Palo Alto [LAB-7] Cấu hình tính năng Vulnerability trên PAN VM-series

phile

Internship/Fresher
Jan 4, 2021
70
15
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab

II. Cấu hình Vulnerability trên PAN VM-series
III. Cấu hình Custom Vulnerability Signature

[LAB-7] Cấu hình tính năng Vulnerability trên PAN VM-series

Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

I. Giới thiệu về mô hình bài Lab


Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.16.198.0/24 và 172.16.199.0/24
  • Server network: 172.16.100.0/24 và 172.16.10.0/24
Gateway lần lượt được cấu hình trên PAN VM-series: 10.120.190.50/24, 172.16.198.250, 172.16.198.250, 172.16.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình Vulnerability profile để alert traffic khai thác reverse http thông qua meterpreter tới các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
  • Cấu hình Vulnerability profile để chặn traffic khai thác password trên webserver thông qua nmap tới webserver 172.16.10.100 (IP public 10.120.190.51) .
  • Cấu hình Signature Exceptions để chặn traffic khai thác reverse http thông qua meterpreter tới các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 dựa vào Threat ID.
  • Cấu hình Custom Vulnerability Signature dựa vào dựa vào http request headers có chứa "Edg/" và thực hiện chặn các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 truy cập http bằng ứng dụng Microsoft Edge.
1704776312129.png


II. Cấu hình Vulnerability trên PAN VM-series

Tính năng Vulnerability Protection trên Firewall Palo Alto là một tính năng bảo mật quan trọng giúp bảo vệ mạng khỏi các lỗ hổng bảo mật. Tính năng này sử dụng một cơ sở dữ liệu lỗ hổng khổng lồ để quét lưu lượng mạng và xác định các gói dữ liệu chứa mã độc hoặc khai thác lỗ hổng. Khi phát hiện thấy một lỗ hổng, Firewall Palo Alto sẽ chặn gói dữ liệu đó, ngăn chặn những kẻ tấn công khai thác lỗ hổng để xâm nhập vào mạng. Vulnerability Protection ngăn chặn các nỗ lực khai thác lỗ hổng hệ thống hoặc truy cập trái phép vào hệ thống, cấu hình Vulnerability Protection bảo vệ khỏi các mối đe dọa xâm nhập vào mạng ví dụ: cấu hình Vulnerability Protection giúp bảo vệ chống tràn bộ đệm, thực thi mã bất hợp pháp và các nỗ lực khác nhằm khai thác lỗ hổng hệ thống. Cấu hình Vulnerability Protection bảo vệ mặc định bảo vệ máy khách và máy chủ khỏi tất cả các mối đe dọa nghiêm trọng, cao và trung bình đã biết. Cũng có thể tạo ngoại lệ, cho phép thay đổi action signature cụ thể.

Tính năng Vulnerability Protection trên Firewall Palo Alto bao gồm các khả năng sau:
  • Xác định và phát hiện các mối đe dọa từ các lỗ hổng bảo mật đã biết trong ứng dụng và hệ điều hành.
  • Ngăn chặn các cuộc tấn công sử dụng các lỗ hổng bảo mật đã biết, bao gồm cả việc ngăn chặn các exploit, nó xác định mức độ bảo vệ buffer overflows, illegal code execution.
  • Cung cấp cập nhật định kỳ về threat signature và thông tin về lỗ hổng, giữ cho hệ thống luôn cập nhật.
  • Tự động phân loại và ưu tiên mối đe dọa dựa trên cấp độ nguy hiểm, giúp tự động áp dụng các biện pháp an ninh phù hợp.
  • Hỗ trợ custom các signature để phù hợp với yêu cầu hệ thống.
Để sử dụng tính năng Vulnerability Protection trên Firewall Palo Alto, cần sử dụng license Threat Prevention của Palo Alto Networks. Dịch vụ này cung cấp cơ sở dữ liệu lỗ hổng và các tính năng bảo vệ lỗ hổng tiên tiến.

Lưu ý: tính năng Vulnerability trên Firewall Palo Alto dựa vào signature nên chúng cần được update thường xuyên để đảm bảo dữ liệu được mới nhất, cũng như để tính năng hoạt động tốt nhất nên cấu hình thêm tính năng Decryption trên Firewall Palo Alto.


Để tính năng Vulnerability hoạt động tốt nhất cần đảm bảo Signature được update thường xuyên trong phần DEVICE > Dynamic Updates > chọn Check Now để udpate trực tiếp từ cloud của Palo Alto.
1704803735446.png

Sau khi đã update database của Vulnerability mới nhất tiến hành vào phần OBJECTS > Security Profiles > Vulnerability Protection > chọn Add để cấu hình tính năng.
1704803740142.png

Tại đây tiến hành điền tên cho Profile, ở tab Rules tiến hành chọn Add để thêm các chính sách bảo vệ.
1704803746465.png

Trong cấu hình Rule của Vulnerability sẽ bao gồm các thông tin sau:
  • Rule Name: tên của rule
  • Threat Name: tên của threat trong database của palo alto hoặc custom (có thể xem trong mục MONITOR > Logs > Threat hoặc Threat Vault của Palo Alto theo link sau)
  • Action: hành động của Palo Alto khi khớp với các signature đã cấu hình.
  • Host Type: chỉ định xem có nên giới hạn Signature cho quy tắc ở phía client, phía server hoặc bất kỳ.
  • Packet Capture: cho phép capture lại các gói tin được xác định là có tấn công Vulnerability.
  • Category: các threat Vulnerability của Palo Alto được chia thành các danh mục (chi tiết các danh mục Vulnerability xem trong link sau) lựa chọn danh mục phù hợp với yêu cầu hệ thống.
  • CVE: chỉ định các lỗ hổng và mức độ phơi nhiễm phổ biến (CVE) có thể cấu hình để hạn Signature khớp với các CVE được chỉ định.
  • VENDOR ID: chỉ định ID nhà cung cấp nếu muốn giới hạn Signature khớp với ID nhà cung cấp được chỉ định.
  • Severity: các threat trong database của Vulnerability được chia làm 5 loại (critical, high, medium, low, or informational) phụ thuộc vào tính nghiêm trọng của Vulnerability.
Các Action được hỗ trợ cấu hình trong Vulnerability profile là:
  • Allow: cho phép lưu lượng truy cập ứng dụng.
  • Alert: tạo cảnh báo cho từng luồng lưu lượng truy cập ứng dụng. Cảnh báo được lưu trong threat log.
  • Drop: loại bỏ lưu lượng ứng dụng.
  • Reset Client: đối với TCP, reset kết nối phía máy khách. Đối với UDP, ngắt kết nối.
  • Reset Server: đối với TCP, reset kết nối phía máy chủ. Đối với UDP, ngắt kết nối.
  • Reset Both: đối với TCP, reset kết nối ở cả đầu máy khách và máy chủ. Đối với UDP, ngắt kết nối.
  • Block IP: chặn lưu lượng truy cập từ một nguồn hoặc một cặp nguồn-đích; Có thể cấu hình trong một khoảng thời gian nhất định.
1704803750269.png

Theo yêu cầu của bài LAB tiến hành cấu hình các rule với severity là critical, high thì action reset-both và severity medium thì action là alert.
1704803754608.png

Để Vulnerability hoạt động cần apply vào Security policy, trong bài lab này sẽ apply vào rule cho phép các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 truy cập internet như hình bên dưới.

Lưu ý: Vulnerability Profile nói riêng và các Security Profile khác nên được apply vào các policy với action là allow.
1704803764245.png

Sử dụng Kali linux server 10.120.200.83 với Metasploit framework để giả lập tấn công vào các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
1704803891803.png

Trên PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 tiến hành chạy ứng dụng tải về từ kali linux server lúc này sẽ thấy có traffic buffer overflows tới 10.120.200.83.
1704803784271.png

Trên kali linux server sẽ thấy được kết nối C2 thành công và có thể thực hiện các lệnh trên PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 như hình bên dưới.
1704803804909.png

Trên Firewall Palo Alto vào phần Monitor > Logs > Threat sẽ thấy có logs phát hiện tấn công Vulnerability nhưng action là Alert do severity là medium.
1704803832592.png

Kiểm tra chi tiết Detailed Log View sẽ thấy được thông tin chi tiết action của firewall, nguồn và đích của traffic cũng như thông tin của threat. (tại đây cũng có thể chon PCAP để download traffic đã được ghi lại)
1704803836104.png

Tiếp tục yêu cầu của bài lab tiến hành tạo thêm 1 Vulnerability với host type là any và action reset-both nếu severity là: critical, high, medium.
1704803846601.png

Tiến hành apply Vulnerability profile vào policy cho phép các người dùng ngoài Internet kết nối vào service TCP/80 của server 10.120.190.51 (ip private 172.16.10.100)
1704803854756.png

Giả lập người dùng ngoài Internet sử dụng công cụ Nmap để tiến hành giả lập khai thác password của web server như hình bên dưới.
1704803859961.png

Trên Firewall Palo Alto vào phần Monitor > Logs > Threat sẽ thấy có logs phát hiện tấn công Vulnerability với action là reset-both.
1704803868814.png

Kiểm tra chi tiết Detailed Log View sẽ thấy được thông tin chi tiết action của firewall, nguồn và đích của traffic cũng như thông tin của threat. (tại đây cũng có thể chon PCAP để download traffic đã được ghi lại)
1704803872379.png



Để cấu hình Signature Exception trong Vulnerability tiến hành edit Profile tại tab Exceptions tiến hành điền Threat ID (lấy các thông tin này trong MONITOR > Logs > Threat hoặc Threat Vault), theo yêu cầu tiến hành chuyển action của tấn công exploit từ action alert sang reset-both.
1704803886451.png

Sử dụng lại Kali linux server 10.120.200.83 với Metasploit framework để giả lập tấn công vào các PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24.
1704803891803.png

Trên PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 tiến hành chạy ứng dụng tải về từ kali linux server lúc này sẽ thấy traffic tới IP 10.120.200.83 sẽ bị lỗi TCP Reset.
1704803917214.png

Trên Firewall Palo Alto vào phần Monitor > Logs > Threat sẽ thấy có logs phát hiện tấn công Vulnerability từ IP 10.120.200.83 với severity là medium nhưng lúc này action là reset-both.
1704803921650.png


III. Cấu hình Custom Vulnerability Signature

Palo Alto hỗ trợ tạo các Vulnerability custom dựa vào các signature để phù hợp với yêu cầu của hệ thống được định nghĩa tại phần OBJECTS > Custom Objects > Vulnerability > chọn Add.
1704803929506.png

Tại tab Configuration tiến hành cấu hình các thông tin bao gồm:
  • Threat ID: giá trị định danh cho threat với range 41000 - 45000 và 6800001 - 6900000.
  • Name: tên của threat.
  • Severity: chỉ định mức độ nghiêm trọng của threat.
  • Direction: cho biết liệu mối đe dọa được đánh giá từ máy khách đến máy chủ, máy chủ đến máy khách hay cả hai.
  • Default Action: chỉ định hành động mặc định cần thực hiện nếu các điều kiện được đáp ứng.
  • Affected System: chỉ định loại Signture ảnh hưởng tới client, server hoặc cả hai
Tại phần Reference sẽ thêm các liên kết tham khảo tới threat nếu có.
1704803933920.png

Tiếp theo tiến hành Add các điều kiện Signature để nhận biết threat như hình bên dưới.
1704803945164.png
1704803948049.png
Sau đó cấu hình signature về http-req-header để match với header trong http có chứa "Edg/" như hình bên dưới. (để lọc được uri sử dụng regular expression )
1704805039745.png

Có thể tiến hành cấu hình thêm 1 rule trong Vulnerability profile khớp với tên của Vulnerability mới tạo ở trên.
1704803954025.png

Sau khi cấu hình như hình bên dưới, profile này được apply cho traffic từ PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 kết nối internet.
1704803961961.png

Lúc này trên PC thuộc subnet 172.16.198.0/24 và 172.16.199.0/24 tiến hành truy cập cùng 1 trang web trên 2 trình duyệt khác nhau, như hình trình duyệt chrome có thể truy cập bình thường nhưng trình duyệt Microsoft Edge không thể truy cập được.
1704803965530.png

Trên Firewall Palo Alto vào phần Monitor > Logs > Threat sẽ thấy có logs phát hiện tấn công Vulnerability với Signture custom được cấu hình.
1704803970397.png

Kiểm tra chi tiết Detailed Log View sẽ thấy được thông tin chi tiết action của firewall, nguồn và đích của traffic cũng như thông tin của threat. (tại đây cũng có thể chon PCAP để download traffic đã được ghi lại)
1704803973229.png
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu