Velkommen til min lille webside!
På høyre side kan du se gjennom det jeg har lagt ut til nå ➡
og for mobilversjon er det bare å rulle nedover ⬇
Her er min samling med tips & triks, det meste er innen området PaloAltoNetworks, men det kan nok være det kommer litt andre IT relaterte tips også.
Velkommen!
Christmas awareness - avoid scams
Julen - En tid for gleder men vær på vakt!
Falske Gavekort og Rabattkoder:
E-poster eller meldinger som tilbyr "gratis" gavekort eller store rabatter.
Falske Leveringsvarsler:
E-poster eller SMSer som later som de er fra leveringstjenester, og ber om personlig informasjon.
Falske Nettbutikker:
Nettbutikker som ser ekte ut, men som selger falske eller ikke-eksisterende varer.
Falske Julehilsener:
E-kort som ser ut til å være fra kjente, men inneholder skadelig programvare.
Falske Konkurranser:
Konkurranser eller giveaways som ser ut til å være fra kjente merker, men som egentlig er svindel.
Falske Annonser:
Annonser for produkter til svært lave priser som leder til falske nettsider.
Falske Kjendis Endorsements:
Innlegg som ser ut til å bli støttet av kjente personer eller influencere, men som fremmer falske produkter.
Phishing via Direktemeldinger:
Meldinger fra falske profiler med lenker som fører til phishing-nettsider.
Charity Phishing (E-post og Sosiale Medier):
Svindler som ber om donasjoner til ikke-eksisterende veldedige organisasjoner.
MFA, PW and encryption
Hvor lett det er å hacke seg inn på en PC som er stjålet:
Passordstyrke: En svak eller vanlig brukt passord kan lett bli brutt gjennom brute force-angrep eller ordbokangrep.
Kryptering: Hvis dataene på PC-en ikke er kryptert, kan en tyv enkelt få tilgang til dem ved å fjerne harddisken og koble den til en annen enhet.
Fysiske sikkerhetstiltak: Uten BIOS- eller UEFI-passord kan en angriper endre oppstartsinnstillinger eller bruke live USB-stasjoner for å omgå operativsystemets sikkerhetskontroller.
Oppdateringsstatus: Utdaterte operativsystemer eller applikasjoner med kjente sårbarheter kan utnyttes for å få tilgang.
Tilgang til recovery- eller admin-kontoer: Uten MFA kan tilgang til slike kontoer gi full kontroll over systemet.
Multifaktorautentisering (MFA) bør brukes i flere sammenhenger for å maksimere sikkerheten:
Skytjenester: For alle skybaserte applikasjoner og tjenester, spesielt de som lagrer sensitiv informasjon eller gir tilgang til kritiske systemer.
Lokal PC: På lokale datamaskiner, særlig for administratorer eller brukere med tilgang til sensitiv informasjon. Dette beskytter mot uautorisert tilgang hvis passord kompromitteres.
Fjernskrivebord og VPN: For fjernaksessystemer som VPN eller Remote Desktop Services, siden disse ofte er mål for angrep. MFA sikrer at kun autoriserte brukere kan koble seg til nettverket eksternt.
E-post og Kommunikasjonsverktøy: For e-postsystemer og kommunikasjonsverktøy, spesielt i tilfeller hvor de inneholder eller kan gi tilgang til sensitiv informasjon.
Nettverksenheter og Servere: På nettverksenheter og servere for å sikre at kun autoriserte individer kan gjøre endringer eller få tilgang til sensitiv informasjon.
SMS vs RCS
Hvem er du mest redd for, naboen eller noen på andre siden av kloden?
SMS,
som mangler ende-til-ende-kryptering, kan være sårbar for lokale overvåkingsmetoder, slik at en nabo med riktig utstyr potensielt kan avlytte meldinger.
RCS,
derimot, sendes over IP-nettverk og kan teoretisk sett være utsatt for fjernovervåking. Dette innebærer at noen på andre siden av verden kan ha mulighet til å få tilgang til RCS-meldinger gjennom nettverksangrep eller sikkerhetssvakheter. Bruken av offentlig Wi-Fi kan også øke sårbarheten til RCS, da angripere på slike nettverk kan forsøke å utnytte sikkerhetsgap for å få tilgang til eller manipulere kommunikasjonen.
Hva velger du?
Hvordan skru av / på RCS
Firewall port test
Lyst å ta en test på brannmuren din?
