Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Reodor Felgen regelsett i Palo Alto Networks for synlighet på URL’er som blir sperret i forbindelse med VG testen

Inventor assembling mechanical device in workshop filled with vintage tools and machinery

God sikkerhet “krever” #LeastPrivilege. Man skal/bør ikke tillate mer enn minimum. Jo mer man tillater, jo større blir angrepsflaten. Enkel “matematikk”. Men det kan gi noen IT operasjonelle hodepiner. Så la oss se hva vi kan gjøre med det.

VG testen og eksamener

Skal man adressere VG testen, eller innføre regelsett for eksamen i kommuner og fylkeskommuner, gjør man dette ved å hviteliste (Least Privilege) kommunikasjon, spesielt mot internett.

Utfordringen

Man lager regler for det som skal tillates, og så sperres alt annet. Bra, sikkerhet er ivaretatt.

Problemet er at ting som blir sperret bare viser IP, port og kanskje App-ID, men det mangler IT operasjonell relevant informasjon som kan brukes til noe fornuftig i forbindelse med å fikse problemet, nemlig URL’en det ble gjort et forsøk mot. Og da står IT avdelingen der med en utfordring, for nå må de enten åone for alt, teste, finne URL, legge inn på riktig sted, teste, fjerne midlertidig regel. Tidkrevende, og man må teste på nytt, noe som ikke alltid er like enkelt, og i en eksamenssammenheng har man kanskje ikke tid, samtidig som man har et dilemme da man ikke kan åpne alt….

Så hva gjør man?

Allow med block all URLs

Dette fungerer så bra…. Fantastisk i forbindelse med adressering av VG testen, men også veldig viktig i forbindelse med eksamensregelsett. Dette ligger under reglene som tillater, og har til hensikt å gi synlighet på URL’er som blir sperret.

Disse to reglene har følgende:

  • Den første har action deny, men match på any URL, og vil derfor logge URL for alle applikasjon. Dette krever noe “uvanlig”, nemlig URL profil på en deny regel. Det er URL profilen som logger URL’er.
  • Grunnet TLS og mye god kryptering er det ikke alltid at regel 189 allikevel får med seg URL, derfor lager jeg en allow regel, kun for ssl og web-browsing, med en Security Profile Groups som inneholder en URL profil som blokkerer alle URL’er.

Konklusjon

Jeg har brukt dette for mange, i lang tid, både i forbindelse med adressering av VG testen, men også i eksamensregelsett, og man finner problemer og fikser dem på minutter. Meget effektivt. Fornøyde kunder. Og fornøyde brukere.

En skole ringte meg 09:15 etter problemer i forbindelse med eksamen. 09:18 var det OK takket være dette oppsettet.

Jeg holder workshop på elementer som dette for veldig mange kunder.

, , , ,

Posted by:

Gøran Tømte

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading