Malgrat tots els avantatges dels tallafocs de Palo Alto Networks, a RuNet no hi ha gaire material sobre la configuració d'aquests dispositius, així com textos que descriguin l'experiència de la seva implementació. Vam decidir resumir els materials que hem acumulat durant el nostre treball amb l'equip d'aquest proveïdor i parlar de les característiques que vam trobar durant la implementació de diversos projectes.
Per presentar-vos a Palo Alto Networks, aquest article analitzarà la configuració necessària per resoldre un dels problemes de tallafocs més habituals: VPN SSL per a accés remot. També parlarem de les funcions d'utilitat per a la configuració general del tallafoc, la identificació d'usuaris, les aplicacions i les polítiques de seguretat. Si el tema interessa als lectors, en el futur publicarem materials per analitzar VPN Site-to-Site, enrutament dinàmic i gestió centralitzada mitjançant Panorama.
Els tallafocs de Palo Alto Networks utilitzen una sèrie de tecnologies innovadores, com ara App-ID, User-ID i Content-ID. L'ús d'aquesta funcionalitat permet garantir un alt nivell de seguretat. Per exemple, amb App-ID és possible identificar el trànsit d'aplicacions a partir de signatures, descodificació i heurística, independentment del port i protocol utilitzat, inclòs dins d'un túnel SSL. User-ID us permet identificar els usuaris de la xarxa mitjançant la integració LDAP. Content-ID permet escanejar el trànsit i identificar els fitxers transmesos i el seu contingut. Altres funcions del tallafoc inclouen protecció contra intrusions, protecció contra vulnerabilitats i atacs DoS, programari espia integrat, filtratge d'URL, agrupació i gestió centralitzada.
Per a la demostració, utilitzarem un estand aïllat, amb una configuració idèntica a la real, a excepció dels noms de dispositius, nom de domini AD i adreces IP. En realitat, tot és més complicat: hi pot haver moltes branques. En aquest cas, en lloc d'un tallafoc únic, s'instal·larà un clúster als límits dels llocs centrals i també pot ser necessari un enrutament dinàmic.
S'utilitza a l'estand PAN-OS 7.1.9. Com a configuració típica, considereu una xarxa amb un tallafocs de Palo Alto Networks a la vora. El tallafoc proporciona accés VPN SSL remot a la seu central. El domini Active Directory s'utilitzarà com a base de dades d'usuaris (figura 1).
Figura 1 – Diagrama de blocs de la xarxa
Passos de configuració:
- Preconfiguració del dispositiu. Configuració del nom, adreça IP de gestió, rutes estàtiques, comptes d'administrador, perfils de gestió
- Instal·lació de llicències, configuració i instal·lació d'actualitzacions
- Configuració de zones de seguretat, interfícies de xarxa, polítiques de trànsit, traducció d'adreces
- Configuració d'un perfil d'autenticació LDAP i una funció d'identificació d'usuari
- Configuració d'una VPN SSL
1. Preestablert
L'eina principal per configurar el tallafoc de Palo Alto Networks és la interfície web; també és possible la gestió mitjançant la CLI. Per defecte, la interfície de gestió està configurada a l'adreça IP 192.168.1.1/24, inici de sessió: admin, contrasenya: admin.
Podeu canviar l'adreça connectant-vos a la interfície web des de la mateixa xarxa o utilitzant l'ordre establiu l'adreça IP del sistema de configuració del dispositiu <> màscara de xarxa <>. Es realitza en mode de configuració. Per canviar al mode de configuració, utilitzeu l'ordre configurar. Tots els canvis al tallafoc només es produeixen després que l'ordre confirmi la configuració cometre, tant en mode de línia d'ordres com a la interfície web.
Per canviar la configuració a la interfície web, utilitzeu la secció Dispositiu -> Configuració general i Dispositiu -> Configuració de la interfície de gestió. El nom, els bàners, la zona horària i altres paràmetres es poden configurar a la secció Configuració general (Fig. 2).
