Vaatamata Palo Alto Networksi tulemüüride kõikidele eelistele pole RuNeti kohta nende seadmete seadistamise kohta palju materjali, samuti pole nende rakendamise kogemusi kirjeldavaid tekste. Otsustasime teha kokkuvõtte selle müüja seadmetega töötamise käigus kogutud materjalidest ja rääkida funktsioonidest, millega erinevate projektide elluviimisel kokku puutusime.
Palo Alto Networksi tutvustamiseks vaatleme selles artiklis konfiguratsiooni, mis on vajalik ühe levinuima tulemüüriprobleemi lahendamiseks – SSL VPN kaugjuurdepääsuks. Räägime ka tulemüüri üldise konfiguratsiooni, kasutaja tuvastamise, rakenduste ja turbepoliitika utiliitide funktsioonidest. Kui teema lugejatele huvi pakub, avaldame edaspidi materjale, mis analüüsivad Site-to-Site VPN-i, dünaamilist marsruutimist ja tsentraliseeritud haldust Panorama abil.
Palo Alto Networksi tulemüürid kasutavad mitmeid uuenduslikke tehnoloogiaid, sealhulgas App-ID, User-ID, Content-ID. Selle funktsiooni kasutamine võimaldab teil tagada kõrge turvalisuse. Näiteks on App-ID abil võimalik tuvastada rakenduste liiklust signatuuride, dekodeerimise ja heuristiliste andmete põhjal, sõltumata kasutatavast pordist ja protokollist, sealhulgas SSL-tunnelis. User-ID võimaldab LDAP-integratsiooni kaudu tuvastada võrgukasutajaid. Content-ID võimaldab kontrollida liiklust ning tuvastada edastatud faile ja nende sisu. Muud tulemüüri funktsioonid hõlmavad sissetungikaitset, kaitset haavatavuse ja DoS-rünnakute eest, sisseehitatud nuhkvaratõrjet, URL-i filtreerimist, rühmitamist ja tsentraliseeritud haldust.
Demonstratsiooniks kasutame isoleeritud stendi, mille konfiguratsioon on identne tegelikule, välja arvatud seadmete nimed, AD domeeninimi ja IP-aadressid. Tegelikkuses on kõik keerulisem – harusid võib olla palju. Sel juhul paigaldatakse ühe tulemüüri asemel kesksete saitide piiridele klaster ja võib olla vajalik ka dünaamiline marsruutimine.
Kasutatud alusel PAN-OS 7.1.9. Tüüpilise konfiguratsioonina kaaluge võrku, mille servas on Palo Alto Networksi tulemüür. Tulemüür tagab SSL VPN-i kaugjuurdepääsu peakontorile. Active Directory domeeni kasutatakse kasutajate andmebaasina (joonis 1).
Joonis 1 – Võrgu plokkskeem
Seadistamise sammud:
- Seadme eelkonfiguratsioon. Nime, halduse IP-aadressi, staatiliste marsruutide, administraatorikontode, haldusprofiilide määramine
- Litsentside installimine, konfigureerimine ja värskenduste installimine
- Turvatsoonide, võrguliideste, liikluspoliitikate, aadresside tõlkimise seadistamine
- LDAP-autentimisprofiili ja kasutajatuvastusfunktsiooni konfigureerimine
- SSL VPN-i seadistamine
1. Eelseadistatud
Palo Alto Networksi tulemüüri seadistamise peamine tööriist on veebiliides, võimalik on ka haldus CLI kaudu. Vaikimisi on haldusliideseks seatud IP-aadress 192.168.1.1/24, sisselogimine: admin, parool: admin.
Aadressi saate muuta kas samast võrgust veebiliidesega ühenduse loomisel või käsuga seadke deviceconfig süsteemi IP-aadress <> võrgumask <>. Seda tehakse konfiguratsioonirežiimis. Konfiguratsioonirežiimi lülitumiseks kasutage käsku seadistada. Kõik tulemüüri muudatused toimuvad alles pärast seadete kinnitamist käsuga endale, nii käsurearežiimis kui ka veebiliideses.
Veebiliidese sätete muutmiseks kasutage jaotist Seade -> Üldsätted ja seade -> Haldusliidese sätted. Nime, bännereid, ajavööndit ja muid seadeid saab määrata jaotises Üldsätted (joonis 2).
Joonis 2 – Haldusliidese parameetrid
Kui kasutate ESXi keskkonnas virtuaalset tulemüüri, peate jaotises Üldsätted lubama hüperviisori määratud MAC-aadressi kasutamise või konfigureerima hüperviisori tulemüüri liidestel määratud MAC-aadressid või muutma virtuaalsed lülitid, mis võimaldavad MAC-il aadresse muuta. Muidu liiklus läbi ei lähe.
Haldusliides on konfigureeritud eraldi ja seda ei kuvata võrguliideste loendis. Peatükis Haldusliidese sätted määrab haldusliidese vaikelüüsi. Muud staatilised marsruudid on konfigureeritud virtuaalsete ruuterite jaotises; seda arutatakse hiljem.
Seadmele juurdepääsu lubamiseks muude liideste kaudu peate looma haldusprofiili Juhtimisprofiil lõik Võrk -> Võrguprofiilid -> Liidese haldus ja määrake see sobivale liidesele.
Järgmisena peate jaotises konfigureerima DNS ja NTP Seade -> Teenused värskenduste vastuvõtmiseks ja kellaaja õigeks kuvamiseks (joonis 3). Vaikimisi kasutab kogu tulemüüri genereeritud liiklus oma lähte-IP-aadressina haldusliidese IP-aadressi. Saate jaotises iga konkreetse teenuse jaoks määrata erineva liidese Teenindusmarsruudi konfiguratsioon.
Joonis 3 – DNS, NTP ja süsteemimarsruutide teenuse parameetrid
2. Litsentside installimine, värskenduste seadistamine ja installimine
Kõigi tulemüüri funktsioonide täielikuks kasutamiseks peate installima litsentsi. Proovilitsentsi saate kasutada, taotledes seda Palo Alto Networksi partneritelt. Selle kehtivusaeg on 30 päeva. Litsents aktiveeritakse kas faili või autentimiskoodi abil. Litsentsid on konfigureeritud jaotises Seade -> Litsentsid (Joonis 4).
Pärast litsentsi installimist peate jaotises konfigureerima värskenduste installimise Seade -> Dünaamilised värskendused.
Jaotises Seade -> Tarkvara saate alla laadida ja installida PAN-OS-i uusi versioone.
Joonis 4 – Litsentsi juhtpaneel
3. Turvatsoonide, võrguliideste, liikluspoliitikate, aadresside tõlkimise seadistamine
Palo Alto Networksi tulemüürid kasutavad võrgureeglite seadistamisel tsooniloogikat. Võrguliidesed on määratud kindlale tsoonile ja seda tsooni kasutatakse liiklusreeglites. Selline lähenemine võimaldab tulevikus liidese seadete muutmisel mitte muuta liikluseeskirju, vaid määrata vajalikud liidesed ümber vastavatesse tsoonidesse. Vaikimisi on tsoonisisene liiklus lubatud, tsoonidevaheline liiklus keelatud, selle eest vastutavad etteantud reeglid tsoonisisene vaikimisi и tsoonidevaheline vaikeseade.
Joonis 5 – Ohutustsoonid
Selles näites on tsoonile määratud sisevõrgu liides sisemine, ja tsoonile määratakse Interneti-poolne liides väline. SSL VPN-i jaoks on loodud ja tsoonile määratud tunneli liides VPN (Joonis 5).
Palo Alto Networksi tulemüüri võrguliidesed võivad töötada viies erinevas režiimis:
- Puuduta – kasutatakse liikluse kogumiseks jälgimise ja analüüsi eesmärgil
- HA – kasutatakse klastri tööks
- Virtuaalne juhe - selles režiimis ühendab Palo Alto Networks kaks liidest ja edastab liiklust nende vahel läbipaistvalt ilma MAC- ja IP-aadresse muutmata
- Layer2 - lülitusrežiim
- Layer3 - ruuteri režiim
Joonis 6 – Liidese töörežiimi seadistamine
Selles näites kasutatakse Layer3 režiimi (joonis 6). Võrguliidese parameetrid näitavad IP-aadressi, töörežiimi ja vastavat turvatsooni. Lisaks liidese töörežiimile peate selle määrama virtuaalse ruuteri virtuaalsele ruuterile, see on Palo Alto Networksi VRF-eksemplari analoog. Virtuaalsed ruuterid on üksteisest eraldatud ning neil on oma marsruutimistabelid ja võrguprotokolli sätted.
