Академический Документы
Профессиональный Документы
Культура Документы
Listener, SSL: Palo alto puede generar autentificacin con otros dispositivos (blu
ko). Palo alto puede leer la autentificacin.
DNS: Se configura donde hacer actualizaciones.
Equipo tiene network map, y hace dibujo para tirar trafico (por eso hay longitud
y latitud).
Service route config: Lo vamos a hacer por management o por interfaz?.
Configuracin management: Si configuramos en GUI es candidata, con commit se pasa
a la caja. Commit = activacin.
Commit granular: Quiero incluir la config de device e interfaz, o incluirla. Uti
l si quiero hacer config en neo, por ejemplo, puedo configurar la ip del cliente
despus.
Task manager: Alguien est haciendo un commit? Es importante para revisar que suced
e, o si no puedo hacer commit por ejemplo.
Save no es igual a aplicar commit: La config con save la guardo como snapshot, p
ero no la he hecho commit.
Cada vez que hay commit, se genera una nueva versin de configuracin.... Como recup
eracin o restaurar sistema.
Config man/ audit: Si marca en amarillo se modifico, rojo se borro, verde algo n
uevo.
Registro !! VM
Retrieve: Descargar licencia equipo.
Palo alto trabajo con dos motores de URL filtering: Palo alto (PAN-DB) bread(alg
o)..
Device > Dynamic update
Global protect para las vpn ! Site to site. Licencia a parte.
Si tengo wildfire y fw bien configurado, se debe actualizar cada 15 minutos con
licencia !!.
Schedule diario antivirus, semanal app.
antivirus cada 1 hora, wildfire cada 15 minutos.
PAN-OS: Se puede tener ah "descargada" o instalar a mano.
Release notes: Ventaja en palo alto. Quean en la caja (revisar que estn como pdf
a la derecha)
Power operation: Reiniciarlo.
Reiniciar dataplane: Reiniciar todo menos la administracin (trfico por ejemplo, se
reinicia y deja de pasar).
Sistema operativo est en control plane (tambin para data) pero est aislado. "3 proc
esadores distintos, 1 instancia para todos"
>> Admin: Mltiples cuentas configuradas en equipos.
Roles: Cuentas con distintos permisos
Dynamic: Estn en la caja, Admin: Customizado.
Role dynamic por caja, based es customizado.
Config lock, commit lock solo super admin puede desbloquear
Se puede hacer factory reset (pierde lock, info, etc).
Se puede hacer factory reset sin necesidad de conocer user y pass !
Config del equipo por web, link o api.
Cuando FW marca con rojo, es porque algo falta por rellenar.
Perfil de autentificacin: Enlace entre fuente de autentificacin y los usuarios de
PBF: Est antes que virtual router... Va por address, aplicacion o servicio :O en
fuente y destino :O !!
Si la direccin se asigna sin mscara lo asume como host (/32).
Aguanta IPV6.
Soporta Dual Stack (IPv4 e IPv6), separa esos de ser necesario.
Server DHCP: Posiciono DHCP en interfaz que me interesa.
Si est en auto, no entrega ms IP. Si es forced entrega igual DHCP aun
que hayan otros.
Puede aprender parmetros de DHCP.
DHCP relay: Hasta 4 servidores externos DHCP. Donde escucho DHCP? Cuales interface
s?.
Loopback da acceso para lo que es VPN.
Aggregate interfaces, aumenta throughput y link
TODAS LAS INTERFACES DEBEN SER COBRE O FIBRA.
Se puede configurar el LACP.
>>>>> Security and NAT policies
Reglas FW son rriba hacia abajo (up to down).
Si hago reglas por aplicaciones, service debe ser por aplicacin. Todas las aplica
ciones en palo alto tienen puerto por default.
Regla tipo universal: Esta por sobre intra e inter zone... Crear estas reglas es
lo mejor.
Se hablan de zonas y no interfaces.
Dynamic block list para agregar otras reglas, como listas negras pre-construidas
.
URL es solo para HTTP o HTTPS. (POP3 no es necesario reglas por ejemplo).
** La primera poltica que hace match se usa, y el resto no se revisan.
Se puede aplicar todo en una sola regla (un solo flujo de datos como se coment an
teriormente).
FQDN hace match a las reglas.
Para crear objeto IP (host) se le da nombre y se le pone un tag.
Las API se encargan de dynamic groups.
Block list permite interacturas con la IP del sitio.
Interzone viene bloqueada por defecto.
Loguear sesin al final es recomendable.
>> Security profiles:
Antivirus-antispyware...
Se pueden agrupar en un security profile group.
Un deny no necesita asegurar un security profile.
data filtering es como un DLP (si un texto coincide, como "tarjeta
se bloquea). Puedes configurar umbrales por ejemplo.
Las reglas se pueden tomar (polticas), con el mouse inclusive que
numerarlas.
Si en source no sale zone, alguien se meti y la sac.
Highlight unused rules: Determina reglas que no se han usado desde
equipo.
Los tags de la poltica se pueden agregar. Los tag de color fueron
usuarios ...
de credito",
es cmodo, para e
reiniciado el
a peticin de los
>>>>>>> NAT
Hay dos... de destino y origen.
Origen: Internet a usuarios internos. windows 7 a internet.
Destino:
Dentro de origen:
Static IP: Nat 1-1, cambia ip origen mantiene puerto origen y destino.
Dynamic IP: Nat 1-1, 1 direccin origen (natea segn se direcciona a IP pblica dispon
ible por ejemplo). Juega con puertos para ver que ip usar (IP pool)
Dynamic IP/Port: Nateo por ip interfaz firewall, como un PAT. TODO TRAFICO POR U
NA IP.
>DIPP NAT Oversubscription (DIPP)
- Reutilizar el mismo puerto para el cual se ha nateado una IP.
El hardware limita la cantidad de oversubscription que te permite utilizar.
Como se configura el tipo de NAT?
El paquete trasladado se selecciona
BI direccional: Trfico de ida como de vuelta va por una IP.
Politica destino
ES DE UNTRUST A UNTRUST !! NO DE UNTRUST A TRUST !! Esto es as en palo alto.
destination address es ip publica.
La zona de origen y destino es donde est la IP publica.
PERO la poltica es de Untrust a trust
IP destino publica es la misma en para NAT y poltica.
TRUST: ZONA entre mi equipo y fw.
UNTRUST: ZONA entre internet y FW.
Bi-direccional: Si bien el NAT es 1-1, LA IP DE INTERNET NO PODR ENTRAR A NINGN SE
RVICIO.
Poltica seguridad es distinto de NAT. Se deben configurar ambos. NAT y luego polt
ica de seguridad es fundamental, respeta el flujo de palo alto.
>>>>>>>>> 14/10
>>>> App-ID:
- Detecta protocolo en que funciona la aplicacin, tiene su firma.
- Skype es propietario de su encriptacin... A veces se puede demorar palo-alto en
detectar que es skype (heurstica no es tan rpida).
- yahoo messenger 5050 y bit torrent 6681, son evasivas, si no encuentran sus pu
ertos se van por puerto 80.
** Importante: Podemos crear reglas basadas en aplicacin o nmero de puerto. Con es
o nos ahorramos una App-IPS.
- Si es una app de Zero-Day, de puerto 53, se deja pasar. Palo alto puede bloque
arlo porque no es una aplicacin especfica.
- UDP contiene toda la info en 1 paquete, por tanto es ms fcil para palo alto, en e
ste caso se va al primer paquete directamente a leer la aplicacin. 3-way handshak
e de TCP es ms difcil porque no es aplicacin, application data recin lo ve en HTTP r
esponse.
- Si el log sale incomplete en tcp, se gener el handshake pero no pas data... NO N
ECESARIAMENTE ES ERROR !!
- Por qu se re-alimenta si hay poltica desencriptacin? Revisar firmas.
- Si el protocolo es desconocido se aplica heurstica (forma lenta de detectar apl
icacin), sino se aplica decoder.
- Contexto: Es web browsing o est pasando otra aplicacin por debajo?.
- Protocol decoder permite el application shift para cambiar de aplication signa
tures.
Como funciona la heurstica? Ver ppt.
** IMPORTANTE: applipedia.paloaltonetworks.com. En caso de emule palo alto es in
teligente, los puertos son dinmicos y as los reconoce.
- Dependencia de aplicaciones?? Implcita??
Si no tengo habilitado web-browsing por ejemplo, no puedo usar google translate.
..
Implcita significa que el FW lo hace automticamente con las aplicaciones. La aplic
acin te avisar si hay aplicaciones dependientes, tirndolos como warnings en el comm
it.
** IMPORTANTE: urlfiltering.paloaltonetworks.com web page Te permite revisar las
categoras
- Application default: Solo por el puerto que se indica.
Resumen wildfire
Archivo no se conoce > wildfire
Conozco firma? No, y conozco hash no va, sino se analiza si es malicioso o no a t
ravs de un reporte pdf con una firma para la amenaza.
Firmas de wildfire alimenta a los dems content-ID.
Lo que se demora en la firma para un ataque da 0, se demora como 1 hora app en el
proceso. Si la firma es nueva, se demora 2-3 (ingeniero procesan) y sin wildfir
e 24-48 horas.
appliance wf-500 es con pan-db que permite firmas locales sin necesidad de ir al
cloud, puedes tener varios paloalto enganchados a wf-500. Limitacin wf-500 es qu
e solo funciona con un sistema operativo que es el que finalmente trabaja. No re
visa APK (android) y no revisa web pages en mail.
Nadie tiene en sudamrica hasta ahora esto :(.
Wildfire se debe configurar cada 15 minutos !! Existen wildfire logs, muy comple
tos !!
>> Decryption
SSL: Sesin es 1 Request con certificado.
2 Certificado se enva.
Decription policies:
- SSH, SSL
Admin certificado:
Se pueden autentificar dos significados para high avaibility.
certificados:
Sels signed o firmado por FW, user necesita confiar en el firewall independiente
mente.
CA certificate: Gran escala
Cadena confianza: lista de certificados en una entidad, cada certificado se firm
a por una entidad del y va al siguiente certificado.
self-signed marcar opcion "certificate authority"
Certificados revocados: i) Por CRL una lista de certificados no vlidos, se baja d
e cada route CA
ii) OCSP cada cliente enva serial number certificado y se
compara con la informacin OCSP del cach.
Como empresa me gustara ver que pasa por SSL.
FW intercepta certificado (haciendo de proxy), haciendo dos conexiones SSL. FW e
stablece dos canales de conexin segura.
desencripto trfico por categora SSL. se escogen categoras de URL.
SE PUEDEN CREAR POLTICAS DE DESENCRIPTACIN
ssl forward proxy todo lo que sale de mi unidad corporativa hacia internet.
Se puede agregar por consola y manualmente agregar categoras.
HSM: Llaves dentro del mdulo
>>>> Modulos que soporta palo alto en el examen es pregunta segura del examen.
Si cargo licencia y reinicio equipo se puede cargar el decryption port mirror. D
isponible de serie 3000 en adelante. PAN decript es la licencia.
SESION 8:
USER ID AGENT: Pregunta las IP clientes,
Agente firewall v/s windows
- Agente de Firewall es ms eficiente en ancho de banda, directo al FW es un solo
trfico entre los servidores (recomendado).
Tienen 3 link, HA1 (Control), HA2(Data plane sincronizar sesin) y HA3 (capa 7, qu
ien es el dueo de la sesin).
Se replica trfico en otra puerta.
Se balancean las cargas por algoritmo.
Session setup es donde se decide que FW va a cursar el trfico.
Hay un activo primario y otro secundario.
Sesion owner procesa, y setup recibe y manda.
IP Flotante: Se mueve segn se gatilla el failover, cambian las IP y se dirigen a
otra interfaz.
Interfaz HA1 es la 1/7
SESION 12: Panorama
Permite centralizar la configuracin.
Como panorama soporta 100 FW y 1000 logs.
Panorama en versin 6 se maneja con templates y global shared groups.
Device groups: Criterios segmentacin de cada uno. Un dispositivo pertenece a 1 vi
rtual group.
Polticas pueden ser de seguridad, de Nat, entre otras.
Pre-rules son reglas que tienen precedencia sobre las reglas del FW.
Post-rules vienen despus de las reglas locales del FW.
Template:
Pueden contener objetos de red o de device.
Override para modificar los parmetros del panorama... Todos los objetos con engra
naje verde es un bjeto al cual le hice override
Panorama pueden enviar actualizaciones (device deployment).
Log y reportes centralizados: En el ACC de panorama podra ver ACC de 1,2, 5 o tod
os los FW del panorama.
Puede enviar info en paralelo o por syslog a panorama.
M100 como log collector y luego a panorama, es un consejo de arquitectura distri
buida.
Se pueden hacer reportes del panorama.
Se pueden crear cuentas admin panorama, y dividir permisos a FW o a panorama (a
1 FW, o a 2, o a Panorama, etc).
Panorama tiene una licencia para administrar una cierta cantidad de dispositivos
.
Preguntas:
- Si hay 4 niveles de codificacin en 7.0, si hay ms de 4 codificaciones Que puede h
acer palo alto para bloquear?.
- Prguntas de administrador (general... repasar). Release y wildfire.