, TCP Timestamp.
1712760272787.png

Tiếp theo phần ICMP Drop tiến hành chọn loại bỏ các gói ICMP theo khuyến cáo bao gồm: ICMP Fragment, ICMP Large Packet (>1024)
1712760281906.png

Để áp dụng Zone Protection tiến hành vào phần NETWORK > Zones > chọn zone cần cấu hình.
1712760633953.png

Sau đó tại phần Zone Protection tiến hành chọn cài đặt đã cấu hình cũng như chọn Enable Packet Buffer Protection.
1712760741628.png

Thực hiện tương tự cho các zone còn lại cần được bảo vệ như hình bên dưới.
1712761152285.png


III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng

Sau khi đã hoàn thành các cấu hình tiến hành giả lập một số cuộc tấn công để kiểm tra hoạt động của Zone Protection, tiến hành truy cập vào 1 thiết bị thuộc inside_zone và tiến hành Sweep Scan tới PC thuộc subnet 172.16.199.0/24.
1712760921377.png

Lúc này trên Firewall Palo Alto tại phần MONITOR > Logs > Threat sẽ xuất hiện traffic Sweep scan đã được chặn thành công như hình bên dưới.
1712760928421.png

Chọn Detail để xem chi tiết thông tin của cuộc tấn công Sweep Scan đã bị chặn.
1712761182442.png

Tiếp theo tiếp tục giả lập ping với packet size > 1024 từ PC thuộc subnet 172.16.198.0/24 tới PC thuộc subnet 172.16.199.0/24.
1712761020758.png

Lúc này sẽ thấy được các gói ICMP với size > 1024 sẽ bị chặn trong khi các gói ICMP bình thường vẫn được cho phép.
1712761027412.png
 

Attachments

  • 1712760290241.png
    1712760290241.png
    120.5 KB · Views: 0
  • 1712760425902.png
    1712760425902.png
    120.5 KB · Views: 0
  • 1712760640408.png
    1712760640408.png
    155.3 KB · Views: 0
  • 1712760747667.png
    1712760747667.png
    128.8 KB · Views: 0
  • 1712760934150.png
    1712760934150.png
    93 KB · Views: 0
Last edited:
  • Love
Reactions: nvnhan

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu