#TekniskeTips. Pan-OS
Best Practice Assessment Tool (BPAT), er et automatisert verktøy for kontroll av løsningen din.
BPAT er et automatisert verktøy for kontroll av løsningen din. Listen med forbedringspunkter vil gjerne være omfattende, og da er det viktig å kunne prioritere. Dette for å sikre at løsningen er satt opp på beste måte, for synlighet, logging, kontroll og sikkerhet.
Hvorfor burde man etterleve produsentenes anbefalinger om godt oppsett?
Om man jobber etter rammeverk, som NSM Grunnprinsipper for IKT sikkerhet, ISO 27002, CIS CSC, NIST, eller lignende, er det alltid anbefalt å følge produsentenes anbefalinger om godt oppsett. Dette for å være best rustet i for oppetid, compliance og sikkerhet. Dette er viktig å ha som en rutine, å regelmessig gjennomgå eget oppsett og konfigurasjon, for å detektere og forbedre den kontinuerlig dynamiske konfigurasjonen og sikkerheten, slik at den til enhver tid har høyeste standard.
Hvordan burde man etterleve produsentenes anbefalinger om godt oppsett?
Palo Alto Networks har laget et verktøy for deg og brannmurene dine, BPAT. Vi i Data Equipment hjelper mange av våre kunder med denne prosessen regelmessig, fordi lang erfaring er tidsbesparende for deg som kunde. Det er mange forbedringspunkter, og ikke altid like enkelt å vite hvordan man skal prioritere, samt hvordan man skal gjøre de forskjellige tingene.
Data Equipment kan med sikkerhetsplattformen Intellisec tilby automatisert BPAT for kunder som ønsker dette. Ta kontakt med oss for detaljer.
Om du vil gjøre det selv, er dette tilgjengelig for deg som kunde, og ligger på support portalen til Palo Alto Networks. Det du gjør, rent teknisk, er å gå inn på Panorama eller brannmuren din, og ta ut en Tech Suppport fil, som inneholder konfigurasjonen din, for deretter å laste denne opp i online verktøyet.
Skulle du eksistere i et lukket nett, og ikke vil sende din konfigurasjon ut i skyen, har vi flere tekniske løsninger for det som vi kan hjelpe deg med. Dette gjøres ved at du installerer tilsvarende verktøy internt i ditt nettverk, og du vil få samme synlighet og kontroll på din konfigurasjon.
Detaljer om hvordan du kan gjøre dette står nederst på siden.
Hva får du opp i BPAT, og hva skal du prioritere?
BPAT'en visualiserer hvor bra konfigurasjonen din er, basert på din konfigurasjon, den vil synliggjøre forbedringspunktene, samt også vise til veiledninger for hvordan du kan gjøre dette. Det ligger mye dokumentasjon i selve verktøyet, og det gir stor verdi, både operasjonelt, ROI, compliance, men naturligvis også for sikkerhet.
Her er noen anbefalinger som er enkle å implementere, gjør stor forskjell, og har ingen, til lav, risiko å implementere
Anbefaling 1: Security Profile Groups
I listen med forbedringspunkter, er det et punkt som har stor verdi, først og fremst for synlighet, er relativt enkelt å implementere og har liten til ingen risiko. Vi snakker om adopsjonen av "Security Profiles". Målet må være 100% adoption rate. Et rydig oppsett med "Security Profile Groups", vil gjøre stor forskjell, samt at det vil standardisere oppsettet, som også er en anbefaling i rammeverk. 100% oppsett på alle regler, for full synlighet. "Alert All", er mye bedre enn "Alert Nothing". Det man ikke ser, kan man ikke kontrollere. Det man ikke kan kontrollere, kan man ikke sikre.
Ved å etablere en Security Profile Group med navn "default", vil denne automatisk legges til alle nye regler:
Anbefaling 2: DNS Sikkerhet
Valider at DNS sikkerheten er bra. Dette være seg selve kommunikasjonen, og med hvilke DNS servere det er lov å kommunisere med, men også Anti-Spyware profilen, som skal være riktig konfigurert med DNS Sinkhole, og dette skal brukes på alle regler. DNS signaturer skal konfigureres med "sinkhole". DNS har to modus, der den ene er integrert i Threat Prevention lisensen, mens den andre og enda bedre har en egen DNS Security lisens. Disse konfigureres slik:
Anbefaling 3: Log Forwarding. Denne er for mange den kanskje mest ukjente, og det som kan gjøre størst forskjell med lite innsats og ingen risiko
Neste nivå av forbedringer i BPAT: Zero Trust
Zero Trust handler om verdiene dine. Det handler gjerne om serverne dine. Hva finner man i BPAT, med relevans til Zero Trust, som man relativt enkelt kan ta tak i etter de 3 første anbefalingene?
