Blog Agility

Heartbleed no Palo Alto Networks Firewalls

Heartbleed no Palo Alto Networks Firewalls

 

Este artigo aborda como os firewalls Palo Alto Networks se comportam com a presença da vulnerabilidade HeartBleed no OpenSSL (CVE-2014-0160). Também mostra como proteger seu ambiente com as assinaturas de IPS que a Palo Alto Networks disponibiliza aos seus clientes que possuí assinatura ativa de Threat Prevention.

A Palo Alto Networks já se posicionou informando que nenhuma versão do PAN-OS (Sistema operacional) está vulnerável ao HeartBleed.

Já estou protegido ?

Na data de 09 de abril de 2014 a Palo Alto Networks disponibilizou a assinatura contra a vulnerabilidade Heartbleed. Para validar se está realmente protegido veja a baixo um passo a passo.

  1. Acesse seu Firewall em Device>Dynamic Updates, e valide a data do ultimo download e instalação de assinaturas realizadas no Firewall.

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_01

  2. Valide que sua profile de Vulnerabilidades está criada e em modo block, clique em Objects>Security Profiles> Vulnerabilitiy Profiles

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_02

  3. Por ultimo, valide que sua profile esteja associada a uma regra de segurança. É importante que sua regra  passe o tráfego entre seu dispositivo vulnerável e o mundo externo e vice-versa.

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_03

**  Caso suas regras já estejam neste formato não se faz necessário um novo commit.

Estou vulnerável, como me proteger ?

Caso não possua uma profile criada, ou seu ambiente não está preparado para receber todas as assinaturas de vulnerabilidades, podemos bloquear o Heartbleed especificamente por meio do procedimento abaixo.

  1. Crie uma profile de vulnerabilidade clique em Objects>Security Profiles>Vulnerability Profiles>Add, importante anotar o nome da vulnerabilidade de acordo com o CVE (CVE-2014-0160)

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_04

  2. Após criar a regra, a mesma tem que ser atrelada a uma profile de vulnerabilidade como na imagem  a baixo.

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_05

  3. Após criar a profile devemos associar a esta a regra de firewall de acordo com o tráfego entre nossos dispositivos vulneráveis e o mundo externo e vice-versa. Clique em Policies>Security Policies , localize a regra e associe a profile em Actions>Profile.

    2014_04_Thiago Lima-HeartBleed no Palo Alto Networks Firewall_06

  4. Por último realizar o commit. Importante também não habilitar a opção Disable Server Response Inspection.

A vulnerabilidade HearBleed, realmente pode causar um estrago maior do que imaginamos, contudo com este procedimento estamos garantindo que qualquer tentativa de ataque estará protegida mas lembre-se também de atualizar seu OpenSSL com os patches que foram disponibilizados na internet.