Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Zone Protection trên PAN VM-series
III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình Zone Protection trên PAN VM-series
Tính năng Zone Protection là tổng hợp các tính năng giúp bảo vệ từng zone trong Firewall Palo Alto, bao gồm:
Lưu ý: Tính năng Zone Protection không cần license đặc biệt để hoạt động, đối với bảo vệ Flooding traffic thì Zone Protection sẽ đóng vai trò bảo vệ tất cả thiết bị trong zone đó trong khi DoS Protection (Classified) sẽ đóng vai trò bảo vệ 1 server cụ thể.
Trước tiên, cần tiến hành vào phần DEVICE > Setup > Session > tại phần Session Settings chọn bánh răng cưa để tiến hành cấu hình các thông số cho Packet Buffer Protection.
Sau đó tiến hành chọn Packet Buffer Protection để enable tính năng đồng thời cấu hình các thông số:
show running resource-monitor [day | hour | ingress-backlogs | minute | second | week]
Để có kết quả tốt nhất có thể chọn option Monitor Only để xác định các ngưỡng buffer packet cần thiết cấu hình mà không block các packet.
Tiếp theo tiến hành tạo Zone Protection trong phần NETWORK > Network Profile > Zone Protection > chọn Add.
Tại đây tiến hành điền tên cho Zone Protection sau đó tiến hành cấu hình Flood Protection các thông số sẽ tương tự như DoS Protection (tham khảo link sau), trong bài lab này ngưỡng CPS peak của zone là: 2500 còn zone average CPS là: 1500.
Tại tab Reconnaissance Protection tiến hành cấu hình các loại scan sẽ bị ngăn chặn khi Threshold (các gói tin scan) vượt ngưỡng quy định trong một khọagr Interval (thời gian gửi các gói scan). Hỗ trợ các Action sau khi vi phạm:
Tại phần Packet Based Attack Protection phần IP Drop tiến hành cấu hình loại bỏ các IP theo khuyến cáo bao gồm: Spoofed IP address (là IP source không thuộc bất cứ subnet nào của interface trong zone đó), Strict Source Routing, Loose Source Routing, Unkown, Malformed.
Tiếp theo phần TCP Drop tiến hành chọn loại bỏ các gói TCP theo khuyến cáo bao gồm: Mismatched overlapping TCP segment, Split Handshake, TCP SYN with Data, TCP SYNACK with Data, TCP Timestamp.
Tiếp theo phần ICMP Drop tiến hành chọn loại bỏ các gói ICMP theo khuyến cáo bao gồm: ICMP Fragment, ICMP Large Packet (>1024)
Để áp dụng Zone Protection tiến hành vào phần NETWORK > Zones > chọn zone cần cấu hình.
Sau đó tại phần Zone Protection tiến hành chọn cài đặt đã cấu hình cũng như chọn Enable Packet Buffer Protection.
Thực hiện tương tự cho các zone còn lại cần được bảo vệ như hình bên dưới.
III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng
Sau khi đã hoàn thành các cấu hình tiến hành giả lập một số cuộc tấn công để kiểm tra hoạt động của Zone Protection, tiến hành truy cập vào 1 thiết bị thuộc inside_zone và tiến hành Sweep Scan tới PC thuộc subnet 172.16.199.0/24.
Lúc này trên Firewall Palo Alto tại phần MONITOR > Logs > Threat sẽ xuất hiện traffic Sweep scan đã được chặn thành công như hình bên dưới.
Chọn Detail để xem chi tiết thông tin của cuộc tấn công Sweep Scan đã bị chặn.
Tiếp theo tiếp tục giả lập ping với packet size > 1024 từ PC thuộc subnet 172.16.198.0/24 tới PC thuộc subnet 172.16.199.0/24.
Lúc này sẽ thấy được các gói ICMP với size > 1024 sẽ bị chặn trong khi các gói ICMP bình thường vẫn được cho phép.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình Zone Protection trên PAN VM-series
III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng
[LAB-14] Cấu hình tính năng Zone Protection trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình Zone Protection để ngăn chặn Flooding, Scanning và bảo vệ khỏi tấn công vào các gói tin IP, TCP, ICMP.
- Kiểm tra hoạt động của Zone Protection trên các vùng đã được áp dụng.
II. Cấu hình Zone Protection trên PAN VM-series
Tính năng Zone Protection là tổng hợp các tính năng giúp bảo vệ từng zone trong Firewall Palo Alto, bao gồm:
- Flood Protection: tương tự tính năng DoS Protection giúp bảo vệ flood chống lại các gói SYN, ICMP, ICMPv6, SCTP INIT và UDP, cũng như bảo vệ flood từ các loại gói IP khác dựa vào rate limit (tham khảo link sau để xem chi tiết về DoS Protection)
- Reconnaissance Protection: ngăn chặn việc scan hệ thống để tìm kiếm các điểm yếu của thiết bị hoặc lỗ hổng từ đó sẽ khai thác các yếu điểm hay lỗ hổng đó, có các cơ chế ngăn chặn: TCP Scan, UDP Scan, Host Sweep
- Packet Based Attack Protection: kiểm tra IP, TCP, ICMP, IPv6 và ICMPv6 packet headers để tiến hành các hành động thích hợp khi các packet vi phạm các đặc điểm quy định
- Protocol Protection: chống lại các cuộc tấn công dựa trên giao thức không phải IP, bật tính năng này để chặn hoặc cho phép các giao thức không phải IP giữa các vùng bảo mật trên Vlan lớp 2 hoặc trên virtual wire hoặc giữa các giao diện trong một vùng duy nhất trên Vlan lớp 2
- Ethernet SGT Protection: sử dụng các tag nhận được từ các hệ thống khác để tiến hành các hành động theo từng packet
Lưu ý: Tính năng Zone Protection không cần license đặc biệt để hoạt động, đối với bảo vệ Flooding traffic thì Zone Protection sẽ đóng vai trò bảo vệ tất cả thiết bị trong zone đó trong khi DoS Protection (Classified) sẽ đóng vai trò bảo vệ 1 server cụ thể.
Trước tiên, cần tiến hành vào phần DEVICE > Setup > Session > tại phần Session Settings chọn bánh răng cưa để tiến hành cấu hình các thông số cho Packet Buffer Protection.
Sau đó tiến hành chọn Packet Buffer Protection để enable tính năng đồng thời cấu hình các thông số:
- Alert: Khi việc sử dụng bộ đệm gói vượt quá ngưỡng này trong hơn 10 giây, tường lửa sẽ tạo một sự kiện nhật ký mỗi phút
- Activate: Khi đạt đến ngưỡng này, tường lửa bắt đầu giảm thiểu các phiên lạm dụng nhất
- Block Countdown Threshold: Tỷ lệ phần trăm sử dụng bộ đệm hoặc ngưỡng độ trễ tính bằng mili giây bắt đầu đếm ngược để loại bỏ hoặc chặn lưu lượng truy cập vi phạm
- Block Hold Time: Khoảng thời gian, tính bằng giây, mà phiên được phép tiếp tục trước khi phiên bị hủy hoặc địa chỉ IP nguồn bị chặn
- Block Duration: Lượng thời gian, tính bằng giây, mà phiên bị loại bỏ hoặc địa chỉ IP bị chặn vẫn bị chặn
show running resource-monitor [day | hour | ingress-backlogs | minute | second | week]
Để có kết quả tốt nhất có thể chọn option Monitor Only để xác định các ngưỡng buffer packet cần thiết cấu hình mà không block các packet.
Tiếp theo tiến hành tạo Zone Protection trong phần NETWORK > Network Profile > Zone Protection > chọn Add.
Tại đây tiến hành điền tên cho Zone Protection sau đó tiến hành cấu hình Flood Protection các thông số sẽ tương tự như DoS Protection (tham khảo link sau), trong bài lab này ngưỡng CPS peak của zone là: 2500 còn zone average CPS là: 1500.
Tại tab Reconnaissance Protection tiến hành cấu hình các loại scan sẽ bị ngăn chặn khi Threshold (các gói tin scan) vượt ngưỡng quy định trong một khọagr Interval (thời gian gửi các gói scan). Hỗ trợ các Action sau khi vi phạm:
- Allow: Cho phép quét cổng hoặc trinh sát quét máy chủ
- Alert: Tạo cảnh báo cho mỗi lần quét cổng hoặc quét máy chủ phù hợp với ngưỡng trong khoảng thời gian đã chỉ định
- Block: chặn tất cả các gói tiếp theo từ nguồn tới đích trong khoảng thời gian còn lại của Interval.
- Block IP: chặn tất cả các gói tiếp theo trong khoảng thời gian được chỉ định, tính bằng giây (phạm vi là 1-3.600). Theo dõi theo xác định xem có chặn lưu lượng truy cập nguồn hoặc nguồn và đích hay không. Ví dụ: chặn các lần thử vượt quá số ngưỡng trên mỗi khoảng thời gian Interval từ một nguồn duy nhất (nghiêm ngặt hơn) hoặc chặn các lần thử có cặp nguồn và đích (ít nghiêm ngặt hơn).
Tại phần Packet Based Attack Protection phần IP Drop tiến hành cấu hình loại bỏ các IP theo khuyến cáo bao gồm: Spoofed IP address (là IP source không thuộc bất cứ subnet nào của interface trong zone đó), Strict Source Routing, Loose Source Routing, Unkown, Malformed.
Tiếp theo phần TCP Drop tiến hành chọn loại bỏ các gói TCP theo khuyến cáo bao gồm: Mismatched overlapping TCP segment, Split Handshake, TCP SYN with Data, TCP SYNACK with Data, TCP Timestamp.
Tiếp theo phần ICMP Drop tiến hành chọn loại bỏ các gói ICMP theo khuyến cáo bao gồm: ICMP Fragment, ICMP Large Packet (>1024)
Để áp dụng Zone Protection tiến hành vào phần NETWORK > Zones > chọn zone cần cấu hình.
Sau đó tại phần Zone Protection tiến hành chọn cài đặt đã cấu hình cũng như chọn Enable Packet Buffer Protection.
Thực hiện tương tự cho các zone còn lại cần được bảo vệ như hình bên dưới.
III. Kiểm tra hoạt động của Zone Protection trên các vùng được áp dụng
Sau khi đã hoàn thành các cấu hình tiến hành giả lập một số cuộc tấn công để kiểm tra hoạt động của Zone Protection, tiến hành truy cập vào 1 thiết bị thuộc inside_zone và tiến hành Sweep Scan tới PC thuộc subnet 172.16.199.0/24.
Lúc này trên Firewall Palo Alto tại phần MONITOR > Logs > Threat sẽ xuất hiện traffic Sweep scan đã được chặn thành công như hình bên dưới.
Chọn Detail để xem chi tiết thông tin của cuộc tấn công Sweep Scan đã bị chặn.
Tiếp theo tiếp tục giả lập ping với packet size > 1024 từ PC thuộc subnet 172.16.198.0/24 tới PC thuộc subnet 172.16.199.0/24.
Lúc này sẽ thấy được các gói ICMP với size > 1024 sẽ bị chặn trong khi các gói ICMP bình thường vẫn được cho phép.
Attachments
Last edited:
![[LAB-13] Cấu hình tính năng DoS Protection trên PAN VM-series](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)