INFORME FIREWALL PALO ALTO

ENERO 2020

MUNICIPALIDAD DISTRITAL DE BELLAVISTA

ENERO 2020
ESTA INFORMACIÓN FUE PREPARADA ESPECIALMENTE PARA LA MUNICIPALIDAD DISTRITAL DE
BELLAVISTA. SU REPRODUCCIÓN Y DISTRIBUCIÓN ESTÁN PROHIBIDAS.

ESTA INFORMACIÓN O ALGUNA PARTE DE LA MISMA, NO PUEDE SER LIBERADA O REPRODUCIDA EN

CUALQUIER FORMA, SIN EL PERMISO DE LA PERSONA QUE LO ELABORO.

2020 – TODOS LOS DERECHOS RESERVADOS.

Tabla de contenido
1. Introducción............................................................................................................4
1.1. Objetivo........................................................................................................................4
1.2. Alcance.........................................................................................................................4
1.3. Audiencia.....................................................................................................................4
2. Información de los Equipos.....................................................................................3
3. Bloqueo de Actividades Maliciosas..........................................................................4
a.) Amenazas Bloqueadas por Aplicación.....................................................4
b.) Amenzas Bloqueadas........................................................................................5
c.) Actividad de Amenazas...................................................................................6
d.) Actividad de trafico...........................................................................................7
e.) Actividad IP origen............................................................................................8
4. Conclusiones...........................................................................................................9
1. Introducción
1.1. Objetivo

El presente documento tiene como objetivo detallar un informe de la revisión

técnica realizada durante el mes de Enero del presente año al Next
Generation Firewall - Palo Alto 820 en la Municipalidad Distrital de Bellavista
como para parte del servicio de seguridad gestionada.

1.2. Alcance

El alcance de este documento es el siguiente:

 Documentar el trafico y amenazas detectadas durante el mes de
Enero del 2020, correspondiente al firewall perimetral PA-820.

1.3. Audiencia
Este documento está destinado al personal de informatica de la
Municipalidad Distrital de Bellavista.
2. Información de los Equipos
A continuación, se muestran las imágenes del “Dashboard” donde se
aprecia la configuración inicial, donde se refleja que el estado del
firewall perimetral, IP de gestión, usos de recursos de hardware, entre
otros.
3. Bloque
o de Actividades Maliciosas

a.) Amenazas Bloqueadas por Aplicación

 DNS: El Sistema de nombres de dominio (DNS) almacena y asocia muchos tipos de

información con nombres de dominio, traduce los nombres de dominio (nombres de
host de la computadora) a direcciones IP, como la "guía telefónica" para Internet.
Traduce nombres de host de computadora legibles por humanos, p.
www.paloaltonetworks.com, en las direcciones IP que el equipo de red necesita para
entregar información. También almacena otra información, como la lista de servidores
de intercambio de correo que aceptan correo electrónico para un dominio determinado.

 Web-Browsing: La navegación web utiliza el Protocolo de transferencia de hipertexto

(HTTP), que es un método utilizado para transferir o transmitir información en la World
 Wide Web. Su propósito original era proporcionar una forma de publicar y recuperar
páginas HTML.

b.) Amenzas Bloqueadas

La regla con mayor cantidad de bloqueos es Suspicious DNS Query
(HackTool.autokms:zh.us.to), cual muestra un efectivo control sobre la navegación
sobre las terminales de la red interna de la Municipalidad Distrital de Bellavista, ya que
en dicha política se incluyen perfiles de seguridad granulares (Filtro Antivirus, Filtro
URL, Filtro Antispyware, Filtro de Protección de Vulnerabilidades, Filtro de Bloqueo de
Archivos, así como la verificacion de amenazas de archivos maliciosos).