Du skal ha applikasjon og port whitelisting men noen porter er det greit å blokke mot internett, sånn for å være helt sikker på at en ikke kommer ut med denne type trafikk på en feilkonfigurert brannmur regel.
Du skal ha applikasjon og port whitelisting men noen porter er det greit å blokke mot internett, sånn for å være helt sikker på at en ikke kommer ut med denne type trafikk på en feilkonfigurert brannmur regel.
Her er listen med porter jeg mener ikke skal være åpne mot internett, hvis du har dem åpen, så har du kanskje en grunn for det?
P.S. Port 80 skal trolig være åpen om en tester fra klient nettet!
P.S. Port 80 skal trolig være åpen om en tester fra klient nettet!
Powershell:
# Definerer portene som skal testes
$ports = @("445", "853", "23", "22", "137", "135", "3389", "3306", "1521", "80")
# Går gjennom hver port og tester tilkoblingen
foreach ($port in $ports) {
Write-Host "Tester port $port..."
# Tester tilkoblingen
$result = Test-NetConnection -Port $port -ComputerName "35.180.139.74" -InformationLevel "Detailed"
# Sjekker om tilkoblingen var vellykket og viser resultatet
if ($result.TcpTestSucceeded) {
Write-Host "Port ${port}: Port open"
} else {
Write-Host "Port ${port}: Port closed"
}
}
Resultatet bør nok se ca slik ut:
PaloAltoNetworks firewall - DNS Security
Hvordan aktivere og verifisere din DNS Security / DNS Sinkhole
Video laget av P4CKETL0SS
PaloAltoNetworks firewall - SDWAN
SD-Wan er ikke noe jeg har lekt å mye med, slik jeg forstår det så er det to-delt.
En kan bruke det sammen med VPN, noe jeg ikke har testet ut,
og en kan bruke det til å få flere bærere mot internett.
Det er veldig fint om en har noen linjer som er ustabile eller at en ikke har nok båndbredde på kun en linje.
og en kan bruke det til å få flere bærere mot internett.
Det er veldig fint om en har noen linjer som er ustabile eller at en ikke har nok båndbredde på kun en linje.
Jeg har kun testet delen med flere linjer og fordeling av trafikk og bruker denne hjemme pr nå.
3 forskjellige internet leverandører tilkoblet brannmuren og noen få konfigurasjonsendringer og en er i gang.
For å teste så har jeg 3 SD-Wan regler for ping, slik at jeg kan kjøre ping mot 3 IP`er og raskt se hvilken av linjene mine som er oppe.
Jeg har også laget 3 SD-Wan regler for IP-info, slik at jeg kan gå på tilsvarende "find my IP" sider og få info om min offisiselle IP på alle 3 linjene mine.
 |
| sd-wan regler |
En kan lett fordele/rute trafikken basert på bruker, applikasjon, src-IP eller dest-IP.
Det er også mulig å sette prioritet på linjene, eller fordele f.-eks. 90% / 10% på 2 linjer.
Tar med et eksempel VSAT og Starlink:
For de som har flere linjer og den ene er treg men fast pris(VSAT), altså ikke kvote basert, så vil jeg anbefale å kjøre alle ms-update, apple-update osv via den tregeste linjen.
Bruk gjerne sammen med QoS slik at det bare tar X antall % av linjen.
For de som har flere linjer og den ene er treg men fast pris(VSAT), altså ikke kvote basert, så vil jeg anbefale å kjøre alle ms-update, apple-update osv via den tregeste linjen.
Bruk gjerne sammen med QoS slik at det bare tar X antall % av linjen.
Slik vil den raske linjen (Starlink) være tilgjenglig for Teams, Zoom, Facetime, o.l. som kanskje er mer viktig for å få dine medarbeidere fornøyde.
PaloAltoNetworks firewall - FQDN vs URL
Det er viktig å vite forskjell på FQDN og URL når du lager brannmur regler på din NGFW
 |
| Nederste regel er riktig. |
Første regel slipper gjennom ssl trafikk på port 443 til flere tusen domener.*
Andre regel slipper gjennom ssl trafikk på port 443 mot files.avast.com
*f.eks disse:
cdn.lmbd[.]ru
res.chinese.littlefox[.]com
download.bestfuturemac[.]com
Dette er sider jeg ikke kjenner til, men jeg ser heller ingen grunn til å åpne for dem når idèen var å åpne for files.avast.com
Dette er sider jeg ikke kjenner til, men jeg ser heller ingen grunn til å åpne for dem når idèen var å åpne for files.avast.com
Det finnes unntak der en må bruke FQDN, men forsøk med URL der det er mulig.
PaloAltoNetworks firewall - policy URL configuration
Hvis du synes det er vanskelig å lage gode brannmur regler på din PaloAltoNetworks NGFW så kan du få en lite tips her.
1. Først lager du en brannmur regel som gjelder kun for den enheten du holder på med.
2. La det gå trafikk der noen dager/uker.
3. Lag så en rapport, sorter ut på den enheten du skal lage regel på. f.eks, en switch, server eller xbox.
URL Domain er det eneste feltet du trenger i dette tilfelle.
Ekporter listen til CSV.
Åpne filen i Excel eller Google Sheets.Fjern "URL Domain" og legg på en "/" i rad B.Lagre så som txt format og åpne i Notepad for å se at filen ser ok ut.
Mulig du må ta en "find and replace" på noen mellomrom.
Importer filen som en URL Category i din brannmur.
URL kan nå legges til en regel du laget for den aktuelle enheten.
Applikasjoner som brukes finner du i regelen du alt har laget for enheten.
Se applikasjons listen og legg til under "Compare Applications & Applications Seen"
Slik må du gjøre på alle dine enheter
Ingen switcher, brannmurer, printere, servere e.l. skal ha full tilgang til internett.
N.B. Om du ser noen URL`er i listen din som du ikke ønsker så er det bare å fjerne dem.
f.eks. så ønsker noen å fjerne telemetry URL`er.
f.eks. så ønsker noen å fjerne telemetry URL`er.
Mr.Logg`s free IoT addon to PANW NGFW
PANW NGFW har en kul sak som heter IoT, denne gir mye informasjon om sårbarheter osv + den sender litt device info tilbake til brannmuren slik at en kan se device
info rett i Monitor loggen.
Bare for å teste så forsøkte jeg å lage en liten work-around slik at en kan få inn litt device info i loggen uten å kjøpe IoT lisensen.
Jeg brukte Dynamic tag og laget egne grupper for de enhetene jeg har tilgjengelig.
Dynamic tag laget jeg basert på unike URL`er de forskjellige enhetene går mot.
Denne vil virke på nye enheter i samme kategori også, så dette er ikke det samme som å lage objekt navn på alle dine IP`er.
Bare ta kontakt om du har lyst å sette dette opp selv og trenger litt starthjelp!
Dynamic tag laget jeg basert på unike URL`er de forskjellige enhetene går mot.
Denne vil virke på nye enheter i samme kategori også, så dette er ikke det samme som å lage objekt navn på alle dine IP`er.
Bare ta kontakt om du har lyst å sette dette opp selv og trenger litt starthjelp!
 |
| Windows, Apple, Android, XDRBroker, PANOS, SmartTV, PhilipsHue, Homey, UnifiNVR og UnifiCloudKey er det jeg har laget på til nå, skal lage på Sensibo, MyQ og Verisure senere. |
Personlig synes jeg dette var kjekk info å få med i brannmur loggen min.
Ping log in Cortex XDR
Hvis du har Cortex XDR Pro pr TB så kan du laste ned XDR VM Broker, den tar i mot syslog og sender videre til din Cortex XDR plattform.
Med en liten IPs.ini fil som IP-liste, en ping_and_send_to_syslog.cmd og en Send-Udp.ps1 fil så kan en lett lage egen syslog.
Jeg starter bare .cmd filen som da går i en loop og pinger alle IP`er i ini filen.
Loggen går til en Cortex XDR widget slik at jeg har full logg på de enhetene jeg ønsker det på.
Loggen går til en Cortex XDR widget slik at jeg har full logg på de enhetene jeg ønsker det på.
Edit: la på en liten linje til i scriptet, slik at en får med CPU, Minne, HDD og Fan.
Photo on computer login
Er du en som liker å ha kontroll på egne pcer?
Hva med å ta en bilde av den som logger på pcen din?
Satt opp som en test på min pc, alt du trenger er et program som kan ta bilde via et bat script.
Åpne Task Scheduler og legg inn at den starter TakePhotoOnLogin.bat hver gang den trigger "At log on" eller "on workstation unlocked" så får du deg et fint fotoalbum.
Om en ønsker så kan en helt sikkert få lagt inn at bildet blir sendt til deg selv på mail.
Jeg har to kamera tilkoblet akuratt nå så jeg la inn begge.
P.S. I dette tilfelle diskuterer vi ikke personvern.... det tar vi en annen dag.
Social Media Awareness
Privacy Settings:
Regularly review and adjust your privacy settings on social media platforms to control who can see your posts and personal information.
Be Selective:
Be mindful of the information you share publicly. Avoid sharing sensitive personal details like your home address, phone number, or financial information.
Think Before You Share:
Before posting, consider the potential implications of your content. Once something is online, it's difficult to completely remove it.
Avoid Oversharing:
Be cautious about sharing too much information about your daily routines, vacations, or personal events. This information could be exploited by malicious individuals.
Beware of Friend Requests:
Only accept friend or connection requests from people you know and trust. Cybercriminals may create fake profiles to gather information.
Use Strong Passwords:
Ensure your social media accounts are protected with strong, unique passwords. Enable two-factor authentication for an added layer of security.
Be Cautious with Links:
Don't click on suspicious links or download files from unknown sources, even if they're shared by a friend. These could lead to malware or phishing attempts.
Verify Before Sharing News:
Before sharing news articles or information, verify their credibility to avoid spreading false information.
Geolocation:
Be cautious when sharing your location. Avoid revealing your exact whereabouts unless necessary.
Check App Permissions:
Review the permissions you've granted to apps connected to your social media accounts. Remove unnecessary or suspicious apps.
Review Tags and Mentions:
Regularly review posts in which you've been tagged or mentioned. Remove any that you're uncomfortable with.
Beware of Verification Code Requests:
Never share verification codes received via SMS or other methods. Scammers may try to trick you into revealing these codes.
Avoid Responding to Unsolicited Messages:
If you receive unsolicited messages asking for personal information or offering deals that seem too good to be true, exercise caution.
Verify Account Information:
If a friend's account suddenly requests money or sensitive information, verify their identity through a different communication channel before taking any action.
Identifying a Compromised PC
Unusual Behavior:
Should your computer display unusual behavior, like unexpected pop-ups, frequent crashes, or slower performance, it might be compromised.
Unauthorized Software:
If you notice unfamiliar programs or software running on your computer that you did not install, it could be a sign of compromise.
Browser Changes:
Check your browser for unexpected changes, such as a new homepage, search engine, or unfamiliar toolbar. These alterations may indicate a security breach.
Disabled Security Software:
If your antivirus or security software has been turned off without your knowledge, it's a red flag.
Unexplained System Crashes:
Frequent crashes or sudden system shutdowns might be caused by malicious software.
Suspicious Email Activity:
If you notice your email account sending out emails you didn't compose, it could indicate unauthorized access.
Changes in File Access:
If you suddenly cannot access files or folders you previously could, it may be due to unauthorized changes.
Unwanted Browser Changes:
If your web browser frequently redirects you to unfamiliar or malicious websites, it could be a sign of malware.
Excessive Pop-ups:
A sudden influx of pop-up advertisements, especially those containing dubious offers, is a potential indicator of compromise.
New User Accounts:
If you find new user accounts on your computer that you didn't create, it could be evidence of unauthorized access.
Recognizing Phishing Attempts
Verify Sender:
Carefully examine sender email addresses to ensure authenticity. Cybercriminals often use similar addresses to deceive us.
Exercise Caution with Links:
Before clicking on any links, hover over them to reveal the true URL. Be cautious of links requesting personal information.
Question Urgent Requests:
Be skeptical of emails demanding immediate action or generating a sense of urgency. Cybercriminals often exploit urgency to prompt hasty decisions.
Attachments from Unknown Senders:
Refrain from opening attachments sent by unfamiliar sources, as they may contain malicious content.
Familiarize Yourself with Fake Websites:
Cybercriminals may create fake websites that resemble legitimate ones. Always verify the website's URL before entering any personal information.
Spelling and Grammar Mistakes:
Be wary of emails with multiple spelling or grammatical errors. Legitimate organizations usually maintain professional communication standards.
Generic Signatures:
Look out for emails with generic signatures lacking specific names, titles, or contact information.
Unusual Sender Email Addresses:
Be cautious if the sender's email address seems unusual or unrelated to the organization.
Mismatched URLs:
Verify that the URLs in emails match the official domain of the organization. Cybercriminals often use slightly altered URLs.
Requests for Personal Information:
Be cautious of emails asking for sensitive information, even if they appear to be from trusted sources. Legitimate organizations rarely request sensitive data via email.
Abonner på:
Innlegg (Atom)