A pesar de todas las ventajas de los firewalls de Palo Alto Networks, en RuNet no hay mucho material sobre la configuración de estos dispositivos, ni tampoco textos que describan la experiencia de su implementación. Decidimos resumir los materiales que hemos acumulado durante nuestro trabajo con el equipo de este proveedor y hablar sobre las características que encontramos durante la implementación de varios proyectos.
Para presentarle Palo Alto Networks, este artículo analizará la configuración necesaria para resolver uno de los problemas de firewall más comunes: SSL VPN para acceso remoto. También hablaremos sobre funciones de utilidad para la configuración general del firewall, identificación de usuarios, aplicaciones y políticas de seguridad. Si el tema es de interés para los lectores, en el futuro publicaremos materiales que analicen la VPN de sitio a sitio, el enrutamiento dinámico y la administración centralizada mediante Panorama.
Los firewalls de Palo Alto Networks utilizan una serie de tecnologías innovadoras, incluidas App-ID, User-ID y Content-ID. El uso de esta funcionalidad le permite garantizar un alto nivel de seguridad. Por ejemplo, con App-ID es posible identificar el tráfico de aplicaciones basándose en firmas, decodificación y heurísticas, independientemente del puerto y protocolo utilizados, incluso dentro de un túnel SSL. User-ID le permite identificar a los usuarios de la red a través de la integración LDAP. Content-ID permite escanear el tráfico e identificar los archivos transmitidos y su contenido. Otras funciones del firewall incluyen protección contra intrusiones, protección contra vulnerabilidades y ataques DoS, antispyware integrado, filtrado de URL, agrupación en clústeres y administración centralizada.
Para la demostración utilizaremos un stand aislado, con una configuración idéntica a la real, a excepción de los nombres de los dispositivos, el nombre de dominio AD y las direcciones IP. En realidad, todo es más complicado: puede haber muchas ramas. En este caso, en lugar de un único firewall, se instalará un clúster en los límites de los sitios centrales y es posible que también se requiera enrutamiento dinámico.
Usado en el stand PAN-OS 7.1.9. Como configuración típica, considere una red con un firewall de Palo Alto Networks en el borde. El firewall proporciona acceso VPN SSL remoto a la oficina central. El dominio de Active Directory se utilizará como base de datos de usuarios (Figura 1).
Figura 1 – Diagrama de bloques de la red
Pasos de configuración:
- Preconfiguración del dispositivo. Configuración del nombre, dirección IP de administración, rutas estáticas, cuentas de administrador, perfiles de administración
- Instalación de licencias, configuración e instalación de actualizaciones.
- Configuración de zonas de seguridad, interfaces de red, políticas de tráfico, traducción de direcciones.
- Configuración de un perfil de autenticación LDAP y una función de identificación de usuario
- Configurar una VPN SSL
1. Preestablecido
La herramienta principal para configurar el firewall de Palo Alto Networks es la interfaz web; también es posible la administración a través de la CLI. De forma predeterminada, la interfaz de administración está configurada en la dirección IP 192.168.1.1/24, inicio de sesión: admin, contraseña: admin.
Puede cambiar la dirección conectándose a la interfaz web desde la misma red o usando el comando establezca la dirección IP del sistema de configuración del dispositivo <> máscara de red <>. Se realiza en modo configuración. Para cambiar al modo de configuración, use el comando configurar. Todos los cambios en el firewall ocurren solo después de que el comando confirma la configuración hacer, tanto en modo línea de comandos como en la interfaz web.
Para cambiar la configuración en la interfaz web, utilice la sección Dispositivo -> Configuración general y Dispositivo -> Configuración de la interfaz de administración. El nombre, los banners, la zona horaria y otras configuraciones se pueden configurar en la sección Configuración general (Fig. 2).
Figura 2 – Parámetros de la interfaz de gestión
Si utiliza un firewall virtual en un entorno ESXi, en la sección Configuración general debe habilitar el uso de la dirección MAC asignada por el hipervisor, o configurar las direcciones MAC especificadas en las interfaces del firewall en el hipervisor, o cambiar la configuración de los conmutadores virtuales para permitir cambios de dirección MAC. De lo contrario, el tráfico no pasará.
La interfaz de administración se configura por separado y no se muestra en la lista de interfaces de red. en el capitulo Configuración de la interfaz de administración Especifica la puerta de enlace predeterminada para la interfaz de administración. Otras rutas estáticas se configuran en la sección de enrutadores virtuales; esto se discutirá más adelante.
Para permitir el acceso al dispositivo a través de otras interfaces, debe crear un perfil de administración Gestión de perfiles sección Red -> Perfiles de red -> Gestión de interfaz y asígnelo a la interfaz adecuada.
A continuación, debe configurar DNS y NTP en la sección Dispositivo -> Servicios para recibir actualizaciones y mostrar la hora correctamente (Fig. 3). De forma predeterminada, todo el tráfico generado por el firewall utiliza la dirección IP de la interfaz de administración como dirección IP de origen. Puedes asignar una interfaz diferente para cada servicio específico en la sección Configuración de ruta de servicio.
Figura 3 – Parámetros del servicio DNS, NTP y rutas del sistema
2. Instalación de licencias, configuración e instalación de actualizaciones.
Para el funcionamiento completo de todas las funciones del firewall, debe instalar una licencia. Puede utilizar una licencia de prueba solicitándola a los socios de Palo Alto Networks. Su período de validez es de 30 días. La licencia se activa a través de un archivo o mediante Auth-Code. Las licencias se configuran en la sección Dispositivo -> Licencias (Fig. 4).
Después de instalar la licencia, debe configurar la instalación de actualizaciones en la sección Dispositivo -> Actualizaciones dinámicas.
En la sección Dispositivo -> Software puede descargar e instalar nuevas versiones de PAN-OS.
Figura 4 – Panel de control de licencia
3. Configuración de zonas de seguridad, interfaces de red, políticas de tráfico, traducción de direcciones.
Los firewalls de Palo Alto Networks utilizan lógica de zona al configurar reglas de red. Las interfaces de red se asignan a una zona específica y esta zona se utiliza en las reglas de tráfico. Este enfoque permitirá en el futuro, al cambiar la configuración de la interfaz, no cambiar las reglas de tráfico, sino reasignar las interfaces necesarias a las zonas apropiadas. De forma predeterminada, el tráfico dentro de una zona está permitido, el tráfico entre zonas está prohibido, las reglas predefinidas son responsables de esto. intrazona-predeterminado и predeterminado entre zonas.
Figura 5 – Zonas de seguridad
En este ejemplo, se asigna una interfaz en la red interna a la zona interno, y la interfaz orientada a Internet se asigna a la zona externo. Para SSL VPN, se ha creado y asignado una interfaz de túnel a la zona vpn (Fig. 5).
Las interfaces de red del firewall de Palo Alto Networks pueden funcionar en cinco modos diferentes:
- Pulsa para buscar – se utiliza para recopilar tráfico con fines de seguimiento y análisis
- HA – utilizado para la operación de clúster
- Cable virtual – en este modo, Palo Alto Networks combina dos interfaces y pasa el tráfico de forma transparente entre ellas sin cambiar las direcciones MAC e IP
- Layer2 - modo interruptor
- Layer3 – modo enrutador
Figura 6 – Configuración del modo de funcionamiento de la interfaz
En este ejemplo, se utilizará el modo Layer3 (Fig. 6). Los parámetros de la interfaz de red indican la dirección IP, el modo de funcionamiento y la zona de seguridad correspondiente. Además del modo de funcionamiento de la interfaz, debe asignarlo al enrutador virtual Virtual Router, que es un análogo de una instancia VRF en Palo Alto Networks. Los enrutadores virtuales están aislados entre sí y tienen sus propias tablas de enrutamiento y configuraciones de protocolo de red.
La configuración del enrutador virtual especifica rutas estáticas y configuraciones de protocolo de enrutamiento. En este ejemplo, solo se ha creado una ruta predeterminada para acceder a redes externas (Fig. 7).
Figura 7: Configuración de un enrutador virtual
La siguiente etapa de configuración son las políticas de tráfico, sección Políticas -> Seguridad. En la Figura 8 se muestra un ejemplo de configuración. La lógica de las reglas es la misma que para todos los firewalls. Las reglas se revisan de arriba a abajo, hasta el primer partido. Breve descripción de las reglas:
1. Acceso VPN SSL al portal web. Permite el acceso al portal web para autenticar conexiones remotas
2. Tráfico VPN: permite el tráfico entre conexiones remotas y la oficina central
3. Internet básico: permite aplicaciones dns, ping, traceroute y ntp. El firewall permite aplicaciones basadas en firmas, decodificación y heurísticas en lugar de números de puerto y protocolos, razón por la cual la sección Servicio dice aplicación predeterminada. Puerto/protocolo predeterminado para esta aplicación
4. Acceso web: permite el acceso a Internet a través de protocolos HTTP y HTTPS sin control de aplicaciones
5,6. Reglas predeterminadas para otro tráfico.
Figura 8: ejemplo de configuración de reglas de red
Para configurar NAT, utilice la sección Políticas -> NAT. En la Figura 9 se muestra un ejemplo de configuración NAT.
Figura 9 – Ejemplo de configuración NAT
Para cualquier tráfico de interno a externo, puede cambiar la dirección de origen a la dirección IP externa del firewall y usar una dirección de puerto dinámico (PAT).
4. Configuración del perfil de autenticación LDAP y la función de identificación de usuario
Antes de conectar usuarios a través de SSL-VPN, debe configurar un mecanismo de autenticación. En este ejemplo, la autenticación se realizará en el controlador de dominio de Active Directory a través de la interfaz web de Palo Alto Networks.
Figura 10 – Perfil LDAP
Para que la autenticación funcione, debe configurar Perfil LDAP и Perfil de autenticación. En la seccion Dispositivo -> Perfiles de servidor -> LDAP (Fig. 10) debe especificar la dirección IP y el puerto del controlador de dominio, el tipo de LDAP y la cuenta de usuario incluida en los grupos Operadores de servidor, Lectores de registro de eventos, Usuarios COM distribuidos. Luego en la sección Dispositivo -> Perfil de autenticación cree un perfil de autenticación (Fig. 11), marque el creado anteriormente Perfil LDAP y en la pestaña Avanzado indicamos el grupo de usuarios (Fig. 12) a los que se les permite el acceso remoto. Es importante tener en cuenta el parámetro en su perfil. Dominio de usuario; de lo contrario, la autorización basada en grupo no funcionará. El campo debe indicar el nombre de dominio NetBIOS.
Figura 11 – Perfil de autenticación
Figura 12 – Selección del grupo AD
La siguiente etapa es la configuración. Dispositivo -> Identificación de usuario. Aquí debe especificar la dirección IP del controlador de dominio, las credenciales de conexión y también configurar los ajustes. Habilitar registro de seguridad, Habilitar sesión, Habilitar sondeo (Figura 13). en el capitulo Mapeo de grupos (Fig. 14) debe tener en cuenta los parámetros para identificar objetos en LDAP y la lista de grupos que se utilizarán para la autorización. Al igual que en el perfil de autenticación, aquí debe configurar el parámetro Dominio de usuario.
Figura 13 – Parámetros de mapeo de usuarios
Figura 14 – Parámetros de mapeo de grupo
El último paso en esta fase es crear una zona VPN y una interfaz para esa zona. Necesitas habilitar la opción en la interfaz. Habilitar identificación de usuario (Fig. 15).
Figura 15 – Configuración de una zona VPN
5. Configurar VPN SSL
Antes de conectarse a una VPN SSL, el usuario remoto debe ir al portal web, autenticarse y descargar el cliente Global Protect. A continuación, este cliente solicitará credenciales y se conectará a la red corporativa. El portal web funciona en modo https y, en consecuencia, es necesario instalar un certificado. Utilice un certificado público si es posible. Entonces el usuario no recibirá una advertencia sobre la invalidez del certificado en el sitio. Si no es posible utilizar un certificado público, deberá emitir el suyo propio, que se utilizará en la página web para https. Puede estar autofirmado o emitido a través de una autoridad certificadora local. La computadora remota debe tener un certificado raíz o autofirmado en la lista de autoridades raíz confiables para que el usuario no reciba un error al conectarse al portal web. Este ejemplo utilizará un certificado emitido a través de los Servicios de certificados de Active Directory.
Para emitir un certificado, debe crear una solicitud de certificado en la sección Dispositivo -> Gestión de certificados -> Certificados -> Generar. En la solicitud indicamos el nombre del certificado y la dirección IP o FQDN del portal web (Fig. 16). Después de generar la solicitud, descargue .csr archivo y copie su contenido en el campo de solicitud de certificado en el formulario web de inscripción web de AD CS. Dependiendo de cómo esté configurada la autoridad certificadora, se debe aprobar la solicitud de certificado y descargar el certificado emitido en el formato Certificado codificado Base64. Además, debe descargar el certificado raíz de la autoridad de certificación. Luego debe importar ambos certificados al firewall. Al importar un certificado para un portal web, debe seleccionar la solicitud en estado pendiente y hacer clic en importar. El nombre del certificado debe coincidir con el nombre especificado anteriormente en la solicitud. El nombre del certificado raíz se puede especificar arbitrariamente. Después de importar el certificado, debe crear Perfil de servicio SSL/TLS sección Dispositivo -> Gestión de certificados. En el perfil indicamos el certificado previamente importado.
Figura 16 – Solicitud de certificado
El siguiente paso es configurar objetos. Puerta de enlace de protección global и Portal de protección global sección Red -> Protección Global. En la configuración de Puerta de enlace de protección global indicar la dirección IP externa del firewall, así como la creada previamente Perfil SSL, Perfil de autenticación, interfaz de túnel y configuración de IP del cliente. Debe especificar un grupo de direcciones IP desde las cuales se asignará la dirección al cliente y una ruta de acceso: estas son las subredes a las que el cliente tendrá una ruta. Si la tarea es envolver todo el tráfico de usuarios a través de un firewall, entonces debe especificar la subred 0.0.0.0/0 (Fig. 17).
Figura 17: Configuración de un grupo de direcciones IP y rutas
Entonces necesitas configurar Portal de protección global. Especifique la dirección IP del firewall, Perfil SSL и Perfil de autenticación y una lista de direcciones IP externas de firewalls a los que se conectará el cliente. Si hay varios cortafuegos, puede establecer una prioridad para cada uno, según la cual los usuarios elegirán un cortafuegos al que conectarse.
En la sección Dispositivo -> Cliente GlobalProtect debe descargar la distribución del cliente VPN desde los servidores de Palo Alto Networks y activarla. Para conectarse, el usuario deberá dirigirse a la página web del portal, donde se le pedirá que descargue Cliente GlobalProtect. Una vez descargado e instalado, puede ingresar sus credenciales y conectarse a su red corporativa a través de SSL VPN.
Conclusión
Esto completa la parte de la configuración de Palo Alto Networks. Esperamos que la información haya sido útil y que el lector haya comprendido las tecnologías utilizadas en Palo Alto Networks. Si tienes preguntas sobre configuración y sugerencias sobre temas para futuros artículos, escríbelas en los comentarios, estaremos encantados de responderte.
Fuente: habr.com