Kaikista Palo Alto Networksin palomuurien eduista huolimatta RuNetissä ei ole paljoakaan materiaalia näiden laitteiden asennuksesta, eikä niiden käyttöönoton kokemuksia kuvaavia tekstejä. Päätimme tiivistää tämän myyjän laitteiden kanssa työskennellessämme kertyneet materiaalit ja puhua ominaisuuksista, joita kohtasimme eri projektien toteutuksen aikana.
Palo Alto Networksin esittelyssä tässä artikkelissa tarkastellaan kokoonpanoa, joka tarvitaan ratkaisemaan yksi yleisimmistä palomuuriongelmista - SSL VPN etäkäyttöä varten. Puhumme myös yleisen palomuurikokoonpanon aputoiminnoista, käyttäjän tunnistamisesta, sovelluksista ja suojauskäytännöistä. Jos aihe kiinnostaa lukijoita, julkaisemme jatkossa Site-to-Site VPN:ää, dynaamista reititystä ja Panoraman avulla keskitettyä hallintaa analysoivia materiaaleja.
Palo Alto Networksin palomuurit käyttävät useita innovatiivisia teknologioita, mukaan lukien App-ID, User-ID ja Content-ID. Tämän toiminnon käyttö mahdollistaa korkean tietoturvatason. Esimerkiksi App-ID:llä on mahdollista tunnistaa sovellusliikenne allekirjoitusten, dekoodauksen ja heuristiikan perusteella käytetystä portista ja protokollasta riippumatta, myös SSL-tunnelin sisällä. User ID:n avulla voit tunnistaa verkon käyttäjät LDAP-integraation avulla. Content-ID mahdollistaa liikenteen skannauksen ja siirrettyjen tiedostojen ja niiden sisällön tunnistamisen. Muita palomuuritoimintoja ovat tunkeutumissuojaus, suojaus haavoittuvuuksilta ja DoS-hyökkäyksiltä, sisäänrakennettu vakoiluohjelmien torjunta, URL-suodatus, klusterointi ja keskitetty hallinta.
Demonstraatiossa käytämme eristettyä telinettä, jonka kokoonpano on identtinen todellisen kanssa, lukuun ottamatta laitenimiä, AD-verkkotunnusta ja IP-osoitteita. Todellisuudessa kaikki on monimutkaisempaa - haaroja voi olla monia. Tässä tapauksessa yhden palomuurin sijasta keskitettyjen toimipisteiden rajoille asennetaan klusteri, ja dynaaminen reititys saattaa myös olla tarpeen.
Käytetty telineessä PAN-OS 7.1.9. Tyypillisenä kokoonpanona harkitse verkkoa, jonka reunassa on Palo Alto Networks -palomuuri. Palomuuri tarjoaa etäyhteyden SSL VPN:ään pääkonttoriin. Active Directory -toimialuetta käytetään käyttäjätietokantana (kuva 1).
Kuva 1 – Verkon lohkokaavio
Asennusvaiheet:
- Laitteen esikonfigurointi. Nimen, hallinnan IP-osoitteen, staattisten reittien, järjestelmänvalvojan tilien, hallintaprofiilien asettaminen
- Lisenssien asennus, konfigurointi ja päivitysten asentaminen
- Turvavyöhykkeiden konfigurointi, verkkoliitännät, liikennekäytännöt, osoitteenmuunnos
- LDAP-todennusprofiilin ja käyttäjän tunnistusominaisuuden määrittäminen
- SSL VPN:n määrittäminen
1. Esiasetus
Palo Alto Networksin palomuurin konfiguroinnin päätyökalu on verkkokäyttöliittymä, ja myös hallinta CLI:n kautta on mahdollista. Oletuksena hallintaliittymäksi on asetettu IP-osoite 192.168.1.1/24, sisäänkirjautuminen: admin, salasana: admin.
Voit muuttaa osoitetta joko muodostamalla yhteyden verkkoliittymään samasta verkosta tai käyttämällä komentoa aseta deviceconfig järjestelmän ip-osoite <> verkkopeite <>. Se suoritetaan konfigurointitilassa. Vaihda konfigurointitilaan käyttämällä komentoa määrittää. Kaikki palomuurin muutokset tapahtuvat vasta, kun asetukset on vahvistettu komennolla sitoutumaan, sekä komentorivitilassa että verkkokäyttöliittymässä.
Jos haluat muuttaa verkkokäyttöliittymän asetuksia, käytä osiota Laite -> Yleiset asetukset ja laite -> Hallintaliittymän asetukset. Nimi, bannerit, aikavyöhyke ja muut asetukset voidaan määrittää Yleiset asetukset -osiossa (kuva 2).
Kuva 2 – Hallintaliittymän parametrit
Jos käytät virtuaalista palomuuria ESXi-ympäristössä, sinun tulee Yleiset asetukset -osiossa ottaa käyttöön hypervisorin määrittämän MAC-osoitteen käyttö tai määrittää hypervisorin palomuuriliitännöissä määritetyt MAC-osoitteet tai muuttaa asetuksia. virtuaaliset kytkimet, jotta MAC muuttaa osoitteita. Muuten liikenne ei kulje läpi.
Hallintaliitäntä konfiguroidaan erikseen, eikä sitä näytetä verkkoliitäntöjen luettelossa. Luvussa Hallintaliittymän asetukset määrittää hallintaliittymän oletusyhdyskäytävän. Muut staattiset reitit konfiguroidaan virtuaalireitittimet-osiossa; tästä keskustellaan myöhemmin.
Jos haluat sallia pääsyn laitteeseen muiden liitäntöjen kautta, sinun on luotava hallintaprofiili Hallintoprofiili Luvussa Verkko -> Verkkoprofiilit -> Liitäntähallinta ja määritä se sopivaan käyttöliittymään.
Seuraavaksi sinun on määritettävä DNS ja NTP osiossa Laite -> Palvelut vastaanottaaksesi päivitykset ja näyttääksesi ajan oikein (kuva 3). Oletuksena kaikki palomuurin tuottama liikenne käyttää hallintaliittymän IP-osoitetta lähde-IP-osoitteena. Voit määrittää osiossa jokaiselle palvelulle eri käyttöliittymän Palvelureitin konfigurointi.
Kuva 3 – DNS-, NTP- ja järjestelmäreitityspalvelun parametrit
2. Lisenssien asennus, päivitysten määrittäminen ja asentaminen
Jotta kaikki palomuurin toiminnot toimisivat täysin, sinun on asennettava lisenssi. Voit käyttää kokeilulisenssiä pyytämällä sitä Palo Alto Networksin yhteistyökumppaneilta. Sen voimassaoloaika on 30 päivää. Lisenssi aktivoidaan joko tiedoston kautta tai Auth-Codella. Lisenssit määritetään osiossa Laite -> Lisenssit (Kuvio 4).
Lisenssin asennuksen jälkeen sinun on määritettävä päivitysten asennus osiossa Laite -> Dynaamiset päivitykset.
Luokasta Laite -> Ohjelmisto voit ladata ja asentaa uusia PAN-OS-versioita.
Kuva 4 – Lisenssin ohjauspaneeli
3. Turvavyöhykkeiden konfigurointi, verkkoliitännät, liikennekäytännöt, osoitteen käännös
Palo Alto Networksin palomuurit käyttävät vyöhykelogiikkaa määrittäessään verkkosääntöjä. Verkkoliitännät on määritetty tietylle vyöhykkeelle, ja tätä vyöhykettä käytetään liikennesäännöissä. Tämä lähestymistapa mahdollistaa jatkossa rajapinta-asetuksia muutettaessa liikennesääntöjen muuttamisen, vaan tarvittavien rajapintojen osoittamisen uudelleen asianmukaisille vyöhykkeille. Oletuksena vyöhykkeen sisäinen liikenne on sallittu, vyöhykkeiden välinen liikenne kielletty, ennalta määritellyt säännöt ovat vastuussa tästä intrazone-oletus и alueiden välinen oletusasetus.
Kuva 5 – Turvavyöhykkeet
Tässä esimerkissä vyöhykkeelle on määritetty sisäisen verkon liitäntä sisäinen, ja Internetiin päin oleva käyttöliittymä on määritetty vyöhykkeelle ulkoinen. SSL VPN:lle tunnelirajapinta on luotu ja määritetty vyöhykkeelle VPN (Kuvio 5).
Palo Alto Networksin palomuuriverkkoliitännät voivat toimia viidessä eri tilassa:
- Napauttaa – käytetään keräämään liikennettä seurantaa ja analysointia varten
- HA – käytetään klusteritoimintaan
- Virtuaalinen lanka – Tässä tilassa Palo Alto Networks yhdistää kaksi rajapintaa ja siirtää liikennettä läpinäkyvästi niiden välillä muuttamatta MAC- ja IP-osoitteita
- Layer2 – vaihtotila
- Layer3 – reititintila
Kuva 6 – Käyttöliittymän toimintatilan asettaminen
Tässä esimerkissä käytetään Layer3-tilaa (kuva 6). Verkkoliitännän parametrit osoittavat IP-osoitteen, toimintatilan ja vastaavan suojavyöhykkeen. Käyttöliittymän toimintatilan lisäksi se on määritettävä Virtual Router -virtuaalireitittimelle, tämä on Palo Alto Networksin VRF-ilmentymän analogi. Virtuaalireitittimet on eristetty toisistaan ja niillä on omat reititystaulukot ja verkkoprotokolla-asetukset.
Virtuaalireitittimen asetukset määrittävät staattiset reitit ja reititysprotokollan asetukset. Tässä esimerkissä ulkoisiin verkkoihin pääsyä varten on luotu vain oletusreitti (kuva 7).
Kuva 7 – Virtuaalireitittimen asettaminen
Seuraava määritysvaihe on liikennekäytännöt, osio Käytännöt -> Turvallisuus. Esimerkki kokoonpanosta on esitetty kuvassa 8. Sääntöjen logiikka on sama kuin kaikissa palomuurissa. Säännöt tarkistetaan ylhäältä alas, ensimmäiseen otteluun asti. Lyhyt kuvaus säännöistä:
1. SSL VPN -pääsy verkkoportaaliin. Antaa pääsyn verkkoportaaliin etäyhteyksien todentamiseksi
2. VPN-liikenne – mahdollistaa liikenteen etäyhteyksien ja pääkonttorin välillä
3. Basic Internet – mahdollistaa dns-, ping-, traceroute- ja ntp-sovellukset. Palomuuri sallii sovellukset, jotka perustuvat allekirjoituksiin, dekoodaukseen ja heuristiikkaan porttinumeroiden ja protokollien sijaan, minkä vuoksi Palvelu-osiossa lukee sovellusoletus. Tämän sovelluksen oletusportti/protokolla
4. Web Access – mahdollistaa Internet-yhteyden HTTP- ja HTTPS-protokollien kautta ilman sovellushallintaa
5,6. Muun liikenteen oletussäännöt.
Kuva 8 – Esimerkki verkkosääntöjen määrittämisestä
Määritä NAT käyttämällä kohtaa Käytännöt -> NAT. Esimerkki NAT-kokoonpanosta on esitetty kuvassa 9.
Kuva 9 – Esimerkki NAT-kokoonpanosta
Kaikessa sisäisessä ja ulkoisessa liikenteessä voit muuttaa lähdeosoitteen palomuurin ulkoiseksi IP-osoitteeksi ja käyttää dynaamista porttiosoitetta (PAT).
4. LDAP-todennusprofiilin ja käyttäjän tunnistustoiminnon määrittäminen
Ennen kuin yhdistät käyttäjiä SSL-VPN:n kautta, sinun on määritettävä todennusmekanismi. Tässä esimerkissä todennus tapahtuu Active Directory -toimialueen ohjaimelle Palo Alto Networks -verkkoliittymän kautta.
Kuva 10 – LDAP-profiili
Jotta todennus toimisi, sinun on määritettävä LDAP-profiili и Todennusprofiili. Kohdassa Laite -> Palvelinprofiilit -> LDAP (Kuva 10) sinun on määritettävä toimialueen ohjaimen IP-osoite ja portti, LDAP-tyyppi ja ryhmiin sisältyvä käyttäjätili Palvelinoperaattorit, Tapahtumalokin lukijat, Hajautetut COM-käyttäjät. Sitten osiossa Laite -> Todennusprofiili luo todennusprofiili (kuva 11), merkitse aiemmin luotu LDAP-profiili ja Lisäasetukset-välilehdellä osoitamme käyttäjäryhmän (kuva 12), joille on sallittu etäkäyttö. On tärkeää merkitä parametri profiiliisi Käyttäjän verkkotunnus, muuten ryhmäpohjainen valtuutus ei toimi. Kentässä on ilmoitettava NetBIOS-toimialueen nimi.
Kuva 11 – Todennusprofiili
Kuva 12 – AD-ryhmän valinta
Seuraava vaihe on asennus Laite -> Käyttäjän tunnistus. Täällä sinun on määritettävä toimialueen ohjaimen IP-osoite, yhteystiedot ja myös määritettävä asetukset Ota suojausloki käyttöön, Ota istunto käyttöön, Ota mittaus käyttöön (Kuva 13). Luvussa Ryhmäkartoitus (Kuva 14) sinun on huomioitava parametrit LDAP-objektien tunnistamiseksi ja luettelo ryhmistä, joita käytetään valtuutukseen. Aivan kuten todennusprofiilissa, tässä sinun on asetettava User Domain -parametri.
Kuva 13 – User Mapping -parametrit
Kuva 14 – Ryhmäkartoituksen parametrit
Viimeinen vaihe tässä vaiheessa on VPN-vyöhykkeen ja rajapinnan luominen tälle vyöhykkeelle. Sinun on otettava vaihtoehto käyttöön käyttöliittymässä Ota käyttäjätunnistus käyttöön (Kuvio 15).
Kuva 15 – VPN-vyöhykkeen määrittäminen
5. SSL VPN:n määrittäminen
Ennen yhteyden muodostamista SSL VPN:ään etäkäyttäjän on mentävä verkkoportaaliin, todennettava ja ladattava Global Protect -asiakas. Seuraavaksi tämä asiakas pyytää valtuustietoja ja muodostaa yhteyden yritysverkkoon. Verkkoportaali toimii https-tilassa ja vastaavasti sinun on asennettava varmenne sille. Käytä julkista varmennetta, jos mahdollista. Tällöin käyttäjä ei saa varoitusta sivustolla olevan varmenteen pätemättömyydestä. Jos julkisen varmenteen käyttäminen ei ole mahdollista, sinun on myönnettävä oma, jota käytetään https:n verkkosivulla. Se voidaan allekirjoittaa itse tai myöntää paikallisen varmenneviranomaisen kautta. Etätietokoneella on oltava pääsertifikaatti tai itse allekirjoitettu varmenne luotettujen päävaltuuksien luettelossa, jotta käyttäjä ei saa virheilmoitusta muodostaessaan yhteyttä verkkoportaaliin. Tässä esimerkissä käytetään Active Directory -varmennepalveluiden kautta myönnettyä varmennetta.
Varmenteen myöntämiseksi sinun on luotava varmennepyyntö osioon Laite -> Varmenteiden hallinta -> Varmenteet -> Luo. Pyynnössä ilmoitamme varmenteen nimen ja verkkoportaalin IP-osoitteen tai FQDN:n (kuva 16). Kun olet luonut pyynnön, lataa .csr tiedosto ja kopioi sen sisältö AD CS Web Enrollment -verkkolomakkeen varmennepyyntökenttään. Varmenteen myöntäjän konfiguraatiosta riippuen varmennepyyntö on hyväksyttävä ja myönnetty varmenne on ladattava muodossa Base64-koodattu sertifikaatti. Lisäksi sinun on ladattava varmenneviranomaisen juurivarmenne. Sitten sinun on tuotava molemmat varmenteet palomuuriin. Kun tuot varmennetta verkkoportaaliin, sinun on valittava pyyntö odotustilassa ja napsautettava tuontia. Varmenteen nimen on vastattava aiemmin pyynnössä määritettyä nimeä. Juurivarmenteen nimi voidaan määrittää mielivaltaisesti. Varmenteen tuomisen jälkeen sinun on luotava SSL/TLS-palveluprofiili Luvussa Laite -> Varmenteiden hallinta. Ilmoitamme profiilissa aiemmin tuodun varmenteen.
Kuva 16 – Varmennepyyntö
Seuraava vaihe on objektien asettaminen Global Protect Gateway и Globaali suojaportaali Luvussa Verkko -> Global Protect. Asetuksissa Global Protect Gateway ilmoittaa palomuurin ulkoisen IP-osoitteen sekä aiemmin luodun SSL-profiili, Todennusprofiili, tunnelin käyttöliittymä ja asiakkaan IP-asetukset. Sinun on määritettävä IP-osoitteiden joukko, josta osoite osoitetaan asiakkaalle, ja Access Route - nämä ovat aliverkot, joihin asiakkaalla on reitti. Jos tehtävänä on kääriä kaikki käyttäjäliikenne palomuurin läpi, sinun on määritettävä aliverkko 0.0.0.0/0 (kuva 17).
Kuva 17 – IP-osoitteiden ja reittien joukon määrittäminen
Sitten sinun on määritettävä Globaali suojaportaali. Määritä palomuurin IP-osoite, SSL-profiili и Todennusprofiili ja luettelo palomuurien ulkoisista IP-osoitteista, joihin asiakas muodostaa yhteyden. Jos palomuureja on useita, voit asettaa kullekin prioriteetin, jonka mukaan käyttäjät valitsevat palomuurin, johon muodostavat yhteyden.
Luokasta Laite -> GlobalProtect Client sinun on ladattava VPN-asiakasjakelu Palo Alto Networksin palvelimilta ja aktivoitava se. Yhdistääkseen käyttäjän on mentävä portaalin verkkosivulle, josta häntä pyydetään lataamaan GlobalProtect Client. Kun olet ladannut ja asentanut, voit syöttää kirjautumistietosi ja muodostaa yhteyden yrityksesi verkkoon SSL VPN:n kautta.
Johtopäätös
Tämä täydentää asennuksen Palo Alto Networks -osan. Toivomme, että tiedoista oli hyötyä ja lukija sai ymmärrystä Palo Alto Networksin käyttämistä teknologioista. Jos sinulla on kysymyksiä asetuksista ja ehdotuksia tulevien artikkeleiden aiheista, kirjoita ne kommentteihin, vastaamme mielellämme.
Lähde: will.com