Virtuaalse ruuteri sätted määravad staatilised marsruudid ja marsruutimisprotokolli sätted. Selles näites on välisvõrkudele juurdepääsuks loodud ainult vaikemarsruut (joonis 7).
Joonis 7 – Virtuaalse ruuteri seadistamine
Järgmine seadistamise etapp on liikluspoliitika jaotis Eeskirjad -> Turvalisus. Konfiguratsiooni näide on näidatud joonisel 8. Reeglite loogika on sama, mis kõigi tulemüüride puhul. Reegleid kontrollitakse ülalt alla, kuni esimese matšini. Reeglite lühikirjeldus:
1. SSL VPN-i juurdepääs veebiportaalile. Võimaldab juurdepääsu veebiportaalile kaugühenduste autentimiseks
2. VPN-liiklus – liikluse võimaldamine kaugühenduste ja peakontori vahel
3. Põhiline Internet – dns, ping, traceroute, ntp rakenduste lubamine. Tulemüür lubab rakendusi, mis põhinevad signatuuridel, dekodeerimisel ja heuristikal, mitte pordinumbritel ja protokollidel, mistõttu on jaotises Teenus märgitud rakenduse vaikeseade. Selle rakenduse vaikeport/protokoll
4. Veebijuurdepääs – Interneti-juurdepääsu võimaldamine HTTP- ja HTTPS-protokollide kaudu ilma rakenduste juhtimiseta
5,6. Muu liikluse vaikereeglid.
Joonis 8 – Võrgureeglite seadistamise näide
NAT-i konfigureerimiseks kasutage jaotist Eeskirjad -> NAT. NAT-i konfiguratsiooni näide on näidatud joonisel 9.
Joonis 9 – NAT-i konfiguratsiooni näide
Mis tahes sisemise ja välise liikluse puhul saate muuta lähteaadressi tulemüüri väliseks IP-aadressiks ja kasutada dünaamilist pordiaadressi (PAT).
4. LDAP autentimisprofiili ja kasutaja identifitseerimisfunktsiooni konfigureerimine
Enne kasutajate ühendamist SSL-VPN-i kaudu peate konfigureerima autentimismehhanismi. Selles näites toimub Active Directory domeenikontrolleri autentimine Palo Alto Networksi veebiliidese kaudu.
Joonis 10 – LDAP profiil
Autentimise toimimiseks peate konfigureerima LDAP profiil и Autentimisprofiil. Jaos Seade -> Serveriprofiilid -> LDAP (joonis 10) peate määrama domeenikontrolleri IP-aadressi ja pordi, LDAP-i tüübi ja rühmadesse kuuluva kasutajakonto Serveri operaatorid, Sündmuste logi lugejad, Hajutatud COM-kasutajad. Siis sektsioonis Seade -> Autentimisprofiil luua autentimisprofiil (joon. 11), märkida eelnevalt loodud LDAP profiil ja vahekaardil Advanced näitame kasutajate rühma (joonis 12), kellel on lubatud kaugjuurdepääs. Oluline on parameeter oma profiilis üles märkida Kasutaja domeen, muidu grupipõhine autoriseerimine ei tööta. Väljal peab olema märgitud NetBIOS-i domeeninimi.
Joonis 11 – Autentimisprofiil
Joonis 12 – AD rühma valik
Järgmine etapp on seadistamine Seade -> Kasutajatuvastus. Siin peate määrama domeenikontrolleri IP-aadressi, ühenduse mandaadid ja konfigureerima ka sätted Luba turvalogi, Luba seanss, Luba sondeerimine (joonis 13). Peatükis Grupi kaardistamine (Joonis 14) peate märkima LDAP-is objektide tuvastamise parameetrid ja autoriseerimiseks kasutatavate rühmade loendi. Nii nagu autentimisprofiilis, tuleb ka siin määrata kasutajadomeeni parameeter.
Joonis 13 – Kasutaja kaardistamise parameetrid
Joonis 14 – Grupi kaardistamise parameetrid
Selle faasi viimane samm on VPN-tsooni ja selle tsooni liidese loomine. Peate selle valiku liidesel lubama Luba kasutajatuvastus (Joonis 15).
Joonis 15 – VPN-tsooni seadistamine
5. SSL VPN-i seadistamine
Enne SSL VPN-iga ühenduse loomist peab kaugkasutaja minema veebiportaali, autentima ja alla laadima Global Protecti kliendi. Järgmisena küsib see klient mandaate ja loob ühenduse ettevõtte võrguga. Veebiportaal töötab https-režiimis ja vastavalt sellele peate installima selle sertifikaadi. Võimalusel kasutage avalikku sertifikaati. Siis ei saa kasutaja saidil hoiatust sertifikaadi kehtetuse kohta. Kui avalikku sertifikaati ei ole võimalik kasutada, siis tuleb väljastada oma, mida kasutatakse veebilehel https jaoks. See võib olla ise allkirjastatud või välja antud kohaliku sertifitseerimisasutuse kaudu. Kaugarvutil peab olema juur- või iseallkirjastatud sertifikaat usaldusväärsete juurasutuste loendis, et kasutaja ei saaks veebiportaaliga ühenduse loomisel veateadet. See näide kasutab Active Directory sertifikaaditeenuste kaudu välja antud sertifikaati.
Sertifikaadi väljastamiseks tuleb sektsioonis luua sertifikaadipäring Seade -> Sertifikaatide haldus -> Sertifikaadid -> Loo. Päringus märgime ära sertifikaadi nimetuse ja veebiportaali IP-aadressi ehk FQDN-i (joonis 16). Pärast päringu loomist laadige alla .csr fail ja kopeerige selle sisu AD CS Web Enrollmenti veebivormi sertifikaaditaotluse väljale. Olenevalt sertifitseerimisasutuse konfiguratsioonist tuleb sertifikaaditaotlus kinnitada ja väljastatud sertifikaat vormingus alla laadida Base64 kodeeritud sertifikaat. Lisaks peate alla laadima sertifitseerimisasutuse juursertifikaadi. Seejärel peate mõlemad sertifikaadid tulemüüri importima. Veebiportaali sertifikaadi importimisel peate valima taotluse ootelolekus ja klõpsama nuppu Import. Sertifikaadi nimi peab ühtima varem päringus määratud nimega. Juursertifikaadi nime saab määrata meelevaldselt. Pärast sertifikaadi importimist peate looma SSL/TLS teenuseprofiil lõik Seade -> Sertifikaadihaldus. Profiilis märgime eelnevalt imporditud sertifikaadi.
Joonis 16 – Sertifikaadi taotlus
Järgmine samm on objektide seadistamine Global Protect Gateway и Ülemaailmne kaitseportaal lõik Võrk -> Globaalne kaitse... Seadetes Global Protect Gateway näidata nii tulemüüri välist IP-aadressi kui ka varem loodud SSL-profiil, Autentimisprofiil, tunneli liides ja kliendi IP seaded. Peate määrama IP-aadresside kogumi, kust aadress kliendile määratakse, ja Access Route - need on alamvõrgud, kuhu kliendil on marsruut. Kui ülesandeks on kogu kasutajaliiklus tulemüüri kaudu mässida, siis tuleb määrata alamvõrk 0.0.0.0/0 (joonis 17).
Joonis 17 – IP-aadresside ja marsruutide kogumi konfigureerimine
Seejärel peate konfigureerima Ülemaailmne kaitseportaal. Määrake tulemüüri IP-aadress, SSL-profiil и Autentimisprofiil ja tulemüüride väliste IP-aadresside loend, millega klient ühenduse loob. Kui tulemüüre on mitu, saate määrata igaühe jaoks prioriteedi, mille järgi kasutajad valivad tulemüüri, millega ühenduse luua.
Jaotises Seade -> GlobalProtect Client peate Palo Alto Networksi serveritest alla laadima VPN-kliendi distributsiooni ja aktiveerima selle. Ühenduse loomiseks peab kasutaja minema portaali veebilehele, kus tal palutakse alla laadida GlobalProtecti klient. Pärast allalaadimist ja installimist saate sisestada oma mandaadid ja luua ühenduse oma ettevõtte võrguga SSL VPN-i kaudu.
Järeldus
See lõpetab seadistuse osa Palo Alto Networks. Loodame, et teave oli kasulik ja lugeja sai ülevaate Palo Alto Networks kasutatavatest tehnoloogiatest. Kui teil on seadistamise kohta küsimusi ja ettepanekuid tulevaste artiklite teemade kohta, kirjutage need kommentaaridesse, vastame hea meelega.
Allikas: www.habr.com