2. 如何選擇位置做poc

當設備完成基礎設定及更新,接下來就是將設備搬到客戶家去了,但設備搬到那邊,要選擇哪個位置來進行資料收集呢?

請注意,要擺放的位置一定是事前就要先與客戶溝通清楚,這邊我就不再說明為什麼了。所以我接下來就說怎麼選擇有價值的位置來POC吧!

 

一、           選擇有價值的位置

有價值的位置,簡單來說就是”選擇Paloalto最能展現實力的位置”

基本上,在”Paloalto 安裝手冊”我們已經將Paloalto的設備都設定好了,這一章要講解如何將設備以旁接的方式接入目標架構之中,下面舉個例子來說,有個客戶的網路架構長這樣:

 

2016-08-04_193903

 

客戶使用一般Layer 4的防火牆,並使用L3 Switch來進行路由,遇到這些情況我們必須先了解幾個問題,用來判定進行POC的時候應該將設備放置於哪個位置:

  1. Server 有哪些對外服務(如Web)?有哪些對內服務?(如ERP)
  2. Server的線路頻寬是多少?線材Fiber還是RJ45?平均線路乘載量是多少?
  3. L3 Switch能否使用Mirror Port模式(關於Mirror port各家的專有名詞都不同)

 

既然有Server,那就一定會提供服務,這服務的性質如果是一般AD、DNS等只開特定Port進行服務,通常定時更新修補漏洞,遭受攻擊的機會比較小,但若是經常進行File類型的存取,如NAS、NFS等共享檔案的伺服器,病毒或木馬隨著磁碟機流入其他區域,遭受攻擊的機率就高出許多。上述如檔案共享、FTP、Mail等伺服器在進行服務時,就會是擺放Paloalto的好位置。

另外就是所有連結外部網路的位置上擺放Paloalto,如內部使用者上網及Server提供服務給外部使用者的出口端,以上圖的範例來說,最好的擺放位置就是L3 Switch及Firewall之間,除了我們在進行POC之前就已經被植入在使用者電腦主機的病毒外,其實大部分要成為殭屍電腦,第一步驟就是要向外對駭客進行”報到”的動作,告訴駭客你已經可以開始控制此電腦,所以這時候的”報到”行為,或是因為你開啟惡意網站導致中毒的這些行為,都應該要被Paloalto記錄下來,所以在進行POC時,這位置也是絕對必要的。

關於頻寬這件事在與客戶進行討論時也要特別注意,每一台設備都有自己的”效能”,你不可能拿一台總頻寬100MB的設備去接在常常使用流量就1GB的伺服器前面進行過濾,即便像我們上述所說,是採用Mirror Port的模式去進行POC,雖然不會對線上作業的伺服器或其他服務造成影響,但你的設備也沒辦法收這些流量,最後POC還是得宣告失敗。所以事前就要了解客戶的頻寬使用情況。

Switch能否使用Mirror Port,與你POC順不順利有很大的關係,一般機房在用的Switch基本上都有Mirror Port的功能,但本人運氣沒說很好,還是會碰到明明就已經是機房的設備,卻還看到X-Link或Zxxx牌出現,有時候我都很佩服這些MIS出了問題到底要怎麼Debug,真的要致上12萬分的敬意。

一般在進行POC時,Paloalto盡量不去介入客戶設備之間,因為講白了一點,你就算插拔個線,問題小一點頂多來個不通,問題大一點,整台設備本來就已經搖搖欲墜,被你來插拔線後整台機器直接死給你看,你覺得是誰會被釘在現場?所以一般我們進行POC都不建議介入客戶網路環境中間,這也是為什麼我們需要Switch的Mirror Port來協助將流量複製一份到Paloalto上。

我發現做了幾次POC,在進行簡報時,不知道是客戶都會問我們一樣的問題,還是我們都習慣回答一樣的話,那就是”那這病毒現在有擋起來了嗎?”

“沒有,因為我們是複製一份流量來分析,並不是介入你們的流量之間”

是的,我們絕對不可能擋住這個病毒,這邏輯基本上大家都知道,但不知道是我們雞婆還是客戶愛問,每次都會聽到相同的一句話出現,所以下次有客戶問你相同問題,知道怎麼回答了吧!

 

二、     設定Mirror Port

這個沒有一定答案,看是要請客戶幫你設定,還是你要自告奮勇展現你的能力,不過有位同事講了一句話倒是讓我覺得頗有道理,”如果是客戶自己設定錯誤導致網路斷線這可以怪他自己,如果是你設定錯了呢?或者你沒設定錯,但客戶跟你說錯了呢?”,所以這裡就給各位自己決定要怎麼做了,不過有些客戶不會知道自己的Switch有沒有Mirror Port的功能,也不一定知道指令怎麼下,所以各位敬業的工程師,為了不要在現場耽誤你們自己的時間,去之前還是先查查客戶用甚麼Switch,指令怎麼下吧!

這邊我也不對Mirror Port多做說明,因為廠牌太多,指令太多(例如Cisco有指定source及destination,HP的卻只差在敘述的方式不同),自己加油!

 

三、      與目標架構銜接

當Mirror Port設定完成後,就要把設備接上去了,以下圖案例來說,紅色點就是你要複製流量的介面,綠色點就是你要將複製的流量送出的介面。

 

2016-08-04_193926

 

設備接上去後請注意Paloalto究竟有沒有接收到資料,不要人就跑了,一個禮拜回來後再重來一次,起碼可以看一下ACC(下圖)裡面有沒有資料,但因為ACC是彙整每十五分鐘的資料,所以你也可以改看Monitor裡面的Log(下圖)有沒有資料。

 

1-1

1-2

 

如果都沒有問題的話,我們就下一章節再見了。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.