Přes všechny výhody firewallů Palo Alto Networks není na internetu mnoho materiálů o konfiguraci těchto zařízení a také textů popisujících zkušenosti s jejich implementací. Rozhodli jsme se shrnout materiály, které jsme nashromáždili při práci se zařízením tohoto dodavatele, a pohovořit o vlastnostech, se kterými jsme se setkali při realizaci různých projektů.
Pro úvod do Palo Alto Networks se tento článek podívá na nastavení potřebná k vyřešení jedné z nejběžnějších úloh brány firewall, SSL VPN pro vzdálený přístup. Promluvíme si také o pomocných funkcích pro obecnou konfiguraci firewallu, identifikaci uživatele, aplikační a bezpečnostní politiku. Pokud bude téma čtenáře zajímavé, v budoucnu vydáme materiály s analýzou Site-to-Site VPN, dynamickým směrováním a centralizovanou správou pomocí Panorama.
Firewally Palo Alto Networks využívají řadu inovativních technologií, včetně App-ID, User-ID, Content-ID. Použití této funkce umožňuje poskytovat vysokou úroveň zabezpečení. Například pomocí App-ID je možné identifikovat provoz aplikace na základě signatur, dekódování a heuristiky, bez ohledu na použitý port a protokol, včetně uvnitř tunelu SSL. User-ID umožňuje identifikovat uživatele sítě prostřednictvím integrace s LDAP. Content-ID umožňuje skenovat provoz a identifikovat přenášené soubory a jejich obsah. Mezi další funkce brány firewall patří ochrana proti vniknutí, ochrana proti zranitelnostem a útokům DoS, vestavěný antispyware, filtrování URL, shlukování a centralizovaná správa.
Pro demonstraci použijeme izolovaný stojan, s konfigurací shodnou se skutečnou, kromě názvů zařízení, názvu AD domény a IP adres. Ve skutečnosti je vše složitější - větví může být mnoho. V tomto případě bude místo jednoho firewallu nainstalován cluster na hranicích centrálních lokalit a může být také vyžadováno dynamické směrování.
Stojan využívá PAN-OS 7.1.9. Jako typickou konfiguraci zvažte síť s firewallem Palo Alto Networks na okraji. Firewall poskytuje vzdálený přístup SSL VPN do centrály. Jako databáze uživatelů bude použita doména Active Directory (obrázek 1).
Obrázek 1 - Blokové schéma sítě
Kroky nastavení:
- Přednastavení zařízení. Nastavení názvu, IP adresy správy, statických tras, účtů správce, profilů správy
- Instalace licencí, konfigurace a instalace aktualizací
- Nastavení bezpečnostních zón, síťových rozhraní, dopravní politiky, překlad adres
- Konfigurace ověřovacího profilu LDAP a identifikace uživatele
- Konfigurace SSL VPN
1. Přednastaveno
Hlavním nástrojem pro konfiguraci firewallu Palo Alto Networks je webové rozhraní, možná je i správa přes CLI. Ve výchozím nastavení má rozhraní pro správu IP adresu 192.168.1.1/24, login: admin, heslo: admin.
Adresu můžete změnit buď připojením k webovému rozhraní ze stejné sítě, nebo pomocí příkazu set deviceconfig system ip-address <> netmask <>. Běží v konfiguračním režimu. Pro přepnutí do konfiguračního režimu použijte příkaz konfigurovat. Ke všem změnám na firewallu dojde až po potvrzení nastavení příkazem spáchat, a to jak v režimu příkazového řádku, tak ve webovém rozhraní.
Pro změnu nastavení ve webovém rozhraní použijte sekci Zařízení -> Obecná nastavení a Zařízení -> Nastavení rozhraní správy. Název, bannery, časové pásmo a další nastavení lze nastavit v sekci Obecná nastavení (obr. 2).
