Palo Alto Networks-en suebakien abantaila guztiak izan arren, RuNet-en ez dago gailu hauek konfiguratzeko material handirik, baita haien ezarpenaren esperientzia deskribatzen duten testurik ere. Saltzaile honen ekipamenduarekin lanean zehar metatu ditugun materialak laburbiltzea erabaki dugu eta hainbat proiekturen ezarpenean aurkitu ditugun ezaugarriei buruz hitz egitea.
Palo Alto Networks-en ezagutzera emateko, artikulu honek suebaki-arazo ohikoenetako bat konpontzeko beharrezkoa den konfigurazioa aztertuko du: urruneko sarbidea izateko SSL VPN. Suebakiaren konfigurazio orokorraren, erabiltzaileen identifikazioaren, aplikazioen eta segurtasun politiken erabilgarritasun-funtzioei buruz ere hitz egingo dugu. Gaia irakurleentzat interesgarria bada, etorkizunean Site-to-Site VPN, bideratze dinamikoa eta kudeaketa zentralizatua Panorama erabiliz aztertzeko materialak kaleratuko ditugu.
Palo Alto Networks suebakiek teknologia berritzaile ugari erabiltzen dituzte, besteak beste, App-ID, User-ID, Content-ID. Funtzionalitate honen erabilerak segurtasun maila altua bermatzeko aukera ematen du. Esaterako, App-ID-rekin aplikazioen trafikoa sinadura, deskodeketa eta heuristikoen arabera identifikatzea posible da, erabilitako ataka eta protokoloa edozein dela ere, SSL tunel baten barruan barne. User-ID-ek sareko erabiltzaileak identifikatzeko aukera ematen dizu LDAP integrazioaren bidez. Content-ID-ek trafikoa eskaneatu eta transmititutako fitxategiak eta haien edukiak identifikatzea ahalbidetzen du. Suebakiaren beste funtzio batzuk intrusioen babesa, ahultasunen eta DoS erasoen aurkako babesa, anti-spyware integratua, URL iragaztea, clustering-a eta kudeaketa zentralizatua dira.
Erakustaldia egiteko, stand isolatu bat erabiliko dugu, benetakoaren konfigurazio berdina duena, gailuen izenak, AD domeinu izena eta IP helbideak izan ezik. Egia esan, dena konplikatuagoa da - adar asko egon daitezke. Kasu honetan, suebaki bakarraren ordez, kluster bat instalatuko da gune zentralen mugetan, eta bideratze dinamikoa ere beharrezkoa izan daiteke.
Standean erabiltzen da PAN-OS 7.1.9. Konfigurazio arrunt gisa, kontuan hartu ertzean Palo Alto Networks suebakia duen sarea. Suebakiak urruneko SSL VPN sarbidea eskaintzen du egoitza nagusian. Active Directory domeinua erabiltzaileen datu-base gisa erabiliko da (1. irudia).
1. Irudia β Sarearen bloke-diagrama
Konfiguratzeko urratsak:
- Gailuaren aurrekonfigurazioa. Izena, kudeaketa IP helbidea, ibilbide estatikoak, administratzaile kontuak, kudeaketa profilak ezartzea
- Lizentziak instalatzea, eguneratzeak konfiguratzea eta instalatzea
- Segurtasun-eremuak, sare-interfazeak, trafiko-politikak, helbideen itzulpena konfiguratzea
- LDAP autentifikazio-profila eta erabiltzailearen identifikazio-eginbidea konfiguratzea
- SSL VPN bat konfiguratzea
1. Aurrez ezarrita
Palo Alto Networks suebakia konfiguratzeko tresna nagusia web interfazea da; CLI bidez kudeatzea ere posible da. Lehenespenez, kudeaketa interfazea 192.168.1.1/24 IP helbidean ezarrita dago, saioa hasteko: admin, pasahitza: admin.
Helbidea alda dezakezu sare beretik web interfazera konektatuz edo komandoa erabiliz ezarri deviceconfig sistemaren ip-helbidea <> sare-maskara <>. Konfigurazio moduan egiten da. Konfigurazio modura aldatzeko, erabili komandoa konfiguratzeko. Suebakiaren aldaketa guztiak komandoak ezarpenak berretsi ondoren bakarrik gertatzen dira konpromisoa, komando-lerroko moduan eta web-interfazean.
Web interfazearen ezarpenak aldatzeko, erabili atala Gailua -> Ezarpen orokorrak eta Gailua -> Kudeaketa interfazearen ezarpenak. Izena, pankartak, ordu-eremua eta bestelako ezarpenak Ezarpen Orokorrak atalean ezarri daitezke (2. irudia).
