Multiples IPs en un interfaz de Red

A priori puede parecer algo trivial, y lo es, pero como siempre es mejor publicarlo para que otros no perdamos tiempo con cosas como estas.

El Objetivo es poder poner en una interfaz de nivel 3 (L3) 2 ips de la misma red, la 1.1.1.1 y la 1.1.1.2 donde la mascara de red es 255.255.255.0 (24)

La CLAVE es definir la primera IP con la mascara tal que asi: 1.1.1.1/24 y para la segunda ip dejamos solo la ip 1.1.1.2, la mascara es heredada.

Si poneis en la IP secundaria la mascara tambien recibireis un error al hacer «commit».

Espero que os sirva de ayuda.

Saludos

Tip: Migración URL Filtering de 3.1 a 4.1, Allow/Deny Lists

Para los que queráis migrar vuestro Firewall de Nueva Generacion Palo Alto Networks de la version 3.1 a la 4.1.X y teneis licencia de URL Filtering activada debeis tener en cuenta que si en algun «Url Profile» teneis añadidas excepciones de urls en el Allow List o en el Deny List estas ahora han de cumplir nuevos criterios, pero lo mas importante es que no se puede usar la barra y el asterisco juntos.

ej: *.paloaltonetworks.com/*    Ya no es valido, hay que reemplazarlo por *.paloaltonetworks.com

En la ayuda se detalla que caracteres no pueden utilizarse y como hay que definir las urls, os atacho unas lineas de la ayuda oficial:

Sigue leyendo →

Migración del UserID de 3.1 a 4.1

Buenas, voy a tratar de relatar como se migra el Agente PanAgent 3.1 a el nuevo UserId-agent 4.1, no es que sea nada del otro mundo pero hay algún truco a tener en cuenta.

Lo primero es descargar el nuevo agente de la web de soporte de Palo Alto Networks. Si instalamos el agente en la misma estación donde teníamos instalado el antiguo el sistema se encarga de hacer un Upgrade de la configuración de forma automática. Hasta aquí fácil.

Ahora para que el nuevo agente arranque y funcione es imprescindible realizar estos cambios:

Sigue leyendo →

Tip: URL Filtering Profile

Hoy vamos a ver una cosa muy sencilla pero que puede pasarnos por alto y en alguna ocasion puede venir bien saber

Cuando queremos crear un perfil de URL Filtering y nos interesa asignar muchas categorias de golpe a una misma accion o ponerlas todas en alert por ejemplo, solo debemos entrar en el perfil y sobre la columna «Action» hay una flechita que si la clickamos se desplegara un menu con estas opciones.

A veces este tipo de features pasan desapercibidas 😉

Albert Estevez

 

Threat database handler failed

Ultimamente varios compañeros se estan encontrando con este error en sus equipos Palo Alto Networks: Threat database handler failed.

Bien, esto sucede en los casos en el equipo esta en la version 3.0 que quedo fuera de soporte el pasado Diciembre (2010) y no se ha hecho todavia el upgrade a la version 3.1 o 4.0. Una de las ultimas actualizaciones de la base de datos de aplicaciones y threat prevention junto con la version ya no soportada (End of Support) provoca este error al hacer «commit».

Como resolver el percance:

1) Se puede pedir a Palo Alto la ultima version de firmas soportada por la version de PANOS 3.0. Asi podremos volver a hacer «commit»

2) Actualizar a la nueva version 3.1.X o 4.0.X, esta es la opcion más rapida de recuperar el equipo

GotCha: A tener en cuenta para ir mas rapido, si ya teneis exportados los logs del equipo a un repositorio podeis hacer un clean de los logs «clear log acc», «clear log traffic», «clear log threat» desde el cli, asi evitaremos esperar a que el sistema formatee nuestros viejos logs de la 3.0 a el nuevo formato de la 3.1 en adelante (puede tardar bastante tiempo en funcion de los logs almacenados en el equipo).

Espero que si os aparece este error os sirva este post, aunque pocos deberian ser los clientes en 3.0 🙂

Saludos

Ajustando Virtual-Wires en Firewalls Palo Alto Networks

Por si a alguien le sucede alguna vez:

Problema: Errores en las interfaces del virtual Wire y perdida de las comunicaciones, cortes itermitentes o sensacion de inestabilidad.

Entorno: resulta que por el cable que estamos haciendo pasar por el Virtual Wire hay ciertas Vlans tageadas.

Resolucion: Hay que contemplar que por el cable puede que hayan ciertas vlans con tag (usando 802.1q) y que posiblemente la vlan1 sea la nativa y no lleve tag y ademas por aqui este funcionando spanning-tree.

Para hacer que todo converja  a la vez hay que añadir a la configuracion del Virtual Wire en el campo «tags allowed» lo siguiente

como hay trafico sin taggear hay que poner el «0» seguido de las vlan con tag por ejemplo las «100 y 101» asi que el campo quedaria «0,100-101» esta es la configuracion mas eficiente y con la que seguro no tendreis problemas de red.

En el caso de tener que pasar muchisimas vlans por el vwire se puede simplificar (aunque no es eficiente) con el siguiente ejemplo «0-4094» asi estamos permitiendo todas las vlans posibles y ademas el trafico sin tag (en muchas ocasiones trafico en vlan nativa y de control)

Imagen:

Espero que sea de utilidad esta reflexion.

Mini Howtos en Castellano de Palo Alto Networks

http://www.slideshare.net/aestevezpolo/minihowtos-block-browsertype – Este Howto describe como hay que hacer para bloquear usuarios que esten usando como navegador el Internet Explorer 8.0.

Video – Demostración de Palo Alto Networks

Por fin, y gracias a Exclusive Networks tenemos ya un video explicativo de que hace un firewall de nueva generación de Palo Alto Networks y además nos muestra que pinta tiene la gestión, lo mejor es que está en castellano.

Espero que disfruteis todos de él y de que algun día tengais la oportunidad de tener uno en vuestra red, entonces descubrireis el verdadero significado de la palabra visibilidad!

http://www.securlabs.net/videos.html

Saludos

www.securlabs.net, Migra tu politica de seguridad hacia Palo Alto Networks

Ya esta en marcha el portal que nos va a permitir de forma facil migrar nuestras actuales politicas de seguridad a los nuevos firewalls de Palo Alto Networks.

Podeis acceder mediante la url www.securlabs.net y de momento ya esta operativa la parte de migrar de Checkpoint a PA.

En el roadmap esta poder realizarlo de Juniper y Cisco de momento aunque seguro acabara entrando Fortinet.

Espero que la disfruteis es gratis y si os gusta y quereis donar algo para la causa sera bienvenido.

www.securlabs.net/screenshots.html

Cena con Nir Zuk, Impresionante!

 Ayer tuve el honor de compartir unas horas con el gran Nir Zuk. Fuimos a cenar al puerto olímpico de Barcelona en un restaurante bastante  tranquilo  donde pudimos conversar de forma relajada acerca de cómo ve él el panorama de la seguridad actual, la verdad es que fue impresionante, que gran comunicador.

 

Nir Zuk, Albert Estevez

 

Para los que no conozcáis a Nir Zuk os puedo decir que fue el tercer empleado de Checkpoint y uno de los desarrolladores de la tecnología «StateFul  Inspection», aquí permaneció 5 años hasta que decidió crear One Secure, empresa especializada en IPS  donde desempeñó el papel de CTO , después de 4 años más llego a ser el CTO de NetScreen adquirida más tarde por Juniper Networks.  Actualmente Nir ha creado su propia empresa «PALOALTO Networks» donde ha podido desarrollar su cuarto firewall, esta vez reinventando el concepto y creando el primer y revolucionario Firewall 2.0 o Firewall de nueva generación.

Si habéis estado leyendo este Blog, ya os habréis dado cuenta que la idea de crear este lugar nació el mismo día que descubrí la tecnología de PaloAlto Networks, desde ese momento me dejó tan fascinado que realmente conocer a Nir, el padre de la criatura, ha sido  una experiencia inolvidable, tanto por su calidad humana puesto que es una persona súper cercana, para nada es el típico  GURU estirado sino  muy sencillo y agradable. Para los que tengáis como yo la suerte de poder asistir a algún evento en el que participe no perdáis la ocasión de ir, seguro que tenéis muchas preguntas que hacerle y el seguro que estará encantado de contestaros.

Gracias Nir

Para más información de quien es Nir: http://www.paloaltonetworks.com/company/managementteam.html