Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN

Trotz aller Vorteile der Firewalls von Palo Alto Networks gibt es im deutschen Raum nicht viele Materialien zur Konfiguration dieser GerĂ€te sowie Texte, die ĂŒber Erfahrungen bei der Implementierung berichten. Wir haben beschlossen, die Materialien zusammenzufassen, die wir wĂ€hrend unserer Arbeit mit der Hardware dieses Anbieters gesammelt haben, und ĂŒber die Besonderheiten zu berichten, die wir bei der Umsetzung verschiedener Projekte festgestellt haben.

Um Palo Alto Networks nĂ€her kennenzulernen, werden in diesem Artikel die notwendigen Einstellungen fĂŒr eine der hĂ€ufigsten Aufgaben des Netzwerk-Schutzes, nĂ€mlich SSL VPN fĂŒr den Remote-Zugriff, behandelt. Außerdem werden wir ĂŒber unterstĂŒtzende Funktionen zur allgemeinen Konfiguration der Firewall, zur Identifizierung von Benutzern, Anwendungen und Sicherheitsrichtlinien sprechen. Sollte das Thema die Leser interessieren, werden wir in Zukunft Materialien mit Analysen zu Site-to-Site, dynamischem Routing und zentraler Verwaltung mit Panorama veröffentlichen. VPN, dynamischer Routing und zentrale Verwaltung mit Panorama.

Die Firewalls von Palo Alto Networks nutzen eine Reihe innovativer Technologien, darunter App-ID, User-ID und Content-ID. Diese Funktionen gewĂ€hrleisten ein hohes Maß an Sicherheit. Mit App-ID kann der Datenverkehr von Anwendungen anhand von Signaturen, Dekodierung und Heuristik identifiziert werden, unabhĂ€ngig von den verwendeten Ports und Protokollen, sogar innerhalb eines SSL-Tunnels. User-ID ermöglicht die Identifizierung von Benutzern im Netzwerk durch die Integration mit LDAP. Content-ID ermöglicht das Scannen von Datenverkehr und die Identifizierung von ĂŒbermittelten Dateien sowie deren Inhalt. Zu den weiteren Funktionen der Firewalls gehören Intrusion Prevention, Schutz vor Schwachstellen und DoS-Attacken, integrierte Anti-Spyware, URL-Filterung, Clustering und zentralisiertes Management.

Zur Demonstration verwenden wir eine isolierte Umgebung mit einer Konfiguration, die der einer realen Umgebung Ă€hnelt, mit Ausnahme der GerĂ€tenamen, des AD-DomĂ€nennamens und der IP-Adressen. In der RealitĂ€t kann es komplizierter sein – es kann viele Niederlassungen geben. An den Grenzen der zentralen Standorte wird in diesem Fall anstelle einer einzelnen Firewall ein Cluster installiert, und möglicherweise ist auch dynamisches Routing erforderlich.

In der Umgebung wird verwendet PAN-OS 7.1.9. Als typische Konfiguration betrachten wir ein Netzwerk mit einer Palo Alto Networks-Firewall an der Grenze. Die Firewall bietet SSL VPN-Zugang zum HauptbĂŒro. Als Benutzerdatenbank wird eine Active Directory-DomĂ€ne verwendet (Abbildung 1).

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 1 – Strukturdiagramm des Netzwerks

Einrichtungsphasen:

  1. Voreinrichtung des GerÀts. Festlegung des Namens, IP-Adressen Management, statische Routen, Administrator-Konten, Management-Profile
  2. Lizenzinstallation, Konfiguration und Installation von Updates
  3. Konfiguration von Sicherheitszonen, Netzwerk-Interfaces, Traffic-Richtlinien, AdressĂŒbersetzung
  4. Konfiguration des LDAP-Authentifizierungsprofils und der Funktion User Identification
  5. Konfiguration von SSL VPN

1. Voreinrichtung

Das Hauptwerkzeug zur Konfiguration der Firewall von Palo Alto Networks ist die WeboberflĂ€che, alternativ kann auch ĂŒber die CLI verwaltet werden. StandardmĂ€ĂŸig hat die Management-Schnittstelle die IP-Adresse 192.168.1.1/24, Benutzername: admin, Passwort: admin.

Die Adresse kann entweder durch Verbindung mit der WeboberflĂ€che aus demselben Netzwerk oder durch den Befehl geĂ€ndert werden set deviceconfig system ip-address netmask. Dies erfolgt im Konfigurationsmodus. Um in den Konfigurationsmodus zu wechseln, verwenden Sie den Befehl configure. Alle Änderungen an der Firewall werden erst nach BestĂ€tigung der Einstellungen mit dem Befehl wirksam commit, sowohl im Befehlszeilenmodus als auch in der WeboberflĂ€che.

Um die Einstellungen in der WeboberflÀche zu Àndern, verwenden Sie den Abschnitt Device -> General Settings und Device -> Management Interface Settings. Name, Banner, Zeitzone und weitere Einstellungen können im Bereich General Settings festgelegt werden (Abb. 2).

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abb. 2 – Einstellungen der Management-Schnittstelle

Falls eine virtuelle Firewall in der ESXi-Umgebung verwendet wird, muss im Bereich "Allgemeine Einstellungen" die Verwendung der vom Hypervisor zugewiesenen MAC-Adresse aktiviert werden oder die MAC-Adressen, die auf den Schnittstellen der Firewall festgelegt sind, auf dem Hypervisor konfiguriert werden. Alternativ können die Einstellungen der virtuellen Switches so angepasst werden, dass Änderungen der MAC-Adressen zugelassen werden. Andernfalls wird der Datenverkehr nicht weitergeleitet.

Die Verwaltungsschnittstelle wird separat konfiguriert und ist nicht in der Liste der Netzwerkschnittstellen aufgefĂŒhrt. Im Bereich Management Interface Settings wird das Standardgateway fĂŒr die Verwaltungsschnittstelle angegeben. Andere statische Routen werden im Bereich der virtuellen Router konfiguriert, hierzu wird im Folgenden weitere Informationen geben.

Um den Zugriff auf das GerĂ€t ĂŒber andere Schnittstellen zu ermöglichen, muss ein Verwaltungsprofil erstellt werden Management-Profil im Bereich Network -> Network Profiles -> Interface Mgmt und diesem die entsprechende Schnittstelle zugewiesen werden.

Anschließend mĂŒssen DNS und NTP im Bereich Device -> Services um Updates zu erhalten und die Zeit korrekt anzuzeigen (siehe Abbildung 3). StandardmĂ€ĂŸig verwendet der gesamte vom Firewall erzeugte Verkehr die IP-Adresse der VerwaltungsoberflĂ€che als Quell-IP-Adresse. Eine andere Schnittstelle fĂŒr jeden spezifischen Dienst kann im Abschnitt Service-Routen-Konfiguration.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 3 – Parameter fĂŒr DNS-, NTP- und Systemrouten-Dienste

2. Lizenzinstallation, Konfiguration und Installation von Updates

FĂŒr die vollstĂ€ndige Nutzung aller Funktionen der Firewall ist eine Lizenz erforderlich. Es kann eine Testlizenz verwendet werden, die bei Partnern von Palo Alto Networks angefordert werden kann. Ihre GĂŒltigkeitsdauer betrĂ€gt 30 Tage. Die Lizenz wird entweder ĂŒber eine Datei oder mit einem Auth-Code aktiviert. Lizenzen werden im Abschnitt Device -> Licenses (siehe Abbildung 4).
Nach der Installation der Lizenz muss die Installation von Updates im Abschnitt konfiguriert werden Device -> Dynamic Updates.
Im Abschnitt Device -> Software können neue Versionen von PAN-OS heruntergeladen und installiert werden.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 4 – Lizenzmanagement-Dashboard

3. Konfiguration der Sicherheitszonen, Netzwerkinterfaces, Verkehrsrichtlinien, AdressĂŒbersetzungen

Die Firewalls von Palo Alto Networks verwenden ein Zonen-Logikmodell zur Konfiguration von Netzwerkregeln. Netzwerkinterfaces werden einer bestimmten Zone zugewiesen, die dann in den Verkehrsregeln verwendet wird. Dieser Ansatz ermöglicht es, bei zukĂŒnftigen Änderungen der Interface-Einstellungen die Verkehrsregeln nicht anzupassen, sondern stattdessen die entsprechenden Interfaces in die passenden Zonen umzuleiten. StandardmĂ€ĂŸig ist der Verkehr innerhalb einer Zone erlaubt, wĂ€hrend der Verkehr zwischen den Zonen verboten ist, wofĂŒr vordefinierte Regeln verantwortlich sind. intrazone-default und interzone-default.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 5 – Sicherheitszonen

In diesem Beispiel ist das Interface im internen Netzwerk der Zone internalzugewiesen, wĂ€hrend das Interface, das ins Internet fĂŒhrt, der Zone externalzugewiesen ist. FĂŒr das SSL VPN wurde ein Tunnelinterface eingerichtet, das der Zone vpn zugeordnet ist (siehe Abb. 5).

Die Netzwerkinterfaces der Palo Alto Networks Firewall können in fĂŒnf verschiedenen Modi betrieben werden:

  • Tap – wird zur Erfassung von Verkehr zu Überwachungs- und Analysezwecken verwendet.
  • HA – wird fĂŒr den Betrieb des Clusters verwendet.
  • Virtual Wire – in diesem Modus verbindet Palo Alto Networks zwei Interfaces und leitet den Verkehr transparent zwischen ihnen weiter, ohne MAC- und IP-Adressen zu Ă€ndern.
  • Layer2 – Switch-Modus.
  • Layer3 – Router-Modus.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 6 – Konfiguration des Betriebsmodus der Schnittstelle

In diesem Beispiel wird der Layer3-Modus verwendet (siehe Abbildung 6). In den Einstellungen der Netzwerkschnittstelle werden die IP-Adresse, der Betriebsmodus und die entsprechende Sicherheitszone angegeben. Neben dem Betriebsmodus der Schnittstelle muss diese auch dem virtuellen Router Virtual Router zugewiesen werden, was dem VRF-Instanz in Palo Alto Networks entspricht. Virtuelle Router sind voneinander isoliert und haben eigene Routing-Tabellen und Netzwerkkonfigurationsparameter.

In den Einstellungen des virtuellen Routers werden statische Routen und Einstellungen der Routing-Protokolle angegeben. In diesem Beispiel wurde nur eine Standardroute fĂŒr den Zugriff auf externe Netzwerke eingerichtet (siehe Abbildung 7).

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 7 – Konfiguration des virtuellen Routers

Der nĂ€chste Schritt der Konfiguration sind die Verkehrsrichtlinien, Abschnitt Policies -> Security. Ein Beispiel fĂŒr die Konfiguration ist in Abbildung 8 dargestellt. Die Logik der Regeln funktioniert wie bei allen Firewalls. Die Regeln werden von oben nach unten geprĂŒft, bis eine Übereinstimmung gefunden wird. Eine kurze Beschreibung der Regeln:

1. SSL VPN-Zugriff auf Webportal. Erlaubt den Zugriff auf das Webportal zur Authentifizierung von Remote-Verbindungen.
2. VPN-Verkehr – Erlaubnis des Datenverkehrs zwischen entfernten Verbindungen und dem HauptbĂŒro
3. Grundlegendes Internet – Erlaubnis fĂŒr Anwendungen wie DNS, Ping, Traceroute, NTP. Die Firewall erlaubt Anwendungen basierend auf Signaturen, Dekodierung und Heuristik, nicht auf Portnummern und Protokollen, daher ist im Bereich Service application-default angegeben. Standardport/Standardprotokoll fĂŒr diese Anwendung
4. Internetzugang – Erlaubnis des Zugangs zum Internet ĂŒber die Protokolle HTTP und HTTPS ohne AnwendungsĂŒberwachung
5,6. Standardregeln fĂŒr den ĂŒbrigen Verkehr.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 8 – Beispiel fĂŒr die Konfiguration von Netzwerkregeln

FĂŒr die Konfiguration von NAT wird der Abschnitt Policies -> NAT. Ein Beispiel fĂŒr die NAT-Konfiguration ist in Abbildung 9 dargestellt.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 9 – Beispiel fĂŒr die NAT-Konfiguration

FĂŒr jeglichen Verkehr von intern nach extern kann die Quelladresse auf die externe IP-Adresse der Firewall geĂ€ndert werden und es kann eine dynamische Portadressierung (PAT) verwendet werden.

4. Konfiguration des LDAP-Authentifizierungsprofils und der Benutzeridentifikationsfunktion
Vor der Verbindung von Benutzern ĂŒber SSL-VPN muss der Authentifizierungsmechanismus konfiguriert werden. In diesem Beispiel erfolgt die Authentifizierung ĂŒber den Active Directory-Domaincontroller ĂŒber die Web-OberflĂ€che von Palo Alto Networks.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 10 – LDAP-Profil

Damit die Authentifizierung funktioniert, mĂŒssen Sie LDAP-Profil und Authentifizierungsprofil. Im Abschnitt GerĂ€t -> Serverprofile -> LDAP (Abb. 10) mĂŒssen Sie die IP-Adresse und den Port des DomĂ€nencontrollers, den LDAP-Typ und das Benutzerkonto, das Mitglied in den Gruppen ist, angeben Server Operators, Event Log Readers, Distributed COM Users. Dann im Abschnitt GerĂ€t -> Authentifizierungsprofil erstellen wir ein Authentifizierungsprofil (Abb. 11), markieren das zuvor erstellte LDAP-Profil und im Reiter Erweitert geben wir die Benutzergruppe an (Abb. 12), die remote Zugriff erhalten soll. Wichtig ist, im Profil den Parameter User Domain, andernfalls funktioniert die gruppenbasierte Autorisierung nicht. Im Feld sollte der NetBIOS-Name der DomĂ€ne angegeben werden.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abb. 11 – Authentifizierungsprofil

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abb. 12 – Auswahl der AD-Gruppe

Der nĂ€chste Schritt ist die Konfiguration GerĂ€t -> Benutzeridentifikation. Hier mĂŒssen Sie die IP-Adresse des DomĂ€nencontrollers, die Zugangsdaten fĂŒr die Verbindung sowie die Parameter Enable Security Log, Enable Session, Enable Probing (Abb. 13). Im Abschnitt Gruppenzuordnung (Abb. 14) mĂŒssen die Objekterkennungsparameter in LDAP und die Liste der Gruppen, die fĂŒr die Autorisierung verwendet werden, festgelegt werden. Wie im Authentifizierungsprofil muss hier der Parameter User Domain angegeben werden.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abb. 13 – Parameter der Nutzerzuordnung

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 14 – Gruppenabbildungsparameter

Der letzte Schritt in diesem Stadium besteht darin, eine VPN-Zone und das zugehörige Interface zu erstellen. Im Interface muss die Einstellung Benutzeridentifizierung aktivieren eingeschaltet werden (siehe Abb. 15).

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 15 – VPN-Zone einrichten

5. SSL VPN einrichten

Bevor Sie sich mit SSL VPN verbinden, muss der externe Benutzer das Webportal aufrufen, sich authentifizieren und den Global Protect-Client herunterladen. Dieser Client fordert anschließend die Anmeldeinformationen an und stellt die Verbindung zum Unternehmensnetzwerk her. Das Webportal arbeitet im https-Modus, daher ist es erforderlich, ein Zertifikat zu installieren. Verwenden Sie, wenn möglich, ein öffentliches Zertifikat. So erhĂ€lt der Benutzer keine Warnung ĂŒber die UngĂŒltigkeit des Zertifikats auf der Seite. Falls die Verwendung eines öffentlichen Zertifikats nicht möglich ist, mĂŒssen Sie ein eigenes Zertifikat ausstellen, das auf der Web-Seite fĂŒr https verwendet wird. Es kann selbstsigniert oder durch eine lokale Zertifizierungsstelle ausgestellt werden. Der Remote-Computer muss das Root- oder selbstsignierte Zertifikat in der Liste der vertrauenswĂŒrdigen Stammzertifizierungsstellen haben, damit kein Fehler beim Verbindungsaufbau zum Webportal auftritt. In diesem Beispiel wird ein Zertifikat verwendet, das durch den Active Directory-Zertifizierungsdienst ausgestellt wurde.

