Trotz aller Vorteile der Palo Alto Networks-Firewalls gibt es im RuNet nicht viel Material zur Einrichtung dieser Geräte sowie Texte, die die Erfahrungen mit ihrer Implementierung beschreiben. Wir haben beschlossen, die Materialien, die wir während unserer Arbeit mit der Ausrüstung dieses Anbieters gesammelt haben, zusammenzufassen und über die Funktionen zu sprechen, auf die wir bei der Umsetzung verschiedener Projekte gestoßen sind.
Um Ihnen Palo Alto Networks vorzustellen, befasst sich dieser Artikel mit der Konfiguration, die zur Lösung eines der häufigsten Firewall-Probleme erforderlich ist – SSL VPN für den Fernzugriff. Wir werden auch über Hilfsfunktionen für die allgemeine Firewall-Konfiguration, Benutzeridentifikation, Anwendungen und Sicherheitsrichtlinien sprechen. Wenn das Thema für die Leser von Interesse ist, werden wir in Zukunft Materialien veröffentlichen, in denen Site-to-Site-VPN, dynamisches Routing und zentralisierte Verwaltung mit Panorama analysiert werden.
Die Firewalls von Palo Alto Networks nutzen eine Reihe innovativer Technologien, darunter App-ID, User-ID und Content-ID. Durch die Nutzung dieser Funktionalität können Sie ein hohes Maß an Sicherheit gewährleisten. Mit App-ID ist es beispielsweise möglich, Anwendungsverkehr anhand von Signaturen, Dekodierung und Heuristik zu identifizieren, unabhängig vom verwendeten Port und Protokoll, auch innerhalb eines SSL-Tunnels. Mit der Benutzer-ID können Sie Netzwerkbenutzer durch LDAP-Integration identifizieren. Content-ID ermöglicht es, den Datenverkehr zu scannen und übertragene Dateien und deren Inhalte zu identifizieren. Zu den weiteren Firewall-Funktionen gehören Intrusion Protection, Schutz vor Schwachstellen und DoS-Angriffen, integrierte Anti-Spyware, URL-Filterung, Clustering und zentralisierte Verwaltung.
Für die Demonstration verwenden wir einen isolierten Stand, dessen Konfiguration mit Ausnahme der Gerätenamen, des AD-Domänennamens und der IP-Adressen mit der realen identisch ist. In Wirklichkeit ist alles komplizierter – es kann viele Zweige geben. In diesem Fall wird anstelle einer einzelnen Firewall ein Cluster an den Grenzen zentraler Standorte installiert, und möglicherweise ist auch dynamisches Routing erforderlich.
Wird auf dem Ständer verwendet PAN-OS 7.1.9. Betrachten Sie als typische Konfiguration ein Netzwerk mit einer Palo Alto Networks-Firewall am Rand. Die Firewall bietet Remote-SSL-VPN-Zugriff auf die Zentrale. Die Active Directory-Domäne wird als Benutzerdatenbank verwendet (Abbildung 1).
Abbildung 1 – Netzwerkblockdiagramm
Einrichtungsschritte:
- Gerätevorkonfiguration. Festlegen des Namens, der Verwaltungs-IP-Adresse, statischer Routen, Administratorkonten und Verwaltungsprofilen
- Lizenzen installieren, Updates konfigurieren und installieren
- Konfigurieren von Sicherheitszonen, Netzwerkschnittstellen, Verkehrsrichtlinien und Adressübersetzung
- Konfigurieren eines LDAP-Authentifizierungsprofils und einer Benutzeridentifikationsfunktion
- Einrichten eines SSL-VPN
1. Voreinstellung
Das Hauptwerkzeug zur Konfiguration der Palo Alto Networks Firewall ist das Webinterface, auch eine Verwaltung über die CLI ist möglich. Standardmäßig ist die Verwaltungsschnittstelle auf die IP-Adresse 192.168.1.1/24, Login: admin, Passwort: admin eingestellt.
Sie können die Adresse ändern, indem Sie entweder über dasselbe Netzwerk eine Verbindung zur Webschnittstelle herstellen oder den Befehl verwenden Legen Sie die IP-Adresse des Gerätekonfigurationssystems <> Netzmaske <> fest. Es wird im Konfigurationsmodus durchgeführt. Um in den Konfigurationsmodus zu wechseln, verwenden Sie den Befehl konfigurieren. Alle Änderungen an der Firewall erfolgen erst, nachdem die Einstellungen durch den Befehl bestätigt wurden verpflichten, sowohl im Befehlszeilenmodus als auch im Webinterface.
Um Einstellungen in der Weboberfläche zu ändern, verwenden Sie den Abschnitt Gerät -> Allgemeine Einstellungen und Gerät -> Einstellungen der Verwaltungsschnittstelle. Der Name, Banner, Zeitzone und andere Einstellungen können im Abschnitt Allgemeine Einstellungen festgelegt werden (Abb. 2).
Abbildung 2 – Parameter der Verwaltungsschnittstelle
Wenn Sie eine virtuelle Firewall in einer ESXi-Umgebung verwenden, müssen Sie im Abschnitt „Allgemeine Einstellungen“ die Verwendung der vom Hypervisor zugewiesenen MAC-Adresse aktivieren oder die auf den Firewall-Schnittstellen des Hypervisors angegebenen MAC-Adressen konfigurieren oder die Einstellungen von ändern die virtuellen Switches, um MAC-Adressenänderungen zu ermöglichen. Andernfalls wird der Verkehr nicht passieren.
Die Verwaltungsschnittstelle wird separat konfiguriert und wird nicht in der Liste der Netzwerkschnittstellen angezeigt. Im Kapitel Einstellungen der Verwaltungsschnittstelle Gibt das Standard-Gateway für die Verwaltungsschnittstelle an. Weitere statische Routen werden im Abschnitt „Virtuelle Router“ konfiguriert; darauf wird später noch eingegangen.
Um den Zugriff auf das Gerät über andere Schnittstellen zu ermöglichen, müssen Sie ein Verwaltungsprofil erstellen Management-Profil in Abschnitt Netzwerk -> Netzwerkprofile -> Schnittstellenverwaltung und weisen Sie es der entsprechenden Schnittstelle zu.
Als nächstes müssen Sie im Abschnitt DNS und NTP konfigurieren Gerät -> Dienste um Aktualisierungen zu erhalten und die Uhrzeit korrekt anzuzeigen (Abb. 3). Standardmäßig verwendet der gesamte von der Firewall generierte Datenverkehr die IP-Adresse der Verwaltungsschnittstelle als Quell-IP-Adresse. Sie können im Abschnitt jedem spezifischen Dienst eine andere Schnittstelle zuweisen Serviceroutenkonfiguration.
Abbildung 3 – DNS-, NTP- und Systemrouten-Dienstparameter
2. Lizenzen installieren, Updates einrichten und installieren
Für den vollen Betrieb aller Firewall-Funktionen müssen Sie eine Lizenz installieren. Sie können eine Testlizenz verwenden, indem Sie diese bei Palo Alto Networks-Partnern anfordern. Die Gültigkeitsdauer beträgt 30 Tage. Die Aktivierung der Lizenz erfolgt entweder über eine Datei oder per Auth-Code. Im Abschnitt werden Lizenzen konfiguriert Gerät -> Lizenzen (Abb. 4).
Nach der Installation der Lizenz müssen Sie im Abschnitt die Installation von Updates konfigurieren Gerät -> Dynamische Updates.
Im Abschnitt Gerät -> Software Sie können neue Versionen von PAN-OS herunterladen und installieren.
Abbildung 4 – Lizenzkontrollfeld
3. Konfigurieren von Sicherheitszonen, Netzwerkschnittstellen, Verkehrsrichtlinien und Adressübersetzung
Palo Alto Networks-Firewalls verwenden Zonenlogik bei der Konfiguration von Netzwerkregeln. Netzwerkschnittstellen werden einer bestimmten Zone zugewiesen und diese Zone wird in Verkehrsregeln verwendet. Dieser Ansatz ermöglicht es künftig, bei Änderungen der Schnittstelleneinstellungen nicht die Verkehrsregeln zu ändern, sondern die notwendigen Schnittstellen den entsprechenden Zonen neu zuzuordnen. Standardmäßig ist der Verkehr innerhalb einer Zone erlaubt, der Verkehr zwischen Zonen ist verboten, dafür sind vordefinierte Regeln verantwortlich Intrazonen-Standard и Interzonen-Standard.
Abbildung 5 – Sicherheitszonen
In diesem Beispiel wird der Zone eine Schnittstelle im internen Netzwerk zugewiesen intern, und die zum Internet gerichtete Schnittstelle wird der Zone zugewiesen extern. Für SSL VPN wurde eine Tunnelschnittstelle erstellt und der Zone zugewiesen VPN (Abb. 5).
Die Firewall-Netzwerkschnittstellen von Palo Alto Networks können in fünf verschiedenen Modi betrieben werden:
- Zylinderkopfschrauben – wird verwendet, um Datenverkehr zu Überwachungs- und Analysezwecken zu sammeln
- HA – Wird für den Clusterbetrieb verwendet
- Virtueller Draht – In diesem Modus kombiniert Palo Alto Networks zwei Schnittstellen und leitet den Datenverkehr transparent zwischen ihnen weiter, ohne die MAC- und IP-Adressen zu ändern
- Layer2 - Wechselmodus
- Layer3 – Router-Modus
Abbildung 6 – Einstellen des Schnittstellenbetriebsmodus
In diesem Beispiel wird der Layer3-Modus verwendet (Abb. 6). Die Parameter der Netzwerkschnittstelle geben die IP-Adresse, den Betriebsmodus und die entsprechende Sicherheitszone an. Zusätzlich zum Betriebsmodus der Schnittstelle müssen Sie sie dem virtuellen Router Virtual Router zuweisen. Dies ist ein Analogon einer VRF-Instanz in Palo Alto Networks. Virtuelle Router sind voneinander isoliert und verfügen über eigene Routing-Tabellen und Netzwerkprotokolleinstellungen.
Die Einstellungen des virtuellen Routers geben statische Routen und Routing-Protokolleinstellungen an. In diesem Beispiel wurde lediglich eine Standardroute für den Zugriff auf externe Netzwerke erstellt (Abb. 7).
Abbildung 7 – Einrichten eines virtuellen Routers
Die nächste Konfigurationsstufe ist der Abschnitt „Verkehrsrichtlinien“. Richtlinien -> Sicherheit. Ein Beispiel für die Konfiguration ist in Abbildung 8 dargestellt. Die Logik der Regeln ist die gleiche wie bei allen Firewalls. Die Regeln werden von oben nach unten bis zum ersten Spiel überprüft. Kurze Beschreibung der Regeln:
1. SSL-VPN-Zugriff auf das Webportal. Ermöglicht den Zugriff auf das Webportal zur Authentifizierung von Remoteverbindungen
2. VPN-Verkehr – ermöglicht den Verkehr zwischen Remote-Verbindungen und der Zentrale
3. Einfaches Internet – ermöglicht DNS-, Ping-, Traceroute- und NTP-Anwendungen. Die Firewall lässt Anwendungen zu, die auf Signaturen, Dekodierung und Heuristik statt auf Portnummern und Protokollen basieren, weshalb im Abschnitt „Service“ „Anwendungsstandard“ steht. Standardport/Standardprotokoll für diese Anwendung
4. Webzugriff – Ermöglicht den Internetzugang über HTTP- und HTTPS-Protokolle ohne Anwendungskontrolle
5,6. Standardregeln für anderen Datenverkehr.
Abbildung 8 – Beispiel für die Einrichtung von Netzwerkregeln
Um NAT zu konfigurieren, verwenden Sie den Abschnitt Richtlinien -> NAT. Ein Beispiel für die NAT-Konfiguration ist in Abbildung 9 dargestellt.
Abbildung 9 – Beispiel einer NAT-Konfiguration
Für jeglichen Datenverkehr von intern nach extern können Sie die Quelladresse in die externe IP-Adresse der Firewall ändern und eine dynamische Portadresse (PAT) verwenden.
4. Konfigurieren des LDAP-Authentifizierungsprofils und der Benutzeridentifikationsfunktion
Bevor Sie Benutzer über SSL-VPN verbinden, müssen Sie einen Authentifizierungsmechanismus konfigurieren. In diesem Beispiel erfolgt die Authentifizierung beim Active Directory-Domänencontroller über die Palo Alto Networks-Weboberfläche.
Abbildung 10 – LDAP-Profil
Damit die Authentifizierung funktioniert, müssen Sie eine Konfiguration vornehmen LDAP-Profil и Authentifizierungsprofil. In der Sektion Gerät -> Serverprofile -> LDAP (Abb. 10) Sie müssen die IP-Adresse und den Port des Domänencontrollers, den LDAP-Typ und das in den Gruppen enthaltene Benutzerkonto angeben Serverbetreiber, Ereignisprotokollleser, Verteilte COM-Benutzer. Dann im Abschnitt Gerät -> Authentifizierungsprofil Erstellen Sie ein Authentifizierungsprofil (Abb. 11) und markieren Sie das zuvor erstellte LDAP-Profil und auf der Registerkarte „Erweitert“ geben wir die Gruppe der Benutzer an (Abb. 12), denen der Fernzugriff gestattet ist. Es ist wichtig, den Parameter in Ihrem Profil zu beachten Benutzerdomäne, andernfalls funktioniert die gruppenbasierte Autorisierung nicht. Das Feld muss den NetBIOS-Domänennamen angeben.
Abbildung 11 – Authentifizierungsprofil
Abbildung 12 – AD-Gruppenauswahl
Der nächste Schritt ist die Einrichtung Gerät -> Benutzeridentifikation. Hier müssen Sie die IP-Adresse des Domänencontrollers und Verbindungsanmeldeinformationen angeben und auch Einstellungen konfigurieren Sicherheitsprotokoll aktivieren, Sitzung aktivieren, Aktivieren Sie die Sondierung (Abb. 13). Im Kapitel Gruppenzuordnung (Abb. 14) Sie müssen die Parameter zur Identifizierung von Objekten in LDAP und die Liste der Gruppen beachten, die für die Autorisierung verwendet werden. Genau wie im Authentifizierungsprofil müssen Sie hier den Parameter Benutzerdomäne festlegen.
Abbildung 13 – Benutzerzuordnungsparameter
Abbildung 14 – Gruppenzuordnungsparameter
Der letzte Schritt in dieser Phase besteht darin, eine VPN-Zone und eine Schnittstelle für diese Zone zu erstellen. Sie müssen die Option auf der Schnittstelle aktivieren Aktivieren Sie die Benutzeridentifikation (Abb. 15).
Abbildung 15 – Einrichten einer VPN-Zone
5. SSL-VPN einrichten
Vor dem Herstellen einer Verbindung zu einem SSL-VPN muss der Remote-Benutzer zum Webportal gehen, sich authentifizieren und den Global Protect-Client herunterladen. Als Nächstes fordert dieser Client Anmeldeinformationen an und stellt eine Verbindung zum Unternehmensnetzwerk her. Das Webportal arbeitet im https-Modus und Sie müssen dementsprechend ein Zertifikat dafür installieren. Verwenden Sie nach Möglichkeit ein öffentliches Zertifikat. Dann erhält der Benutzer keine Warnung über die Ungültigkeit des Zertifikats auf der Website. Wenn es nicht möglich ist, ein öffentliches Zertifikat zu verwenden, müssen Sie ein eigenes Zertifikat ausstellen, das auf der Webseite für https verwendet wird. Es kann selbstsigniert sein oder von einer lokalen Zertifizierungsstelle ausgestellt werden. Der Remote-Computer muss über ein Root- oder selbstsigniertes Zertifikat in der Liste der vertrauenswürdigen Root-Zertifizierungsstellen verfügen, damit der Benutzer beim Herstellen einer Verbindung zum Webportal keine Fehlermeldung erhält. In diesem Beispiel wird ein über Active Directory-Zertifikatdienste ausgestelltes Zertifikat verwendet.
Um ein Zertifikat auszustellen, müssen Sie im Abschnitt eine Zertifikatsanforderung erstellen Gerät -> Zertifikatsverwaltung -> Zertifikate -> Generieren. In der Anfrage geben wir den Namen des Zertifikats und die IP-Adresse bzw. FQDN des Webportals an (Abb. 16). Nachdem Sie die Anfrage generiert haben, laden Sie sie herunter .csr Datei und kopieren Sie ihren Inhalt in das Zertifikatsanforderungsfeld im Webformular für die AD CS-Webregistrierung. Abhängig von der Konfiguration der Zertifizierungsstelle muss die Zertifikatsanforderung genehmigt und das ausgestellte Zertifikat im Format heruntergeladen werden Base64-codiertes Zertifikat. Zusätzlich müssen Sie das Stammzertifikat der Zertifizierungsstelle herunterladen. Anschließend müssen Sie beide Zertifikate in die Firewall importieren. Beim Importieren eines Zertifikats für ein Webportal müssen Sie die Anforderung im Status „Ausstehend“ auswählen und auf „Importieren“ klicken. Der Zertifikatsname muss mit dem zuvor in der Anfrage angegebenen Namen übereinstimmen. Der Name des Stammzertifikats kann beliebig angegeben werden. Nachdem Sie das Zertifikat importiert haben, müssen Sie es erstellen SSL/TLS-Dienstprofil in Abschnitt Gerät -> Zertifikatsverwaltung. Im Profil geben wir das zuvor importierte Zertifikat an.
Abbildung 16 – Zertifikatsanforderung
Der nächste Schritt ist das Einrichten von Objekten Global Protect Gateway и Globales Protect-Portal in Abschnitt Netzwerk -> Globaler Schutz. In den Einstellungen Global Protect Gateway Geben Sie die externe IP-Adresse der Firewall an, sowie die zuvor erstellte SSL-Profil, Authentifizierungsprofil, Tunnelschnittstelle und Client-IP-Einstellungen. Sie müssen einen Pool von IP-Adressen angeben, von denen aus die Adresse dem Client zugewiesen wird, und eine Zugriffsroute – dies sind die Subnetze, zu denen der Client eine Route erhält. Wenn die Aufgabe darin besteht, den gesamten Benutzerverkehr durch eine Firewall zu leiten, müssen Sie das Subnetz 0.0.0.0/0 angeben (Abb. 17).
Abbildung 17 – Konfigurieren eines Pools von IP-Adressen und Routen
Dann müssen Sie konfigurieren Globales Protect-Portal. Geben Sie die IP-Adresse der Firewall an. SSL-Profil и Authentifizierungsprofil und eine Liste externer IP-Adressen von Firewalls, mit denen der Client eine Verbindung herstellt. Wenn mehrere Firewalls vorhanden sind, können Sie für jede eine Priorität festlegen, nach der Benutzer eine Firewall auswählen, zu der sie eine Verbindung herstellen möchten.
Im Abschnitt Gerät -> GlobalProtect-Client Sie müssen die VPN-Client-Distribution von den Palo Alto Networks-Servern herunterladen und aktivieren. Um eine Verbindung herzustellen, muss der Benutzer zur Portal-Webseite gehen, wo er zum Herunterladen aufgefordert wird GlobalProtect-Client. Nach dem Herunterladen und der Installation können Sie Ihre Zugangsdaten eingeben und sich über SSL VPN mit Ihrem Unternehmensnetzwerk verbinden.
Abschluss
Damit ist der Palo Alto Networks-Teil des Setups abgeschlossen. Wir hoffen, dass die Informationen hilfreich waren und der Leser ein Verständnis für die bei Palo Alto Networks verwendeten Technologien gewonnen hat. Wenn Sie Fragen zur Einrichtung und Themenvorschläge für zukünftige Artikel haben, schreiben Sie diese in die Kommentare, wir beantworten sie gerne.
Source: habr.com