Multiples IPs en un interfaz de Red

A priori puede parecer algo trivial, y lo es, pero como siempre es mejor publicarlo para que otros no perdamos tiempo con cosas como estas.

El Objetivo es poder poner en una interfaz de nivel 3 (L3) 2 ips de la misma red, la 1.1.1.1 y la 1.1.1.2 donde la mascara de red es 255.255.255.0 (24)

La CLAVE es definir la primera IP con la mascara tal que asi: 1.1.1.1/24 y para la segunda ip dejamos solo la ip 1.1.1.2, la mascara es heredada.

Si poneis en la IP secundaria la mascara tambien recibireis un error al hacer «commit».

Espero que os sirva de ayuda.

Saludos

Tip: Migración URL Filtering de 3.1 a 4.1, Allow/Deny Lists

Para los que queráis migrar vuestro Firewall de Nueva Generacion Palo Alto Networks de la version 3.1 a la 4.1.X y teneis licencia de URL Filtering activada debeis tener en cuenta que si en algun «Url Profile» teneis añadidas excepciones de urls en el Allow List o en el Deny List estas ahora han de cumplir nuevos criterios, pero lo mas importante es que no se puede usar la barra y el asterisco juntos.

ej: *.paloaltonetworks.com/*    Ya no es valido, hay que reemplazarlo por *.paloaltonetworks.com

En la ayuda se detalla que caracteres no pueden utilizarse y como hay que definir las urls, os atacho unas lineas de la ayuda oficial:

Sigue leyendo →

Migración del UserID de 3.1 a 4.1

Buenas, voy a tratar de relatar como se migra el Agente PanAgent 3.1 a el nuevo UserId-agent 4.1, no es que sea nada del otro mundo pero hay algún truco a tener en cuenta.

Lo primero es descargar el nuevo agente de la web de soporte de Palo Alto Networks. Si instalamos el agente en la misma estación donde teníamos instalado el antiguo el sistema se encarga de hacer un Upgrade de la configuración de forma automática. Hasta aquí fácil.

Ahora para que el nuevo agente arranque y funcione es imprescindible realizar estos cambios:

Sigue leyendo →

Tip: URL Filtering Profile

Hoy vamos a ver una cosa muy sencilla pero que puede pasarnos por alto y en alguna ocasion puede venir bien saber

Cuando queremos crear un perfil de URL Filtering y nos interesa asignar muchas categorias de golpe a una misma accion o ponerlas todas en alert por ejemplo, solo debemos entrar en el perfil y sobre la columna «Action» hay una flechita que si la clickamos se desplegara un menu con estas opciones.

A veces este tipo de features pasan desapercibidas 😉

Albert Estevez

 

Threat database handler failed

Ultimamente varios compañeros se estan encontrando con este error en sus equipos Palo Alto Networks: Threat database handler failed.

Bien, esto sucede en los casos en el equipo esta en la version 3.0 que quedo fuera de soporte el pasado Diciembre (2010) y no se ha hecho todavia el upgrade a la version 3.1 o 4.0. Una de las ultimas actualizaciones de la base de datos de aplicaciones y threat prevention junto con la version ya no soportada (End of Support) provoca este error al hacer «commit».

Como resolver el percance:

1) Se puede pedir a Palo Alto la ultima version de firmas soportada por la version de PANOS 3.0. Asi podremos volver a hacer «commit»

2) Actualizar a la nueva version 3.1.X o 4.0.X, esta es la opcion más rapida de recuperar el equipo

GotCha: A tener en cuenta para ir mas rapido, si ya teneis exportados los logs del equipo a un repositorio podeis hacer un clean de los logs «clear log acc», «clear log traffic», «clear log threat» desde el cli, asi evitaremos esperar a que el sistema formatee nuestros viejos logs de la 3.0 a el nuevo formato de la 3.1 en adelante (puede tardar bastante tiempo en funcion de los logs almacenados en el equipo).

Espero que si os aparece este error os sirva este post, aunque pocos deberian ser los clientes en 3.0 🙂

Saludos

Ajustando Virtual-Wires en Firewalls Palo Alto Networks

Por si a alguien le sucede alguna vez:

Problema: Errores en las interfaces del virtual Wire y perdida de las comunicaciones, cortes itermitentes o sensacion de inestabilidad.

Entorno: resulta que por el cable que estamos haciendo pasar por el Virtual Wire hay ciertas Vlans tageadas.

Resolucion: Hay que contemplar que por el cable puede que hayan ciertas vlans con tag (usando 802.1q) y que posiblemente la vlan1 sea la nativa y no lleve tag y ademas por aqui este funcionando spanning-tree.

Para hacer que todo converja  a la vez hay que añadir a la configuracion del Virtual Wire en el campo «tags allowed» lo siguiente

como hay trafico sin taggear hay que poner el «0» seguido de las vlan con tag por ejemplo las «100 y 101» asi que el campo quedaria «0,100-101» esta es la configuracion mas eficiente y con la que seguro no tendreis problemas de red.

En el caso de tener que pasar muchisimas vlans por el vwire se puede simplificar (aunque no es eficiente) con el siguiente ejemplo «0-4094» asi estamos permitiendo todas las vlans posibles y ademas el trafico sin tag (en muchas ocasiones trafico en vlan nativa y de control)

Imagen:

Espero que sea de utilidad esta reflexion.

Sueño Cumplido: Palo Alto Networks new Hire

Despues de mucho tiempo sin actualizar el Blog hoy me dirijo a los que pasais por aqui para anunciaros que despues de dos años trabajando con Palo Alto Networks de cerca por fin he conseguido hacer realidad mi sueño, trabajar en Palo Alto Networks.

Una de las experiencias mas excitantes que he tenido, haber tenido la posibilidad de viajar al silicon valley y conocer a mis nuevos compañeros fue grande 🙂

Ahora pertenezco, gracias al trabajo que realize con la herramienta de migracion de politicas de seguridad de varios fabricantes a Palo Alto, a la empresa tecnologica mas cañera de los ultimos tiempos.

Para todos aquellos que quieran conseguir la herramienta ahora han de ser clientes de Palo Alto y pedir acceso a ella enviando un correo a fwmigrate@paloaltonetworks.com indicando el usuario de la web de soporte de Palo Alto Networks.

Os invito a que lo hagais y asi el camino de cambiar los obsoletos firewalls basados en statuful inspection hacia nueva tecnologia de Palo Alto Networks sera mucho mas sencillo 🙂

Hasta pronto!!!

Mini Howtos en Castellano de Palo Alto Networks

http://www.slideshare.net/aestevezpolo/minihowtos-block-browsertype – Este Howto describe como hay que hacer para bloquear usuarios que esten usando como navegador el Internet Explorer 8.0.

Video – Demostración de Palo Alto Networks

Por fin, y gracias a Exclusive Networks tenemos ya un video explicativo de que hace un firewall de nueva generación de Palo Alto Networks y además nos muestra que pinta tiene la gestión, lo mejor es que está en castellano.

Espero que disfruteis todos de él y de que algun día tengais la oportunidad de tener uno en vuestra red, entonces descubrireis el verdadero significado de la palabra visibilidad!

http://www.securlabs.net/videos.html

Saludos

www.securlabs.net, Migra tu politica de seguridad hacia Palo Alto Networks

Ya esta en marcha el portal que nos va a permitir de forma facil migrar nuestras actuales politicas de seguridad a los nuevos firewalls de Palo Alto Networks.

Podeis acceder mediante la url www.securlabs.net y de momento ya esta operativa la parte de migrar de Checkpoint a PA.

En el roadmap esta poder realizarlo de Juniper y Cisco de momento aunque seguro acabara entrando Fortinet.

Espero que la disfruteis es gratis y si os gusta y quereis donar algo para la causa sera bienvenido.

www.securlabs.net/screenshots.html