Нягледзячы на ўсе перавагі міжсеткавых экранаў Palo Alto Networks, у рунэце не так шмат матэрыялаў па наладзе гэтых прылад, а таксама тэкстаў, якія апісваюць досвед іх укаранення. Мы вырашылі абагульніць матэрыялы, назапашаныя ў нас за час працы з абсталяваннем гэтага вендара і расказаць пра асаблівасці, з якімі сутыкнуліся падчас рэалізацыі розных праектаў.
Для знаёмства з Palo Alto Networks у гэтым артыкуле будуць разгледжаны наладкі, неабходныя для вырашэння адной з самых распаўсюджаных задач міжсеткавага экранавання, – SSL VPN для выдаленага доступу. Таксама мы пагаворым аб дапаможных функцыях для агульнай наладкі міжсеткавага экрана, ідэнтыфікацыі карыстальнікаў, прыкладанняў і палітык бяспекі. Калі тэма зацікавіць чытачоў, у далейшым мы выпусцім матэрыялы з разборам Site-to-Site VPN, дынамічнай маршрутызацыі і цэнтралізаванага кіравання з дапамогай Panorama.
Міжсеткавыя экраны Palo Alto Networks выкарыстоўваюць шэраг інавацыйных тэхналогій, у тым ліку App-ID, User-ID, Content-ID. Ужыванне гэтага функцыяналу дазваляе забяспечыць высокі ўзровень бяспекі. Напрыклад, з дапамогай App-ID магчыма ідэнтыфікаваць трафік прыкладанняў на падставе сігнатур, дэкадаванні і эўрыстыкі, па-за залежнасцю ад выкарыстоўванага порта і пратаколу, у тым ліку ўсярэдзіне SSL-тунэля. User-ID дазваляе ідэнтыфікаваць карыстальнікаў сеткі праз інтэграцыю з LDAP. Content-ID дае магчымасць сканаваць трафік і ідэнтыфікаваць перадаюцца файлы і іх змесціва. Сярод іншых функцый міжсеткавых экранаў можна вылучыць абарону ад уварванняў, абарону ад уразлівасцяў і DoS-нападаў, убудаваны анты-шпіён, URL-фільтраванне, кластарызацыю, цэнтралізаванае кіраванне.
Для дэманстрацыі мы будзем выкарыстоўваць ізаляваны стэнд, з канфігурацыяй, ідэнтычнай рэальнай, за выключэннем імёнаў прылад, імя дамена AD і IP-адрасоў. У рэальнасці ўсё складаней - філіялаў можа быць шмат. На межах цэнтральных пляцовак у такім выпадку замест аднаго міжсеткавага экрана будзе ўсталяваны кластар, таксама можа запатрабавацца дынамічная маршрутызацыя.
На стэндзе выкарыстоўваецца PAN-OS 7.1.9. У якасці тыпавой канфігурацыі разгледзім сетку з міжсеткавым экранам Palo Alto Networks на мяжы. Міжсеткавы экран падае выдалены доступ SSL VPN да галаўнога офіса. У якасці базы дадзеных карыстачоў будзе выкарыстоўвацца дамен Active Directory (малюнак 1).
Малюнак 1 – Структурная схема сеткі
Этапы наладкі:
- Пераналадка прылады. Заданне імя, IP-адрасы кіравання, статычных маршрутаў, уліковых запісаў адміністратараў, профіляў кіравання
- Устаноўка ліцэнзій, настройка і ўстаноўка абнаўленняў
- Настройка зон бяспекі, сеткавых інтэрфейсаў, палітыкі трафіку, трансляцыі адрасоў
- Настройка профілю аўтэнтыфікацыі LDAP і функцыі User Identification
- Настройка SSL VPN
1. Перадналадка
Асноўнай прыладай налады міжсеткавага экрана Palo Alto Networks з'яўляецца вэб-інтэрфейс, магчыма таксама кіраванне праз CLI. Па змаўчанні ў management-інтэрфейсу зададзены IP-адрас 192.168.1.1/24, login: admin, password: admin.
Змяніць адрас можна альбо падлучыўшыся да вэб-інтэрфейсу з той жа сеткі, альбо з дапамогай каманды set deviceconfig system ip-address <> netmask <>. Яна выконваецца ў рэжыме канфігуравання. Для пераключэння ў рэжым канфігуравання выкарыстоўваецца каманда канфігураваць. Усе змены на міжсеткавым экране адбываюцца толькі пасля пацверджання настроек камандай здзейсніць, як у рэжыме каманднага радка, так і ў вэб-інтэрфейсе.
Для змены налад у вэб-інтэрфейсе выкарыстоўваецца раздзел Device -> General Settings і Device -> Management Interface Settings. Імя, банеры, гадзінны пояс і іншыя настройкі можна задаць у раздзеле General Settings (мал. 2).
Малюнак 2 – Параметры інтэрфейсу кіравання
У выпадку, калі ўжываецца віртуальны міжсеткавы экран у асяроддзі ESXi, у падзеле General Settings трэба ўключыць выкарыстанне MAC-адраса, прызначанага гіпервізарам, альбо наладзіць на гіпервізоры MAC-адрасы, зададзеныя на інтэрфейсах міжсеткавага экрана, альбо змяніць налады віртуальных камутатараў на дазвол змен MAC- адрасоў. У адваротным выпадку, трафік праходзіць не будзе.
Інтэрфейс кіравання наладжваецца асобна і не адлюстроўваецца ў спісе сеткавых інтэрфейсаў. У раздзеле Management Interface Settings паказваецца шлюз па змаўчанні для інтэрфейсу кіравання. Іншыя статычныя маршруты настройваюцца ў раздзеле віртуальных маршрутызатараў, пра гэта будзе напісана далей.
Для дазволу доступу да прылады праз іншыя інтэрфейсы неабходна стварыць профіль кіравання Management Profile у раздзеле Network -> Network Profiles -> Interface Mgmt і прызначыць яго на адпаведны інтэрфейс.
Далей, неабходна наладзіць DNS і NTP у раздзеле Device -> Services для атрымання абнаўленняў і карэктнага адлюстравання часу (мал. 3). Па змаўчанні ўвесь трафік, створаны міжсеткавым экранам, выкарыстоўвае ў якасці IP-адрасы крыніцы IP-адрас інтэрфейсу кіравання. Прызначыць іншы інтэрфейс для кожнай канкрэтнай службы можна ў раздзеле Service Route Configuration.
Малюнак 3 – Параметры службаў DNS, NTP і сістэмных маршрутаў
2. Устаноўка ліцэнзій, настройка і ўстаноўка абнаўленняў
Для паўнавартаснай працы ўсіх функцый міжсеткавага экрана неабходна ўсталяваць ліцэнзію. Можна выкарыстоўваць трыяльную ліцэнзію, запытаўшы яе ў партнёраў Palo Alto Networks. Тэрмін яе дзеяння - 30 дзён. Актывуецца ліцэнзія ці праз файл, ці з дапамогай Auth-Code. Наладжваюцца ліцэнзіі ў раздзеле Device -> Licenses (Мал. 4).
Пасля ўсталёўкі ліцэнзіі неабходна наладзіць усталёўку абнаўленняў у падзеле Device -> Dynamic Updates.
У раздзеле Device -> Software можна спампаваць і ўсталяваць новыя версіі PAN-OS.
Малюнак 4 – Панэль кіравання ліцэнзіямі
3. Настройка зон бяспекі, сеткавых інтэрфейсаў, палітыкі трафіку, трансляцыі адрасоў
Міжсеткавыя экраны Palo Alto Networks ужываюць логіку зон пры наладзе сеткавых правіл. Сеткавыя інтэрфейсы прызначаюцца на пэўную зону, і яна выкарыстоўваецца ў правілах трафіку. Такі падыход дазваляе ў будучыні пры змене налад інтэрфейсаў не мяняць правілы трафіку, а замест гэтага перапрызначыць патрэбныя інтэрфейсы ў адпаведныя зоны. Па змаўчанні, трафік унутры зоны дазволены, трафік паміж зонамі забаронены, за гэта адказваюць прадусталяваныя правілы intrazone-default и interzone-default.
Малюнак 5 – Зоны бяспекі
У дадзеным прыкладзе інтэрфейс ва ўнутранай сетцы прызначаны ў зону ўнутраны, а інтэрфейс, накіраваны ў Інтэрнэт, прызначаны ў зону знешні. Для SSL VPN створаны тунэльны інтэрфейс, прызначаны ў зону VPN (Мал. 5).
Сеткавыя інтэрфейсы міжсеткавага экрана Palo Alto Networks могуць працаваць у пяці розных рэжымах:
- Кран - выкарыстоўваецца для збору трафіку з мэтай маніторынгу і аналізу
- HA - выкарыстоўваецца для працы кластара
- Virtual Wire – у гэтым рэжыме Palo Alto Networks аб'ядноўвае два інтэрфейсы і празрыста прапускае трафік паміж імі, не змяняючы MAC і IP-адрасы
- Layer2 - рэжым камутатара
- Layer3 – рэжым маршрутызатара
Малюнак 6 – Настройка рэжыму працы інтэрфейсу
У дадзеным прыкладзе будзе выкарыстаны рэжым Layer3 (мал. 6). У параметрах сеткавага інтэрфейсу паказваецца IP-адрас, рэжым працы і адпаведная зона бяспекі. Акрамя рэжыму працы інтэрфейсу неабходна прызначыць яго ў віртуальны маршрутызатар Virtual Router, гэта аналог VRF інстанса ў Palo Alto Networks. Віртуальныя маршрутызатары ізаляваныя сябар ад сябра і маюць свае табліцы маршрутызацыі і налады сеткавых пратаколаў.
У настройках віртуальнага маршрутызатара ўказваюцца статычныя маршруты і настройкі пратаколаў маршрутызацыі. У дадзеным прыкладзе створаны толькі маршрут па змаўчанні для доступу ў знешнія сеткі (мал. 7).
Малюнак 7 – Настройка віртуальнага маршрутызатара
Наступны этап наладкі – палітыкі трафіку, раздзел Policies -> Security. Прыклад налады паказаны на малюнку 8. Логіка працы правілаў такая ж, як ва ўсіх міжсеткавых экранаў. Правілы правяраюцца зверху ўніз, да першага супадзення. Кароткае апісанне правіл:
1. SSL VPN Access у Web Portal. Дазваляе доступ да вэб-партала для аўтэнтыфікацыі выдаленых падлучэнняў
2. VPN traffic - дазвол трафіку паміж выдаленымі падлучэннямі і галаўным офісам
3. Basic Internet - дазвол прыкладанняў dns, ping, traceroute, ntp. Міжсеткавы экран дазваляе прыкладанні на аснове сігнатур, дэкадаванні і эўрыстыкі, а не нумароў портаў і пратаколаў, таму ў падзеле Service паказана application-default. Порт/пратакол па змаўчанні для дадзенага прыкладання
4. Web Access - дазвол доступу ў інтэрнэт па пратаколах HTTP і HTTPS без кантролю прыкладанняў
5,6. Правілы па змаўчанні для астатняга трафіку.
Малюнак 8 - Прыклад наладкі сеткавых правілаў
Для настройкі NAT выкарыстоўваецца раздзел Policies -> NAT. Прыклад настройкі NAT паказаны на малюнку 9.
Малюнак 9 – Прыклад наладкі NAT
Для любога трафіку з internal у external можна змяніць адрас крыніцы на вонкавы IP-адрас міжсеткавага экрана і выкарыстаць дынамічны адрас порта (PAT).
4. Настройка профілю аўтэнтыфікацыі LDAP і функцыі User Identification
Перад падлучэннем карыстачоў праз SSL-VPN неабходна наладзіць механізм аўтэнтыфікацыі. У дадзеным прыкладзе аўтэнтыфікацыя будзе адбывацца на кантролеры дамена Active Directory праз вэб-інтэрфейс Palo Alto Networks.
Малюнак 10 – LDAP профіль
Для таго, каб аўтэнтыфікацыя працавала, трэба наладзіць LDAP Profile и Authentication Profile. У раздзеле Device -> Server Profiles -> LDAP (мал. 10) трэба пазначыць IP-адрас і порт кантролера дамена, тып LDAP і ўліковы запіс карыстальніка, які ўваходзіць у групы Аператары сервера, Event Log Readers, Distributed COM Users. Затым у раздзеле Device -> Authentication Profile ствараем профіль аўтэнтыфікацыі (мал. 11), адзначаем раней створаны LDAP Profile і ва ўкладцы Advanced паказваем групу карыстальнікаў (мал. 12), якім дазволены выдалены доступ. Важна адзначыць у профілі параметр User Domain, інакш аўтарызацыя на аснове груп не будзе працаваць. У полі павінна быць указана NetBIOS імя дамена.
Малюнак 11 – Профіль аўтэнтыфікацыі
Малюнак 12 – Выбар групы AD
Наступны этап - настройка Device -> User Identification. Тут трэба паказаць IP-адрас кантролера дамена, уліковыя дадзеныя для падлучэння, а таксама наладзіць параметры Enable Security Log, Enable Session, Enable Probing (мал. 13). У раздзеле Адлюстраванне груп (мал. 14) трэба адзначыць параметры ідэнтыфікацыі аб'ектаў у LDAP і спіс груп, якія будуць выкарыстоўвацца для аўтарызацыі. Таксама як у Authentication Profile, тут трэба задаць параметр User Domain.
Малюнак 13 – Параметры User Mapping
Малюнак 14 – Параметры Group Mapping
Апошнім крокам на гэтым этапе будзе стварэнне VPN-зоны і інтэрфейсу для гэтай зоны. На інтэрфейсе трэба ўключыць параметр Enable User Identification (Мал. 15).
Малюнак 15 – Настройка VPN-зоны
5. Настройка SSL VPN
Перад падключэннем SSL VPN, выдалены карыстач павінен зайсці на вэб-партал, прайсці аўтэнтыфікацыю і спампаваць кліент Global Protect. Далей, гэты кліент запытае ўліковыя дадзеныя і падключыць да карпаратыўнай сеткі. Вэб-партал працуе ў рэжыме https і, адпаведна, неабходна ўсталяваць для яго сэртыфікат. Выкарыстоўвайце публічны сертыфікат, калі ёсць такая магчымасць. Тады карыстачу не будзе выдадзена папярэджанне аб неваліднасці сертыфіката на сайце. Калі няма магчымасці выкарыстоўваць публічны сертыфікат, тады неабходна выпусціць уласны, які будзе прымяняцца на вэб-старонцы для https. Ён можа быць самападпісным ці выпушчаным праз лакальны цэнтр сертыфікацыі. Выдалены кампутар павінен мець каранёвы або самападпісны сертыфікат у спісе давераных каранёвых цэнтраў, каб карыстачу не выдавалася памылка пры падлучэнні да вэба-партала. У дадзеным прыкладзе будзе скарыстаны сертыфікат, выпушчаны праз цэнтр сертыфікацыі Active Directory Certificate Services.
Для выпуску сертыфіката трэба стварыць запыт на сертыфікат у раздзеле Device -> Certificate Management -> Certificates -> Generate. У запыце паказваем імя сертыфіката і IP-адрас або FQDN вэб-партала (мал. 16). Пасля генерацыі запыту спампоўваем .csr файл і які капіюецца яго змесціва ў поле запыту сертыфіката ў вэб-форму AD CS Web Enrollment. У залежнасці ад налады цэнтра сертыфікацыі, запыт на сертыфікат трэба адобрыць і спампаваць выпушчаны сертыфікат у фармаце Base64 Encoded Certificate. Дадаткова трэба спампаваць каранёвы сертыфікат цэнтра сертыфікацыі. Затым трэба імпартаваць абодва сертыфікаты на міжсеткавы экран. Пры імпарце сертыфіката для вэба-партала неабходна вылучыць запыт у статуце pending і націснуць import. Імя сертыфіката павінна супадаць з імем, указаным раней у запыце. Імя каранёвага сертыфіката можна пазначыць адвольна. Пасля імпарту сертыфіката неабходна стварыць SSL/TLS Service Profile у раздзеле Device -> Certificate Management. У профілі паказваем раней імпартаваны сертыфікат.
Малюнак 16 – Запыт на сертыфікат
Наступны крок - настройка аб'ектаў Global Protect Gateway и Global Protect Portal у раздзеле Network -> Global Protect. У наладах Global Protect Gateway паказваем знешні IP-адрас міжсеткавага экрана, а таксама раней створаныя SSL Profile, Authentication Profile, тунэльны інтэрфейс і IP-наладкі кліента. Трэба задаць пул IP-адрасоў, з якога будзе прызначаны адрас кліенту, і Access Route - гэта падсеткі, да якіх будзе маршрут у кліента. Калі стаіць задача загарнуць увесь трафік карыстальніка праз міжсеткавы экран, тое трэба паказаць падсетку 0.0.0.0/0 (мал. 17).
Малюнак 17 – Настройка пула IP адрасоў і маршрутаў
Затым неабходна наладзіць Global Protect Portal. Паказваем IP-адрас міжсеткавага экрана, SSL Profile и Authentication Profile і спіс вонкавых IP-адрасоў міжсеткавых экранаў, да якіх будзе падлучацца кліент. Калі міжсеткавых экранаў некалькі, можна выставіць для кожнага прыярытэт, у адпаведнасці з якім карыстачы будуць выбіраць міжсеткавы экран для падлучэння.
У раздзеле Device -> GlobalProtect Client трэба спампаваць дыстрыбутыў VPN-кліента з сервераў Palo Alto Networks і актываваць яго. Для падлучэння карыстач павінен зайсці на вэб-старонку партала, дзе яму будзе прапанавана спампаваць GlobalProtect Client. Пасля загрузкі і ўстаноўкі можна будзе ўвесці свае ўліковыя дадзеныя і падлучыцца да карпаратыўнай сеткі па SSL VPN.
Заключэнне
На гэтым частка наладкі Palo Alto Networks скончана. Спадзяемся, інфармацыя была карыснай, і чытач атрымаў уяўленне аб тэхналогіях, якія выкарыстоўваюцца ў Palo Alto Networks. Калі ў вас ёсць пытанні па наладзе і пажаданні па тэмах будучых артыкулаў - пішыце іх у каментарах, будзем рады адказаць.
Крыніца: habr.com