PaloAlto Applicatio...
 
Bildirimler
Hepsini Temizle

PaloAlto Application Filter Uygulama Sorunu hk. ( Proxy vb. )  

  RSS
kemal as
(@kemalas)
Üye

Merhaba

Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? 

Bu programlar engellenebiliyormu ?

Paloalto firewall bu iki maddeyi yapmada yetersiz kaldı. wireshark gibi bir prg ile bulabilirmiyiz. 

Cevaplarınız için teşekkür ederim .Kolay gelsin

Alıntı
Gönderildi : 07/05/2019 16:53
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi

merhaba,

post başlığı için forum kurallarına uyalım lütfen. bkz. m7

https://www.cozumpark.com/community/forum/650/  

paloalto gibi bir markanın bahsettiğiniz uygulamalar için mutlaka imzası mevcuttur.

application filter veya policy tarafında atladığınız bir adım olabilir, referans adresleri inceleyerek yapılandırmanızı kontrol edebilirsiniz.

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXfCAK

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSkCAK

 

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 08/05/2019 07:22
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

Merhaba

 

Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor. 

 

İyi çalışmalar.

 

 

CevapAlıntı
Gönderildi : 08/05/2019 07:22
Mustafa CANPOLAT
(@mustafacanpolat)
Üye
Gönderen: Vasvi UYSAL

Merhaba

 

Application filter tarafında proxy kategorisini engellemeyi deneyebilirsiniz. PA lisanslı ise imzaları mevcut, başarılı bir şekilde engelliyor. 

 

İyi çalışmalar.

 

 

Arkadaş cümlelerimi ağzımdan almış diline sağlık, şunu da eklemek isterim.

Ben Fortinet'in App veritabanında olmayan bazı VPN uygulamalarını kullanıcıların telefonunda vs tespit ettim, geçici çözüm olarak da en üst policy oluştururarak o uygulamanın kullandığı portları kapattım.

500 ve 4500 yada service ismi "IKE"  standart VPN port numaraları yada Service adıdır.Ben ayrıca 7268/udp de engelledim o da sanırım VPN Proxy Master isimli uygulamaydı.

Yani tespit ettiğin uygulamaların imzaları mutlaka Firewall App'de vardır, yok ise dediğim gibi geçici çözüm olarak portları blocklayabilir yada app imza veritabanına manuel eklemen mümkünse ekleyebilirsin, bu süreçte de üretici firmanın veritabanına uygunsuz app'lerin imzasını eklemesini de isteyebilirsin ki başkaları da faydalansın 🙂

CevapAlıntı
Gönderildi : 08/05/2019 08:47
kemal as
(@kemalas)
Üye

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

CevapAlıntı
Gönderildi : 08/05/2019 09:43
Mustafa CANPOLAT
(@mustafacanpolat)
Üye

Hocam SIEM uygulamanız var ise yada FortiAnalyzer tarzı bir ürününüz var ise trafiği dinlemeniz gereklidir, ismini söylediğiniz uygulamaların tcp-udp portlarını bilmeniz de gerekli tabi ki.Wireshark da aynı işi yapıyor

CevapAlıntı
Gönderildi : 08/05/2019 09:50
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi
Gönderen: kemal as

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

PA dışında bu programların exe lerini bulup hash bilgileri ile gpo üzerinden yasaklayabilirsiniz

Yine PA üzerinde engelleme yaptığınızda

Monitor -> Logs -> Unified

menüsü altına deny olanları süzerek hangi bilgisayarlarda olduğunu basitçe bulabilirsiniz

 

CevapAlıntı
Gönderildi : 08/05/2019 09:55
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi
Gönderen: kemal as

İlginiz ve vermiş olduğunuz bilgiler için teşekkür ederim . 

Benim istediğim esas olan 1. madde

" Network ağımızda ultrasurf , psiphon vb program kullananları nasıl tespit edebilirim ? "

Çünkü bağlı 14 kurumumuza bakan paloalto yetkilisi (isim vermek istemedim ) çözemedi. Hala bu programlar kurumumuzda kullanılmakta. Bu kullananları tespit etmek istiyorum. Varsa birde  paloalto dışında (Domain Gpo vb) başka bir şekilde engelleme yapılabilirmi ?

kullandığınız marka için belirttiğiniz durumların normal olmadığını düşünüyorum.

elimde paloalto box/vm'de olmadığından test etmem mümkün değil.

ancak danışmanınızı bilmemekle birlikte, üretici tarafında case açıp, cevap beklediniz mi ?

yani "çözemedi" derken işin içinde üretici cevabı var mı ?

sonuçta web/app filter tarafında proxy kategorisini engelleyip, aktif trafikte bunu listelemek zor olmamalı.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 09/05/2019 02:33
kemal as
(@kemalas)
Üye

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

CevapAlıntı
Gönderildi : 10/05/2019 16:23
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi
Gönderen: kemal as

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

PA

 

 

Policies -> Security rules içerisine bu şekilde bir kural oluşturup diğer tüm kuralların üzerine taşımanız yeterli olacaktır

CevapAlıntı
Gönderildi : 10/05/2019 16:37
Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

AF ile başlayan isimli gruplar  Application Filter içerisinde oluşturduğum gruplar.

 

 

CevapAlıntı
Gönderildi : 10/05/2019 16:41
Turan COŞKUN
(@turancoskun)
Tecrübeli Üye Forum Yöneticisi
Gönderen: kemal as

Bende bu durumu pek anlayamadım. Öncesinde Fortigate 1000A varken elimde rahatlıkla engellemiştim. Şu an elimdeki model paloalto PA-220 . Sizin önereceğiniz bir yöntem varmı ? Detaylı yazabilirseniz kendim deneyeceğim. 

Ayrıca başka bir prg varmı kullananları görebilmek adına ?

yapılandırma hatası veya adım atlama tarafını kontrol etmek için referans adrese göre yeni bir policy ile test edin.

Vasvi hocanın belirttiği gibi iligli policy üst sırada yer alsın.

bu adımı çözdükten sonra referans adrese göre talep ettiğiniz çıktıları oluşturabilirsiniz.

****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 10/05/2019 23:34
Paylaş: