🥇Функции за настройка на Palo Alto Networks: SSL VPN

Въпреки всички предимства на защитните стени на Palo Alto Networks, в RuNet няма толкова много материали за конфигуриране на тези устройства, както и текстове, описващи опита от тяхното внедряване. Решихме да обобщим материалите, които натрупахме, докато работихме с оборудването на този доставчик, и да говорим за характеристиките, които срещнахме по време на изпълнението на различни проекти.

За въведение в Palo Alto Networks, тази статия ще разгледа настройките, необходими за решаване на една от най-често срещаните задачи на защитната стена, SSL VPN за отдалечен достъп. Ще говорим и за помощни функции за обща конфигурация на защитната стена, потребителска идентификация, приложения и политики за сигурност. Ако темата представлява интерес за читателите, в бъдеще ще пуснем материали с анализ на Site-to-Site VPN, динамично маршрутизиране и централизирано управление с помощта на Panorama.

Защитните стени на Palo Alto Networks използват редица иновативни технологии, включително App-ID, User-ID, Content-ID. Използването на тази функционалност ви позволява да осигурите високо ниво на сигурност. Например с помощта на App-ID е възможно да се идентифицира трафикът на приложението въз основа на подписи, декодиране и евристика, независимо от използвания порт и протокол, включително вътре в SSL тунел. User-ID ви позволява да идентифицирате мрежови потребители чрез интеграция с LDAP. Content-ID прави възможно сканирането на трафика и идентифицирането на прехвърлените файлове и тяхното съдържание. Други функции на защитната стена включват защита срещу проникване, защита срещу уязвимости и DoS атаки, вграден антишпионски софтуер, филтриране на URL адреси, клъстериране и централизирано управление.

За демонстрацията ще използваме изолиран щанд, с конфигурация, идентична на реалната, с изключение на имената на устройствата, AD домейн името и IP адресите. В действителност всичко е по-сложно - може да има много клонове. В този случай, вместо една защитна стена, ще бъде инсталиран клъстер на границите на централните сайтове и може да се наложи и динамично маршрутизиране.

Стойката използва PAN-OS 7.1.9. Като типична конфигурация помислете за мрежа със защитна стена на Palo Alto Networks на ръба. Защитната стена осигурява отдалечен SSL VPN достъп до главния офис. Домейнът на Active Directory ще се използва като потребителска база данни (Фигура 1).

Фигура 1 - Структурна схема на мрежата

Стъпки за настройка:

Предварителна настройка на устройството. Име на настройка, IP адрес за управление, Статични маршрути, Администраторски акаунти, Профили за управление
Инсталиране на лицензи, конфигуриране и инсталиране на актуализации
Настройка на зони за сигурност, мрежови интерфейси, политика за трафик, превод на адреси
Конфигуриране на LDAP профил за удостоверяване и идентификация на потребителя
Конфигуриране на SSL VPN

1. Предварителна настройка

Основният инструмент за конфигуриране на защитната стена на Palo Alto Networks е уеб интерфейс, като е възможно и управление чрез CLI. По подразбиране интерфейсът за управление има IP адрес 192.168.1.1/24, вход: admin, парола: admin.

Можете да промените адреса или като се свържете към уеб интерфейса от същата мрежа, или като използвате командата задайте системен ip-адрес на deviceconfig <> мрежова маска <>. Работи в режим на конфигурация. За да превключите в режим на конфигуриране, използвайте командата конфигурирате. Всички промени в защитната стена се извършват само след като настройките са потвърдени от командата ангажират, както в режим на команден ред, така и в уеб интерфейса.

За да промените настройките в уеб интерфейса, използвайте секцията Устройство -> Общи настройки и Устройство -> Настройки на интерфейса за управление. Името, банерите, часовата зона и други настройки могат да бъдат зададени в секцията Общи настройки (фиг. 2).

Фигура 2 - Параметри на контролния интерфейс

Ако се използва виртуална защитна стена в ESXi среда, в секцията Общи настройки трябва да разрешите използването на MAC адреса, зададен от хипервайзора, или да конфигурирате MAC адресите на хипервайзора, посочени в интерфейсите на защитната стена, или да промените настройките на виртуални комутатори, за да се позволи промяна на MAC адресите. В противен случай трафикът няма да премине.

Интерфейсът за управление се конфигурира отделно и не се показва в списъка с мрежови интерфейси. В глава Настройки на интерфейса за управление указва шлюза по подразбиране за интерфейса за управление. Други статични маршрути са конфигурирани в секцията за виртуални рутери, която ще бъде обсъдена по-късно.

За да позволите достъп до устройството през други интерфейси, трябва да създадете профил за управление Профил на управление раздел Мрежа -> Мрежови профили -> Управление на интерфейс и го присвоете на подходящия интерфейс.

След това трябва да конфигурирате DNS и NTP в секцията Устройство -> Услуги за да получавате актуализации и да показвате правилно часа (фиг. 3). По подразбиране целият трафик, генериран от защитната стена, използва IP адреса на интерфейса за управление като свой източник IP адрес. Можете да зададете различен интерфейс за всяка конкретна услуга в раздела Конфигурация на сервизен маршрут.

Фигура 3 - Параметри на DNS, NTP услуги и системни маршрути

2. Инсталиране на лицензи, настройка и инсталиране на актуализации

За пълното функциониране на всички функции на защитната стена трябва да инсталирате лиценз. Можете да използвате пробен лиценз, като го поискате от партньорите на Palo Alto Networks. Срокът му на валидност е 30 дни. Лицензът се активира или чрез файл, или с помощта на Auth-Code. Лицензите се конфигурират в секцията Устройство -> Лицензи (Фиг. 4).
След като инсталирате лиценза, трябва да конфигурирате инсталирането на актуализации в секцията Устройство -> Динамични актуализации.
В раздел Устройство -> Софтуер можете да изтеглите и инсталирате нови версии на PAN-OS.

Фигура 4 - Контролен панел за лиценз

3. Настройка на зони за сигурност, мрежови интерфейси, политика за трафик, превод на адреси

Защитните стени на Palo Alto Networks използват зонова логика, когато конфигурират мрежови правила. Мрежовите интерфейси се присвояват на конкретна зона и тя се използва в правилата за движение. Този подход позволява в бъдеще, когато променяте настройките на интерфейса, да не променяте правилата за движение, а вместо това да пренасочвате необходимите интерфейси към съответните зони. По подразбиране трафикът в рамките на зоната е разрешен, трафикът между зоните е забранен, предварително определени правила са отговорни за това интразона по подразбиране и междузоново по подразбиране.

Фигура 5 - Зони за сигурност

В този пример интерфейсът на вътрешната мрежа е присвоен на зоната вътрешен, а интерфейсът, насочен към Интернет, се присвоява на зоната външен. Създаден е тунелен интерфейс за SSL VPN и е присвоен на зоната VPN (Фиг. 5).

Мрежовите интерфейси на защитната стена на Palo Alto Networks могат да работят в пет различни режима:

Кран – използва се за събиране на трафик с цел наблюдение и анализ
HA - използва се за клъстерна работа
виртуален проводник - в този режим Palo Alto Networks комбинира два интерфейса и прозрачно предава трафика между тях, без да променя MAC и IP адресите
Layer2 – режим на превключване
Layer3 – режим на рутер

Фигура 6 - Настройка на режима на работа на интерфейса

В този пример ще се използва режимът Layer3 (фиг. 6). Параметрите на мрежовия интерфейс определят IP адреса, режима на работа и съответната зона за сигурност. В допълнение към режима на работа на интерфейса, трябва да го зададете на виртуалния рутер Virtual Router, това е аналог на VRF екземпляра в Palo Alto Networks. Виртуалните рутери са изолирани един от друг и имат свои собствени таблици за маршрутизиране и настройки на мрежовия протокол.

Настройките на виртуалния рутер определят статични маршрути и настройки на протокола за маршрутизиране. В този пример е създаден само маршрутът по подразбиране за достъп до външни мрежи (Фигура 7).

