среда, 28 февраля 2018 г.

Сертификация Palo Alto Networks

Добрый день, коллеги!



В новостной ленте Алексея Лукацкого появилось и затем Алексей Комаров ретвитнул информацию о том, что отменили сертификаты у Palo Alto Networks. 

Это верно, информационное сообщение ФСТЭК тут:
https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1516-informatsionnoe-soobshchenie-fstek-rossii-ot-1-fevralya-2018-g-n-240-24-554

Упомянутые сертификаты 2012 года кончаются в апреле 2018 года. Они настолько старые, что относятся к устройствам, которые уже даже не выпускаются: 2000 и 4000 серия, ну и версия операционной системы уже далеко не 4.0, а 8.0.
То есть отменили сертификаты которые сами по себе кончаются в апреле 2018 и мало того часть из них на устройства, которые вышли из продажи.


Чтобы продлить эти сертификаты нужно было снова показать исходный код, а делать это для сертификатов которые кончаются через 2 месяца - неэффективно. Поэтому офис Palo Alto Networks сконцентрирован на получении новых сертификатов на новые устройства и на новую операционную систему.

ФСТЭК верно смотрит на наличие уязвимостей и Palo Alto Network поддерживает эту практику. Все уязвимости заблаговременно устраняются производителем. Быстро сертифицировать новую, обновленную версию всегда сложно, поэтому мы всем заказчикам присылаем описание (workaround) по организационным методам защиты от найденных уязвимостей.

Для указанных в сообщении ФСТЭК уязвимостей было выпущено обновление, где они уже устранены. Это также указано на сайте ФСТЭК.
http://www.bdu.fstec.ru/vul/2017-02120
http://www.bdu.fstec.ru/vul/2017-02237


Palo Alto Networks серьезно относится к реальной защите и всегда оповещает своих заказчиков о своих уязвимостях и поддержка оказывает помощь в обновлении и своевременной защите.

Самая главная проблема, которую я вижу: невозможность установить обновления устройств защиты, пока не выйдет новый сертификат ФСТЭК. Хакеры пользуются такой возможностью.

Например, из последних новостей: почти все устройства Cisco сейчас имеют уязвимость CVSS 10 (выше не бывает), которая позволяет удаленно взять под управление устройство. И, поскольку, часто общаюсь с заказчиками, то знаю, что многие не установили это обновление, хотя оно вышло в феврале 2018 года.
Вот оповещение от Cisco





четверг, 22 февраля 2018 г.

Автоматизация конфигурации межсетевого экрана Palo Alto Networks

Автоматизация конфигурации межсетевого экрана Palo Alto Networks

Существуют одинаковые вопросы, которые периодически возникают у заказчиков. Сегодня коснусь частого вопроса как быстро создать много одинаковых правил или как быстро добавить много одинаковых объектов в одно правило.
Часто во время тестирования производительности заказчики ставят задачу: добавьте 500 правил NGFW или допустим 300 правил NAT. Естественно я не создаю это вручную из web интерфейса. Как это можете автоматизировать вы?

Есть два способа

ПЕРВЫЙ СПОСОБ: REST API

Через REST API скриптами. И здесь Palo Alto Networks чаще всего настраивают используя библиотеки для Ansible, вот тут они лежат (https://github.com/PaloAltoNetworks/ansible-pan). DevOps используют Ansible для разных целей и настройка NGFW одна из задач. Ansible используется для автоматической конфигурации динамически создаваемых виртуальных межсетевых экранов. Сегодня это актуально при использовании их для защиты сервисов компании, реализованных внутри публичных облачных сервисов, таких как Microsoft Azure или Amazon AWS или же встроенной системы защиты виртуализации на VM серии NGFW.
Вот в этом блоге замечательная статья как использовать REST API на Python http://securitynik.blogspot.ru/2016/07/writing-palo-alto-firewall-rest-api.html
В этом блоге рассказывается как использовать REST API из Powershell https://lockstepgroup.com/blog/scripting-with-palo-alto-networks/
Вы можете REST API использовать и для считывания и исправления различных параметров NGFW в реальном времени. Например, рассмотрим как управлять таблицей USER-ID и соответствием имени пользователя и группы в которой он работает. 
У NGFW есть доступ к REST API и через web интерфейс. Для этого в адресной строке браузера нужно добавить к IP адресу NGFW строку /api (после авторизации). Вот например, что нужно ввести в окошко REST API NGFW, чтобы добавить новую группу BestGirls и добавить в группу аккаунт и указать, что он работает с IP адреса 10.0.0.20.