Anbefaling 4: Zero Trust. App-ID på serverkommunikasjon
BPAT sjekker regelsettet i forhold til hvor mye App-ID regler man har laget. Men BPAT skiller ikke på klient kommunikasjon mot internett, og server kommunikasjon. Start med å se på serverkommunikasjonen, og etterstreb å øke App-ID for relevante regler
Anbefaling 4. Zero Trust. App-ID utgående for servere
Dette er ofte mangelvare i de fleste konfigurasjoner. Hva skal en server få lov til å gjøre? Hva skal serveren trenge å kommunisere med? DNS. NTP. Update server. Database. Etc. Ta kontroll på utgående kommunikasjon, med hvitelisting, for servere.
Anbefaling 5. Zero Trust. User-ID for server og applikasjonstilgang
I Zero Trust, skal man kontrollere hvem som skal ha tilgang til hva, hvor. Derfor er User-ID essensielt i regelsettet spesielt i forbindelse med kommunikasjon med egne tjenester.
Anbefaling 5. Zero Trust. User-ID
I regelsettet kan man for User sette "known user" istedenfor "any". Dermed tillater man "any known user". "unknown users" er ofte ikke ønskelige
Anbefaling 6: Zero Trust. SSL Inbound Inspection
SSL dekryptering er anbefalt. Det finnes to varianter av SSL dekryptering i Pan-OS, SSL Forward Proxy og SSL Inbound Inspection. Den første er kjent som "man in the middle", og krever litt innsats for å komme i mål. Den andre er nok mindre kjent for mange, og er SSL Inbound Inspection, som er viktig med tanke på Zero Trust. Denne er relevant for server og tjenestekommunikasjon. SSL Inbound Inspection er også enklere å implementere, krever ingen endringer på klienter, er ikke "man in the middle", har høyere ytelse, og er essensiell for synlighet, kontroll, hvitelisting, inspeksjon og sikkerhet.
Expedition Tool
Mange av forbedringene kan være arbeidsomme, da det er mye manuelt, og mye klikking. Da kan det være en fordel å bruke Expedition Tool, som kan bidra til bl.a Multi Edit. Veldig tidsbesparende.
Her kan du lese mer om Palo Alto Networks Expedition Tool
Les mer om Expedition Tool på Palo Alto Networks LIVEcommunity
Bilder fra BPAT
Noe av det første man får opp, er en generell oversikt som viser helt overordnet hvordan ditt oppsett er, hvordan det er i forhold til den industrien du er i, samt hvordan det er i forhold til anbefalingene. Fint å presentere til ledere/mellomledere:
Deretter vil man kunne se hvordan trenden er på kvaliteten på konfigurasjonen. Denne oppdateres for hver gang du gjør en analyse:
Det finnes også oversikter som sammenligner med rammeverk, som bl.a NIST:
Mer oversikt, i forhold til rammeverk:
Center for Internet Security sine Critical Security Controls ligger veldig tett opp mot BPAT, og du vil få et eget dashboard for hvordan din konfigurasjon er i forhold til disse kontrollene. Veldig nyttig:
Best Practice modulen
Inne i Best Practice modulen, får man omfattende menyer med muligheter:
Man får en detaljert oversikt over regelsettet og forbedringspunkter:
Det vil være egne oversikter per Security Profile i forhold til beste opppsett. Dette er for Antivirus:
Dette er en anbefaling for Anti-Spyware:
Dette er en anbefaling for Vulnerability Protection:
Hvordan generere en BPAT rappport?
Først må man inn på Panorama eller brannmuren, under Device -> Support og klikke "Generate Tech Support File". Når denne er generert, laster man den ned til sin PC.
Med Tech Support fila på PC'en, går man inn på https://support.paloaltonetworks.com/ og velger Tools -> Best Practice Assessment i venstre meny, for å lage en BPAT rappport.
