På trods af alle fordelene ved Palo Alto Networks firewalls, er der ikke meget materiale på RuNet om opsætning af disse enheder, samt tekster, der beskriver oplevelsen af deres implementering. Vi besluttede at opsummere de materialer, vi har akkumuleret under vores arbejde med denne leverandørs udstyr og tale om de funktioner, vi stødte på under implementeringen af forskellige projekter.
For at introducere dig til Palo Alto Networks, vil denne artikel se på den konfiguration, der kræves for at løse et af de mest almindelige firewallproblemer - SSL VPN til fjernadgang. Vi vil også tale om hjælpefunktioner til generel firewall-konfiguration, brugeridentifikation, applikationer og sikkerhedspolitikker. Hvis emnet er interessant for læserne, vil vi i fremtiden frigive materialer, der analyserer Site-to-Site VPN, dynamisk routing og centraliseret styring ved hjælp af Panorama.
Palo Alto Networks firewalls bruger en række innovative teknologier, herunder App-ID, User-ID, Content-ID. Brugen af denne funktionalitet giver dig mulighed for at sikre et højt sikkerhedsniveau. For eksempel er det med App-ID muligt at identificere applikationstrafik baseret på signaturer, afkodning og heuristik, uanset hvilken port og protokol der bruges, herunder inde i en SSL-tunnel. Bruger-ID giver dig mulighed for at identificere netværksbrugere gennem LDAP-integration. Content-ID gør det muligt at scanne trafik og identificere overførte filer og deres indhold. Andre firewall-funktioner omfatter indtrængningsbeskyttelse, beskyttelse mod sårbarheder og DoS-angreb, indbygget anti-spyware, URL-filtrering, klyngedannelse og centraliseret styring.
Til demonstrationen vil vi bruge et isoleret stativ, med en konfiguration identisk med den rigtige, med undtagelse af enhedsnavne, AD-domænenavn og IP-adresser. I virkeligheden er alt mere kompliceret - der kan være mange grene. I dette tilfælde vil der i stedet for en enkelt firewall blive installeret en klynge ved grænserne af centrale steder, og dynamisk routing kan også være påkrævet.
Brugt på stativet PAN-OS 7.1.9. Som en typisk konfiguration skal du overveje et netværk med en Palo Alto Networks firewall i kanten. Firewallen giver ekstern SSL VPN-adgang til hovedkontoret. Active Directory-domænet vil blive brugt som en brugerdatabase (figur 1).
Figur 1 – Netværksblokdiagram
Opsætningstrin:
- Forkonfiguration af enheden. Indstilling af navn, administrations IP-adresse, statiske ruter, administratorkonti, administrationsprofiler
- Installation af licenser, konfiguration og installation af opdateringer
- Konfiguration af sikkerhedszoner, netværksgrænseflader, trafikpolitikker, adresseoversættelse
- Konfiguration af en LDAP-godkendelsesprofil og brugeridentifikationsfunktion
- Opsætning af en SSL VPN
1. Forudindstillet
Hovedværktøjet til at konfigurere Palo Alto Networks firewall er webgrænsefladen; styring via CLI er også muligt. Som standard er administrationsgrænsefladen indstillet til IP-adresse 192.168.1.1/24, login: admin, adgangskode: admin.
Du kan ændre adressen enten ved at oprette forbindelse til webgrænsefladen fra det samme netværk eller ved at bruge kommandoen sæt deviceconfig system ip-adresse <> netmaske <>. Det udføres i konfigurationstilstand. Brug kommandoen for at skifte til konfigurationstilstand konfigurere. Alle ændringer på firewallen sker først efter indstillingerne er bekræftet af kommandoen begå, både i kommandolinjetilstand og i webgrænsefladen.
Brug sektionen for at ændre indstillinger i webgrænsefladen Enhed -> Generelle indstillinger og Enhed -> Administrationsgrænsefladeindstillinger. Navnet, bannerne, tidszonen og andre indstillinger kan indstilles i sektionen Generelle indstillinger (fig. 2).
Figur 2 – Administrationsgrænsefladeparametre
Hvis du bruger en virtuel firewall i et ESXi-miljø, skal du i afsnittet Generelle indstillinger aktivere brugen af den MAC-adresse, der er tildelt af hypervisoren, eller konfigurere de MAC-adresser, der er angivet på firewall-grænsefladerne på hypervisoren, eller ændre indstillingerne for de virtuelle switche for at tillade MAC-ændringer adresser. Ellers vil trafikken ikke passere igennem.
Administrationsgrænsefladen er konfigureret separat og vises ikke på listen over netværksgrænseflader. I kapitel Administrationsgrænsefladeindstillinger angiver standardgatewayen for administrationsgrænsefladen. Andre statiske ruter er konfigureret i afsnittet virtuelle routere; dette vil blive diskuteret senere.
For at tillade adgang til enheden via andre grænseflader, skal du oprette en administrationsprofil Ledelsesprofil sektion Netværk -> Netværksprofiler -> Interface Mgmt og tildel den til den relevante grænseflade.
Dernæst skal du konfigurere DNS og NTP i afsnittet Enhed -> Tjenester for at modtage opdateringer og vise klokkeslættet korrekt (fig. 3). Som standard bruger al trafik genereret af firewallen administrationsgrænsefladens IP-adresse som sin kilde-IP-adresse. Du kan tildele en anden grænseflade for hver specifik tjeneste i sektionen Konfiguration af servicerute.
Figur 3 – DNS-, NTP- og systemruter-tjenesteparametre
2. Installation af licenser, opsætning og installation af opdateringer
For fuld drift af alle firewall-funktioner skal du installere en licens. Du kan bruge en prøvelicens ved at anmode om den fra Palo Alto Networks partnere. Dens gyldighedsperiode er 30 dage. Licensen aktiveres enten via en fil eller ved hjælp af Auth-Code. Licenser er konfigureret i afsnittet Enhed -> Licenser (Fig. 4).
Efter installation af licensen skal du konfigurere installationen af opdateringer i afsnittet Enhed -> Dynamiske opdateringer.
I afsnit Enhed -> Software du kan downloade og installere nye versioner af PAN-OS.
Figur 4 – Licens kontrolpanel
3. Konfiguration af sikkerhedszoner, netværksgrænseflader, trafikpolitikker, adresseoversættelse
Palo Alto Networks firewalls bruger zonelogik, når de konfigurerer netværksregler. Netværksgrænseflader er tildelt en specifik zone, og denne zone bruges i trafikregler. Denne tilgang tillader i fremtiden, når du ændrer grænsefladeindstillinger, ikke at ændre trafikreglerne, men i stedet at omplacere de nødvendige grænseflader til de relevante zoner. Som standard er trafik indenfor en zone tilladt, trafik mellem zoner er forbudt, foruddefinerede regler er ansvarlige for dette intrazone-default и interzone-standard.
Figur 5 – Sikkerhedszoner
I dette eksempel er en grænseflade på det interne netværk tildelt zonen interne, og grænsefladen, der vender mod internettet, er tildelt zonen ekstern. For SSL VPN er der oprettet en tunnelgrænseflade, som er tildelt zonen vpn (Fig. 5).
Palo Alto Networks firewall-netværksgrænseflader kan fungere i fem forskellige tilstande:
- Tryk på – bruges til at indsamle trafik til overvågnings- og analyseformål
- HA – bruges til klyngedrift
- Virtuel ledning – i denne tilstand kombinerer Palo Alto Networks to grænseflader og sender gennemsigtigt trafik mellem dem uden at ændre MAC- og IP-adresser
- Layer2 – skifte tilstand
- Layer3 – routertilstand
Figur 6 – Indstilling af interfacedriftstilstand
I dette eksempel vil Layer3-tilstand blive brugt (fig. 6). Netværksgrænsefladeparametrene angiver IP-adressen, driftstilstanden og den tilsvarende sikkerhedszone. Ud over interfacets driftstilstand skal du tildele den til Virtual Router virtuelle router, dette er en analog af en VRF-instans i Palo Alto Networks. Virtuelle routere er isoleret fra hinanden og har deres egne routingtabeller og netværksprotokolindstillinger.
De virtuelle routerindstillinger specificerer statiske ruter og routingprotokolindstillinger. I dette eksempel er der kun oprettet en standardrute for adgang til eksterne netværk (fig. 7).
Figur 7 – Opsætning af en virtuel router
Det næste konfigurationstrin er trafikpolitikker, afsnit Politikker -> Sikkerhed. Et eksempel på konfiguration er vist i figur 8. Logikken i reglerne er den samme som for alle firewalls. Reglerne kontrolleres fra top til bund, ned til første kamp. Kort beskrivelse af reglerne:
1. SSL VPN-adgang til webportal. Tillader adgang til webportalen for at godkende fjernforbindelser
2. VPN-trafik – tillader trafik mellem fjernforbindelser og hovedkontoret
3. Grundlæggende internet – tillader dns, ping, traceroute, ntp applikationer. Firewallen tillader applikationer baseret på signaturer, afkodning og heuristik frem for portnumre og protokoller, hvorfor Service-sektionen siger applikationsstandard. Standardport/protokol for denne applikation
4. Webadgang – tillader internetadgang via HTTP- og HTTPS-protokoller uden applikationskontrol
5,6. Standardregler for anden trafik.
Figur 8 — Eksempel på opsætning af netværksregler
Brug afsnittet for at konfigurere NAT Politikker -> NAT. Et eksempel på NAT-konfiguration er vist i figur 9.
Figur 9 – Eksempel på NAT-konfiguration
For enhver trafik fra intern til ekstern kan du ændre kildeadressen til firewallens eksterne IP-adresse og bruge en dynamisk portadresse (PAT).
4. Konfiguration af LDAP-godkendelsesprofil og brugeridentifikationsfunktion
Før du forbinder brugere via SSL-VPN, skal du konfigurere en godkendelsesmekanisme. I dette eksempel vil godkendelse ske til Active Directory-domænecontrolleren via Palo Alto Networks webgrænseflade.
Figur 10 – LDAP-profil
For at godkendelse skal fungere, skal du konfigurere LDAP-profil и Autentificeringsprofil. I afsnit Enhed -> Serverprofiler -> LDAP (Fig. 10) skal du angive IP-adressen og porten på domænecontrolleren, LDAP-type og brugerkonto inkluderet i grupperne Server operatører, Hændelsesloglæsere, Distribuerede COM-brugere. Så i afsnittet Enhed -> Godkendelsesprofil oprette en godkendelsesprofil (fig. 11), marker den tidligere oprettede LDAP-profil og på fanen Avanceret angiver vi gruppen af brugere (fig. 12), som har tilladt fjernadgang. Det er vigtigt at notere parameteren i din profil Brugerdomæne, ellers vil gruppebaseret godkendelse ikke fungere. Feltet skal angive NetBIOS-domænenavnet.
Figur 11 – Godkendelsesprofil
Figur 12 – AD gruppe valg
Næste trin er opsætning Enhed -> Brugeridentifikation. Her skal du angive IP-adressen på domænecontrolleren, forbindelsesoplysninger og også konfigurere indstillinger Aktiver sikkerhedslog, Aktiver session, Aktiver sondering (Fig. 13). I kapitel Gruppekortlægning (Fig. 14) skal du notere parametrene for at identificere objekter i LDAP og listen over grupper, der vil blive brugt til autorisation. Ligesom i godkendelsesprofilen skal du her indstille parameteren User Domain.
Figur 13 – Brugerkortlægningsparametre
Figur 14 – Gruppekortlægningsparametre
Det sidste trin i denne fase er at oprette en VPN-zone og en grænseflade til den zone. Du skal aktivere indstillingen på grænsefladen Aktiver brugeridentifikation (Fig. 15).
Figur 15 – Opsætning af en VPN-zone
5. Opsætning af SSL VPN
Før der oprettes forbindelse til en SSL VPN, skal fjernbrugeren gå til webportalen, godkende og downloade Global Protect-klienten. Dernæst vil denne klient anmode om legitimationsoplysninger og oprette forbindelse til virksomhedens netværk. Webportalen fungerer i https-tilstand, og du skal derfor installere et certifikat for den. Brug et offentligt certifikat, hvis det er muligt. Så vil brugeren ikke modtage en advarsel om ugyldigheden af certifikatet på siden. Hvis det ikke er muligt at bruge et offentligt certifikat, så skal du udstede dit eget, som vil blive brugt på websiden for https. Det kan være selvsigneret eller udstedt gennem en lokal certifikatmyndighed. Fjerncomputeren skal have et rod- eller selvsigneret certifikat på listen over betroede rodautoriteter, så brugeren ikke modtager en fejl ved forbindelse til webportalen. Dette eksempel vil bruge et certifikat, der er udstedt gennem Active Directory Certificate Services.
For at udstede et certifikat skal du oprette en certifikatanmodning i sektionen Enhed -> Certifikatstyring -> Certifikater -> Generer. I anmodningen angiver vi navnet på certifikatet og webportalens IP-adresse eller FQDN (fig. 16). Når du har genereret anmodningen, skal du downloade .csr fil og kopier dens indhold til certifikatanmodningsfeltet i AD CS Web Enrollment-webformularen. Afhængigt af hvordan certifikatmyndigheden er konfigureret, skal certifikatanmodningen godkendes, og det udstedte certifikat skal downloades i formatet Base64-kodet certifikat. Derudover skal du downloade certificeringsmyndighedens rodcertifikat. Derefter skal du importere begge certifikater til firewallen. Når du importerer et certifikat til en webportal, skal du vælge anmodningen i den afventende status og klikke på import. Certifikatnavnet skal svare til det navn, der er angivet tidligere i anmodningen. Navnet på rodcertifikatet kan angives vilkårligt. Efter import af certifikatet skal du oprette SSL/TLS-tjenesteprofil sektion Enhed -> Certifikatstyring. I profilen angiver vi det tidligere importerede certifikat.
Figur 16 – Certifikatanmodning
Næste trin er opsætning af objekter Global Protect Gateway и Global Protect Portal sektion Netværk -> Global Beskyttelse. I indstillinger Global Protect Gateway angive den eksterne IP-adresse på firewallen, såvel som tidligere oprettet SSL profil, Autentificeringsprofil, tunnelgrænseflade og klient IP-indstillinger. Du skal angive en pulje af IP-adresser, hvorfra adressen vil blive tildelt til klienten, og Access Route - disse er de undernet, som klienten vil have en rute til. Hvis opgaven er at ombryde al brugertrafik gennem en firewall, skal du angive undernettet 0.0.0.0/0 (fig. 17).
Figur 17 – Konfiguration af en pulje af IP-adresser og ruter
Så skal du konfigurere Global Protect Portal. Angiv IP-adressen på firewallen, SSL profil и Autentificeringsprofil og en liste over eksterne IP-adresser på firewalls, som klienten vil oprette forbindelse til. Hvis der er flere firewalls, kan du indstille en prioritet for hver, efter hvilken brugere vil vælge en firewall at oprette forbindelse til.
I afsnit Enhed -> GlobalProtect Client du skal downloade VPN-klientdistributionen fra Palo Alto Networks servere og aktivere den. For at oprette forbindelse skal brugeren gå til portalens webside, hvor han bliver bedt om at downloade GlobalProtect klient. Når du har downloadet og installeret, kan du indtaste dine legitimationsoplysninger og oprette forbindelse til dit virksomhedsnetværk via SSL VPN.
Konklusion
Dette fuldender Palo Alto Networks-delen af opsætningen. Vi håber, at oplysningerne var nyttige, og at læseren fik en forståelse af de teknologier, der bruges hos Palo Alto Networks. Hvis du har spørgsmål om opsætning og forslag til emner til fremtidige artikler, så skriv dem i kommentarerne, vi svarer gerne.
Kilde: www.habr.com