網路安全的挑戰
時至今日,學術界跟公部門常說資訊安全或者業界常講的網路安全已經成為一種獨立的專業,雖然大部分公司也只能請網管兼職做相關的設定,然而隨著網路攻擊面向越來越多,已經無法將其單純視為軟體工程或者系統設計裡的一種子領域
FrostyGoop/BUSTLEBERM 工控惡意軟體解析
於2024年四月,烏克蘭的Cyber Security Situation Center (CSSC)因為國內停電的情形而記錄到這隻新型針對烏克蘭能源公司進行工控攻擊的惡意軟體FrostyGoop/BUSTLEBERM,是目前為止回報第19隻被開發用來針對工控裝置的malware,透過Modbus TCP port攻擊成功後影響了超過600家烏克蘭國內公司的電力供應,如果工控裝置有連網的話這隻malware可以透過攻擊周邊的元件或者外部的系統進去,接著送Modbus指令去讀寫或變更Industrial control system (ICS)裝置的資料,造成能源上的災害。
威脅情報指標
我們在搜集惡意APT(Advanced Persistent Threats)事件時會需要一些有關聯性的資訊,透過這些資訊能夠指示出系統或網路中可能已經受到侵害的特定特徵或跡象,包括檔案特徵、網路特徵、主機特徵、電子郵件特徵、使用者行為特徵、 日誌特徵以及應用程式特徵等等。
Palo Alto 防火牆URL過濾與應用服務頁面封鎖功能
在Palo Alto防火牆要兩項功能一個是Application Block Page另外一個是URL Filtering and Category Match Block Page到Device→Response Pages找到Application Block Page可以使.
Palo Alto 防火牆 政策 設定
對於防火牆很重要的功能之一就是透過policy去控管使用者或外部存取者的連線控制,若使用者有不當的連線行為,也能夠透過防火牆的log查看到紀錄,而存取控管限制使用者不能夠連線哪種類型的網站,或者封鎖特定服務都可以透過policy來做控制。
Palo Alto 防火牆指令介面顯示過往指令操作
有時候實體機器跟虛擬機的計算資源比較少,此時無法花太多運算能力給網頁介面時會變得怪怪的,而這時我們直接在指令介面操作會比較順暢,首先我們開啟防火牆的 shell
Palo Alto 防火牆清除使用者快取
因為我們在進行測試能不能抓取 LDAP Server 的同時測試不需要指定 DNS 也可以指向內部的 Active Directory 主機,所以我們嘗試把 Palo Alto VM 內的所有 user 只要有快取的都先清除掉
Palo Alto 防火牆高可用性 High Availability 設定
本次實驗中我們準備兩台 Palo Alto 虛擬機,為了完成防火牆高可用性 High Availability (HA) 的設定,必須讓這兩台機器都在同一個網段,高可用性作為現代次世代防火牆應對流量越發增益的 DDoS 攻擊是必不可少的功能,故本篇文章想跟讀者介紹 PA HA 設定
Palo Alto 防火牆網路位址轉譯(NAT)設定
在網路上我們不可能直接將內網的服務IP揭露出去,而防火牆就會提供網路位址轉譯成能夠對外的IP,一來是內網服務IP數量有限所以需要轉譯出去,二來是不想讓攻擊者知道內網服務的IP位址,故需要透過Network Address Translation(NAT)來轉址。