Um ein Zertifikat auszustellen, mĂŒssen Sie einen Zertifikatantrag im Bereich erstellen Device -> Certificate Management -> Certificates -> Generate. Im Antrag geben wir den Namen des Zertifikats sowie die IP-Adresse oder den FQDN des Webportals an (siehe Abb. 16). Nach der Erstellung des Antrags laden wir .csr die Datei herunter und kopieren ihren Inhalt in das Feld fĂŒr den Zertifikatsantrag im Webformular zur AD CS Webanmeldung. Je nach Konfiguration der Zertifizierungsstelle muss der Zertifikatsantrag genehmigt und das ausgestellte Zertifikat im Format Base64-kodiertes Zertifikatheruntergeladen werden. ZusĂ€tzlich ist es erforderlich, das Root-Zertifikat der Zertifizierungsstelle herunterzuladen. Anschließend mĂŒssen beide Zertifikate in die Firewall importiert werden. Beim Import des Zertifikats fĂŒr das Webportal ist es wichtig, den Antrag mit dem Status 'pending' auszuwĂ€hlen und auf 'importieren' zu klicken. Der Name des Zertifikats muss mit dem zuvor im Antrag angegebenen Namen ĂŒbereinstimmen. Der Name des Root-Zertifikats kann beliebig gewĂ€hlt werden. Nach dem Import des Zertifikats muss ein SSL/TLS-Dienstprofil im Bereich GerĂ€t -> Zertifikatsverwaltung. Im Profil geben wir das zuvor importierte Zertifikat an.

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abb. 16 – Antrag auf Zertifikat

Der nĂ€chste Schritt besteht darin, die Objekte zu konfigurieren Global Protect Gateway und Global Protect Portal im Bereich Netzwerk -> Global Protect. In den Einstellungen Global Protect Gateway geben wir die externe IP-Adresse der Firewall sowie die zuvor erstellten SSL-Profile an., Authentifizierungsprofil, Tunnel-Interface und IP-Einstellungen des Clients. Es ist erforderlich, einen IP-Adresspool festzulegen, aus dem die Adresse dem Client zugewiesen wird, sowie die Access Route – dies sind die Subnetze, zu denen der Client eine Route haben wird. Wenn die Anforderung besteht, gesamten Benutzertraffic ĂŒber eine Firewall zu leiten, sollte das Subnetz 0.0.0.0/0 angegeben werden (siehe Abbildung 17).

Besonderheiten der Konfiguration von Palo Alto Networks: SSL VPN
Abbildung 17 – Konfiguration des IP-Adresspools und der Routen

Als NĂ€chstes muss konfiguriert werden Global Protect Portal. Geben Sie die IP-Adresse der Firewall an, SSL-Profile an. und Authentifizierungsprofil und die Liste der externen IP-Adressen der Firewalls, zu denen der Client eine Verbindung herstellen wird. Wenn es mehrere Firewalls gibt, kann fĂŒr jede eine PrioritĂ€t eingestellt werden, nach der die Benutzer die Firewall fĂŒr die Verbindung auswĂ€hlen.

Im Abschnitt GerĂ€t -> GlobalProtect Client , das VPN-Client-Paket von den Servern von Palo Alto Networks herunterladen und aktivieren. Um eine Verbindung herzustellen, muss der Benutzer die Webseite des Portals besuchen, wo ihm angeboten wird, den GlobalProtect Clientherunterzuladen. Nach dem Herunterladen und Installieren kann der Benutzer seine Anmeldeinformationen eingeben und eine Verbindung zum Unternehmensnetzwerk ĂŒber SSL VPN herstellen.

Fazit

Mit diesem Abschnitt der Konfiguration von Palo Alto Networks sind wir am Ende. Wir hoffen, dass die Informationen nĂŒtzlich waren und der Leser einen Einblick in die Technologien von Palo Alto Networks erhalten hat. Bei Fragen zur Konfiguration oder WĂŒnschen zu zukĂŒnftigen Themen können Sie diese gerne in den Kommentaren hinterlassen, wir freuen uns auf Ihre RĂŒckmeldungen.

Quelle: habr.com

Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server đŸ”„ Kaufen Sie zuverlĂ€ssiges Hosting fĂŒr Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster