Malgradu tutti i vantaghji di i firewalls di Palo Alto Networks, ùn ci hè micca assai materiale in RuNet nantu à a stallazione di sti dispusitivi, è ancu testi chì descrizanu l'esperienza di a so implementazione. Avemu decisu di riassume i materiali chì avemu accumulatu durante u nostru travagliu cù l'equipaggiu di u venditore è di parlà di e caratteristiche chì avemu scontru durante l'implementazione di diversi prughjetti.
Per presentà à Palo Alto Networks, stu articulu hà da circà à a cunfigurazione necessaria per risolve unu di i prublemi di firewall più cumuni - SSL VPN per l'accessu remoto. Parleremu ancu di e funzioni di utilità per a cunfigurazione generale di u firewall, l'identificazione di l'utilizatori, l'applicazioni è e pulitiche di sicurezza. Se u tema hè d'interessu per i lettori, in u futuru libereremu materiali chì analizzanu VPN Site-to-Site, routing dinamicu è gestione centralizzata cù Panorama.
I firewalls di Palo Alto Networks utilizanu una quantità di tecnulugia innovativa, cumprese App-ID, User-ID, Content-ID. L'usu di sta funziunalità vi permette di assicurà un altu livellu di sicurità. Per esempiu, cù l'App-ID hè pussibule identificà u trafficu di l'applicazioni basatu nantu à a firma, a decodificazione è l'euristica, indipendentemente da u portu è u protokollu utilizatu, ancu in un tunnel SSL. User-ID permette di identificà l'utilizatori di a rete attraversu l'integrazione LDAP. Content-ID permette di scansà u trafficu è identificà i fugliali trasmessi è u so cuntenutu. Altre funzioni di firewall includenu a prutezzione di l'intrusione, a prutezzione contra i vulnerabili è l'attacchi DoS, anti-spyware integratu, filtrazione di URL, clustering è gestione centralizzata.
Per a manifestazione, avemu aduprà un stand isolatu, cù una cunfigurazione identica à a vera, cù l'eccezzioni di i nomi di i dispositi, u nome di duminiu AD è l'indirizzi IP. In rialità, tuttu hè più cumplicatu - ci ponu esse assai rami. In questu casu, invece di un solu firewall, un cluster serà stallatu à e fruntiere di i siti cintrali, è u routing dinamicu pò ancu esse necessariu.
Adupratu nantu à u stand PAN-OS 7.1.9. Cum'è una cunfigurazione tipica, cunzidira una reta cun un firewall di Palo Alto Networks à u bordu. U firewall furnisce un accessu remoto SSL VPN à a sede centrale. U duminiu Active Directory serà utilizatu cum'è una basa di dati d'utilizatori (Figura 1).
Figura 1 - Schema di bloccu di a rete
Passi di stallazione:
- Pre-configurazione di u dispusitivu. Stabbilimentu di u nome, indirizzu IP di gestione, rotte statiche, cunti amministratore, profili di gestione
- Installazione di licenze, cunfigurazione è installazione di l'aghjurnamenti
- Configurazione di zoni di sicurità, interfacce di rete, pulitiche di trafficu, traduzzione di indirizzu
- Configurazione di un Profilu di Autentificazione LDAP è Funzione di Identificazione di l'Usuariu
- Configurazione di una VPN SSL
1. Preset
U strumentu principale per cunfigurà u firewall Palo Alto Networks hè l'interfaccia web; a gestione via CLI hè ancu pussibule. Per automaticamente, l'interfaccia di gestione hè impostata à l'indirizzu IP 192.168.1.1/24, login: admin, password: admin.
Pudete cambià l'indirizzu sia cunnessu à l'interfaccia web da a listessa reta, o usendu u cumandamentu set deviceconfig system ip-address <> netmask <>. Hè realizatu in modu di cunfigurazione. Per cambià à u modu di cunfigurazione, utilizate u cumandimu cunfigurà. Tutti i cambiamenti in u firewall sò solu dopu chì i paràmetri sò cunfirmati da u cumandamentu cumunicari, sia in modu di linea di cummanda sia in l'interfaccia web.
Per cambià i paràmetri in l'interfaccia web, utilizate a sezione Dispositivu -> Configurazione generale è Dispositivu -> Configurazione di l'interfaccia di gestione. U nome, banners, fusu orariu è altri paràmetri ponu esse stabiliti in a sezione General Settings (Fig. 2).
Figura 2 - Parametri di l'interfaccia di gestione
Se aduprate un firewall virtuale in un ambiente ESXi, in a sezione General Settings avete bisognu di attivà l'usu di l'indirizzu MAC assignatu da l'hypervisor, o cunfigurà l'indirizzi MAC specificati nantu à l'interfacce di firewall in l'hypervisor, o cambiate i paràmetri di i switch virtuali per permette MAC cambia l'indirizzi. Altrimenti, u trafficu ùn passerà.
L'interfaccia di gestione hè cunfigurata separatamente è ùn hè micca visualizata in a lista di l'interfacce di rete. In u capitulu Impostazioni di l'interfaccia di gestione specifica u gateway predeterminatu per l'interfaccia di gestione. Altre rotte statiche sò cunfigurate in a sezione di router virtuale; questu serà discututu dopu.
Per permette l'accessu à u dispusitivu attraversu altre interfacce, deve creà un prufilu di gestione Profilu di gestione rùbbrica Rete -> Profili di rete -> Gestione di l'interfaccia è assignà à l'interfaccia apprupriata.
Dopu, avete bisognu di cunfigurà DNS è NTP in a sezione Dispositivu -> Servizi per riceve l'aghjurnamenti è vede l'ora currettamente (Fig. 3). Per automaticamente, tuttu u trafficu generatu da u firewall usa l'indirizzu IP di l'interfaccia di gestione cum'è u so indirizzu IP fonte. Pudete assignà una interfaccia differente per ogni serviziu specificu in a sezione Configurazione di a Route di serviziu.
Figura 3 - DNS, NTP è i paràmetri di serviziu di u sistema
2. Stallà licenze, stallà è stallà aghjurnamenti
Per u funziunamentu cumpletu di tutte e funzioni di firewall, duvete installà una licenza. Pudete aduprà una licenza di prova dumandendu da i partenarii di Palo Alto Networks. U so periodu di validità hè di 30 ghjorni. A licenza hè attivata sia per mezu di un schedariu sia cù Auth-Code. Licenze sò cunfigurati in a sezione Dispositivu -> Licenze (fig. 4).
Dopu avè installatu a licenza, avete bisognu di cunfigurà a stallazione di l'aghjurnamenti in a sezione Dispositivu -> Actualizazioni Dinamiche.
rùbbrica Dispositivu -> Software pudete scaricà è installà e novi versioni di PAN-OS.
Figura 4 - Panel di cuntrollu di licenza
3. Configurazione di zoni di sicurità, interfacce di rete, pulitiche di trafficu, traduzzione di indirizzu
I firewalls di Palo Alto Networks utilizanu a logica di zona quandu cunfigurà e regule di a rete. L'interfacce di rete sò attribuite à una zona specifica, è questa zona hè aduprata in reguli di trafficu. Stu approcciu permette in u futuru, quandu cambia i paràmetri di l'interfaccia, per ùn cambià micca e regule di trafficu, ma invece di reassignà l'interfacce necessarii à e zoni appropritate. Per automaticamente, u trafficu in una zona hè permessu, u trafficu trà e zoni hè pruibitu, e regule predefinite sò rispunsevuli di questu intrazone-default и interzone-default.
Figura 5 - Zone di sicurità
In questu esempiu, una interfaccia nantu à a reta interna hè assignata à a zona internu, è l'interfaccia di fronte à Internet hè assignatu à a zona esterni. Per SSL VPN, una interfaccia di tunnel hè stata creata è assignata à a zona Vpn (fig. 5).
L'interfacce di rete di firewall di Palo Alto Networks ponu operare in cinque modi diffirenti:
- Tap - utilizatu per cullà u trafficu per u monitoraghju è l'analisi
- HA - utilizatu per l'operazione di cluster
- Filu virtuale - in questu modu, Palo Alto Networks combina duie interfacce è passa in modu trasparente u trafficu trà elli senza cambià l'indirizzi MAC è IP
- Strattu2 - cambià u modu
- Strattu3 - modu router
Figura 6 - Stabbilimentu di u modu di funziunamentu di l'interfaccia
In questu esempiu, u modu Layer3 serà utilizatu (Fig. 6). I paràmetri di l'interfaccia di a rete indicanu l'indirizzu IP, u modu operativu è a zona di sicurità currispundente. In più di u modu operativu di l'interfaccia, duvete assignà à u router virtuale Virtual Router, questu hè un analogu di una istanza VRF in Palo Alto Networks. I router virtuali sò isolati l'una di l'altru è anu e so propri tabelle di routing è paràmetri di protokollu di rete.
I paràmetri di u router virtuale specificanu rotte statiche è paràmetri di protokollu di routing. In questu esempiu, solu una strada predeterminata hè stata creata per accede à e rete esterne (Fig. 7).
Figura 7 - Configurazione di un router virtuale
U prossimu stadiu di cunfigurazione hè pulitiche di trafficu, sezione Politiche -> Sicurezza. Un esempiu di cunfigurazione hè mostratu in a Figura 8. A logica di e regule hè listessa per tutti i firewalls. I reguli sò verificati da cima à fondu, finu à u primu partitu. Breve descrizzione di e regule:
1. Accessu VPN SSL à Portal Web. Permette l'accessu à u portale web per autentificà e cunnessione remoti
2. Traffic VPN - chì permette u trafficu trà e cunnessione remoti è a sede
3. Internet Basic - chì permette dns, ping, traceroute, applicazioni ntp. U firewall permette l'applicazioni basate nantu à a firma, a decodificazione è l'euristiche piuttostu cà i numeri di portu è i protokolli, per quessa chì a sezione di serviziu dice applicazione-default. Port / protocolu predefinitu per questa applicazione
4. Accessu Web - chì permette l'accessu à Internet via protocols HTTP è HTTPS senza cuntrollu di l'applicazione
5,6. Reguli predeterminati per altri trafficu.
Figura 8 - Esempiu di stabilisce e regule di a rete
Per cunfigurà NAT, utilizate a sezione Politiche -> NAT. Un esempiu di cunfigurazione NAT hè mostratu in Figura 9.
Figura 9 - Esempiu di cunfigurazione NAT
Per ogni trafficu da l'internu à l'esterno, pudete cambià l'indirizzu fonte à l'indirizzu IP esternu di u firewall è utilizate un indirizzu portu dinamicu (PAT).
4. Configurazione di u Profilu d'Autentificazione LDAP è a Funzione di Identificazione di l'Usuariu
Prima di cunnette l'utilizatori via SSL-VPN, avete bisognu di cunfigurà un mecanismu di autentificazione. In questu esempiu, l'autenticazione accade à u cuntrollu di u duminiu Active Directory attraversu l'interfaccia web Palo Alto Networks.
Figura 10 - Profilu LDAP
Per l'autentificazione per travaglià, avete bisognu di cunfigurà Profilu LDAP и Profil d'autentificazione. In a sezione Dispositivu -> Profili di u servitore -> LDAP (Fig. 10) avete bisognu di specificà l'indirizzu IP è u portu di u cuntrollu di u duminiu, u tipu LDAP è u contu d'utilizatore inclusu in i gruppi. Operatori di u servitore, Lettori di log di eventi, Utenti COM distribuiti. Allora in a rùbbrica Dispositivu -> Profil d'autentificazione creà un prufilu d'autentificazione (Fig. 11), marcate u creatu prima Profilu LDAP è in a tabulazione Avanzata indichemu u gruppu d'utilizatori (Fig. 12) chì sò permessi l'accessu remoto. Hè impurtante di nutà u paràmetru in u vostru prufilu U duminiu di l'utilizatori, altrimenti l'autorizazione basatu in gruppu ùn funziona micca. U campu deve indicà u nome di duminiu NetBIOS.
Figura 11 - Profil d'autentificazione
Figura 12 - Selezzione di u gruppu AD
A tappa dopu hè a stallazione Dispositivu -> Identificazione di l'Usuariu. Quì avete bisognu di specificà l'indirizzu IP di u controller di duminiu, credenziali di cunnessione, è ancu cunfigurà i paràmetri Attivà u Log di Sicurezza, Habilita a sessione, Abilita Probing (Fig. 13). In u capitulu Mappatura di u gruppu (Fig. 14) avete bisognu di nutà i paràmetri per identificà l'uggetti in LDAP è a lista di gruppi chì seranu utilizati per l'autorizazione. Cum'è in u Profilu di Autentificazione, quì avete bisognu di stabilisce u paràmetru di u Dominiu di l'Usuariu.
Figura 13 - Parametri di Mappatura di l'Usuariu
Figura 14 - Parametri di Mapping Group
L'ultimu passu in questa fase hè di creà una zona VPN è una interfaccia per quella zona. Avete bisognu di attivà l'opzione nantu à l'interfaccia Habilita l'identificazione di l'utilizatori (fig. 15).
Figura 15 - Configurazione di una zona VPN
5. Stallà SSL VPN
Prima di cunnette à una VPN SSL, l'utilizatore remoto deve andà à u portale web, autentificà è scaricate u cliente Global Protect. Dopu, stu cliente dumandarà credenziali è cunnette à a reta corporativa. U portale web opera in modu https è, per quessa, avete bisognu di stallà un certificatu per questu. Aduprate un certificatu publicu se pussibule. Allora l'utilizatore ùn riceve micca un avvisu annantu à l'invalidità di u certificatu in u situ. Se ùn hè micca pussibule di utilizà un certificatu publicu, allora avete bisognu di issuà u vostru propiu, chì serà utilizatu in a pagina web per https. Pò esse autofirmatu o emessu attraversu una autorità di certificazione locale. L'urdinatore remotu deve avè un certificatu radice o autofirmatu in a lista di l'autorità radiche di fiducia per chì l'utilizatore ùn riceve micca un errore quandu si cunnetta à u portale web. Questu esempiu utilizerà un certificatu emessu attraversu i servizii di certificatu di Active Directory.
Per issuà un certificatu, avete bisognu di creà una dumanda di certificatu in a sezione Dispositivu -> Gestione di certificati -> Certificati -> Generate. In a dumanda indicà u nome di u certificatu è l'indirizzu IP o FQDN di u portale web (Fig. 16). Dopu avè generatu a dumanda, scaricate .csr file è copià u so cuntenutu in u campu di dumanda di certificatu in a forma web AD CS Web Enrollment. Sicondu cumu l'autorità di certificazione hè cunfigurata, a dumanda di certificatu deve esse appruvata è u certificatu emessu deve esse scaricatu in u formatu Certificatu Codificatu Base64. Inoltre, avete bisognu di scaricà u certificatu root di l'autorità di certificazione. Allora avete bisognu di impurtà i dui certificati in u firewall. Quandu importate un certificatu per un portale web, deve selezziunate a dumanda in u statu pendente è cliccate impurtà. U nome di u certificatu deve currisponde à u nome specificatu prima in a dumanda. U nome di u certificatu root pò esse specificatu arbitrariamente. Dopu avè impurtatu u certificatu, avete bisognu di creà Profilu di serviziu SSL / TLS rùbbrica Dispositivu -> Gestione di certificati. In u prufilu indichemu u certificatu impurtatu prima.
Figura 16 - Richiesta di certificatu
U prossimu passu hè di stallà l'uggetti Global Protect Gateway и Portale di Prutezzione Globale rùbbrica Rete -> Prutezzione Globale... In i paràmetri Global Protect Gateway indicà l'indirizzu IP esternu di u firewall, è ancu creatu prima Profilu SSL, Profil d'autentificazione, interfaccia di tunnel è paràmetri IP di u cliente. Avete bisognu di specificà una piscina di indirizzi IP da quale l'indirizzu serà attribuitu à u cliente, è Access Route - questi sò i subnets à quale u cliente hà una strada. Se u compitu hè di chjappà tuttu u trafficu di l'utilizatori attraversu un firewall, allora avete bisognu di specificà a subnet 0.0.0.0/0 (Fig. 17).
Figura 17 - Configurazione di un gruppu di indirizzi IP è rotte
Allora avete bisognu di cunfigurà Portale di Prutezzione Globale. Specificate l'indirizzu IP di u firewall, Profilu SSL и Profil d'autentificazione è una lista di l'indirizzi IP esterni di i firewalls à quale u cliente hà da cunnette. Se ci sò parechji firewalls, pudete stabilisce una priorità per ognunu, secondu chì l'utilizatori sceglienu un firewall per cunnette.
rùbbrica Dispositivu -> Client GlobalProtect avete bisognu di scaricà a distribuzione di client VPN da i servitori di Palo Alto Networks è attivate. Per cunnette, l'utilizatore deve andà à a pagina web di u portale, induve ellu serà dumandatu à scaricà Cliente GlobalProtect. Una volta scaricatu è installatu, pudete inserisce e vostre credenziali è cunnette à a vostra reta corporativa via SSL VPN.
cunchiusioni
Questu cumpleta a parte di Palo Alto Networks di a stallazione. Speremu chì l'infurmazione hè stata utile è u lettore hà acquistatu una cunniscenza di e tecnulugia utilizati in Palo Alto Networks. Sì avete dumande nantu à a cunfigurazione è suggerimenti nantu à temi per articuli futuri, scriviteli in i cumenti, saremu felici di risponde.
Source: www.habr.com