- Dịch vụ Palo Alto Wildfire là một công nghệ phân tích trên nền tảng cloud để phát hiện malware và tạo ra signature để bảo vệ hệ thống khỏi bị tấn công xâm nhập. Nói đơn giản, WildFire biến malware không xác định thành malware được đã biết đến. Bài viết này chúng ta sẽ tìm hiểu làm cách nào cấu hình dịch vụ WildFire này trên thiết bị tường lửa Palo Alto. CÁCH THỨC HOẠT ĐỘNG CỦA WILDFIRE: - Đầu tiên, Firewall nhận được một file. Ngay sau đó firewall kiểm tra để xem file có được ký bằng một Chữ ký số đáng tin cậy (Trusted Digital Signature) hay không? Nếu có, file này sẽ được phép, ngược lại WildFire sẽ kiểm tra lại file này một lần nữa để xem hash đó đã gặp trước đây chưa. - Nếu hash đã thấy trước đó, thì nó được quyết định trước đó (vd: file lành mạnh, nguy hại grayware/phishing hoặc chưa mã độc malware). Ngược lại, nếu WildFire chưa gặp hash file này trước đó, nó sẽ kiểm tra lại để xem, nếu kích thước file nhỏ hơn các ngưỡng (thresholds) tối đa được cấu hình. - Nếu file quá lớn thì firewall không có tùy chọn nào khác ngoài cho phép nó qua. Tuy nhiên, nếu file không quá lớn, thì nó có thể được gửi đến WildFire để phân tích. Khi quá trình phân tích hoàn tất, quyết định sẽ được tạo ra dựa trên các đặc điểm và hành vi của file và quyết đị này sẽ lại là: file lành mạnh, nguy hại grayware/phishing hoặc chưa mã độc malware. - Sau đó WildFire sẽ thông báo cho firewall về quyết định này và điều này sẽ xuất hiện trong log (submissions log) của WildFire. Kế đó, WildFire sẽ tạo ra các malware signature và cung cấp cho firewall để tải xuống. Nếu firewall của bạn có đang ký bản quyền WireFire, bạn có thể lập tức tải signature về, khi nó được lưu ở máy chủ cập nhật, sau khoảng 5 phút. Còn nếu firewall của bạn không đăng ký WildFire, bạn vẫn được hưởng lợi từ việc gửi tệp này trong bản cập nhật antivirus vào này hôm sau. NHỮNG TÙY CHỌN TRIỂN KHAI PALO ALTO WILDFIRE: Global Cloud: nền tảng cloud chung WildFire Public của Palo Alto Private Cloud: WildFire trên thiết bị cứng WF-500 Hybrid Cloud: sự kết hợp của Public cloud & Thiết bị CÁC BƯỚC CẤU HÌNH WILDFIRE TRÊN THIẾT BỊ FIREWALL PALO ALTO: - Bước 1: Log vào giao diện GUI của Firewall Palo Alto, sau đó vào đường dẫn Device > Setup > WildFire và click General Settings. - Bước 2: Bạn sẽ tìm thấy đường dẫn URL cho tùy chọn Public Cloud. Bạn có thể chọn WildFire Public Cloud theo mong muốn nếu bạn bạn đang sử dụng Global WireFire. Còn nếu bạn sử dụng thiết bị, hãy thêm địa chỉ IP của WildFire Private Cloud trong hệ thống của bạn vào. Bạn cũng có thể thay đổi giới hạn kích thước cho file ở File Size Limits. Click OK để lưu lại và tiếp tục. - Bước 3: Bây giờ tiếp tục click vào Objects > Security Profiles > WildFire Analysis và click Add. Bạn có thể xác định các loại file và đám mây đích (private/public cloud). - Bước 4: Áp dụng WildFire vào Policy theo các bước Policies > Security và click vào policy bạn muốn, thường là policy cho truy cập tới internet. Trong tab Security Policy Rule > click Actions > chọn Profiles trong danh sách Profile Type. Trong danh sách profile WildFire Analysis chọn vào profile mới tạo ở trên. Trong ví dụ này profile có tên is OUR-WILDFIRE-PROFILE. THỬ NGHIỆM VỚI MỘT FILE CHỨA MALWARE: - Nếu bạn có bật SSL decryption trên firewall, sử dụng một trong các URL dưới đây: PE—https://wildfire.paloaltonetworks.com/publicapi/test/pe APK—https://wildfire.paloaltonetworks.com/publicapi/test/apk MacOSX—https://wildfire.paloaltonetworks.com/publicapi/test/macos ELF—wildfire.paloaltonetworks.com/publicapi/test/elf - Nếu bạn có không bật SSL decryption trên firewall, sử dụng một trong các URL dưới đây: PE—http://wildfire.paloaltonetworks.com/publicapi/test/pe APK—http://wildfire.paloaltonetworks.com/publicapi/test/apk MacOSX—http://wildfire.paloaltonetworks.com/publicapi/test/macos ELF—wildfire.paloaltonetworks.com/publicapi/test/elf KIỂM TRA KẾT QUẢ: - Để kiểm tra kết nối giữa Firewall và WildFire Cloud, chạy lệnh commandtest wildfire registration. admin@PA-FW-01> test wildfire registration This test may take a few minutes to finish. Do you want to continue? (y or n) Test wildfire Public Cloud Testing cloud server wildfire.paloaltonetworks.com ... wildfire registration: successful download server list: successful select the best server: panos.wildfire.paloaltonetworks.com Test wildfire Private Cloud Cloud server is empty admin@PA-FW-01> - Bạn cũng có thể xem trạng thái bằng câu lệnh sau – show wildfire status channel public show wildfire status channel private - Để kiểm tra các hoạt động của WildFire được ghi lại trên firewall Palo Alto vào đường dẫn Monitor >> Logs >> WildFire Submission.
