HƯỚNG DẪN CẤU HÌNH CHẶN DOWNLOAD TỆP TIN CHỨA VIRUS BẰNG ANTIVIRUS PROFILE

Hướng dẫn cấu hình chặn download tệp tin chứa virus bằng antivirus profile

null

Mục đích bài viết

Bài viết này sẽ hướng dẫn cách cấu hình cho phép người dùng truy cặp internet và chặn người dùng download các tệp tin chứa virus bằng Antivirus Profile

Sơ đồ mạng và các bước thực hiện

Sơ đồ mạng

null

  • Như sơ đồ, thiết bị tường lửa Palo Alto sẽ được kết nối internet ở port 1 với IP tĩnh là 192.168.1.202/24 và trỏ về gateway là địa chỉ của nhà mạng 192.168.1.1/24.
  • Phía bên trong của Palo Alto là lớp mạng nội bộ với IP 192.168.10.1/24 được đặt cho port 2. Trên port 2 được cấu hình DHCP server để cấp phát IP cho các thiết bị truy cập đến nó.
  • Cuối cùng là 1 thiết bị Laptop được kết nối với port 2 thông qua cáp mạng và nhận được IP 192.168.10.201 được cấp từ DHCP server trên port 2.

Các bước thực hiện

Kết nối đến trang web quản trị của thiết bị tường lửa

  • Chúng ta sẽ kết nối đến trang quản trị của tường lửa bằng cách dùng cáp mạng kết nối máy tính với cổng MGMT của tường lửa Palo Alto.
  • Mở trình duyệt và truy cập vào bằng đường dẫn https://192.168.1.1 . Tài khoản và mật khẩu mặc định của tường lửa Palo Alto là admin – admin.

Tạo zone

  • Chúng ta sẽ tạo 2 zone là WAN và LAN.
  • Để tạo zone WAN vào Network > Zones > click Add và nhập các thông tin như sau :
    • Name : WAN
    • Type : Layer 3
  • Click OK để lưu.

null

  • Tương tự click Add để tạo zone LAN với các thông số sau :
    • Name : LAN
    • Type : Layer 3
  • Click OK để lưu.

null

Tạo Interface Mgmt Profile

  • Mục đích tạo Interface Mgmt profile là để mở một số dịch vụ thiết yếu cho 1 cổng mạng bất kì như HTTPS, Ping…
  • Ở đây chúng ta sẽ tạo 1 Interface Mgmt Profile cho phép các dịch vụ HTTPS, Ping, SSH, Reponse Pages cho cổng LAN ethernet 1/2 để chúng ta có thể ping, truy cập trang web quản trị trên cổng này mà không cần kết nối bằng cổng Mgmt.
  • Để tạo Interface Mgmt Profile vào Network > Interface Mgmt > click Add và nhập các thông số sau :
    • Name : ping-reponse-pages
    • Administrative Management Services : tích chọn HTTPS, SSH.
    • Network Services : tích chọn ping và reponse pages.
  • Click OK để lưu

null

Cấu hình cổng mạng

  • Để cấu hình cổng mạng ethernet1/1 vào Network > Interfaces > click vào tên cổng mạng
  • Ở tab Config cấu hình các thông số như sau :
    • Interface type : chọn Layer 3
    • Security Zone : chọn WAN

null

  • Ở tab IPv4 cấu hình theo thông số sau :
    • Type : chọn Static
    • Click Add và nhập địa chỉ IP là 192.168.1.202/24.
  • Click OK để lưu.

null

  • Tương tự cổng ethernet1/1, để cấu hình cổng ethernet1/2 click vào tên của cổng.
  • Ở tab Config cấu hình theo các thông số sau :
    • Interface Type : Layer 3
    • Security Zone : LAN

null

  • Ở tab IPv4 chúng ta cấu hình theo thông số sau :
    • Type : Static
    • Click Add và nhập địa chỉ IP là 192.168.10.1/24

null

  • Ở tab Advanced cấu hình như sau :
    • Tại Other Info > Management Profile chọn ping-reponse-pages mà chúng ta vừa tạo ở phần trước.

null

Tạo Virtual Router

  • Để tạo Virtual Router vào Network > Virtual Router > Click Add.
  • Ở tab Router Settings cấu hình theo các thông số sau :
    • Name : VR1
    • Ở bảng General click Add và thêm 2 cổng ethernet1/1 và Ethernet1/2.

null

  • Ở tab Static Routes click Add và cấu hình theo các thông số sau :
    • Name : default-route
    • Destination : 0.0.0.0/0
    • Interface : ethernet1/1
    • Next Hop : IP Address và nhập 192.168.1.1 ở ô phía dưới.

null

  • Click OK 2 lần để lưu.

Cấu hình DHCP Server

  • Để cấu hình DHCP Server vào Network > DHCP > click Add.
  • Ở tab Lease cấu hình với các thông số sau :
    • Interface : chọn ethernet1/2
    • Mode : enable
    • Ở bảng IP Pools click Add và điền vào dãy IP sẽ được cấp phát là 192.168.10.200-192.168.10.230.

null

  • Ở tab Options cấu hình với các thông số như sau :
    • Gateway : 192.168.10.1
    • Subnet Mask : 255.255.255.0
    • Primary DNS : 8.8.8.8
    • Secondary DNS : 8.8.4.4

null

  • Click OK để lưu.

Tạo Anrivirus Profile

  • Để tạo antivirus profile vào Objects > Security Profiles > Antivirus.
  • Click Add và cấu hình theo thông số sau :
    • Name : block-antivirus
    • Ở bảng Decoders trong tab Antivirus, chọn reset-server cho http.
  • Click OK để lưu.

null

Tạo NAT Policy

  • Để tạo NAT Policy vào Policies > NAT > Click Add.
  • Ở tab General cấu hình theo các thông số sau :
    • Name : LAN_TO_WAN
    • NAT Type : ipv4

null

  • Ở tab Original Packet cấu hình theo các thông số sau :
    • Source Zone : LAN
    • Destination Zone : WAN
    • Destination Interface : ethernet 1/1

null

  • Ở tab Translated Packet > Source Address Translation cấu hình theo các thông số sau :
    • Translation Type : Dynamic IP and Port
    • Address Type : Interface Address
    • Interface : ethernet1/1
    • IP Address : 192.168.1.202/24 (Lưu ý địa chị này phải được chọn từ danh sách thả xuống chứ không phải nhập bằng tay)

null

Tạo Security Policy Rule

  • Để tạo vào Policies > Security > Click Add.
  • Ở tab General cấu hình theo thông số sau :
    • Name : Access_Internet
    • Rule Type : universal (default)

null

  • Ở tab Source chọn LAN ở Source Zone.

null

  • Ở tab Destination chọn WAN ở Destinatoin Zone

null

  • Ở tab Application chọn Any.

null

  • Ở tab Service/URL Category chọn any.

null

  • Ở tab Action cấu hình như sau :
    • Action Setting : Allow
    • Log Setting : Log at Session End.
    • Profile Type : chọn Profiles và chọn block-antivirus ở mục Antivirus.

null

  • Click OK để lưu.

Bật Interzone Logging

  • Mặc định interzone-default và intrazone-default Security policy được thiết lập là Read-Only.
  • Policies > Security > click vào tên interzone-default để mở trang cấu hình của nó.
  • Chuyển qua tab Action chúng ta thấy Log at Session Start và Log at Session End không được chọn và cũng không thể chỉnh sửa.

null

  • Nhấn Cancel để thoát.
  • Với interzone-default policy rule đang được chọn (được to xám), nhấn Override. Cửa sổ Security Policy Rule – predefine hiện ra.
  • Ở Action tab tích chọn Log at Session End và nhấn OK để lưu.

null

 