<uid-message>
<version>2.0</version>
<type>update</type>
<payload>

<login>
<entry name="BestGirls\Mona" ip="10.0.0.20" />
</login>

<groups>
<entry name="BestGirls">
<members>
<entry name="BestGirls\Mona" />
</members>
</entry>
</groups>

</payload>
</uid-message>

После отправки вышеприведенной XML команды, межсетевой экран возвращает статус Success.
И сразу вы можете уже в web интерфейсе увидеть, что в списке пользователей есть группа и пользователь в группе.

ВТОРОЙ СПОСОБ: КОМАНДЫ SET

Используя комады SET из командной строки. Описание на английском есть здесь (https://live.paloaltonetworks.com/t5/Configuration-Articles/Viewing-the-configuration-in-set-and-XML-format/ta-p/65757)
Как известно, если вы работаете из командной строки, то вы всегда можете посмотреть конфигурацию. Обычно конфигурация показывается в формате XML. Если вы хотите увидеть как она выглядит в виде команд SET, то нужно поменять формат вывода команд с формата XML на формат SET. И это как раз тот самый вид конфигурации, который легко использовать для понимания как исправить нужные правила или получить пример команд для добавления новых правил или объектов.
Начните с того, что посмотрите вывод конфигурации в формате set в своем NGFW. Например, для просмотра правила с именем rule1 вы можете ввести такие команды.

>set cli config-output-format set
>configure
#show | match rule1


Вот, например, такой вывод будет на NGFW для правила rule1. Здесь видно, что оно разрешает все соединения в любых направлениях.
set rulebase security rules rule1 from any
set rulebase security rules rule1 to any
set rulebase security rules rule1 source any
set rulebase security rules rule1 destination any
set rulebase security rules rule1 service any
set rulebase security rules rule1 application any
set rulebase security rules rule1 action allow
Соответственно, если вы хотите что-то исправить в правиле, то затем вы эту команду set вводите там же в командной строке и получаете новое правило или исправляете его.

На Panorama вывод команд set для правила безопасности будет выглядеть немного по-другому, потому что там есть такое понятие как Device Group и правила группируются внутри Device Group

Для примера вот так выглядит вывод и соответственно команда для Panorama, чтобы добавить трех пользователей в правило rule1 для Device Group с именем PA-5220 в раздел Pre Rules:

#set device-group PA-5220 pre-rulebase security rules rule1 source-user [ domain\ivanov domain\petrov domain\sidorov ]




воскресенье, 18 февраля 2018 г.

Apple и гордыня

Выдали на работе новый ноутбук MacBook Pro.
Это же как ненавидит своих пользователей тот новый руководитель Apple, чтобы лишить их портов? Хотя нет, это скорее всего обычная гордыня. Он настолько крут, у него такой классный софт и железо, на которые все молятся, что теперь можно заставлять пользователей мучаться.  Этим путем уже шла Sony со своим MMC, вместо SD карт, Cisco со своим ISL, вместо 802.1q. И что теперь? Теперь я еще потратил больше 100 долларов, чтобы обвесить эти непонятные дырки нормальными портами Ethernet, HDMI и USB, которые мне нужны для работы. Спасибо, гордый изобретатель Apple!
Помните зарядку на магнитике MagSafe? Ее больше не существует. Красавцы!
Зато я теперь знаю что такое HyperDrive. Его считают лучшим навесным устройством в новому Apple. Фантастически неудобно.
Похожее изображение


А раньше все порты были прямо в ноутбуке. А теперь мобильность потеряна.

Картинки по запросу apple macbook новые порты


Пока листал и смотрел что думают другие, нашел пародийный ролик на порты зарядки Apple.