Forum

PaloAlto Applicatio...
 
Bildirimler
Hepsini Temizle

PaloAlto Application Filter Uygulama Sorunu hk. ( Proxy vb. )

12 Yazılar
4 Üyeler
4 Reactions
2,462 Görüntüleme
(@kemalas)
Gönderiler: 71
Estimable Member
Konu başlatıcı
 

Merhaba

Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? 

Bu programlar engellenebiliyormu ?

Paloalto firewall bu iki maddeyi yapmada yetersiz kaldı. wireshark gibi bir prg ile bulabilirmiyiz. 

Cevaplarınız için teşekkür ederim .Kolay gelsin

 
Gönderildi : 07/05/2019 16:53

(@turancoskun)
Gönderiler: 4100
Üye
 

merhaba,

post başlığı için forum kurallarına uyalım lütfen. bkz. m7

https://www.cozumpark.com/community/forum/650/  

paloalto gibi bir markanın bahsettiğiniz uygulamalar için mutlaka imzası mevcuttur.

application filter veya policy tarafında atladığınız bir adım olabilir, referans adresleri inceleyerek yapılandırmanızı kontrol edebilirsiniz.

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXfCAK

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSkCAK

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 08/05/2019 07:22

(@vasviuysal)
Gönderiler: 7890
Üye
 

Merhaba

 

Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor. 

 

İyi çalışmalar.

 

 

 
Gönderildi : 08/05/2019 07:22

(@mustafacanpolat)
Gönderiler: 77
Estimable Member
 
Gönderen: Vasvi UYSAL

Merhaba

 

Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor. 

 

İyi çalışmalar.

 

 

Arkadaş cümlelerimi ağzımdan almış diline sağlık, şunu da eklemek isterim.

Ben Fortinet'in App veritabanında olmayan bazı VPN uygulamalarını kullanıcıların telefonunda vs tespit ettim, geçici çözüm olarak da en üst policy oluştururarak o uygulamanın kullandığı portları kapattım.

500 ve 4500 yada service ismi "IKE"  standart VPN port numaraları yada Service adıdır.Ben ayrıca 7268/udp de engelledim o da sanırım VPN Proxy Master isimli uygulamaydı.

Yani tespit ettiğin uygulamaların imzaları mutlaka Firewall App'de vardır, yok ise dediğim gibi geçici çözüm olarak portları blocklayabilir yada app imza veritabanına manuel eklemen mümkünse ekleyebilirsin, bu süreçte de üretici firmanın veritabanına uygunsuz app'lerin imzasını eklemesini de isteyebilirsin ki başkaları da faydalansın 🙂

 
Gönderildi : 08/05/2019 08:47

(@kemalas)
Gönderiler: 71
Estimable Member
Konu başlatıcı
 

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

 
Gönderildi : 08/05/2019 09:43

(@mustafacanpolat)
Gönderiler: 77
Estimable Member
 

Hocam SIEM uygulamanız var ise yada FortiAnalyzer tarzı bir ürününüz var ise trafiği dinlemeniz gereklidir, ismini söylediğiniz uygulamaların tcp-udp portlarını bilmeniz de gerekli tabi ki.Wireshark da aynı işi yapıyor

 
Gönderildi : 08/05/2019 09:50

(@vasviuysal)
Gönderiler: 7890
Üye
 
Gönderen: kemal as

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

PA dışında bu programların exe lerini bulup hash bilgileri ile gpo üzerinden yasaklayabilirsiniz

Yine PA üzerinde engelleme yaptığınızda

Monitor -> Logs -> Unified

menüsü altına deny olanları süzerek hangi bilgisayarlarda olduğunu basitçe bulabilirsiniz

 

 
Gönderildi : 08/05/2019 09:55

(@turancoskun)
Gönderiler: 4100
Üye
 
Gönderen: kemal as

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

kullandığınız marka için belirttiğiniz durumların normal olmadığını düşünüyorum.

elimde paloalto box/vm'de olmadığından test etmem mümkün değil.

ancak danışmanınızı bilmemekle birlikte, üretici tarafında case açıp, cevap beklediniz mi ?

yani "çözemedi" derken işin içinde üretici cevabı var mı ?

sonuçta web/app filter tarafında proxy kategorisini engelleyip, aktif trafikte bunu listelemek zor olmamalı.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 09/05/2019 02:33

(@kemalas)
Gönderiler: 71
Estimable Member
Konu başlatıcı
 

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

 
Gönderildi : 10/05/2019 16:23

(@vasviuysal)
Gönderiler: 7890
Üye
 
Gönderen: kemal as

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

PA

 

 

Policies -> Security rules içerisine bu şekilde bir kural oluşturup diğer tüm kuralların üzerine taşımanız yeterli olacaktır

 
Gönderildi : 10/05/2019 16:37

(@vasviuysal)
Gönderiler: 7890
Üye
 

AF ile başlayan isimli gruplar  Application Filter içerisinde oluşturduğum gruplar.

 

 

 
Gönderildi : 10/05/2019 16:41

(@turancoskun)
Gönderiler: 4100
Üye
 
Gönderen: kemal as

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

yapılandırma hatası veya adım atlama tarafını kontrol etmek için referans adrese göre yeni bir policy ile test edin.

Vasvi hocanın belirttiği gibi iligli policy üst sırada yer alsın.

https://www.youtube.com/watch?v=26Ch4tST5jY

bu adımı çözdükten sonra referans adrese göre talep ettiğiniz çıktıları oluşturabilirsiniz.

https://www.youtube.com/watch?v=XVMXNgWTduA

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/05/2019 23:34

Paylaş: