Tường lửa Palo Alto : Hướng dẫn cấu hình chặn người dùng download tệp tin EXE

1. Mục đích bài viết

• Bài viết này sẽ hướng dẫn cách cấu hình cho phép người truy cặp internet và chặn người dùng download các tệp tin EXE bằng File Blocking Profile.

2. Sơ đồ mạng, tình huống cấu hình và các bước thực hiện.

2.1 Sơ đồ mạng

2.2 Giải thích sơ đồ mạng.

• Như sơ đồ, thiết bị tường lửa Palo Alto sẽ được kết nối internet ở port 1 với IP tĩnh là 192.168.1.202/24 và trỏ về gateway là địa chỉ của nhà mạng 192.168.1.1/24.
• Phía bên trong của Palo Alto là lớp mạng nội bộ với IP 192.168.10.1/24 được đặt cho port 2. Trên port 2 được cấu hình DHCP server để cấp phát IP cho các thiết bị truy cập đến nó.
• Cuối cùng là 1 thiết bị Laptop được kết nối với port 2 thông qua cáp mạng và nhận được IP 192.168.10.201 được cấp từ DHCP server trên port 2.

2.3 Tình huống cấu hình.

• Chúng ta sẽ cấu hình cho phép người dùng truy cập internet và chặn người dùng download tệp tin EXE.

2.4 Các bước cấu hình

• Kết nối đến trang web quản trị của thiết bị tường lửa.
• Tạo zone
• Tạo Interface Mgmt Profile
• Cấu hình cổng mạng
• Tạo Virtual Router.
• Cấu hình DHCP Server.
• Tạo File Blocking Profile.
• Tạo NAT Policy.
• Tạo Security Policy Rule
• Bật Interzone Logging.
• Bật Application Block Page.
• Cấu hình Decryption.
• Kiểm tra kết quả

3. Hướng dẫn cấu hình

3.1 Kết nối đến trang quản trị của tường lửa.

• Chúng ta sẽ kết nối đến trang quản trị của tường lửa bằng cách dùng cáp mạng kết nối máy tính với cổng MGMT của tường lửa Palo Alto.
• Mở trình duyệt và truy cập vào bằng đường dẫn https://192.168.1.1 . Tài khoản và mật khẩu mặc định của tường lửa Palo Alto là admin – admin.

3.2 Tạo zone

• Chúng ta sẽ tạo 2 zone là WAN và LAN.
• Để tạo zone WAN vào Network > Zones > click Add và nhập các thông tin sau :
  • Name : WAN
  • Type : Layer 3
• Click OK để lưu.

• Tương tự click Add để tạo zone LAN với các thông số sau :
  • Name : LAN
  • Type : Layer 3
• Click OK để lưu.

 3.3 Tạo Interface Mgmt File

• Mục đích tạo Interface Mgmt profile là để mở một số dịch vụ thiết yếu cho 1 cổng mạng bất kì như HTTPS, Ping…
• Ở đây chúng ta sẽ tạo 1 Interface Mgmt Profile cho phép các dịch vụ HTTPS, Ping, SSH, Reponse Pages cho cổng LAN ethernet 1/2 để chúng ta có thể ping, truy cập trang web quản trị trên cổng này mà không cần kết nối bằng cổng Mgmt.
• Để tạo Interface Mgmt Profile vào Network > Interface Mgmt > click Add và nhập các thông số sau :
  • Name : ping-reponse-pages
  • Administrative Management Services : tích chọn HTTPS, SSH.
  • Network Services : tích chọn ping và reponse pages.
• Click OK để lưu

3.4 Cấu hình cổng mạng

• Để cấu hình cổng mạng ethernet1/1 vào Network > Interfaces > click vào tên cổng mạng
• Ở tab Config cấu hình các thông số như sau :
  • Interface type : chọn Layer 3
  • Security Zone : chọn WAN

• Ở tab IPv4 cấu hình theo thông số sau :
  • Type : chọn Static
  • Click Add và nhập địa chỉ IP là 192.168.1.202/24.
• Click OK để lưu.

• Tương tự cổng ethernet1/1, để cấu hình cổng ethernet1/2 click vào tên của cổng.
• Ở tab Config cấu hình theo các thông số sau :
  • Interface Type : Layer 3
  • Security Zone : LAN

• Ở tab IPv4 chúng ta cấu hình theo thông số sau :
  • Type : Static
  • Click Add và nhập địa chỉ IP là 192.168.10.1/24

• Ở tab Advanced cấu hình như sau :
  • Tại Other Info > Management Profile chọn ping-reponse-pages mà chúng ta vừa tạo ở phần trước.

3.5 Tạo Virtual Router

• Để tạo Virtual Router vào Network > Virtual Router > Click Add.
• Ở tab Router Settings cấu hình theo các thông số sau :
  • Name : VR1
  • Ở bảng General click Add và thêm 2 cổng ethernet1/1 và Ethernet1/2.

• Ở tab Static Routes click Add và cấu hình theo các thông số sau :
  • Name : default-route
  • Destination : 0.0.0.0/0
  • Interface : ethernet1/1
  • Next Hop : IP Address và nhập 192.168.1.1 ở ô phía dưới.

• Click OK 2 lần để lưu.

3.6 Cấu hình DHCP Server

• Để cấu hình DHCP Server vào Network > DHCP > click Add.
• Ở tab Lease cấu hình với các thông số sau :
  • Interface : chọn ethernet1/2
  • Mode : enable
  • Ở bảng IP Pools click Add và điền vào dãy IP sẽ được cấp phát là 192.168.10.200-192.168.10.230.

• Ở tab Options cấu hình với các thông số như sau :
  • Gateway : 192.168.10.1
  • Subnet Mask : 255.255.255.0
  • Primary DNS : 8.8.8.8
  • Secondary DNS : 8.8.4.4

• Click OK để lưu.

3.7 Tạo File Blocking Profile

• Để tạo antivirus profile vào Objects > Security Profiles > File Blocking.
• Click Add và cấu hình theo thông số sau :
  • Name : test-file-blocking
  • Click Add và thêm các thông số như sau :
  • Name : block-exe.
  • Applications : any.
  • File Types : exe.
  • Direction : both
  • Action : block.

3.8 Tạo NAT Policy

• Để tạo NAT Policy vào Policies > NAT > Click Add.
• Ở tab General cấu hình theo các thông số sau :
  • Name : LAN_TO_WAN
  • NAT Type : ipv4

• Ở tab Original Packet cấu hình theo các thông số sau :
  • Source Zone : LAN
  • Destination Zone : WAN
  • Destination Interface : ethernet 1/1

• Ở tab Translated Packet > Source Address Translation cấu hình theo các thông số sau :
  • Translation Type : Dynamic IP and Port
  • Address Type : Interface Address
  • Interface : ethernet1/1
  • IP Address : 192.168.1.202/24 (Lưu ý địa chị này phải được chọn từ danh sách thả xuống chứ không phải nhập bằng tay)

3.9 Tạo Security Policy Rule

• Để tạo vào Policies > Security > Click Add.
• Ở tab General cấu hình theo thông số sau :
  • Name : Access_Internet
  • Rule Type : universal (default)

• Ở tab Source chọn LAN ở Source Zone.

• Ở tab Destination chọn WAN ở Destinatoin Zone

• Ở tab Application chọn Any.

• Ở tab Service/URL Category chọn any.

• Ở tab Action cấu hình như sau :
  • Action Setting : Allow
  • Log Setting : Log at Session End.
  • Profile Type : chọn Profiles và chọn test-file-blocking ở mục File Blocking.

• Click OK để lưu.

3.10 Bật Interzone Logging

• Mặc định interzone-default và intrazone-default Security policy được thiết lập là Read-Only.
• Policies > Security > click vào tên interzone-default để mở trang cấu hình của nó.
• Chuyển qua tab Action chúng ta thấy Log at Session Start và Log at Session End không được chọn và cũng không thể chỉnh sửa.

• Nhấn Cancel để thoát.
• Với interzone-default policy rule đang được chọn (được to xám), nhấn Override. Cửa sổ Security Policy Rule – predefine hiện ra.
• Ở Action tab tích chọn Log at Session End và nhấn OK để lưu.

3.11 Bật Application Block Page.

• Mục đích của việc bật Application Block Page là để khi bạn bạn truy cập vào một trang web bị cấm thì trình duyệt sẽ hiện thị ra 1 trang thông báo.
• Để bật Application Block Page vào Device > Reponse Pages.
• Nhấn vào chữ Disable bên phải Application Block Page.
• Tích vào ô Enable Application Block Page và nhấn OK.

3.12 Cấu hình Decryption

• Mục đích cấu hình Decryption là để cho thiết bị tường lửa Palo Alto có thể giải mã được những traffic sử dụng giao thức HTTPS bảo mật.
• Để cấu hình Decryption vào Device > Certificates Management > Certificates.
• Click Generate để tạo certificate mới với thông số sau :
  • Certificate Name : trusted-ca
  • Common Name : 192.168.10.1 (địa chỉ IP cổng LAN)
  • Certificate Authority : tích chọn Certificate Authority.
• Nhấn Generate để tạo.

• Click Generate để tạo 1 certificate mới khác với thông số sau :
  • Common Name : untrusted-ca
  • Common Name : untrusted
  • Certificate Authority : tích chọn Certificate Authority.
• Nhấn Generate để tạo.

• Nhấn vào tên trusted-ca để chỉnh sửa như sau :
  • Tích chọn vào ô Forward Trust Certificate.
• Nhấn OK để lưu.

• Tương tự với nhấn vào tên untrusted-ca để chỉnh sửa như sau :
  • Tích chọn Forward Untrust Certificate.
• Nhấn OK để lưu.

• Tiếp theo tích chọn trusted-ca certificate và nhấn Export Certificate để tải xuống certificate này về máy tính.
• Tiếp theo chúng ta sẽ tạo Decryption Policy, để tạo vào Policies > Decryption > Click Add và cấu hình với các thông số sau :
  • Name : Test_Decryption

• Source : LAN

• Destination : WAN

• Service/URL Category : Any

• Options : Chọn Decrypt ở Action và chọn SSL Forward Proxy ở Type

• Nhấn OK để lưu.
• Trên khung tìm kiếm của Windows gõ mmc và nhấn phím Enter để mở Microsoft Management Console.
• Chọn Console Root > Click File > Click Add/Remove Snap-in…
• Bảng Add or Remove Snap-ins hiện ra, tích chọn Certificate và nhấn Add.
• Bảng Certificates snap-in hiện ra, chọn Computer account > Next > chọn Local computer > nhấn Finish > Nhấn OK.
• Vào Certificates (Local Computer) > click chuột phải vào Trusted Root Certification Authorities > chọn All Task < Import.
• Cửa sổ Certificate Import Wizard hiện ra, nhấn Next > ở mục File name nhấn Browse và tìm đến nơi bạn đã lưu certificate lúc export.
• Nhấn Next > Finish để hoàn thành việc import.

3.13 Kiểm tra kết quả

• Sau khi hoàn thành cấu hình sử dụng cáp mạng kết nối máy tính với cổng ethernet1/2 trên tường lửa Palo Alto.
• Bật ứng dụng Command Line lên và gõ lệnh ipconfig để kiểm tra xem máy có nhận IP từ DHCP Server được cấu hình trên cổng ethernet1/2 hay không.

• Mở trình duyệt web bất kì và truy cập vào trang youtube và google để kiểm tra, kết quả là chúng ta đã có thể truy cập internet.

• Mở 1 tab mới trên trình duyệt và nhập vào đường dẫn https://192.168.10.1 để truy cập vào trang quản trị của tường lửa Palo Alto.

• Chúng ta sẽ thử download 1 file exe bất kì và xem kết quả.

• Kết quả là chúng ta nhận được thông báo như hình sau.

• Lưu ý : Nếu chúng ta không cấu hình Decryption thì tường lửa Palo Alto sẽ chỉ ngăn chặn các hành vi tải xuống tệp exe thông qua giao thức http và sẽ không ngăn chặn được nếu chúng được tải xuống qua giao thức https do các tệp exe khi được tải xuống bằng giao thức https sẽ bị mã hóa và tệp sẽ bị ẩn nếu không cấu hình Decryption để giải mã thì sẽ không phát hiện được
• Chúng ta sẽ kiểm tra trên log của tường lửa Palo Alto, để xem log vào Monitor > Traffic > Data Filtering, log sẽ hiển thi cho chúng ta thấy tường lửa đã chặn việc download tệp tin exe vừa rồi.