Uprkos svim prednostima zaštitnih zidova Palo Alto Networks, na internetu nema mnogo materijala o konfiguraciji ovih uređaja, kao ni tekstova koji opisuju iskustvo njihove implementacije. Odlučili smo da sumiramo materijale koje smo akumulirali radeći sa opremom ovog dobavljača i pričamo o karakteristikama sa kojima smo se susreli tokom realizacije različitih projekata.
Za uvod u Palo Alto Networks, ovaj članak će pogledati postavke potrebne za rješavanje jednog od najčešćih zadataka vatrozida, SSL VPN za daljinski pristup. Također ćemo govoriti o pomoćnim funkcijama za opću konfiguraciju zaštitnog zida, identifikaciju korisnika, aplikacije i sigurnosne politike. Ako je tema interesantna čitateljima, u budućnosti ćemo objaviti materijale s analizom Site-to-Site VPN-a, dinamičkog rutiranja i centraliziranog upravljanja pomoću Panorame.
Zaštitni zidovi Palo Alto Networks koriste brojne inovativne tehnologije, uključujući App-ID, User-ID, Content-ID. Upotreba ove funkcionalnosti omogućava vam da pružite visok nivo sigurnosti. Na primjer, korištenjem App-ID-a moguće je identificirati promet aplikacije na osnovu potpisa, dekodiranja i heuristike, bez obzira na korišteni port i protokol, uključujući unutar SSL tunela. User-ID vam omogućava da identifikujete korisnike mreže kroz integraciju sa LDAP-om. Content-ID omogućava skeniranje prometa i identifikaciju prenesenih datoteka i njihovog sadržaja. Ostale karakteristike firewall-a uključuju zaštitu od upada, zaštitu od ranjivosti i DoS napada, ugrađeni anti-špijunski softver, URL filtriranje, grupisanje i centralizirano upravljanje.
Za demonstraciju ćemo koristiti izolovano postolje, sa konfiguracijom identičnom stvarnom, osim naziva uređaja, imena AD domena i IP adresa. U stvarnosti, sve je komplikovanije - može biti mnogo grana. U ovom slučaju, umjesto jednog firewall-a, klaster će biti instaliran na granicama centralnih lokacija, a može biti potrebno i dinamičko rutiranje.
Stalak koristi PAN-OS 7.1.9. Kao tipičnu konfiguraciju, uzmite u obzir mrežu sa zaštitnim zidom Palo Alto Networks na rubu. Firewall omogućava udaljeni SSL VPN pristup glavnoj kancelariji. Domena Active Directory će se koristiti kao korisnička baza podataka (slika 1).
Slika 1 - Blok dijagram mreže
Koraci postavljanja:
- Preset uređaja. Naziv podešavanja, IP adresa upravljanja, statičke rute, administratorski nalozi, profili upravljanja
- Instaliranje licenci, konfigurisanje i instaliranje ažuriranja
- Konfigurisanje sigurnosnih zona, mrežnih interfejsa, saobraćajnih politika, prevođenja adresa
- Konfiguriranje LDAP profila autentikacije i funkcije identifikacije korisnika
- Postavljanje SSL VPN-a
1. Preset
Glavni alat za konfiguraciju zaštitnog zida Palo Alto Networks je web interfejs; moguće je i upravljanje preko CLI-a. Podrazumevano, interfejs za upravljanje je postavljen na IP adresu 192.168.1.1/24, prijava: admin, lozinka: admin.
Adresu možete promijeniti bilo povezivanjem na web sučelje iz iste mreže ili korištenjem naredbe postaviti deviceconfig sistemsku ip-adresu <> mrežnu masku <>. Izvodi se u konfiguracijskom modu. Za prebacivanje u konfiguracijski način koristite naredbu konfiguriše. Sve promjene na firewall-u se dešavaju tek nakon što su postavke potvrđene naredbom počiniti, kako u načinu komandne linije tako i u web interfejsu.
Za promjenu postavki u web sučelju koristite odjeljak Uređaj -> Opće postavke i Uređaj -> Postavke sučelja upravljanja. Naziv, baneri, vremenska zona i druga podešavanja se mogu podesiti u odeljku Opšta podešavanja (slika 2).
Slika 2 – Parametri upravljačkog interfejsa
Ako se virtuelni firewall koristi u ESXi okruženju, u odjeljku Opće postavke morate omogućiti korištenje MAC adrese koju je dodijelio hipervizor, ili konfigurirati MAC adrese na hipervizoru specificiranom na sučeljima zaštitnog zida, ili promijeniti postavke virtuelnih prekidača da omogući MAC promjenu adresa. U suprotnom, saobraćaj neće proći.
Upravljački interfejs se konfiguriše zasebno i ne prikazuje se na listi mrežnih interfejsa. U poglavlju Postavke interfejsa za upravljanje specificira podrazumevani gateway za interfejs za upravljanje. Ostale statičke rute su konfigurisane u odjeljku virtualnih rutera, o čemu će biti riječi kasnije.
Da biste dozvolili pristup uređaju preko drugih interfejsa, morate kreirati profil upravljanja Profil menadžmenta U poglavlju Mreža -> Mrežni profili -> Upravljanje sučeljem i dodijelite ga odgovarajućem interfejsu.
Zatim morate konfigurirati DNS i NTP u odjeljku Uređaj -> Usluge da primate ažuriranja i tačno prikazujete vreme (slika 3). Podrazumevano, sav saobraćaj koji generiše zaštitni zid koristi IP adresu interfejsa za upravljanje kao svoju izvornu IP adresu. Možete dodeliti različit interfejs za svaku određenu uslugu u odjeljku Konfiguracija servisne rute.
Slika 3 – Parametri DNS, NTP servisa i sistemskih ruta
2. Instaliranje licenci, podešavanje i instaliranje ažuriranja
Za potpuni rad svih funkcija zaštitnog zida morate instalirati licencu. Možete koristiti probnu licencu tako što ćete je zatražiti od partnera Palo Alto Networks. Rok važenja je 30 dana. Licenca se aktivira ili putem datoteke ili koristeći Auth-Code. Licence su konfigurisane u odjeljku Uređaj -> Licence (slika 4).
Nakon instaliranja licence, morate konfigurirati instalaciju ažuriranja u odjeljku Uređaj -> Dinamička ažuriranja.
odjeljak Uređaj -> Softver možete preuzeti i instalirati nove verzije PAN-OS-a.
Slika 4 - Kontrolna tabla licence
3. Konfigurisanje sigurnosnih zona, mrežnih interfejsa, saobraćajnih politika, prevođenja adresa
Vatrozidi Palo Alto Networks koriste zonsku logiku kada konfigurišu mrežna pravila. Mrežni interfejsi su dodeljeni određenoj zoni, a ova zona se koristi u saobraćajnim pravilima. Ovakav pristup omogućava da se ubuduće, pri promeni podešavanja interfejsa, ne menjaju saobraćajna pravila, već da se potrebni interfejsi ponovo dodele odgovarajućim zonama. Podrazumevano, saobraćaj unutar zone je dozvoljen, saobraćaj između zona je zabranjen, za to su odgovorna unapred definisana pravila intrazone-default и interzone-default.
Slika 5 - Sigurnosne zone
U ovom primjeru, sučelje na internoj mreži je dodijeljeno zoni interni, a zoni je dodijeljen interfejs usmjeren na Internet vanjski. Za SSL VPN, tunelski interfejs je kreiran i dodeljen zoni Vpn (slika 5).
Mrežni interfejs zaštitnog zida Palo Alto Networks može raditi u pet različitih načina:
- Dodirnite – koristi se za prikupljanje saobraćaja u svrhu praćenja i analize
- HA – koristi se za rad klastera
- virtuelna žica – u ovom režimu, Palo Alto Networks kombinuje dva interfejsa i transparentno propušta saobraćaj između njih bez promene MAC i IP adresa
- Sloj2 – prebacivanje načina rada
- Sloj3 – način rada rutera
Slika 6 - Podešavanje načina rada interfejsa
U ovom primeru će se koristiti Layer3 mod (slika 6). Parametri mrežnog interfejsa ukazuju na IP adresu, način rada i odgovarajuću sigurnosnu zonu. Pored načina rada sučelja, morate ga dodijeliti virtuelnom ruteru Virtual Router, ovo je analog VRF instance u Palo Alto Networks. Virtuelni ruteri su izolovani jedan od drugog i imaju svoje tabele rutiranja i postavke mrežnog protokola.
