Palo Alto Firewall Zone Protection

Merhaba ,

Bir önceki makalemizde Palo Alto DoS Protecion işlemlerinden bahsetmiştik. Güvenlik duvarımızda Zone ve DoS Protecion ayarlarını doğru bir biçimde yaptığımızda dışarıdan gelecek olan paket saldırılarına karşı daha iyi bir güvenlik sağlamış oluruz.

Sizde aşağıdaki adımları takip ederek güvenlik duvarı üzerinde Palo Alto Firewall Zone Protection profili oluşturarak Networkünüze dahil edebilirsiniz.

Flood koruması için gerekli düzenlemeleri yaparken ben varsayılan değerleri kullandım kullandım fakat siz isterseniz değerleri yapınızın kritikliğine göre düzenleyebilirsiniz. Eğer DoS Protection için bir profil oluşturduysanız ve Flood değerlerini değiştirdiyseniz aynı değerleri Palo Alto Firewall Zone Protection içinde kullanmanızı tavsiye ederim. Yada iki profilin değerlerini farklı yaparak gelecek saldırıları loglarını inceleyerek düzenleyebilirsiniz.

Saldırganın hedef hakkında daha az bilgiye sahip olması vereceği zararın daha çok olması demektir.Saldırı öncesi keşif yaparak hedef belirlemek isteyen saldırgan için yukarıdaki resimde yer alan TCP,UDP Port ve Host Sweep tarama işlemlerini engelleyerek yapınız hakkında bilgi alınmasınıda engellemiş olursunuz.

Aşağıdaki ayarlar sayesinde paket bazlı saldırılar için gerekli tedbileri alarak saldırganın işini dahada zorlaştırmış oluruz. Belkide hedef hakkında yeterli bilgiye sahip olmadığı ve bilgi toplayamadığı için hevesi kursağında kalır ve belkide değmez diyerek saldırmaktan vazgeçer 🙂

IPV6 Drop bölümünde önemli paketleri engelleme seçenekleri varsayılan olarak gelir ama siz bu özelliği daha katı kurallarla donatabilirsiniz. Yapınızın durumuna göre gerekli seçenekleri seçmenizi tavsiye ederim.

Zone Protection için gerekli profili oluşturduktan sonra geriye sadece profili internet portumuza tanımlamak kalıyor. Benim kullandığım tek internet hattım olduğu için oluşturduğum profili bu hattın bağlı olduğu porta uyguluyorum. Yapınızda birden fazla internet hattı varsa ve bu hatları güvenlik duvarınız üzerinde farklı portlara tanımlayarak kullanıyorsanız oluşturmuş olduğunuz Zone Protection profilini bu portların hepsine tanımlayabilirsiniz.

Tüm işlemlerden sonra Commit ile yaptığımız değişiklikleri kaydederek aktif hale getirmiş oluyoruz.Artık internet hattımızın tanımlı olduğu port için bir koruma sağlamış oluyoruz.

Yaptığımız ayarların CLI çıktısı için aşağıdaki komutu kullanabilirsiniz.

show zone-protection zone internet-zone

internet-zone yazmış olduğum yere zone için tanımlamış olduğunuz isim gelecektir.

Aşağıdaki resimlerde oluşturulan profilin detayları yer almaktadır.Satır sayısı yaptığınız işleme göre değişkenlik gösterebilir Enter ile alt satırlara ilerleyerek çıktının tamamını inceleyebilirsiniz.

Her bir profil ve kurallar ile cihazımızı dahada güvenli hale getiriyoruz. Benim gibi sanal sistem üzerinde demo yapan arkadaşlar için bir kaç makale sonra  demomun yapılandırma yedeğini alarak siteye yükleyeceğim eğer isterseniz yeni bir demo kurup ayarları içe aktararak kurcalayabilirsiniz.

Faydalı olması dileğiyle.