 Suspicious DNS Query HackTool.autokms:zh.us.to): Esta firma DNS detecta una

consulta DNS al dominio 0. Palo Alto Networks ha observado que este dominio está
asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.
 Suspicious DNS Query (Virus.swisyn:skms.ddns.net): Esta firma DNS detecta una
consulta DNS al dominio 0. Palo Alto Networks ha observado que este dominio está
asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.
 Suspicious DNS Query (PWS.vb:3rss.vicp.net): Esta firma DNS detecta una consulta
DNS al dominio 3rss.vicp.net. Palo Alto Networks ha observado que este dominio está
 asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.
Como se puede observar el firewall Palo Alto está bloqueando las actividades maliciosas,
siendo “SPYWARE” el de mayor recurrencia. Las acciones para los spyware con severidad
medium, high y critical es de acción reset- both, con esta acción lo que hace es resetear las
sesiones que se inicien tanto en el cliente.

c.) Actividad de Amenazas

Dentro de las amenazas detectadas por el firewall del tipo Vulnerability, así como las
vulnerabilidades en la red de la Municipalidad Distrital de Bellavista se observan que:

 Suspicious DNS Query (HackTool.autokms:zh.us.to): Esta firma DNS detecta una

consulta DNS al dominio 0. Palo Alto Networks ha observado que este dominio está
asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.

 Suspicious DNS Query (Virus.swisyn:skms.ddns.net): Esta firma DNS detecta una

consulta DNS al dominio 0. Palo Alto Networks ha observado que este dominio está
asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.

 Suspicious DNS Query (PWS.vb:3rss.vicp.net): Esta firma DNS detecta una consulta
DNS al dominio 3rss.vicp.net. Palo Alto Networks ha observado que este dominio está
asociado con malware y actividad maliciosa. Si existen múltiples firmas de amenazas
de un solo host, esto puede indicar que el host está comprometido.

 Microsoft Office File with Macros Detected: Esta alerta indica que se detectó un
documento de Microsoft Office que contiene macros. El documento de Microsoft
Office que contiene Macro podría ser peligroso, ya que se trata esencialmente de
líneas de códigos que podrían ser portadores de malware.
Estas vulnerabilidades son notificadas por el firewall y bloqueadas describiendo en resumen
que existen brechas de seguridad que podrían ser explotadas por un atacante ejecutando
actividad maliciosa sobre páginas web que publica el cliente.

d.) Actividad de trafico

Se evidencia que las aplicaciones más usadas fueron:

 ms-update: Windows Update es un applet del Panel de control que se encuentra en

versiones recientes de Microsoft Windows que proporciona actualizaciones para el
sistema operativo y componentes relacionados, como las actualizaciones de definición
del producto antispyware de Windows Defender y las actualizaciones de filtro de
correo basura para Windows Mail.
 Quic: QUIC (Quick UDP Internet Connections, pronunciado rápido) es un protocolo de
red de capa de transporte experimental desarrollado por Google. QUIC admite un
conjunto de conexiones multiplexadas entre dos puntos finales a través del Protocolo
de datagramas de usuario (UDP), y fue diseñado para proporcionar una protección de
seguridad equivalente a TLS / SSL, junto con una conexión y latencia de transporte
reducidas, y una estimación del ancho de banda en cada dirección para evitar la
congestión. El objetivo principal de QUIC es optimizar las aplicaciones web orientadas
a la conexión que actualmente utilizan TCP.
 SSL: Transport Layer Security (TLS) and its predecessor, Secure Sockets Layer (SSL), are
cryptographic protocols which provide secure communications on the Internet for
such things as web browsing, e-mail, Internet faxing, instant messaging and other data
transfers.

e.) Actividad IP origen

A continuacion se muestran los usuarios top IP en consultas de descarga y subida en

las cuales figuran:
Muestra las diez principales direcciones IP o nombres de host de los dispositivos que han
iniciado actividad en la red. Todos los demás dispositivos se agregan y se muestran como
otros. Atributos de clasificación: bytes, sesiones, amenazas, contenido, URL .
4. Conclusiones

Los firewall perimetral Pa-820, se encuentra en correcto funcionamiento, las políticas de

seguridad cumple con los requerimientos necesarios para uso de las aplicaciones o servicios,
los perfiles de seguridad estas bloqueando las actividades maliciosas registradas por el
firewall, al tener la habilitado el threat prevention las vulnerabilidades “zero day” pueden ser
detectadas rápidamente, debido a que las vulnerabilidades desconocidas son enviadas a
wildfire para su respectivo análisis y veredicto, constantemente las firmas de virus,
vulnerabilidades, spyware son actualizadas cada 5 min.

Se visualiza en las amenazas bloqueadas que con mayor frecuencia de ataques son de tipo
Spyware, las cuales el firewall los bloquea.