Tutoriale

Configurare Wildfire

Mai jos vom configura serviciul de Wildfire pe un firewall Palo Alto.

Device – Setup – Wildfire

Dati click pe iconita   

In prima parte a setarilor avem :

Wildfire Public Cloud :
Este deja definit ca wildfire.paloaltonetworks.com (global wildfire cloud) si din cate vad au servere cam in toata lumea. ( https://www.whatsmydns.net/#A/wildfire.paloaltonetworks.com )

Daca avem nevoie sa respectam politici EU de gen ca traficul sa nu paraseasca EU folosim eu.wildfire.paloaltonetworks.com. Datale trimise catre Wildfire EU nu sunt forwardate niciodata catre US. Pentru Japania se foloseste wildfire.paloaltonetworks.jp cu mentiunea ca doar fisierele malitioase se forwardeaza catre wildfire global.

Wildfire Private Cloud : IP-ul Appliance-ului WF-500 . Nu o sa intru in detalii.
Se pot seta manual pana la ce marime fisierele vor fi trimise catre Wildfire.

Setarile initiale pentru „report benign files”si „report greyware files”sunt debifate , in sensul ca firewall-ul nu va raporta fisierele de acest gen . Personal bifez aceste categorii pentru a avea vizibiliate. Chiar daca sunt bifate , firewall-ul nu va raporta URL-ul benigne sau greyware datorita faptulu ca logurile vor fi gigantice.

Foarte imporant este daca folositi decriptie , nici un pachet decriptat  nu va parasi firewall-ul pana nu faceti urmatoare modificare :

Device – Setup – Content ID – Content ID Settings

Putem specifica granular ce informatii trimitem catre Wildfire in :
Device – Setup – Wildfire

Un profil de analiza Wildfire se adauga unei reguli se securitate care are o actiune de „allow” (nu are rost pe „deny „din moment ce traficul e blocat)

Creare profil :

Clonam profilul default si denumim noul profil dupa placul inimii . (in cazul meu Test-Wildfire)
Profilul default trimite tot ce poate inspecta Wildfire pentru analiza . Incepand cu PAN OS 8.0 chiar si fisierele blocate de un profil de file blocking sunt trimise catre analiza (cu conditiile ca extensia si size-ul sa fie permise)

Configurare profilului este foarte simpla , putem alege tipul de fisier dorit ,  directia traficului (upload sau download) si public-cloud se refera la faptul ca analiza va fi facuta in cloud-ul Wildfire online.

Atasarea profilului unei reguli de securitate :

Policies – Security – si ori creem o politica noua sau o atasam la politica pe care deja o avem , in cazul meu inside-outside-allow ca permite traficul din inside catre outside.

Atasam profilul de Wildfire la Security rule

Setarea update-urilor pentru Wildfire.

Device – Dynamic Updates

Avem optiunea sa verificam update-urile de Wildfire la 1 , 15 ,30 sau o ora. In exemplul de mai sus fac o verificare pentru update-uri la fiecare ora si avem de ales daca firewall-ul doar sa downloadeze sau sa downloadeze si sa si instaleze update-urile.

Commit !

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *