Palo Alto [Lab 5] Configure Wildfire modern malware protection

Cấu hình Wildfire trên Firewall Palo Alto ngăn chặn Malware

Firewall Palo Alto không chỉ cung cấp tính năng của một Firewall mà nó còn cung cấp thêm tính năng WildFire để phòng chống Malware. WildFire của Palo Alto sử dụng cơ chế dò quét các file người dùng download hay upload từ internet về. Ngoài ra Palo Alto cũng thực hiện upload các file này lên trên Public-cloud của Palo Alto thông qua một WildFire portal để phân tích malware trên hệ thống lab của PAlo Alto.

Trên Firewall Palo Alto các bạn vào tab “Objects → Security Profiles → WildFire Analysis”. Click vào profiles “default” có sẵn do Palo Alto tạo ra.

Các bạn chú ý Profile “Default” phải được cấu hình gửi tất các file từ bất kì ứng dụng nào lên public-cloud của hệ thống Palo Alto.

• Name: default
• Applications: any
• File Types: any
• Direction: both
• Analysis: public-cloud. Ở đây các bạn cũng có thể sử dụng Private-Cloud của Palo Alto để cài đặt trên hệ thống của các bạn. Khi đó mẫu file cần phân tích sẽ được Firewall Palo Alto gửi lên hệ thống Private-Cloud đặt trong hệ thống của bạn trước.

Enable WildFire analysis on a security policy

Trong tab “Policies → Security” các bạn tạo một policy mới và đặt tên cho policy này.






Trong tab “source” chọn source zone là vùng “trust”.





Và trong tab “Destionation” phần destination zone là vùng “untrust”.





Tab “Actions” các bạn cấu hình như sau:

• Action Setting → Action: Allow
• Profile Setting → WildFire Analysis: default. Để sử dụng profile “default” của object WildFire Analysis.

Sau khi cấu hình xong các bạn chọn “ok” để lưu lại cấu hình mà bạn đã cấu hình trên Policy này.
Sau đó các bạn chọn “commit” để apply cấu hình policy lên Firewall Palo Alto.





Bây giờ các bạn sử dụng client trong vùng trust zone để download một file có chứa mã độc. Các bạn có thể thấy client có thể download file có chứa mã độc thành công và by pass hết các chương trình quét virus trên máy Client.





Tuy Palo Alto không phát hiện ra mã độc gắn trong chương trình mà client Download về nhưng nó đã thực hiện upload file chứa mã độc lên Public-cloud của Palo Alto để phân tích.

Để kiểm tra phân tích mã độc trong chương trình mà người dùng Download về trên Public Cloud của Palo Alto. Các bạn có thể truy cập vào trang WildFire Portal của Palo Alto thông qua URL: http://wildfire.paloaltonetworks.com/

Sử dụng account của bạn được WildFire Portal của Palo Alto cấp để login vào nhé.




Sauk hi login vào thành công các bạn sẽ thấy giao diện Dashboard của WildFire Portal của Palo Alto. Tại đây sẽ cập nhập trạng thái các file bạn đã được Firewall Palo Alto trong hệ thống của các bạn upload lên hệ thống WildFire Portal.




Để xem chi tiết hơn các bạn qua tab “report” để biết chi tiết file nào bị nhiễm mã độc.

Ở đâu các bạn có thể thấy 2 file được hệ thống Firewall Palo Alto của mình upload lên WildFire Portal của Palo Alto đang được Palo Alto xử lý.




Ngoài ra các bạn cũng có thể upload bằng tay file mà bạn nghi ngờ có chứa mã độc lên trang WildFire portal để nó phân tích.
Các bạn qua tab “upload Sample” để thực hiện upload file chứa mã độc lên cho WildFire Portal phân tích nhé.




Sau khi WildFire Portal phân tích xong file mà hệ thống Firewall Palo Alto của bạn gửi lên thì nó sẽ gửi lại kết quả cho Firewall Palo Alto trong hệ thống của các bạn.

Các bạn có thể vào tab “Monitor → WileFire Submissions” để kiểm tra kết quả mà WildFire Portal trả về nhé. Kết quả là file mà bạn đã gửi lên được phân tích là có chứa mã độc trong đó. Trong này sẽ có thông tin địa chỉ IP address của kẻ tấn công và Ip address của Client trong hệ thống của bạn bị tấn công.
Các bạn click vào dòng log trên Firewall Palo Alto để xem chi tiết nhé.




Qua tab WildFire Analysis Report sẽ thấy các phân tích về file bị nhiễm malware đã được hệ thống WildFire portal phân tích.




Kéo xuống phía dưới các bạn có thể xem các bản phân tích báo cáo hành động của Malware trên hệ thống phân tích của WildFire Portal Palo Alto trả về.
Trong tab “Virtual Machine 1” là máy ảo Windows XP được sử dụng để kiểm tra hành động file chứa Malware.



Còn tab “Virtual Machine 2” là Windows 7 64-Bit SP1 được Palo Alto sử dụng để kiểm tra hành động của Malware có trong file bị nhiễm Malware được hệ thống Firewall Palo Alto của bạn upload lên Public-Cloud của Palo Alto.





Tổng hợp các bài lab cấu hình Firewall Palo Alto tại đây

• Hand on lab Palo Alto on UTD Environment
• [Lab 1] Configure policy Facebook on Firewall Palo Alto
• [Lab 2] Configure policy Facebook Function on Palo Alto
• [Lab 3] Configure Policy Applications on Standard Port
• [Lab 4] Configure Policy-based SSL decryption on Palo Alto
• [Lab 5] Configure Wildfire modern malware protection