Figura 2 – Paràmetres de la interfície de gestió
Si utilitzeu un tallafoc virtual en un entorn ESXi, a la secció Paràmetres generals heu d'habilitar l'ús de l'adreça MAC assignada per l'hipervisor, o bé configurar les adreces MAC especificades a les interfícies del tallafoc de l'hipervisor, o bé canviar la configuració de els commutadors virtuals per permetre que les adreces MAC canviïn. En cas contrari, el trànsit no hi passarà.
La interfície de gestió es configura per separat i no es mostra a la llista d'interfícies de xarxa. En el capítol Configuració de la interfície de gestió especifica la passarel·la predeterminada per a la interfície de gestió. Altres rutes estàtiques es configuren a la secció d'encaminadors virtuals; això es comentarà més endavant.
Per permetre l'accés al dispositiu a través d'altres interfícies, heu de crear un perfil de gestió Perfil de gestió a la secció Xarxa -> Perfils de xarxa -> Gestió de la interfície i assigneu-lo a la interfície adequada.
A continuació, heu de configurar DNS i NTP a la secció Dispositiu -> Serveis per rebre actualitzacions i visualitzar l'hora correctament (Fig. 3). De manera predeterminada, tot el trànsit generat pel tallafoc utilitza l'adreça IP de la interfície de gestió com a adreça IP d'origen. Podeu assignar una interfície diferent per a cada servei específic a la secció Configuració de la ruta del servei.
Figura 3 – Paràmetres de servei de DNS, NTP i rutes del sistema
2. Instal·lació de llicències, configuració i instal·lació d'actualitzacions
Per al ple funcionament de totes les funcions del tallafoc, heu d'instal·lar una llicència. Podeu utilitzar una llicència de prova sol·licitant-la als socis de Palo Alto Networks. El seu període de validesa és de 30 dies. La llicència s'activa mitjançant un fitxer o mitjançant un codi d'autenticació. Les llicències es configuren a la secció Dispositiu -> Llicències (Fig 4).
Després d'instal·lar la llicència, cal configurar la instal·lació d'actualitzacions a la secció Dispositiu -> Actualitzacions dinàmiques.
A la secció Dispositiu -> Programari podeu descarregar i instal·lar noves versions de PAN-OS.
Figura 4 – Tauler de control de llicències
3. Configuració de zones de seguretat, interfícies de xarxa, polítiques de trànsit, traducció d'adreces
Els tallafocs de Palo Alto Networks utilitzen la lògica de zona quan configuren les regles de xarxa. Les interfícies de xarxa s'assignen a una zona específica i aquesta zona s'utilitza a les regles de trànsit. Aquest enfocament permet en el futur, quan es canvia la configuració de la interfície, no canviar les normes de trànsit, sinó reassignar les interfícies necessàries a les zones adequades. Per defecte, el trànsit dins d'una zona està permès, el trànsit entre zones està prohibit, les regles predefinides són responsables d'això intrazona-per defecte и interzona per defecte.
Figura 5 – Zones de seguretat
En aquest exemple, s'assigna una interfície a la xarxa interna a la zona intern, i la interfície orientada a Internet s'assigna a la zona extern. Per a VPN SSL, s'ha creat una interfície de túnel i s'ha assignat a la zona vpn (Fig 5).
Les interfícies de xarxa del tallafoc de Palo Alto Networks poden funcionar en cinc modes diferents:
- Aprofitar – S'utilitza per recollir trànsit amb finalitats de seguiment i anàlisi
- HA - S'utilitza per a l'operació de clúster
- Fil virtual – en aquest mode, Palo Alto Networks combina dues interfícies i passa el trànsit de manera transparent entre elles sense canviar les adreces MAC i IP
- Layer2 -mode de canvi
- Layer3 - Mode d'encaminador
Figura 6 – Configuració del mode de funcionament de la interfície
En aquest exemple, s'utilitzarà el mode Layer3 (Fig. 6). Els paràmetres de la interfície de xarxa indiquen l'adreça IP, el mode de funcionament i la zona de seguretat corresponent. A més del mode de funcionament de la interfície, l'has d'assignar al router virtual de l'encaminador virtual, aquest és un anàleg d'una instància VRF a Palo Alto Networks. Els encaminadors virtuals estan aïllats els uns dels altres i tenen les seves pròpies taules d'encaminament i paràmetres de protocol de xarxa.