2. Irudia β Kudeaketa interfazearen parametroak
ESXi ingurune batean suebaki birtual bat erabiltzen baduzu, Ezarpen Orokorrak atalean hipervisoreak esleitutako MAC helbidearen erabilera gaitu behar duzu, edo hipervisoreko suebakien interfazeetan zehaztutako MAC helbideak konfiguratu edo ezarpenak aldatu. etengailu birtualak MAC helbideak aldatzeko aukera emateko. Bestela, trafikoa ez da igaroko.
Kudeaketa interfazea bereiz konfiguratuta dago eta ez da sareko interfazeen zerrendan bistaratzen. kapituluan Kudeaketa Interfazearen ezarpenak kudeaketa interfazearen atebide lehenetsia zehazten du. Beste bide estatiko batzuk bideratzaile birtualen atalean konfiguratzen dira; hau aurrerago aztertuko da.
Gailurako sarbidea beste interfaze batzuen bidez baimentzeko, kudeaketa-profil bat sortu behar duzu Kudeaketa-profila Atal Sarea -> Sare-profilak -> Interfazearen kudeaketa eta dagokion interfazeari esleitu.
Ondoren, DNS eta NTP konfiguratu behar dituzu atalean Gailua -> Zerbitzuak eguneraketak jasotzeko eta ordua behar bezala bistaratzeko (3. irudia). Lehenespenez, suebakiak sortutako trafiko guztiak kudeaketa-interfazearen IP helbidea erabiltzen du iturriko IP helbide gisa. Zerbitzu zehatz bakoitzerako interfaze ezberdin bat esleitu dezakezu atalean Zerbitzu-ibilbidearen konfigurazioa.
3. Irudia - DNS, NTP eta sistema-ibilbideen zerbitzu-parametroak
2. Lizentziak instalatzea, eguneratzeak konfiguratzea eta instalatzea
Suebakiaren funtzio guztiak guztiz funtzionatzeko, lizentzia bat instalatu behar duzu. Probako lizentzia bat erabil dezakezu Palo Alto Networks-eko bazkideei eskatuz. Bere indarraldia 30 egunekoa da. Lizentzia fitxategi baten bidez edo Auth-Code erabiliz aktibatzen da. Lizentziak atalean konfiguratzen dira Gailua -> Lizentzia (Irudia 4).
Lizentzia instalatu ondoren, eguneratzeen instalazioa konfiguratu behar duzu atalean Gailua -> Eguneratze dinamikoak.
Atalean Gailua -> Softwarea PAN-OS-en bertsio berriak deskargatu eta instala ditzakezu.
4. Irudia - Lizentziaren kontrol-panela
3. Segurtasun-eremuak, sare-interfazeak, trafiko-politikak, helbideen itzulpena konfiguratzea
Palo Alto Networks suebakiek zona-logika erabiltzen dute sare-arauak konfiguratzerakoan. Sare-interfazeak eremu zehatz bati esleitzen zaizkio, eta zona hori trafiko-arauetan erabiltzen da. Ikuspegi honek aukera ematen du etorkizunean, interfazearen ezarpenak aldatzean, trafiko-arauak ez aldatzea, baizik eta beharrezkoak diren interfazeak eremu egokietara berriro esleitzea. Lehenespenez, eremu baten barruko trafikoa onartzen da, guneen arteko trafikoa debekatuta dago, aurrez zehaztutako arauak dira horren ardura intrazona-lehenetsia ΠΈ interzone-lehenetsia.
5. Irudia β Segurtasun-eremuak
Adibide honetan, barruko sareko interfaze bat esleitzen zaio zonari barne, eta Internetera begira dagoen interfazea eremuari esleitzen zaio kanpoko. SSL VPNrako, tunel interfaze bat sortu da eta zonari esleitu zaio VPN (Irudia 5).
Palo Alto Networks suebaki sareko interfazeek bost modu desberdinetan funtziona dezakete:
- Ukitu β Trafikoa biltzeko erabiltzen da monitorizazio eta azterketa helburuetarako
- HA β Kluster funtzionatzeko erabiltzen da
- Hari birtuala - Modu honetan, Palo Alto Networks-ek bi interfaze konbinatzen ditu eta haien arteko trafikoa gardenki pasatzen du MAC eta IP helbideak aldatu gabe
- Layer2 - aldatzeko modua
- Layer3 - Router modua
6. Irudia - Interfazearen funtzionamendu-modua ezartzea
Adibide honetan, Layer3 modua erabiliko da (6. irudia). Sare-interfazearen parametroek IP helbidea, funtzionamendu-modua eta dagokion segurtasun-eremua adierazten dute. Interfazearen funtzionamendu moduaz gain, Virtual Router bideratzaile birtualari esleitu behar diozu, hau Palo Alto Networks-en VRF instantzia baten analogoa da. Bideratzaile birtualak elkarrengandik isolatuta daude eta bideratze-taulak eta sareko protokolo-ezarpenak dituzte.
Bideratzaile birtualeko ezarpenek bide estatikoak eta bideratze protokoloaren ezarpenak zehazten dituzte. Adibide honetan, kanpoko sareetara sartzeko bide lehenetsi bat baino ez da sortu (7. irudia).
7. Irudia - Bideratzaile birtual bat konfiguratzea
Hurrengo konfigurazio-etapa trafiko-politikak dira, atala Politikak -> Segurtasuna. 8. Irudian konfigurazioaren adibide bat ageri da. Arauen logika suebaki guztien berdina da. Arauak goitik behera egiaztatzen dira, lehenengo partidara arte. Arauen deskribapen laburra:
1. SSL VPN Web Atarirako sarbidea. Web atarirako sarbidea baimentzen du urruneko konexioak autentifikatzeko
2. VPN trafikoa: urruneko konexioen eta egoitza nagusiaren arteko trafikoa ahalbidetzen du
3. Oinarrizko Internet - dns, ping, traceroute, ntp aplikazioak baimenduz. Suebakiak sinadura, deskodeketa eta heuristikoetan oinarritutako aplikazioak ahalbidetzen ditu ataka-zenbakiak eta protokoloak baino, horregatik Zerbitzuaren atalean aplikazioa lehenetsia dio. Aplikazio honen ataka/protokolo lehenetsia
4. Web Sarbidea - Interneterako sarbidea HTTP eta HTTPS protokoloen bidez ahalbidetzen du aplikazioak kontrolatu gabe
5,6. Beste trafikorako arau lehenetsiak.
8. Irudia β Sare-arauen ezarpenaren adibidea
NAT konfiguratzeko, erabili atala Politikak -> NAT. NAT konfigurazioaren adibide bat 9. irudian ageri da.
9. Irudia - NAT konfigurazioaren adibidea
Barnetik kanpoko edozein trafikorako, iturburu-helbidea suebakiaren kanpoko IP helbidera alda dezakezu eta ataka-helbide dinamikoa (PAT) erabil dezakezu.
4. LDAP autentifikazio-profila eta erabiltzailearen identifikazio-funtzioa konfiguratzea
Erabiltzaileak SSL-VPN bidez konektatu aurretik, autentifikazio mekanismo bat konfiguratu behar duzu. Adibide honetan, autentifikazioa Active Directory domeinu-kontrolatzailean gertatuko da Palo Alto Networks web-interfazearen bidez.
10. Irudia β LDAP profila
Autentifikazioak funtziona dezan, konfiguratu behar duzu LDAP profila ΠΈ Autentifikazio-profila. Atalean Gailua -> Zerbitzariaren profilak -> LDAP (10. irudia) taldeetan sartutako domeinu-kontrolatzailearen IP helbidea eta ataka, LDAP mota eta erabiltzaile-kontua zehaztu behar dituzu. Zerbitzari-operadoreak, Gertaeren erregistroen irakurgailuak, Banatutako COM erabiltzaileak. Ondoren atalean Gailua -> Autentifikazio-profila sortu autentifikazio-profil bat (11. irud.), markatu aurretik sortutakoa LDAP profila eta Aurreratua fitxan urruneko sarbidea onartzen duten erabiltzaile-taldea (12. irudia) adieraziko dugu. Garrantzitsua da zure profilean parametroa kontuan hartzea Erabiltzailearen Domeinua, bestela taldean oinarritutako baimenak ez du funtzionatuko. Eremuak NetBIOS domeinu-izena adierazi behar du.
11. Irudia β Autentifikazio-profila
12. Irudia β AD taldearen hautaketa
Hurrengo etapa konfigurazioa da Gailua -> Erabiltzailearen identifikazioa. Hemen domeinu-kontrolatzailearen IP helbidea, konexio-kredentzialak eta ezarpenak ere konfiguratu behar dituzu Gaitu segurtasun erregistroa, Gaitu saioa, Gaitu Probing (13. irud.). kapituluan Taldeen mapak (14. irudia) LDAP-en objektuak identifikatzeko parametroak eta baimenerako erabiliko diren taldeen zerrenda kontuan hartu behar dituzu. Autentifikazio-profilean bezala, hemen Erabiltzaile-domeinuaren parametroa ezarri behar duzu.
13. Irudia β Erabiltzaileen mapak egiteko parametroak
14. irudia β Taldeen mapa-parametroak
Fase honetako azken urratsa VPN gune bat eta zona horretarako interfaze bat sortzea da. Interfazean aukera gaitu behar duzu Gaitu erabiltzaileen identifikazioa (Irudia 15).
