root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Cấu hình các ứng dụng chỉ chạy trên các Standard Port trên Firewall Palo Alto


Có rất nhiều ứng dụng sử dụng các Non-Standard Port để truy cập. Lợi dụng điều này các Hacker by pass Firewall, lợi dụng để có thể tấn công các ứng dụng của hệ thống thông qua các ứng dụng khác sử dụng Non-Standard Port.
Ví dụ sử dụng SSH ở port chuẩn là 22 thì Hacker có thể sử dụng SSH ở port 443 để by pass Firewall và tấn công vào server của chúng ta.

1. Sơ đồ bài lab cấu hình Standard Ports cho các ứng dụng trên Firewall Palo Alto.



Configure Applications on Standard port on Firewall Palo Alto (1)


2. Triển khai lab cấu hình các ứng dụng chỉ chạy trên các Standard Port trên Firewall Palo Alto


Trên giao diện cấu hình của Palo Alto các bạn vào tab “Policies → Security” và chọn nút “add” ở góc trái dưới màn hình để add một policy cho Firewall Palo Alto.

Trong Field Name của tab “General” các bạn đặt tên Policy cho Policy mà các bạn sẽ tạo.

Configure Applications on Standard port on Firewall Palo Alto (2)



Qua tab “Source” các bạn chọn địa chỉ nguồn sẽ bị áp bởi Policy này.

Nhấn nút “add” và chọn Trust Zone trong phần Source Zone để áp đặt Policy này lên các thiết bị trong vùng Trust Zone của Firewall Palo Alto.

Configure Applications on Standard port on Firewall Palo Alto (3)



Tiếp theo qua tab “application” chúng ta sẽ định nghĩa các ứng dụng được áp đặt bởi Policy mà chúng ta sẽ tạo này.

Ở đây mình sẽ sử dụng Group-Application “IT-apps” có sẵn. Các bạn có thể tạo Group-Application trong tab “Objects → Application Groups” để tạo nhóm các ứng dụng mà bạn muốn áp cho Policy này.

Ở đây Application Groups “IT-Apps” của mình bao gồm các ứng dụng như “SSH, MS-RDP, t.120, Telnet”.

Configure Applications on Standard port on Firewall Palo Alto (4)



Tại giao diện tab “Application” nhấn nút “add” và add Application Group mà bạn đã tạo ở trên. Ở đây mình sẽ app Application Group “IT-Apps” của mình.

Configure Applications on Standard port on Firewall Palo Alto (5)


Ở tab “Service/URL Category” chọn Any.

Configure Applications on Standard port on Firewall Palo Alto (6)


Ở tab “Actions → Action Setting” phần “Action” chọn “allow” để cho phép các ứng dụng này được đi qua Firewall Palo Alto.

Configure Applications on Standard port on Firewall Palo Alto (7)


Sau khi tạo và cấu hình Policy “Allow-IT-App” xong các bạn chọn “OK” để lưu lại Policy này. Sau đó nhấn “commit” ở góc trên bên phải giao diện Palo Alto để Policy này có hiệu lực trên hệ thống Firewall Palo Alto.

Configure Applications on Standard port on Firewall Palo Alto (8)


Bây giờ các bạn thử lấy Putty truy cập vào server 172.16.1.101 bằng SSH thông qua port 22 để kiểm tra kết quả nhé.
Server 172.16.1.101 là một Ubuntu server đã được dựng sẵn và có bật dịch vụ SSH, https, telnet… để các bạn test thử nhé.

Configure Applications on Standard port on Firewall Palo Alto (9)


Như vậy chúng ta đã truy cập SSH vào server 172.16.1.101 thành công với chương trình putty thông qua port SSH là 22.

Configure Applications on Standard port on Firewall Palo Alto (10)


Bây giờ các bạn quay lại Firewall Palo Alto và vào phần “monitor → Traffic” để kiểm tra traffic SSH vừa rồi của chúng ta từ máy tính 192.168.11.101 đến máy chủ Ubuntu có IP address 172.16.1.101.