Bật Application Block Page

  • Mục đích của việc bật Application Block Page là để khi bạn bạn truy cập vào một trang web bị cấm thì trình duyệt sẽ hiện thị ra 1 trang thông báo.
  • Để bật Application Block Page vào Device > Reponse Pages.
  • Nhấn vào chữ Disable bên phải Application Block Page.
  • Tích vào ô Enable Application Block Page và nhấn OK.

null

Cấu hình Decryption

  • Mục đích cấu hình Decryption là để cho thiết bị tường lửa Palo Alto có thể giải mã được những traffic sử dụng giao thức HTTPS bảo mật.
  • Để cấu hình Decryption vào Device > Certificates Management > Certificates.
  • Click Generate để tạo certificate mới với thông số sau :
    • Certificate Name : trusted-ca
    • Common Name : 192.168.10.1 (địa chỉ IP cổng LAN)
    • Certificate Authority : tích chọn Certificate Authority.
  • Nhấn Generate để tạo.

null

  • Click Generate để tạo 1 certificate mới khác với thông số sau :
    • Common Name : untrusted-ca
    • Common Name : untrusted
    • Certificate Authority : tích chọn Certificate Authority.
  • Nhấn Generate để tạo.

null

  • Nhấn vào tên trusted-ca để chỉnh sửa như sau :
    • Tích chọn vào ô Forward Trust Certificate.
  • Nhấn OK để lưu.

null

  • Tương tự với nhấn vào tên untrusted-ca để chỉnh sửa như sau :
    • Tích chọn Forward Untrust Certificate.
  • Nhấn OK để lưu.

null

  • Tiếp theo tích chọn trusted-ca certificate và nhấn Export Certificate để tải xuống certificate này về máy tính.
  • Tiếp theo chúng ta sẽ tạo Decryption Policy, để tạo vào Policies > Decryption > Click Add và cấu hình với các thông số sau :
    • Name : Test_Decryption

null

  • Source : LAN

null

  • Destination : WAN

null

  • Service/URL Category : Any

null

  • Options : Chọn Decrypt ở Action và chọn SSL Forward Proxy ở Type

null

  • Nhấn OK để lưu.
  • Trên khung tìm kiếm của Windows gõ mmc và nhấn phím Enter để mở Microsoft Management Console.
  • Chọn Console Root > Click File > Click Add/Remove Snap-in…
  • Bảng Add or Remove Snap-ins hiện ra, tích chọn Certificate và nhấn Add.
  • Bảng Certificates snap-in hiện ra, chọn Computer account > Next > chọn Local computer > nhấn Finish > Nhấn OK.
  • Vào Certificates (Local Computer) > click chuột phải vào Trusted Root Certification Authorities > chọn All Task < Import.
  • Cửa sổ Certificate Import Wizard hiện ra, nhấn Next > ở mục File name nhấn Browse và tìm đến nơi bạn đã lưu certificate lúc export.
  • Nhấn Next > Finish để hoàn thành việc import.

Kiểm tra kết quả

  • Sau khi hoàn thành cấu hình sử dụng cáp mạng kết nối máy tính với cổng ethernet1/2 trên tường lửa Palo Alto.
  • Bật ứng dụng Command Line lên và gõ lệnh ipconfig để kiểm tra xem máy có nhận IP từ DHCP Server được cấu hình trên cổng ethernet1/2 hay không.

null

  • Để test việc cấm tải xuống tệp tin chứa virus ta vào trang eicar.org để download 1 mẫu virus.
  • Khi trang web hiện ra nhấn vào DOWNLOAD ANTI MALWARE TESTFILE phía bên phải.
  • Một tab mới sẽ xuất hiện, nhấn vào DOWNLOAD ở phía bên trái của trang và kéo xuống dưới để thấy nơi download.
  • Chúng ta sẽ thử download các tệp tin chứa virus mẫu bằng cả 2 giao thức http và https.

null

  • Kết quả là chúng ta nhận được thông báo như hình sau.

null