Фигура 7 - Конфигуриране на виртуален рутер

Следващата стъпка за конфигуриране е правила за трафик, раздел Политики -> Сигурност. Пример за настройка е показан на фигура 8. Логиката на правилата е същата като за всички защитни стени. Правилата се проверяват отгоре надолу, до първия мач. Кратко описание на правилата:

1. SSL VPN достъп до уеб портал. Позволява достъп до уеб портала за удостоверяване на отдалечени връзки
2. VPN трафик - разрешаване на трафик между отдалечени връзки и централата
3. Основен Интернет - позволяващ dns, ping, traceroute, ntp приложения. Защитната стена позволява приложения, базирани на подписи, декодиране и евристика, а не на номера на портове и протоколи, поради което в раздела за услуги се казва, че приложението е по подразбиране. Порт/протокол по подразбиране за това приложение
4. Уеб достъп - позволява достъп до Интернет чрез HTTP и HTTPS протоколи без контрол на приложението
5,6. Правила по подразбиране за друг трафик.

Фигура 8 — Пример за конфигуриране на мрежови правила

За да конфигурирате NAT, използвайте секцията Политики -> NAT. Пример за настройка на NAT е показан на фигура 9.

Фигура 9 - Пример за настройка на NAT

За всеки трафик от вътрешен към външен можете да промените адреса на източника на външния IP адрес на защитната стена и да използвате динамичен адрес на порт (PAT).

4. Конфигуриране на LDAP профил за удостоверяване и функция за идентификация на потребителя
Преди да свържете потребители чрез SSL-VPN, трябва да настроите механизъм за удостоверяване. В този пример удостоверяването ще се извърши на домейн контролера на Active Directory чрез уеб интерфейса на Palo Alto Networks.

Фигура 10 - LDAP профил

За да работи удостоверяването, трябва да конфигурирате LDAP профил и Профил за удостоверяване, В раздела Устройство -> Профили на сървъра -> LDAP (фиг. 10) трябва да посочите IP адреса и порта на домейн контролера, типа LDAP и потребителския акаунт, включен в групите Сървърни оператори, Четци на регистър на събития, Разпределени COM потребители. След това в секцията Устройство -> Профил за удостоверяване създайте профил за удостоверяване (фиг. 11), маркирайте създадения преди това LDAP профил и в раздела Разширени посочете групата потребители (фиг. 12), на които е разрешен отдалечен достъп. Важно е да се отбележи параметърът в профила Потребителски домейн, в противен случай авторизацията на базата на група няма да работи. Полето трябва да съдържа името на домейна NetBIOS.

Фигура 11 - Профил за удостоверяване

Фигура 12 - Избор на AD група

Следващата стъпка е настройката Устройство -> Идентификация на потребителя. Тук трябва да посочите IP адреса на домейн контролера, идентификационните данни за връзката и да конфигурирате настройките Активиране на регистъра за сигурност, Активиране на сесията, Активиране на сондирането (фиг. 13). В глава Групово картографиране (Фиг. 14) трябва да отбележите параметрите за идентифициране на обекти в LDAP и списъка с групи, които ще се използват за оторизация. Точно както в профила за удостоверяване, тук трябва да зададете параметъра потребителски домейн.

Фигура 13 - Параметри за съпоставяне на потребителя

Фигура 14 - Параметри за групово картографиране

Последната стъпка в тази стъпка е да създадете VPN зона и интерфейс за тази зона. В интерфейса трябва да активирате параметъра Активиране на идентификацията на потребителя (Фиг. 15).

Фигура 15 - Настройка на VPN зона

5. Настройте SSL VPN

Преди да свърже SSL VPN, отдалеченият потребител трябва да отиде на уеб портала, да се удостовери и да изтегли клиента Global Protect. След това този клиент ще поиска идентификационни данни и ще се свърже с корпоративната мрежа. Уеб порталът работи в https режим и съответно трябва да инсталирате сертификат за него. Използвайте публичен сертификат, ако е възможно. Тогава потребителят няма да получи предупреждение за невалидността на сертификата на сайта. Ако не е възможно да използвате публичен сертификат, тогава трябва да издадете свой собствен, който ще се използва на уеб страницата за https. Може да бъде самоподписан или издаден чрез местен CA. Отдалеченият компютър трябва да има основен или самоподписан сертификат в списъка с доверени основни центрове, така че потребителят да не получава грешка при свързване към уеб портала. Този пример ще използва сертификат, издаден чрез CA за услуги за сертификати на Active Directory.

