Как защитить домашний компьютер используя GlobalProtect

Сегодня проводили вебинар, было много вопросов по настройке и я думаю, что теперь любой, кто посмотрит это видео сможет настроить шлюз VPN на Palo Alto Networks.

Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.

• GlobalProtect Overview - Общий обзор настроек.
• GlobalProtect Part I - Основные настройки для portal, external gateway и для локальной аутентификации.
• GlobalProtect Part II - Расширенные настройки для аутентификации через LDAP, RADIUS, Duo и также для internal gateway.
• GlobalProtect Part III - Расширенные настройки для пользователей и привязки к ним политик безопасности на основе HIP и  включения HIP notifications.
• GlobalProtect Part IV - Настройки дополнительной аутентификации с MFA для HTTP и не-HTTP доступа к критичным ресурсам.

Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.

И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.

Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.

Функционал HIP требует подписки GlobalProtect, поэтому мы на время коронавируса предлагает ее бесплатно на 90 дней. Остается только ее включить и настроить проверки.

И конечно же перешли к вопросу как это настраивать и ставить.

Как ставить клиентов GlobalProtect

Важный вопросы был как клиентов распространять.

Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.

Конфигурация GlobalProtect шлюза

В видеоролике мы записали как это сделать, и также мы подготовили документ PDF на русском языке с описанием как настраивать.

IronSkillet и PanHandler

У компании Palo Alto Networks существует набор готовых конфигураций межсетевого экрана. И в том числе для GlobalProtect. Поэтому мы также дали ссылку на пример шаблона с командами set. Можно его использовать как есть, а можно использовать утилиту PanHandler и она сама подставит ваши адреса и настройки в шаблон.

MFA

Сегодня не рассматривали двухфаторную аутентификацию. Самое простое - это второй фактор на сертификатах, поскольку портал может выступать как SCEP клиент, запрашивать сертификат и отдавать клиенту для авторизации на шлюзе.

Prisma Access

Следующая презентация 27 марта в 12 дня будет про Prisma Access и все наши бесплатные сервисы которые мы предлагаем во время эпидемии коронавируса. РЕГИСТРАЦИЯ открыта. Эту технологию сейчас пропогандируем не только мы, но еще и Gartner. Он назвал ее SASE.

DGA или зачем хакеры непрерывно генерируют имена доменов

Domain Generation Algorithms (DGA)

Одним из наиболее важных «нововведений» в области вредоносных программ за последнее десятилетие является так называемый алгоритм генерации доменов (DGA). DGA - это техника автоматизации, которую злоумышленники используют для защиты от защитников защищающих сотрудников от атак. Хотя DGA используется уже более 10 лет, он все еще является мощной техникой, с которой безопасникам приходится сталкиваться. К счастью, сейчас появляются новые технологии, которые могут лучше противостоять DGA.

Злоумышленники разработали DGA, чтобы вредоносная программа могла быстро создать список доменов, которые она может использовать для сайтов, которые дают ей инструкции и получают информацию от вредоносной программы (обычно называемую «command & control» или C2 или система управления бот-сетями).

Злоумышленники используют DGA, чтобы быстро переходить на новые домены, которые они используют для работы своих вредоносных программ. Злоумышленники делают это, потому что программное обеспечение для обеспечения безопасности и поставщики действуют быстро, чтобы блокировать и уничтожать вредоносные домены, которые использует вредоносное ПО. Злоумышленники разработали DGA специально для противодействия этим действиям, чтобы стать еще быстрее.

В прошлом злоумышленники вели постоянный список вредоносных доменов. Безопасники могут легко взять этот список и начать блокировать и даже уничтожать эти сайты. Используя алгоритм для построения постоянного нового списка доменов, безопасникам становится сложнее знать или предсказать, какие домены будут использоваться, чем если бы у них был простой список доменов. Чтобы получить список доменов, которые будут использовать вредоносные программы, защитники должны изучить алгоритм, который может быть сложным.

Удаление сайтов, на которых работает вредоносное ПО использующее DGA, сложно осуществить, поскольку безопасникам приходится проходить через процесс работы с интернет-провайдерами, чтобы уничтожить эти вредоносные домены один за другим. Многие DGA созданы для использования сотен или даже тысяч доменов. И эти домены часто работают только в течение ограниченного периода времени. В этой ситуации блокирование и удаление доменов, связанных с DGA, быстро превращается в игру «ударить крота», которая иногда бесполезна.

Почему я должен переживать, что это может сделать с моей компанией?

DGA сама по себе не может навредить вам. Но это важная часть, которая позволяет современным вредоносным программам пытаться избежать блокировки и контрмер безопасности. Важность и полезность DGA для хакеров лучше всего подтверждается тем фактом, что техника регулярно и постоянно используется по крайней мере с 2008 года. DGA был ключевым компонентом атак Conficker в 2008 и 2009 годах и частью его успеха.
Я делаю много пилотов NGFW и исследую трафик и атаки в нем. Почти в любой сети я вижу массу таких запросов к DGA доменам и их никто не контролирует. Хотя это верный признак того, что на рабочих станция и серверах ведется несанкционированная активность.

Что я могу с этим поделать?

Поскольку DGA - это метод, который гарантирует успешность атак вредоносных программ, то, вы можете начать участвовать в программе нахождения доменов DGA: начать отправлять ваши DNS запросы в специализированные ЦОД, которые обрабатывают big data и используют machine learning.  Сервер анализирует DNS запросы в реальном времени и принимает решение несет ли этот неизвестный или новый домен пользу или вред.

Новые технологии анти-DGA, которые используют машинное обучение и big data, способны противостоять автоматизации DGA с помощью собственного автоматического прогнозирования, которое может предвидеть, блокировать, помогать в удалении вредоносных сайтов или даже, в некоторых случаях, предотвращать использование этих вредоносных сайтов в первое место.

А что на практике?

Итак в современные NGFW были встроены две новые техники защиты DNS и они служат одной цели, но появились в разное время: DNS Sinkholing и Anti-DGA. Давайте разберем это.

1. Во-первых сама техника защиты DNS Sinkholing существует уже давно и хакеры про нее в курсе. Вредоносный код использует подключения по DNS и безопасники блокируют эти подключения, изучая вредоносный код и забирая из него эти DNS адреса, получая в итоге индикаторы компрометации и пополняя базы Threat Intelligence. То есть DNS Sinkholing это по сути база DNS адресов и метод обнаружения и реагирования DNS запросов в сети.
   
2. Во-вторых пришлось создать специальные мощные сервера для анализа новых DNS запросов к еще неизвестным ранее доменам в реальном времени. Почему? Хакеры в ответ на создание DNS Sinkholing стали генерировать себе DNS домены так часто, что системы сбора и анализа перестали успевать собирать их из вредоносного кода. И мало того текущие системы анализа (например песочницы) и не могут создать список всех доменов, которыми будет пользоваться хакер, потому что в генератор заложено бесконечное число вариантов. И тут уже требуется специальный machine learning, чтобы отличить "человеческий" домен от "нечеловеческого" в реальном времени.
   
3. В-третьих DNS запросы не просто блокируются, а подменяются, потому что запросы приходят от DNS сервера, а не от зараженных станций. И просто блокировать запросы неинтересно. Когда мы подменяем ответ DNS серверу, то видим потом соединения к адресу, который мы использовали в ответе, например, это может быть адрес sinkhole.paloaltonetworks.com

У Palo Alto Networks механизм anti-DGA реализован и называется DNS Security.

На картинке видно журнал, где показано что видит DNS Security в Palo Alto Networks, и подобнее уже было описано тут. Посмотрите какие в журнале идут имена доменов! Чтобы определить программа ли этот адрес сгенерировала или человек и используется machine learning и big data.

Подключение Firewall через Virtual Wire плюсы и минусы

Что такое Virtual Wire 

Firewall - это сетевое устройство и оно обычно выглядит в сети как свит и/или как роутер. Однако еще один важный режим я хочу осветить особо: Virtual Wire. Вот здесь есть замечательная статья, про различные режимы подключения Firewall к сети. Мы сегодня обсудим режим Virtual Wire.

В этом режиме мы разрезаем любой существующий кабель нашей сети и образовавшиеся два конца кабеля вставляем в порты межсетевого экрана. Межсетевой экран в режиме "виртуальная линия" или Virtual Wire пробрасывает прозрачно фреймы с одного интерфейса на другой и обратно. Такая схема используется в IPS - она там называется inline.

Плюсы подключения через Virtual Wire

Для многих существующих сетей очень важно сохранить топологию. Однако, теперь появились требования по безопасности и их как-то надо реализовать. Например, это сети ICS/SCADA предприятий, медицинских учреждений и др. Топология сети остается прежней для всех сетевых устройств при подключении Firewall в сеть способом Virtual Wire - как был кабель между какими-то устройствами, так он и остался. Однако с точки зрения логического элемента - это полноценный межсетевой экран, который видит, собирает и анализирует пакеты вплоть до 7 уровня модели OSI ISO и до файлов. Это позволяет начать контролировать сетевые потоки и блокировать несанкционированные. Также в режиме Virtual Wire возможно включить трансляцию адресов (NAT) и даже включить расшифрование SSL и SSH. Такая схема может быть реализована в ЦОД между двумя маршрутизаторами. Устройство не принимает участия в маршрутизации и даже в построении дерева Spanning Tree - сетевым администраторам это устройство не приносит каких задач новых и тем более проблем. А вот для сотрудников отдела безопасности это отличный агент контроля и защиты сетевого трафика. Вы прозрачно имеете возможность включить анализ приложений, файлов в них, движки IPS, антивируса, anti-spyware, Threat Intelligence, DNS Sinkhlong и др.

Минусы подключения Virtual Wire

В этом режиме вы не можете полноценно участвовать в L2 и L3 режимах, то есть не можете маршрутизировать VLAN или обычные L3 соединения. Однако для этого есть как раз режимы L2 и L3.

Дополнительные возможности

В крупных сетях используют Etherchannel для объединения сетевых устройств и несколько подключений Virtual Wire благополучно включаются в разрыв нескольких каналов, которые образуют Etherchannel и анализируют их, собирая их фреймы и пакеты в сетевые потоки и файлы.

Также этот режим можно использовать для подключения межсетевого экрана в среде виртуализации. Для виртуальной среды трафик ходит по маршрутам без дополнительных хопов, а вот в реальности весь трафик проходит через Firewall.

Palo Alto Networks настаивает на сегментации сети и использовании Zero Trust

В прошлом году нашумела история про взлом норвежской сталелитейной компании Norsk Hydro, где офисы, заводы и склады в 40 странах были выведены из строя криптолокером LockerGoga.

Я рассказывал про атаку на Norsk Hydro на Positive Hack Days в 2019 году, когда рассказывал про новинку на рынке ИБ - продукт Cortex XDR.

Сегодня 6 марта 2020 года вышла еще одна новость про заражение Евраз криптолокером Ryuk. Считаю, что это приведет к пересмотру корпоративной политики безопасности.  Про этот криптолокер было много статей, в том числе статья исследовательской лаборатории UNIT42 компании Palo Alto Networks.

Компания Palo Alto Networks настаивает, что использование только IPS внутри сети неэффективно. Нужно полностью переходить на Zero Trust. Атаки происходят от имени пользователей, пароли которых украдены - нужно использовать информацию о состоянии защиты хоста в правилах NGFW. Атаки проводятся стандартными утилитами - посмотрите на проект Living Off The Land Binaries and Scripts (LOLBAS). И нужно не просто давать авторизованным пользователям доступ в сети, а еще защищать их в момент когда они сами заразились. Для этого нужно использовать полный арсенал средств, начиная с хостового и потокового антивируса, заканчивая контролем трафика приложений в сети, контролем DNS и подключений к известным бот-сетям, контролем имени пользователя в ЦОД (user-id), контролем передаваемых файлов по типам. Это все реализовано внутри NGFW.

Вот пример, тех техник, которыми пользуются хакеры и которым мы должны противостоять.

Что же делать? Страничка рекламы из презентации Palo Alto Networks ) И это не просто реклама - это работает!

Для примера, в одном крупном заказчике было два ЦОД. В одном ЦОД был просто L4 firewall, в другом ЦОД был NGFW.  В ЦОД с L4 firewall появился wannacry и все зашифровал, в ЦОД c NGFW он не смог распространиться.

Один из мифов, который есть про Zero Trust, что его сложно и дорого реализовать.  Этому подходу уже 10 лет, с тех пор как он был опубликован компаний Forrester. Он уже "Притча во языцех" и поэтому мы решили рассказать все новости и мифы и показать что все реально, если захотеть. Мы будем рассказывать про Zero Trust и как его настроить на вебинаре 17 марта в 12:00. Приглашаю, регистрируйтесь 

Семинар по защите ЦОД уже был, его можно посмотреть тут