Postavke virtuelnog rutera određuju statičke rute i postavke protokola usmjeravanja. U ovom primjeru kreirana je samo zadana ruta za pristup vanjskim mrežama (slika 7).
Slika 7 – Podešavanje virtuelnog rutera
Sljedeći korak konfiguracije su prometne politike, odjeljak Politika -> Sigurnost. Primer podešavanja je prikazan na slici 8. Logika pravila je ista kao i za sve firewall. Pravila se provjeravaju od vrha do dna, do prve utakmice. Kratak opis pravila:
1. SSL VPN pristup web portalu. Omogućava pristup web portalu radi provjere autentičnosti udaljenih veza
2. VPN promet – omogućava promet između udaljenih veza i sjedišta
3. Osnovni Internet – omogućava dns, ping, traceroute, ntp aplikacije. Vatrozid dozvoljava aplikacije zasnovane na potpisima, dekodiranju i heuristici, a ne na brojevima portova i protokolima, zbog čega u odeljku Servis stoji aplikacija-default. Zadani port/protokol za ovu aplikaciju
4. Web pristup - omogućava pristup Internetu preko HTTP i HTTPS protokola bez kontrole aplikacije
5,6. Zadana pravila za drugi promet.
Slika 8 — Primjer postavljanja mrežnih pravila
Da biste konfigurirali NAT, koristite odjeljak Pravila -> NAT. Primjer postavljanja NAT-a prikazan je na slici 9.
Slika 9 – Primjer NAT konfiguracije
Za bilo koji promet od internog ka eksternom, možete promijeniti izvornu adresu u vanjsku IP adresu zaštitnog zida i koristiti adresu dinamičkog porta (PAT).
4. Konfiguriranje LDAP profila autentikacije i funkcije identifikacije korisnika
Prije povezivanja korisnika putem SSL-VPN-a, potrebno je postaviti mehanizam provjere autentičnosti. U ovom primjeru, autentifikacija će se dogoditi na Active Directory domenskom kontroleru preko web sučelja Palo Alto Networks.
Slika 10 - LDAP profil
Da bi autentifikacija funkcionirala, potrebno je konfigurirati LDAP profil и Authentication Profile. U odjeljku Uređaj -> Profili servera -> LDAP (Slika 10) potrebno je da navedete IP adresu i port kontrolera domene, LDAP tip i korisnički nalog uključen u grupe Operatori servera, Čitači dnevnika događaja, Distribuirani COM korisnici. Zatim u sekciji Uređaj -> Profil za autentifikaciju kreirajte profil za autentifikaciju (slika 11), označite prethodno kreirani LDAP profil a na kartici Napredno navedite grupu korisnika (slika 12) kojima je dozvoljen daljinski pristup. Važno je napomenuti parametar u profilu Korisnička domena, inače autorizacija zasnovana na grupi neće raditi. Polje mora sadržavati NetBIOS ime domene.
Slika 11 - Profil autentifikacije
Slika 12 – Izbor AD grupe
Sljedeća faza je postavljanje Uređaj -> Identifikacija korisnika. Ovdje morate navesti IP adresu kontrolera domene, vjerodajnice za vezu, te također konfigurirati postavke Omogućite sigurnosni dnevnik, Omogući sesiju, Enable Probing (Sl. 13). U poglavlju Grupno mapiranje (Sl. 14) potrebno je zabilježiti parametre za identifikaciju objekata u LDAP-u i listu grupa koje će se koristiti za autorizaciju. Kao iu Profilu za autentifikaciju, ovdje trebate podesiti parametar Korisničke domene.
Slika 13 - Parametri mapiranja korisnika
Slika 14 - Parametri grupnog mapiranja
Posljednji korak u ovom koraku je kreiranje VPN zone i sučelja za ovu zonu. Na interfejsu morate omogućiti parametar Omogućite identifikaciju korisnika (slika 15).
Slika 15 – Postavljanje VPN zone
5. Postavite SSL VPN
Prije povezivanja SSL VPN-a, udaljeni korisnik mora otići na web portal, autentifikovati i preuzeti Global Protect klijent. Zatim će ovaj klijent tražiti vjerodajnice i povezati se na korporativnu mrežu. Web portal radi u https modu i shodno tome morate instalirati certifikat za njega. Koristite javni certifikat ako je moguće. Tada korisnik neće dobiti upozorenje o nevažećim certifikatom na web stranici. Ako nije moguće koristiti javni certifikat, onda morate izdati vlastiti, koji će se koristiti na web stranici za https. Može biti samopotpisana ili izdana preko lokalnog CA. Udaljeni računar mora imati root ili samopotpisani certifikat na listi pouzdanih root centara kako korisnik ne bi dobio grešku prilikom povezivanja na web portal. Ovaj primjer će koristiti certifikat izdat preko CA servisa certifikata Active Directory.
Da biste izdali certifikat, potrebno je da kreirate zahtjev za certifikat u odjeljku Uređaj -> Upravljanje certifikatima -> Certifikati -> Generiraj. U zahtjevu navodimo naziv certifikata i IP adresu ili FQDN web portala (Sl. 16). Nakon generiranja zahtjeva, preuzmite .csr datoteku i kopirajte njen sadržaj u polje zahtjeva za certifikat u web obrascu za upis na AD CS. Ovisno o tome kako je konfigurirano certifikacijsko tijelo, zahtjev za certifikatom mora biti odobren i izdani certifikat mora biti preuzet u formatu Base64 kodirani certifikat. Dodatno, morate preuzeti korijenski certifikat certifikacijskog tijela. Zatim morate uvesti oba certifikata u zaštitni zid. Prilikom uvoza certifikata za web portal, odaberite zahtjev u statusu na čekanju i kliknite import. Ime certifikata mora odgovarati imenu koje je ranije navedeno u zahtjevu. Možete proizvoljno odrediti ime korijenskog certifikata. Nakon uvoza certifikata, potrebno je kreirati SSL/TLS profil usluge U poglavlju Uređaj -> Upravljanje certifikatima. U profilu označavamo prethodno uvezeni sertifikat.
Slika 16 - Zahtjev za certifikat
Sljedeći korak je postavljanje objekata Global Protect Gateway и Global Protect Portal U poglavlju Mreža -> Globalna zaštita... U podešavanjima Global Protect Gateway naznačiti eksternu IP adresu zaštitnog zida, kao i prethodno kreiranu SSL profil, Authentication Profile, tunelski interfejs i IP postavke klijenta. Morate navesti skup IP adresa sa kojih će adresa biti dodijeljena klijentu, a Pristupna ruta su podmreže do kojih će klijent imati rutu. Ako je zadatak da sav korisnički promet obavite kroz firewall, onda morate navesti podmrežu 0.0.0.0/0 (slika 17).
Slika 17 - Postavljanje skupa IP adresa i ruta
Zatim morate konfigurisati Global Protect Portal. Odredite IP adresu zaštitnog zida, SSL profil и Authentication Profile i listu IP adresa eksternog zaštitnog zida na koje će se klijent povezati. Ako postoji nekoliko zaštitnih zidova, možete postaviti prioritet za svaki, prema kojem će korisnici odabrati zaštitni zid na koji će se povezati.
odjeljak Uređaj -> GlobalProtect Client morate preuzeti distribuciju VPN klijenta sa servera Palo Alto Networks i aktivirati je. Za povezivanje, korisnik mora otići na web stranicu portala, gdje će biti zatraženo preuzimanje GlobalProtect Client. Nakon preuzimanja i instaliranja, moći ćete unijeti svoje vjerodajnice i povezati se na korporativnu mrežu putem SSL VPN-a.
zaključak
Ovim je završen dio podešavanja Palo Alto Networks. Nadamo se da su informacije bile korisne i da je čitatelj dobio ideju o tehnologijama koje se koriste u Palo Alto Networks. Ako imate pitanja o postavljanju i željama o temama budućih članaka - napišite ih u komentarima, rado ćemo vam odgovoriti.
izvor: www.habr.com