Det kommer dessverre stadig sårbarheter i softwaren til brannmuren, flere av dem i GlobalProtect modulen. Å innføre gode Least Privilege regler som vist her er smart, viktig og veldig effektivt: CVE-2024-3400 made “harmless”
Nå sist (3. oktober): Palo Alto Scanning Surges ~500% in 48 Hours, Marking 90-Day High
Hva gjør du NÅR de har kommet seg på innsiden?
Allikevel kan uvedkommende klare å få fotfeste i brannmuren, ref CVE-2024-3400. Når de har fått fotfeste vil et av de første og viktigste stegene de må gjøre for å komme seg videre være å etablere et mer permanent fotfeste som også åpner flere mulighet, nemlig åpne en bakdør, ringe hjem, phone home, command & control. Dette er viktig for å laste ned kommandoer, laste ned programsnutter og annen aktivitet.
Det er derfor meget viktig å adressere VG testen for selve brannmuren. Brannmuren har ikke en innebygget browser som kan surfe på VG, men man skjønner greia. Så hva er det brannmuren faktisk trenger mot internett? Det er ikke overraskende veldig lite, altså en typisk appliance.
Utgående regelsett for en Palo Alto Networks brannmur
Her ser dere hvordan et typisk oppsett ser ut, et oppsett som er 90% likt for alle kunder. Det som kommer i tillegg og som ligger lenger opp i regelsettet som generelle regler mot internett, er for OCSP, CRL og CRT, som mange trenger, også brannmuren. Disse tre oppfører seg litt forskjellig, og må faktisk håndteres dobbelt, derfor den dedikerte regelen som vist i bildet. Jeg kan forklare mer på forespørsel.
Regelsettet åpner for Palo Alto Networks sine egne applikasjoner, som dermed tillater software og signatur oppdateringer.
Regelsettet åpner for å laste ned EDL’er fra nødvendige lokasjoner.
Det er i dette tilfellet også åpnet for radius mot JumpCloud i forbindelse med MFA for administratorer.
Den “nest” siste regelen
Den aller siste regelen, som ikke vises, er any any deny, helt nederst i regelsettet. Denne tar alt som ikke treffer det som vises i bildet. Men den nederst i bildet er litt spesiell, da det er en allow regel, med Block all URLs. Det er en regel for å få synlighet på URL’er som eventuelt er sperret, for raskere og enklere identifisering og fiks. Det operasjonelle må alltid ivaretas og optimaliseres, og dette tiltaket har i mange tilfeller spart kunder mye tid, og anbefales på det sterkeste. Det brukes aktivt i alle konfigurasjoner der VG testen er adressert for servere og alt annet. Denne regelen reddet en eksamen på en skole da det var glemt å åpne for en URL før eksamensstart, og jeg fikk en telefon 09:15, og fiksen var på plass 09:17 grunnet nettopp denne regelen som umiddelbart viste hva som ble sperret, som gjorde det meget enkelt å legge den til i riktig allow regel.
Lykke til!
Leave a Reply