header image

2. 如何選擇位置做poc

當設備完成基礎設定及更新,接下來就是將設備搬到客戶家去了,但設備搬到那邊,要選擇哪個位置來進行資料收集呢? 請注意,要擺放的位置一定是事前就要先與客戶溝通清楚,這邊我就不再說明為什麼了。所以我接下來就說怎麼選擇有價值的位置來POC吧!   一、           選擇有價值的位置 有價值的位置,簡單來說就是”選擇Paloalto最能展現實力的位置” 基本上,在”Paloalto 安裝手冊”我們已經將Paloalto的設備都設定好了,這一章要講解如何將設備以旁接的方式接入目標架構之中,下面舉個例子來說,有個客戶的網路架構長這樣:     客戶使用一般Layer 4的防火牆,並使用L3 Switch來進行路由,遇到這些情況我們必須先了解幾個問題,用來判定進行POC的時候應該將設備放置於哪個位置: Server 有哪些對外服務(如Web)?有哪些對內服務?(如ERP) Server的線路頻寬是多少?線材Fiber還是RJ45?平均線路乘載量是多少? L3 Switch能否使用Mirror Port模式(關於Mirror port各家的專有名詞都不同)   既然有Server,那就一定會提供服務,這服務的性質如果是一般AD、DNS等只開特定Port進行服務,通常定時更新修補漏洞,遭受攻擊的機會比較小,但若是經常進行File類型的存取,如NAS、NFS等共享檔案的伺服器,病毒或木馬隨著磁碟機流入其他區域,遭受攻擊的機率就高出許多。上述如檔案共享、FTP、Mail等伺服器在進行服務時,就會是擺放Paloalto的好位置。 另外就是所有連結外部網路的位置上擺放Paloalto,如內部使用者上網及Server提供服務給外部使用者的出口端,以上圖的範例來說,最好的擺放位置就是L3 Switch及Firewall之間,除了我們在進行POC之前就已經被植入在使用者電腦主機的病毒外,其實大部分要成為殭屍電腦,第一步驟就是要向外對駭客進行”報到”的動作,告訴駭客你已經可以開始控制此電腦,所以這時候的”報到”行為,或是因為你開啟惡意網站導致中毒的這些行為,都應該要被Paloalto記錄下來,所以在進行POC時,這位置也是絕對必要的。 關於頻寬這件事在與客戶進行討論時也要特別注意,每一台設備都有自己的”效能”,你不可能拿一台總頻寬100MB的設備去接在常常使用流量就1GB的伺服器前面進行過濾,即便像我們上述所說,是採用Mirror Port的模式去進行POC,雖然不會對線上作業的伺服器或其他服務造成影響,但你的設備也沒辦法收這些流量,最後POC還是得宣告失敗。所以事前就要了解客戶的頻寬使用情況。 Switch能否使用Mirror Port,與你POC順不順利有很大的關係,一般機房在用的Switch基本上都有Mirror Port的功能,但本人運氣沒說很好,還是會碰到明明就已經是機房的設備,卻還看到X-Link或Zxxx牌出現,有時候我都很佩服這些MIS出了問題到底要怎麼Debug,真的要致上12萬分的敬意。 一般在進行POC時,Paloalto盡量不去介入客戶設備之間,因為講白了一點,你就算插拔個線,問題小一點頂多來個不通,問題大一點,整台設備本來就已經搖搖欲墜,被你來插拔線後整台機器直接死給你看,你覺得是誰會被釘在現場?所以一般我們進行POC都不建議介入客戶網路環境中間,這也是為什麼我們需要Switch的Mirror Port來協助將流量複製一份到Paloalto上。 我發現做了幾次POC,在進行簡報時,不知道是客戶都會問我們一樣的問題,還是我們都習慣回答一樣的話,那就是”那這病毒現在有擋起來了嗎?” “沒有,因為我們是複製一份流量來分析,並不是介入你們的流量之間” 是的,我們絕對不可能擋住這個病毒,這邏輯基本上大家都知道,但不知道是我們雞婆還是客戶愛問,每次都會聽到相同的一句話出現,所以下次有客戶問你相同問題,知道怎麼回答了吧!   二、     設定Mirror Port 這個沒有一定答案,看是要請客戶幫你設定,還是你要自告奮勇展現你的能力,不過有位同事講了一句話倒是讓我覺得頗有道理,”如果是客戶自己設定錯誤導致網路斷線這可以怪他自己,如果是你設定錯了呢?或者你沒設定錯,但客戶跟你說錯了呢?”,所以這裡就給各位自己決定要怎麼做了,不過有些客戶不會知道自己的Switch有沒有Mirror Port的功能,也不一定知道指令怎麼下,所以各位敬業的工程師,為了不要在現場耽誤你們自己的時間,去之前還是先查查客戶用甚麼Switch,指令怎麼下吧! 這邊我也不對Mirror Port多做說明,因為廠牌太多,指令太多(例如Cisco有指定source及destination,HP的卻只差在敘述的方式不同),自己加油!   三、      與目標架構銜接 當Mirror Port設定完成後,就要把設備接上去了,以下圖案例來說,紅色點就是你要複製流量的介面,綠色點就是你要將複製的流量送出的介面。  …

1. Paloalto 7.1 安裝手冊 (For POC)

Paloalto POC 安裝手冊 這份文件是我在客戶那邊針對Paloalto POC時所使用的,有需要的就拿去看吧   一、      準備 一組可以向外連線的IP address 確認此次安裝是採用L3、旁接或是Vwire(穿透)模式 網路線,Console線   二、      系統設定 下述實作採用PA-500作為範例 開機後,管理Port預設IP address:192.168.1.1,如果是借來POC的機器有可能未清設定檔,連不進去就用Wireshark來抓IP。 若使用SSH登入,預設帳號:admin 密碼:admin 若使用Web登入,預設帳號:admin   密碼:admin 將管理Port修改為可以向外連線之IP address (Device>Setup>Management>Management Interface Setting)   接著設定時區、時間、經緯度等(Device>Setup>Management> General Setting)   設定DNS (Device>Setup>Services>Services)   設定NTP (Device>Setup>Services>NTP)   上述設定完後記得Commit   更新License (Device>License>License Management>Retrive license keys……..)   更新病毒碼、應用程式碼、Wild Fire,下載並安裝(Device>Dynamic Updates)  …

airwave 8 安裝手冊 (For POC)

這份文件是最近去客戶那POC時所寫的,對SI廠商來說並不怎麼值錢,因為上面一定有學長教 對使用者來說就更不值錢了,因為買來時就會有人幫你灌好好,那我這寫給誰看呢? 不知道,有需要就拿去用吧! Aruba 安裝手冊 一、      準備 硬體設備,基本上POC符合最左側的規格即可。 ISO檔或OVA檔,做VM的deploy 確認Airwave能連到Aruba Controller的網段 Airwave一組可用IP 二、      安裝VM 安裝VMware Esxi or Hyper V要與User確定,基本上不用我們安裝,事前請User先完成,如果要我們做,那快去學,這裡沒教。 下述以不同附檔名安裝為示範畫面 採用ISO檔安裝   採用OVA檔安裝   三、      系統設定 使用Console (在VMware底下不知道怎麼開console代表VMware用的不熟,練一下) 登入帳號:root 登入密碼:admin   之後開始設定時間及時區   時間格式注意要照他給的格式輸入   設定IP位置   輸入這台機器的名稱   這裡要問你有沒有已經產生好的憑證,沒有的話選擇(n),系統會自己產生   改密碼   預設登入帳號:admin 登入密碼:admin     四、      Aruba Controller設定…

開始

我有一個底稿,那份稿子告訴我要做甚麼事, 就像是一個發想,起始於一張紙上 計畫已瞭然於心,下一步該找資源?地點?時間? 該找夥伴?方向?認同? 然而我卻躊躇著要如何開始,不知在踏出第一步時的我該準備甚麼 在行進的過程當中我希望我是朝著目標邁進,但卻又害怕我是一個人走 我知道我需要朋友陪伴著我一起走下去,能一起出點餿主意 然後將努力射向天空的煙火成為千里之外最亮的那一道炫彩