За да издадете сертификат, трябва да създадете заявка за сертификат в секцията Устройство -> Управление на сертификати -> Сертификати -> Генериране. В заявката посочете името на сертификата и IP адреса или FQDN на уеб портала (фиг. 16). След като генерирате заявката, изтеглете .csr файл и копирайте съдържанието му в полето за заявка за сертификат в уеб формуляра за уеб записване на AD CS. В зависимост от настройката на сертифициращия орган, заявката за сертификат трябва да бъде одобрена и издаденият сертификат трябва да бъде изтеглен във формат Base64 кодиран сертификат. Освен това трябва да изтеглите основния сертификат на сертифициращия орган. След това трябва да импортирате двата сертификата в защитната стена. Когато импортирате сертификат за уеб портала, изберете заявката в чакащ статус и щракнете върху импортиране. Името на сертификата трябва да съвпада с името, посочено по-рано в заявката. Можете произволно да посочите името на главния сертификат. След като импортирате сертификата, трябва да създадете SSL/TLS профил на услугата раздел Устройство -> Управление на сертификати. Посочете предварително импортирания сертификат в профила.

Фигура 16 - Заявка за сертификат

Следващата стъпка е настройка на обекти Global Protect Gateway и Глобален портал за защита раздел Мрежа -> Глобална защита. В настройките Global Protect Gateway посочете външния IP адрес на защитната стена, както и създадения преди това SSL профил, Профил за удостоверяване, тунелен интерфейс и клиентски IP настройки. Трябва да зададете набор от IP адреси, от които ще се присвоява адресът на клиента, а Access Route са подмрежите, към които клиентът ще има маршрут. Ако задачата е да обвиете целия потребителски трафик през защитната стена, тогава трябва да посочите подмрежата 0.0.0.0/0 (фиг. 17).

Фигура 17 - Настройка на набор от IP адреси и маршрути

След това трябва да настроите Глобален портал за защита. Посочете IP адреса на защитната стена, SSL профил и Профил за удостоверяване и списък с външни IP адреси на защитна стена, към които клиентът ще се свърже. Ако има няколко защитни стени, можете да зададете приоритет за всяка, според който потребителите ще изберат защитна стена, към която да се свържат.

В раздел Устройство -> Клиент GlobalProtect трябва да изтеглите комплекта за разпространение на VPN клиента от сървърите на Palo Alto Networks и да го активирате. За да се свърже, потребителят трябва да отиде на уеб страницата на портала, където ще бъде подканен да изтегли GlobalProtect клиент. След като изтеглите и инсталирате, ще можете да въведете своите идентификационни данни и да се свържете с корпоративната мрежа чрез SSL VPN.

Заключение

Това завършва частта за настройка на Palo Alto Networks. Надяваме се, че информацията е била полезна и читателят е получил представа за технологиите, използвани в Palo Alto Networks. Ако имате въпроси относно настройката и желания по темите на бъдещи статии - напишете ги в коментарите, ще се радваме да отговорим.

Източник: www.habr.com

Характеристики за настройка на Palo Alto Networks: SSL VPN

1. Предварителна настройка

2. Инсталиране на лицензи, настройка и инсталиране на актуализации

3. Настройка на зони за сигурност, мрежови интерфейси, политика за трафик, превод на адреси

5. Настройте SSL VPN

Заключение

Добавяне на нов коментар

Характеристики за настройка на Palo Alto Networks: SSL VPN

1. Предварителна настройка

2. Инсталиране на лицензи, настройка и инсталиране на актуализации

3. Настройка на зони за сигурност, мрежови интерфейси, политика за трафик, превод на адреси

5. Настройте SSL VPN

Заключение

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар