Güvenlik

Palo Alto HIP nedir? Palo Alto HIP Konfigürasyonu Nasıl Yapılır?

HIP (Host Information Profile), Kullanıcıların Vpn yapmak için kullandığı Global Protect ajanı üzerinden cihazlar hakkında bilgi toplaması ve topladığı bilgiler üzerinden engelleme, izin verme gibi aksiyonları aldığımız Palo Alto’nun bir özelliğidir.

Örneğin, vpn yapan bir kullanıcının işletim sistem sürümü nedir ve hangi güncellemeler geçilmiş veya işletim sistemine KB12345 patch geçilmiş mi , virüs programı var mı eğer var ise en son ne zaman virüs taraması yapılmış, Windows firewall açık mı, diski şifrelenmiş mi bu ve buna benzer daha fazla bilgiyi toplayarak bu bilgiler sayesinde kullanıcı üzerinde aksiyon almamızı sağlamaktadır.

HIP özelliğini yapılandırabilmemiz için Global Protect Gateway lisansımızın olması gerekiyor. Palo Alto üzerinde Device tabı altında Licenses sekmesinden lisansımızı kontrol ediyoruz.

Lisansımızı da kontrol ettikten sonra, artık konfigürasyona başlayabiliriz. Yapacağımız konfigürasyon da 2 adet obje ve 2 adet profil oluşturarak bu 2 profil üzerinden 2 adet kural yazacağız.

  1. Kural: Oluşturduğumuz objelerden bir tanesi için;
    – İşletim sisteminin Windows 10 Professional olması 
    – Windows firewall açık olması
    – Virüs Programı olarak Trend Micro Apek One Security Agent olması ve Son 7 gün içerisinde tarama yapılmış olması
    – C diskinin şifrelenmiş olmasını
    – test.local domaininde olmasını 
    VPN yapan cihaz yukardaki şartları sağlıyorsa network erişebilmesi için kural yazıcaz.
  2. Kural: Oluşturduğumuz objelerden İkincisi için,
    – Cihaz test.local domaininde değilse network erişememesi için kural yazacağız.

Network ->GlobalProtect->Portals Burada hangi profil üzerinde değişiklik yapmak istiyorsak onu seçiyoruz.

Burada hali hazırda vpn yapan kullanıcıların bulunduğu config seçiyoruz.

HIP Data Collection sekmesi üzerinde “Collect HIP Data” tikliyoruz. Kullandığımız Sertifika profilini seçiyoruz.
Şimdi Hip Objelerine giderek neler yapabileceğimize bakalım.

Object->GlobalProtects->Hip Objects sekmesi üzerinde “Add” tıkayarak yeni Objemizi oluşturuyoruz.

Burada “HIP Object” bir isim verdik ten sonra “Host Info” tikliyorum ve VPN yapacak kullanıcının; hangi domainde olması gerektiği hangi işletim sisteminin olması yada hangi versiyona sahip olması gibi bilgileri seçiyorum.

Firewall sekmesinde Vpn yapan kullanıcının Microsoft Firewall açık olmasını istiyorum.

Antimalware sekmesinde Trend Micro Apek One Security Agent olmasını ve Son 7 gün içerisinde tarama yapılmış olmasını istiyorum.

Disk Encryption sekmesinde C diskinin Encryption edilmesini istiyorum.

Ayrıca Kullanıcı bilgisayarında kontrol etmek istediğimiz HIP Objelerinde olmayan veri varsa “Custom Checks” üzerinden yapabiliyoruz.
Örneğin, ben vpn yapan kullanıcının benim domain de olmasını istiyorum.
Bunun için, “Custom Checks” ekranın da “Add” tıklayarak açılan ekranda;

Registry Key için,
PC miz üzerinde regedit çalıştırarak,
“\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\” bu sekmeye kadar geliyorum burdaki bilgilerden “Domain” parametresinde yazılı olan domain ismini kontrol etmesini istiyorum.

Artık Vpn yapan kullanıcının bağlantı yapabilmesi için test.local domain ninde olması gerekiyor.
Sizde sekmeler üzerinden kendi IT altyapınıza göre gerekli düzenlemeleri yapabilirsiniz. 
HIP Objemizi oluşturduk artık bu objeleri kullanacağımız bir profil oluşturuyoruz.

Object->GlobalProtects->Hip Profiles sekmesi üzerinde “Add” tıkayarak yeni Profilimizi oluşturuyoruz.

HIP Profilime isim verdikten sonra “Add Match Criteria” seçerek daha önce oluşturmuş olduğum objeyi seçiyorum. Obje seçtiğimiz ekranın üst kısmında “AND” “OR” gibi seçeneklerin olduğunu görüyoruz. Eğer birden fazla objemiz varsa bu objeleri tek bir profil üzerinden ekleye biliriz bunu yaparken ekleyeceğimiz her profil için ve/veya bu objeyi de kullan gibi bir ifade kullanabiliriz.
Artık vpn yapan kullanıcı istediğimiz şartları sağlıyorsa networkümüze erişebilecektir. 1 tane de engelleyici obje ve profil oluşturuyorum.

Yeni Objemiz için yeni bir profil oluşturuyorum.

HIP tarafındaki işlemlerimizi bitirdikten sonra oluşturduğumuz profiller için kurallar oluşturuyoruz.

Artık VPN yapan kullanıcı istediğimiz şartları sağlıyorsa network’ ümüze erişebilir.

VPN yapan kullanıcı test.local domain değilse netwok’ müze erişemez.

İşlemlerimiz bittikten sonra “Commit” yapıyoruz.
Artık yapmış olduğumuz değişiklikler için test yapabiliriz.

Monitor->HIP Match sekmesi üzerinden yazdığımız kurallara takılan kullanıcıları monitör ediyoruz.
1 adet Windows işletim sistemli PC test.local domainde olmadığı için erişim sağlayamamış.

Bir diğer kullanıcı belirttiğimiz şartları sağladığı için erişim sağlamış.

Vpn yapan kullanıcının cihazı üzerinde ki Global Protect vpn tool açarak Host Profile tıklarsanız bilgisayarınız üzerinde ki hangi bilgileri topladığını görüntüleyebilirsiniz.
Palo Alto tarafında Monitor->HIP Match Log Details ile görüntüleye bilirsiniz.

Ben bu cihazı direk Block list eklemek istiyorum. Bunun için ;

Host ID yi Monitor ->HIP Match sekmesinde bulabilirsiniz.

Biz Bugün Vpn yapan bir kullanıcının vpn yapabilmesi için bazı şartlar istedik. Siz de kendi IT altyapınıza uygun şartlar belirleyerek dışardan gelen trafiği daha güvenilir hale getirebilirsiniz.

Umarım faydalı olmuştur. Bir sonraki makalede görüşmek üzere.

İlgili Makaleler

8 Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu