Palo Alto Firewall URL Filtering

Merhaba ,

Günümüzün en büyük tehditlerinden birisi olan sahte internet sitelerinden korunmanın yanı sıra kurumların / şirketlerin siber güvenlik tarafında büyük önem verdiği web güvenliğini sağlamak amacı ile gerek yazılımsal gerek donanımsal ürünler kullanmaktadır. Bu ürünler kullanıcı yada cihaz taraflı yasaklama yapmakla birlikte dışardan gelecek tehditleri önlemekle birlikte ağımızda internet erişimi olan her cihazın / kullanıcının bu siteye erişiminide engellemek amacı ile kullanılmaktadır.

Bende bu makalede elimden geldiğince Palo Alto Firewall URL Filtering işlemlerinin nasıl yapılacağını anlatmaya çalışacağım.

Öncelikle buradan cihaz üzerindeki url filtre kategorilerini inceleyebilirsiniz. Listede 100 e yakın farklı kategoride binlerce web sitesi yer almakla birlikte bizde kendi kategorilerimizi oluşturarak izinli / yasaklı url listesi oluşturabiliriz.

Cihaz web arayüzünden yeni kategori oluşturacağımız gibi CLI ekranından da yeni kategori oluşturabiliriz. CLI ekranından yeni kategori oluşturmak için aşağıdaki komutları kullanabilirsiniz.

CLI Çıktısı

Yeni kategori oluşturmak için.

> configure
# set profiles custom-url-category KategoriAdi description "How to configure Custom URL Category"
# set profiles custom-url-category KategoriAdi list [ irfankocak.com irfankocak.com/* *.irfankocak.com ]
# commit

Oluşturulan kategoriyi silmek için.

# delete profiles custom-url-category KategoriAdi list irfankocak.com
# commit

Cihaz yönetimi için genellikle web arayüz kullanıldığı için işlemlerimizi arayüz üzerinden tamamlayacağız. Sizde aşağıdaki adımları takip ederek yeni URL kategori oluşturarak kurallarınıza dahil edebilirsiniz.

 Objects / Custom Objects / URL Category / Add adımlarını izleyerek yeni kuralımızı oluşturmaya başlıyoruz.

Yeni kategorimize domain isimlerini www.irfankocak.com , *.irfankocak.com yada irfankocak.com/* şeklinde ekleyebiliriz. Ben örnek olarak 3 domain ekledim. Listeyi manuel oluşturabileceğiniz gibi hali hazırda olan bir listeniz varsa bu listeyide Import seçeneği ile içeri aktarabilirsiniz.

Listemizi hazırladıktan sonra kaydederek işlemlerimize devam ediyoruz. Oluşturduğumuz yeni URL kategorisine istediğimiz filtre işlemini uygulamak için gerekli adımları tamamlıyoruz.

Yasaklı siteler için oluşturduğumuz yeni profilde ben sadece manuel oluşturmuş olduğumuz kategoriyi seçtim siz bu profilde yasaklamak istediğiniz tüm kategorileri seçebilirsiniz. Zaten Profili oluşturduktan sonra resimde göreceğiniz gibi size oluşturulan profil yanında kategori aksiyon özeti listelenecektir.

Kategori ve özel url listesi oluşturma işlemimiz tamamlandıktan sonra Policies / Security / Add adımlarını takip ederek yeni bir güvenlik kuralı yazıyoruz.

Ben sadece url filtering özelliğini kullanacağım için Application ekranında hiç bir uygulamayı yasaklamıyorum. Siz isterseniz bu ekranda da yasaklamak istediğiniz uygulamaları seçebilirsiniz.

Tüm işlemlerimiz bittikten sonra ile ayarlarımızı kaydederek etkin olmasını sağlıyoruz. Yapılan işlemleri test etmek için oluşturmuş olduğumuz url listesindeki sitelere erişim sağlamaya çalıştığımızda karşımıza sitenin yasaklandığını gösteren uyarı mesajı yanı sıra ip adresi , girmek istediğimiz site ve erişimin engellendiği kategori mesajı çıkacaktır.

Monitör ekranı sayesinde yazmış olduğumuz kurala takılan kullanıcıları ve bir çok detayı izleyebilirsiniz. Url kategori yanı sıra aynı ekranda bulunan External Dynamic Lists modülü ilede url list oluşturabilir yada dış kaynakta barındırılan bir url listesinide cihazınıza ekleyebilirsiniz.

External Dynamic Lists genellikle  zararlı yazılım barındıran sitelerin listesini cihazımıza entegre etmek için kullanılır. Sizde bu tür listeler oluşturmak isterseniz USOM ve malwaredomains gibi kaynaklardan faydalanabilirsiniz. Ben listemi kendim hazırlamayı tercih ettiğim için dış kaynak bir listeyi yapıma eklemeyi tercih etmiyorum. Fakat ekran görüntüsündeki ayarları kullanarak siz istediğiniz gibi ekleme yapabilirisniz.

Son olarak bir domaini url filtering kategorisine almadan önce https://urlfiltering.paloaltonetworks.com/ adresi üzerinden kontrol edebilir ve Palo Alto veritabanında hangi kategoride sınıflandırıldığını görebilir ve eğer kategorilerden birine dahil değilse eklenmesi için talep gönderebilirsiniz. Bu sayede listenizi domain kirliliğinden uzak tutmuşta olursunuz çünkü kategorilenmesi için talep gönderdiğiniz domain önce güvenlik kontrolünden geçirilir sonrasında sınıflandırılarak veritabanına eklenir.

Hangi güvenlik duvarı olursa olsun öğrenmeye yeni başladığınızda biraz zornalır, canınız sıkılır, olmuyor diye bırakıp kalktığınızda olur ama derinliklerine indikçe zamanın nasıl geçtiğini anlamadan geliştirmeye devam edersiniz. Eğer makalede yazım hataları yaptıysam kusuruma bakmayın saat: 03:49 ve ben neredeyse bir gözüm kapalı yazıyorum 🙂

Bir sonraki makalede Application Filtering işlemlerinden dilim döndükçe bahsetmeye çalışacağım.

Faydalı olması dileğiyle. Güvenlik dolu günler dilerim.