15. Irudia - VPN gune bat konfiguratzea
5. SSL VPN konfiguratzea
SSL VPN batera konektatu aurretik, urruneko erabiltzaileak web atarira joan behar du, autentifikatu eta Global Protect bezeroa deskargatu. Ondoren, bezero honek kredentzialak eskatuko ditu eta sare korporatibora konektatuko du. Web atariak https moduan funtzionatzen du eta, horren arabera, horretarako ziurtagiri bat instalatu behar duzu. Erabili ziurtagiri publikoa ahal izanez gero. Orduan, erabiltzaileak ez du webguneko ziurtagiriaren baliogabetasunari buruzko abisurik jasoko. Ziurtagiri publiko bat erabili ezinezkoa bada, zurea eman behar duzu, https-ren web orrian erabiliko dena. Auto-sinatua izan daiteke edo tokiko agintaritza ziurtagiri-emaile baten bidez eman daiteke. Urruneko ordenagailuak erro edo autosinatutako ziurtagiri bat izan behar du konfiantzazko root agintarien zerrendan, erabiltzaileak web atarira konektatzean errorerik jaso ez dezan. Adibide honetan Active Directory Ziurtagiri Zerbitzuen bidez emandako ziurtagiri bat erabiliko da.
Ziurtagiri bat emateko, ziurtagiri eskaera bat sortu behar duzu atalean Gailua -> Ziurtagirien kudeaketa -> Ziurtagiriak -> Sortu. Eskaeran ziurtagiriaren izena eta web atariaren IP helbidea edo FQDNa adieraziko dugu (16. irud.). Eskaera sortu ondoren, deskargatu .csr artxibatu eta kopiatu bere edukia AD CS Web Matrikula web-inprimakiko ziurtagiri-eskaera eremuan. Autoritate ziurtagiri-emailea konfiguratzen denaren arabera, ziurtagiri-eskaera onartu eta igorritako ziurtagiria formatuan deskargatu behar da. Base64 Kodetutako Ziurtagiria. Gainera, ziurtagiri-agintaritzaren erro-ziurtagiria deskargatu behar duzu. Ondoren, bi ziurtagiriak suebakira inportatu behar dituzu. Web-atari baterako ziurtagiri bat inportatzerakoan, eskaera hautatu behar duzu zain dagoen egoeran eta sakatu inportatu. Ziurtagiriaren izenak eskaeran lehenago zehaztutako izenarekin bat etorri behar du. Erro-ziurtagiriaren izena nahitaez zehaztu daiteke. Ziurtagiria inportatu ondoren, sortu behar duzu SSL/TLS zerbitzu-profila Atal Gailua -> Ziurtagirien kudeaketa. Profilean aurretik inportatutako ziurtagiria adierazten dugu.
16. irudia β Ziurtagiriaren eskaera
Hurrengo urratsa objektuak konfiguratzea da Global Protect Gateway ΠΈ Global Protect ataria Atal Sarea -> Global Protect... Ezarpenetan Global Protect Gateway adierazi suebakiaren kanpoko IP helbidea, baita aurretik sortutakoa ere SSL profila, Autentifikazio-profila, tunelaren interfazea eta bezeroaren IP ezarpenak. Bezeroari helbidea esleituko zaion IP helbide multzo bat zehaztu behar duzu eta Sarbide Ibilbidea - hauek dira bezeroak ibilbide bat izango duen azpisareak. Erabiltzaileen trafiko guztia suebaki baten bidez biltzea bada, orduan 0.0.0.0/0 azpisarea zehaztu behar duzu (17. irudia).
17. Irudia - IP helbide eta ibilbideen multzoa konfiguratzea
Ondoren, konfiguratu behar duzu Global Protect ataria. Zehaztu suebakiaren IP helbidea, SSL profila ΠΈ Autentifikazio-profila eta bezeroa konektatuko den suebakien kanpoko IP helbideen zerrenda. Hainbat suebaki badaude, bakoitzaren lehentasun bat ezar dezakezu, eta, horren arabera, erabiltzaileek konektatzeko suebaki bat aukeratuko dute.
Atalean Gailua -> GlobalProtect Bezeroa VPN bezeroaren banaketa Palo Alto Networks zerbitzarietatik deskargatu eta aktibatu behar duzu. Konektatzeko, erabiltzaileak atariko web orrialdera joan behar du, eta bertan deskargatzeko eskatuko zaio GlobalProtect bezeroa. Deskargatu eta instalatu ondoren, zure kredentzialak sartu eta zure enpresa-sarera konekta zaitezke SSL VPN bidez.
Ondorioa
Honek Palo Alto Networks konfigurazioaren zatia osatzen du. Espero dugu informazioa erabilgarria izatea eta irakurleak Palo Alto Networks-en erabiltzen diren teknologiak ulertzea. Etorkizuneko artikuluetarako konfigurazioari eta iradokizunei buruzko galderarik baduzu, idatzi iruzkinetan, pozik erantzungo dugu.
Iturria: www.habr.com