La configuració de l'encaminador virtual especifique les rutes estàtiques i la configuració del protocol d'encaminament. En aquest exemple, només s'ha creat una ruta per defecte per accedir a xarxes externes (Fig. 7).
Figura 7 - Configuració d'un encaminador virtual
La següent etapa de configuració és la secció de polítiques de trànsit Polítiques -> Seguretat. A la figura 8 es mostra un exemple de configuració. La lògica de les regles és la mateixa que per a tots els tallafocs. Les regles es revisen de dalt a baix, fins al primer partit. Breu descripció de les regles:
1. Accés VPN SSL al portal web. Permet l'accés al portal web per autenticar connexions remotes
2. Trànsit VPN: permet el trànsit entre connexions remotes i la seu central
3. Internet bàsica: permet aplicacions dns, ping, traceroute i ntp. El tallafoc permet aplicacions basades en signatures, descodificació i heurístiques en lloc de números de ports i protocols, per això la secció Servei diu aplicació per defecte. Port/protocol per defecte per a aquesta aplicació
4. Accés web: permet l'accés a Internet mitjançant protocols HTTP i HTTPS sense control de l'aplicació
5,6. Regles predeterminades per a altres trànsits.
Figura 8 — Exemple de configuració de regles de xarxa
Per configurar NAT, utilitzeu la secció Polítiques -> NAT. A la figura 9 es mostra un exemple de configuració de NAT.
Figura 9 – Exemple de configuració de NAT
Per a qualsevol trànsit d'intern a extern, podeu canviar l'adreça d'origen a l'adreça IP externa del tallafoc i utilitzar una adreça de port dinàmica (PAT).
4. Configuració del perfil d'autenticació LDAP i la funció d'identificació d'usuari
Abans de connectar usuaris mitjançant SSL-VPN, heu de configurar un mecanisme d'autenticació. En aquest exemple, l'autenticació es produirà al controlador de domini Active Directory mitjançant la interfície web de Palo Alto Networks.
Figura 10 – Perfil LDAP
Perquè l'autenticació funcioni, cal configurar Perfil LDAP и Perfil d'autenticació... A la secció Dispositiu -> Perfils de servidor -> LDAP (Fig. 10) cal especificar l'adreça IP i el port del controlador de domini, el tipus LDAP i el compte d'usuari inclòs als grups Operadors de servidors, Lectors de registre d'esdeveniments, Usuaris COM distribuïts. Després a la secció Dispositiu -> Perfil d'autenticació creeu un perfil d'autenticació (Fig. 11), marqueu el creat anteriorment Perfil LDAP i a la pestanya Avançat indiquem el grup d'usuaris (Fig. 12) als quals es permet l'accés remot. És important tenir en compte el paràmetre al vostre perfil Domini d'usuari, en cas contrari, l'autorització basada en grup no funcionarà. El camp ha d'indicar el nom de domini NetBIOS.
Figura 11 – Perfil d'autenticació
Figura 12 – Selecció del grup AD
La següent etapa és la configuració Dispositiu -> Identificació d'usuari. Aquí heu d'especificar l'adreça IP del controlador de domini, les credencials de connexió i també configurar la configuració Activa el registre de seguretat, Activa la sessió, Activa el sondeig (Fig. 13). En el capítol Mapes de grups (Fig. 14) cal tenir en compte els paràmetres per identificar objectes a LDAP i la llista de grups que s'utilitzaran per a l'autorització. Igual que al perfil d'autenticació, aquí heu de configurar el paràmetre del domini d'usuari.
Figura 13 – Paràmetres de mapatge d'usuari
Figura 14 – Paràmetres de mapatge de grups
L'últim pas d'aquesta fase és crear una zona VPN i una interfície per a aquesta zona. Heu d'habilitar l'opció a la interfície Activa la identificació d'usuari (Fig 15).
Figura 15 - Configuració d'una zona VPN
5. Configuració de VPN SSL
Abans de connectar-se a una VPN SSL, l'usuari remot ha d'anar al portal web, autenticar-se i descarregar el client Global Protect. A continuació, aquest client sol·licitarà credencials i es connectarà a la xarxa corporativa. El portal web funciona en mode https i, en conseqüència, cal instal·lar-hi un certificat. Utilitzeu un certificat públic si és possible. Aleshores, l'usuari no rebrà cap avís sobre la invalidesa del certificat al lloc. Si no és possible utilitzar un certificat públic, haureu d'emetre el vostre propi, que s'utilitzarà a la pàgina web per https. Pot ser autosignat o emès a través d'una autoritat de certificació local. L'ordinador remot ha de tenir un certificat arrel o autofirmat a la llista d'autoritats arrel de confiança perquè l'usuari no rebi cap error en connectar-se al portal web. Aquest exemple utilitzarà un certificat emès mitjançant els serveis de certificats d'Active Directory.
Per emetre un certificat, heu de crear una sol·licitud de certificat a la secció Dispositiu -> Gestió de certificats -> Certificats -> Generar. A la sol·licitud indiquem el nom del certificat i l'adreça IP o FQDN del portal web (Fig. 16). Després de generar la sol·licitud, descarregueu-lo .csr fitxer i copieu-ne el contingut al camp de sol·licitud de certificat del formulari web d'inscripció web AD CS. Segons com estigui configurada l'autoritat de certificació, la sol·licitud de certificat s'ha d'aprovar i el certificat emès s'ha de descarregar en el format Certificat codificat Base64. A més, heu de descarregar el certificat arrel de l'autoritat de certificació. Aleshores, heu d'importar els dos certificats al tallafoc. Quan importeu un certificat per a un portal web, heu de seleccionar la sol·licitud a l'estat pendent i fer clic a importar. El nom del certificat ha de coincidir amb el nom especificat anteriorment a la sol·licitud. El nom del certificat arrel es pot especificar arbitràriament. Després d'importar el certificat, cal crear-lo Perfil de servei SSL/TLS a la secció Dispositiu -> Gestió de certificats. Al perfil indiquem el certificat prèviament importat.
Figura 16 – Sol·licitud de certificat
El següent pas és configurar els objectes Global Protect Gateway и Portal de protecció global a la secció Xarxa -> Protecció global. A la configuració Global Protect Gateway indica l'adreça IP externa del tallafoc, així com la creada prèviament Perfil SSL, Perfil d'autenticació, interfície del túnel i configuració d'IP del client. Heu d'especificar un conjunt d'adreces IP des del qual s'assignarà l'adreça al client i la ruta d'accés: aquestes són les subxarxes a les quals el client tindrà una ruta. Si la tasca és embolicar tot el trànsit d'usuari a través d'un tallafoc, cal que especifiqueu la subxarxa 0.0.0.0/0 (Fig. 17).
Figura 17 – Configuració d'un conjunt d'adreces IP i rutes
Aleshores cal configurar Portal de protecció global. Especifiqueu l'adreça IP del tallafoc, Perfil SSL и Perfil d'autenticació i una llista d'adreces IP externes dels tallafocs als quals es connectarà el client. Si hi ha diversos tallafocs, podeu establir una prioritat per a cadascun, segons la qual els usuaris triaran un tallafoc al qual connectar-se.
A la secció Dispositiu -> Client GlobalProtect heu de descarregar la distribució del client VPN dels servidors de Palo Alto Networks i activar-la. Per connectar-se, l'usuari ha d'anar a la pàgina web del portal, on se li demanarà que la descarregui Client GlobalProtect. Un cop descarregat i instal·lat, podeu introduir les vostres credencials i connectar-vos a la vostra xarxa corporativa mitjançant VPN SSL.
Conclusió
Això completa la part de la configuració de Palo Alto Networks. Esperem que la informació hagi estat útil i que el lector entengui les tecnologies utilitzades a Palo Alto Networks. Si teniu preguntes sobre la configuració i suggeriments sobre temes per a futurs articles, escriviu-les als comentaris, estarem encantats de respondre.
Font: www.habr.com