Obrázek 2 - Parametry ovládacího rozhraní
Pokud se v prostředí ESXi používá virtuální firewall, musíte v části Obecná nastavení povolit použití adresy MAC přidělené hypervizorem nebo nakonfigurovat adresy MAC na hypervizoru zadané na rozhraních brány firewall nebo změnit nastavení virtuálních přepínačů, které umožní MAC měnit adresy. Jinak provoz neprojede.
Rozhraní pro správu se konfiguruje samostatně a není zobrazeno v seznamu síťových rozhraní. V kapitole Nastavení rozhraní pro správu určuje výchozí bránu pro rozhraní pro správu. Další statické cesty se konfigurují v sekci virtuálních směrovačů, o kterých bude řeč později.
Chcete-li povolit přístup k zařízení prostřednictvím jiných rozhraní, musíte vytvořit profil správy Profil managementu část Network -> Network Profiles -> Interface Mgmt a přiřadit jej k příslušnému rozhraní.
Dále musíte v sekci nakonfigurovat DNS a NTP Zařízení -> Služby pro příjem aktualizací a správné zobrazení času (obr. 3). Ve výchozím nastavení veškerý provoz generovaný bránou firewall používá jako zdrojovou adresu IP adresu IP rozhraní pro správu. Pro každou konkrétní službu v sekci můžete přiřadit jiné rozhraní Konfigurace trasy služby.
Obrázek 3 - Parametry DNS, NTP služeb a systémových tras
2. Instalace licencí, nastavení a instalace aktualizací
Pro plný provoz všech funkcí firewallu musíte nainstalovat licenci. Zkušební licenci můžete použít tak, že si ji vyžádáte od partnerů Palo Alto Networks. Jeho doba platnosti je 30 dní. Licence se aktivuje buď prostřednictvím souboru nebo pomocí Auth-Code. Licence se konfigurují v sekci Zařízení -> Licence (Obr. 4).
Po instalaci licence musíte v sekci nakonfigurovat instalaci aktualizací Zařízení -> Dynamické aktualizace.
V sekci Zařízení -> Software můžete si stáhnout a nainstalovat nové verze PAN-OS.
Obrázek 4 - Ovládací panel licencí
3. Nastavení bezpečnostních zón, síťových rozhraní, dopravní politika, překlad adres
Firewally Palo Alto Networks používají při konfiguraci síťových pravidel zónovou logiku. Síťová rozhraní jsou přiřazena konkrétní zóně a používá se v komunikačních pravidlech. Tento přístup umožňuje v budoucnu při změně nastavení rozhraní neměnit pravidla provozu, ale místo toho přeřadit potřebná rozhraní do příslušných zón. Ve výchozím nastavení je provoz uvnitř zóny povolen, provoz mezi zónami je zakázán, zodpovídají za to předem definovaná pravidla intrazone-default и interzone-default.
Obrázek 5 - Bezpečnostní zóny
V tomto příkladu je rozhraní na vnitřní síti přiřazeno k zóně internía k zóně je přiřazeno rozhraní nasměrované na internet externí. Pro SSL VPN bylo vytvořeno tunelové rozhraní a přiřazeno k zóně vpn (Obr. 5).
Síťová rozhraní brány firewall Palo Alto Networks mohou pracovat v pěti různých režimech:
- Využít – používá se ke shromažďování provozu za účelem monitorování a analýzy
- HA - používá se pro provoz clusteru
- virtuální drát - v tomto režimu Palo Alto Networks kombinuje dvě rozhraní a transparentně předává provoz mezi nimi beze změny MAC a IP adres
- Layer2 – přepnout režim
- Layer3 – režim routeru
Obrázek 6 - Nastavení provozního režimu rozhraní
V tomto příkladu bude použit režim Layer3 (obr. 6). Parametry síťového rozhraní určují IP adresu, režim provozu a odpovídající bezpečnostní zónu. Kromě provozního režimu rozhraní jej musíte přiřadit virtuálnímu routeru Virtual Router, jedná se o obdobu instance VRF v Palo Alto Networks. Virtuální směrovače jsou od sebe izolované a mají své vlastní směrovací tabulky a nastavení síťového protokolu.
Nastavení virtuálního směrovače určuje statické trasy a nastavení směrovacího protokolu. V tomto příkladu byla vytvořena pouze výchozí trasa pro přístup k externím sítím (obrázek 7).
Obrázek 7 – Konfigurace virtuálního routeru
Dalším krokem konfigurace je sekce Dopravní zásady Zásady -> Zabezpečení. Příklad nastavení je na obrázku 8. Logika pravidel je stejná jako u všech firewallů. Pravidla se kontrolují shora dolů až do prvního zápasu. Stručný popis pravidel:
1. SSL VPN přístup k webovému portálu. Umožňuje přístup k webovému portálu pro ověření vzdálených připojení
2. VPN provoz – umožňuje provoz mezi vzdálenými připojeními a centrálou
3. Základní Internet – umožňující dns, ping, traceroute, ntp aplikace. Firewall povoluje aplikace založené na signaturách, dekódování a heuristice spíše než na číslech portů a protokolech, a proto je v sekci Služba uvedeno výchozí nastavení aplikace. Výchozí port/protokol pro tuto aplikaci
4. Web Access – umožňuje přístup k internetu přes protokoly HTTP a HTTPS bez kontroly aplikací
5,6. Výchozí pravidla pro ostatní provoz.
Obrázek 8 — Příklad konfigurace síťových pravidel
Pro konfiguraci NAT použijte sekci Zásady -> NAT. Příklad nastavení NAT je na obrázku 9.
Obrázek 9 - Příklad nastavení NAT
Pro jakýkoli provoz z interního na externí můžete změnit zdrojovou adresu na externí IP adresu brány firewall a použít dynamickou adresu portu (PAT).
4. Konfigurace ověřovacího profilu LDAP a funkce identifikace uživatele
Před připojením uživatelů přes SSL-VPN musíte nastavit mechanismus ověřování. V tomto příkladu dojde k ověření na řadiči domény Active Directory prostřednictvím webového rozhraní Palo Alto Networks.
Obrázek 10 - Profil LDAP
Aby autentizace fungovala, musíte ji nakonfigurovat Profil LDAP и Autentizační profil. V sekci Zařízení -> Profily serveru -> LDAP (obr. 10) je třeba zadat IP adresu a port doménového řadiče, typ LDAP a uživatelský účet zařazený do skupin Operátoři serveru, Čtečky protokolu událostí, Distribuovaní uživatelé COM. Pak v sekci Zařízení -> Autentizační profil vytvořte autentizační profil (obr. 11), označte dříve vytvořený Profil LDAP a v záložce Upřesnit určete skupinu uživatelů (obr. 12), kteří mají povolen vzdálený přístup. Důležité je poznamenat si parametr v profilu Uživatelská doména, jinak nebude skupinová autorizace fungovat. Pole musí obsahovat název domény NetBIOS.
Obrázek 11 - Profil autentizace
Obrázek 12 - Výběr skupiny AD
Dalším krokem je nastavení Zařízení -> Identifikace uživatele. Zde musíte zadat IP adresu řadiče domény, přihlašovací údaje pro připojení a nakonfigurovat nastavení Povolit protokol zabezpečení, Povolit relaci, Povolit sondování (obr. 13). V kapitole Skupinové mapování (obr. 14) je třeba si poznamenat parametry pro identifikaci objektů v LDAP a seznam skupin, které budou použity pro autorizaci. Stejně jako v Authentication Profile je i zde potřeba nastavit parametr User Domain.
Obrázek 13 - Parametry uživatelského mapování
Obrázek 14 - Parametry mapování skupin
Posledním krokem v tomto kroku je vytvoření zóny VPN a rozhraní pro tuto zónu. Na rozhraní musíte povolit parametr Povolit identifikaci uživatele (Obr. 15).
Obrázek 15 - Nastavení zóny VPN
5. Nastavte SSL VPN
Před připojením SSL VPN musí vzdálený uživatel přejít na webový portál, ověřit a stáhnout klienta Global Protect. Dále tento klient požádá o přihlašovací údaje a připojí se k podnikové síti. Webový portál funguje v režimu https, a proto je pro něj potřeba nainstalovat certifikát. Pokud je to možné, použijte veřejný certifikát. Uživatel pak neobdrží upozornění na neplatnost certifikátu na webu. Pokud není možné použít veřejný certifikát, je potřeba vystavit vlastní, který bude použit na webové stránce pro https. Může být vlastnoručně podepsán nebo vydán prostřednictvím místní CA. Vzdálený počítač musí mít kořenový nebo self-signed certifikát v seznamu důvěryhodných kořenových center, aby uživatel neobdržel chybu při připojování k webovému portálu. Tento příklad bude používat certifikát vydaný prostřednictvím CA služby Active Directory Certificate Services.
Pro vydání certifikátu je potřeba v sekci vytvořit žádost o certifikát Zařízení -> Správa certifikátů -> Certifikáty -> Generovat. V žádosti uveďte název certifikátu a IP adresu nebo FQDN webového portálu (obr. 16). Po vygenerování požadavku stáhněte .csr a zkopírujte jeho obsah do pole žádosti o certifikát ve webovém formuláři AD CS Web Enrollment. V závislosti na nastavení certifikační autority je třeba schválit žádost o certifikát a stáhnout vydaný certifikát ve formátu Base64 kódovaný certifikát. Dále je potřeba stáhnout kořenový certifikát certifikační autority. Poté je potřeba naimportovat oba certifikáty do firewallu. Při importu certifikátu pro webový portál vyberte požadavek v nevyřízeném stavu a klikněte na import. Název certifikátu se musí shodovat s názvem uvedeným dříve v žádosti. Název kořenového certifikátu můžete zadat libovolně. Po importu certifikátu je potřeba vytvořit Profil služby SSL/TLS část Zařízení -> Správa certifikátů. Zadejte dříve importovaný certifikát v profilu.
Obrázek 16 - Žádost o certifikát
Dalším krokem je nastavení objektů Global Protect Gateway и Global Protect Portal část Síť -> Globální ochrana... V nastavení Global Protect Gateway zadejte externí IP adresu brány firewall, stejně jako dříve vytvořenou Profil SSL, Autentizační profil, rozhraní tunelu a nastavení IP klienta. Musíte zadat fond IP adres, ze kterého bude adresa přiřazena klientovi, a Access Route jsou podsítě, do kterých bude mít klient cestu. Pokud je úkolem zabalit veškerý uživatelský provoz přes firewall, pak je třeba zadat podsíť 0.0.0.0/0 (obr. 17).
Obrázek 17 – Nastavení fondu IP adres a tras
Pak je potřeba nastavit Global Protect Portal. Zadejte IP adresu brány firewall, Profil SSL и Autentizační profil a seznam IP adres externí brány firewall, ke kterým se klient připojí. Pokud existuje několik firewallů, můžete pro každý nastavit prioritu, podle které si uživatelé vyberou firewall, ke kterému se připojí.
V sekci Zařízení -> GlobalProtect Client musíte si stáhnout distribuční sadu klienta VPN ze serverů Palo Alto Networks a aktivovat ji. Pro připojení musí uživatel přejít na webovou stránku portálu, kde bude vyzván ke stažení Klient GlobalProtect. Po stažení a instalaci budete moci zadat své přihlašovací údaje a připojit se k podnikové síti prostřednictvím SSL VPN.
Závěr
Tím je část nastavení Palo Alto Networks dokončena. Doufáme, že informace byly užitečné a čtenář si udělal představu o technologiích používaných v Palo Alto Networks. Pokud máte dotazy k nastavení a přání k tématům budoucích článků - napište je do komentářů, rádi odpovíme.
Zdroj: www.habr.com