Các bạn có thể thấy Firewall Palo Alto đã ghi lại log là Rule “Allow-IT-App” đã cho phép traffic đi từ Trust Zone (192.168.11.101) đến vùng Untrust Zone (172.16.1.101) bằng ứng dụng SSH thông qua port 22.


Configure Applications on Standard port on Firewall Palo Alto (11)


Tương tự bây giờ chúng ta sử dụng chương trình Putty và truy cập SSH tới server Ubuntu (172.16.1.101) như trên. Nhưng lần này chúng ta không dùng port SSH mặc định là 22 mà chúng ta sẽ sử dụng port 443.

Configure Applications on Standard port on Firewall Palo Alto (12)


Kết quả là chúng ta vẫn truy cập thành công server Ubuntu thông qua ứng dụng SSH với port 443. Trên giao diện Firewall Palo Alto các bạn có thể vào tab “monitor → traffic” để kiểm tra lại traffic mà chúng ta đã thử ở trên.

Các bạn sẽ thấy một traffic từ Trust Zone (192.168.11.101) đi đến vùng Untrust Zone (172.16.1.101) thông qua ứng dụng SSH với port 443 được chấp nhận bởi policy “Allow-IT-App”.

Điều này là không bảo mật vì các Hacker có thể lợi dụng điều này để tấn công vào các server thông qua những port không chuẩn của các ứng dụng để by pass Firewall.

Configure Applications on Standard port on Firewall Palo Alto (13)


Vì vậy, chúng ta cần cấu hình Firewall Palo Alto để các ứng dụng chỉ chạy trên các port chuẩn (Standard port) nhằm ngăn chặn các tấn công của Hacker trên cùng ứng dụng sử dụng port không chuẩn để by pass Firewall.

Để cấu hình Standard Port cho các ứng dụng các bạn vào tab “policy → Security” và chọn Policy “Allow-IT-App” để chỉnh sửa policy này chỉ cho các ứng dụng chạy trên các Standard Port.

Trong tab “Service/URL Category” của policy “Allow-IT-App” phần drop menu các bạn chọn “Application-default” để các ứng dụng chỉ được phép chạy trên các Standard port chuẩn đã được nghĩa bởi RFC.

Sau khi cấu hình xong các bạn chọn “OK” để lưu lại policy mà bạn vừa chỉnh sửa. sau đó chọn “commit” để apply lại policy “Allow-IT-App” trên Firewall Palo Alto.

Configure Applications on Standard port on Firewall Palo Alto (14)


Bây giờ các bạn sử dụng chương trình putty để test lại. Sử dụng chương trình putty trên máy 192.168.11.101 truy cập vào server Ubuntu thông qua ứng dụng SSH với port 22 và 443 như ở trên chúng ta đã test.

Kết quả các bạn có thể thấy chỉ có một kết nối SSH với port chuẩn là 22 được truy cập vào server Ubuntu 172.16.1.101.

Còn kết nối sử dụng ứng dụng SSH với port 443 truy cập vào server Ubuntu 172.16.1.101 đã bị Firewall Palo Alto block.

Configure Applications on Standard port on Firewall Palo Alto (15)


Trên giao diện Palo Alto các bạn vào tab “monitor → Traffic” để kiểm tra lại log của hệ thống Firewall Palo Alto nhé.

Các bạn sẽ thấy Rule “Allow-IT-App” đã cho phép traffic từ máy tính vùng Trust Zone (192.168.11.101) truy cập đến vùng Untrust Zone (172.16.1.101) với ứng dụng SSH ở port 22 thành công.

Tuy nhiên Rule “Allow-IT-App” lại không cho phép traffic từ máy tính vùng Trust Zone (192.168.11.101) truy cập đến vùng Untrust Zone (172.16.1.101) với ứng dụng SSH ở port 443 không thành công.

Configure Applications on Standard port on Firewall Palo Alto (16)


Tổng hợp các bài lab cấu hình Firewall Palo Alto tại đây
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu