Malgré tous les avantages des pare-feu Palo Alto Networks, il n'y a pas beaucoup de matériel sur RuNet sur la configuration de ces appareils, ainsi que des textes décrivant l'expérience de leur mise en œuvre. Nous avons décidé de résumer le matériel que nous avons accumulé au cours de notre travail avec les équipements de ce fournisseur et de parler des fonctionnalités que nous avons rencontrées lors de la mise en œuvre de divers projets.
Pour vous présenter Palo Alto Networks, cet article examinera la configuration requise pour résoudre l'un des problèmes de pare-feu les plus courants : le VPN SSL pour l'accès à distance. Nous parlerons également des fonctions utilitaires pour la configuration générale du pare-feu, l'identification des utilisateurs, les applications et les politiques de sécurité. Si le sujet intéresse les lecteurs, nous publierons à l'avenir des documents analysant le VPN site à site, le routage dynamique et la gestion centralisée à l'aide de Panorama.
Les pare-feu de Palo Alto Networks utilisent un certain nombre de technologies innovantes, notamment App-ID, User-ID et Content-ID. L'utilisation de cette fonctionnalité vous permet d'assurer un haut niveau de sécurité. Par exemple, avec App-ID, il est possible d'identifier le trafic applicatif sur la base de signatures, de décodages et d'heuristiques, quels que soient le port et le protocole utilisés, y compris à l'intérieur d'un tunnel SSL. L'ID utilisateur vous permet d'identifier les utilisateurs du réseau via l'intégration LDAP. Content-ID permet d'analyser le trafic et d'identifier les fichiers transmis et leur contenu. Les autres fonctions de pare-feu incluent la protection contre les intrusions, la protection contre les vulnérabilités et les attaques DoS, l'anti-spyware intégré, le filtrage d'URL, le clustering et la gestion centralisée.
Pour la démonstration, nous utiliserons un stand isolé, avec une configuration identique au réel, à l'exception des noms d'appareils, du nom de domaine AD et des adresses IP. En réalité, tout est plus compliqué : il peut y avoir plusieurs branches. Dans ce cas, au lieu d'un pare-feu unique, un cluster sera installé aux frontières des sites centraux, et un routage dynamique pourra également être nécessaire.
Utilisé sur le stand PAN-OS 7.1.9. Comme configuration typique, considérons un réseau avec un pare-feu Palo Alto Networks en périphérie. Le pare-feu fournit un accès VPN SSL à distance au siège social. Le domaine Active Directory sera utilisé comme base de données d'utilisateurs (Figure 1).
Figure 1 – Schéma fonctionnel du réseau
Étapes de réglage:
- Préconfiguration de l'appareil. Définition du nom, de l'adresse IP de gestion, des routes statiques, des comptes administrateur, des profils de gestion
- Installation des licences, configuration et installation des mises à jour
- Configuration des zones de sécurité, des interfaces réseau, des politiques de trafic, de la traduction d'adresses
- Configuration d'un profil d'authentification LDAP et d'une fonctionnalité d'identification de l'utilisateur
- Configuration d'un VPN SSL
1. Préréglage
Le principal outil de configuration du pare-feu Palo Alto Networks est l'interface web ; la gestion via la CLI est également possible. Par défaut, l'interface de gestion est définie sur l'adresse IP 192.168.1.1/24, login : admin, mot de passe : admin.
Vous pouvez modifier l'adresse soit en vous connectant à l'interface web depuis le même réseau, soit en utilisant la commande définir l'adresse IP du système Deviceconfig <> masque de réseau <>. Elle s'effectue en mode configuration. Pour passer en mode configuration, utilisez la commande configurer. Toutes les modifications sur le pare-feu ne se produisent qu'après confirmation des paramètres par la commande commettre, à la fois en mode ligne de commande et dans l'interface Web.
Pour modifier les paramètres dans l'interface Web, utilisez la section Appareil -> Paramètres généraux et Appareil -> Paramètres de l'interface de gestion. Le nom, les bannières, le fuseau horaire et d'autres paramètres peuvent être définis dans la section Paramètres généraux (Fig. 2).
Figure 2 – Paramètres de l'interface de gestion
Si vous utilisez un pare-feu virtuel dans un environnement ESXi, dans la section Paramètres généraux, vous devez activer l'utilisation de l'adresse MAC attribuée par l'hyperviseur, ou configurer les adresses MAC spécifiées sur les interfaces du pare-feu sur l'hyperviseur, ou modifier les paramètres de les commutateurs virtuels pour permettre les changements d'adresse MAC. Sinon, la circulation ne passera pas.
L'interface de gestion est configurée séparément et n'est pas affichée dans la liste des interfaces réseau. Au chapitre Paramètres de l'interface de gestion spécifie la passerelle par défaut pour l'interface de gestion. D'autres routes statiques sont configurées dans la section des routeurs virtuels ; cela sera discuté plus tard.
Pour autoriser l'accès à l'appareil via d'autres interfaces, vous devez créer un profil de gestion Profil de Gestion section Réseau -> Profils réseau -> Gestion de l'interface et attribuez-le à l’interface appropriée.
Ensuite, vous devez configurer DNS et NTP dans la section Appareil -> Services pour recevoir les mises à jour et afficher l'heure correctement (Fig. 3). Par défaut, tout le trafic généré par le pare-feu utilise l'adresse IP de l'interface de gestion comme adresse IP source. Vous pouvez attribuer une interface différente pour chaque service spécifique dans la section Configuration de l'itinéraire de service.
Figure 3 – Paramètres des services DNS, NTP et routes système
2. Installation des licences, configuration et installation des mises à jour
Pour un fonctionnement complet de toutes les fonctions du pare-feu, vous devez installer une licence. Vous pouvez utiliser une licence d'essai en la demandant auprès des partenaires de Palo Alto Networks. Sa durée de validité est de 30 jours. La licence est activée soit via un fichier, soit à l'aide d'Auth-Code. Les licences sont configurées dans la section Appareil -> Licences (Fig. 4).
Après avoir installé la licence, vous devez configurer l'installation des mises à jour dans la section Appareil -> Mises à jour dynamiques.
Dans la section Appareil -> Logiciel vous pouvez télécharger et installer de nouvelles versions de PAN-OS.
Figure 4 – Panneau de contrôle des licences
3. Configuration des zones de sécurité, des interfaces réseau, des politiques de trafic, de la traduction d'adresses
Les pare-feu Palo Alto Networks utilisent la logique de zone lors de la configuration des règles réseau. Les interfaces réseau sont affectées à une zone spécifique et cette zone est utilisée dans les règles de circulation. Cette approche permet à l'avenir, lors de la modification des paramètres d'interface, de ne pas modifier les règles de circulation, mais plutôt de réaffecter les interfaces nécessaires aux zones appropriées. Par défaut, la circulation au sein d'une zone est autorisée, la circulation entre zones est interdite, des règles prédéfinies s'en chargent intrazone-par défaut и interzone-par défaut.
Figure 5 – Zones de sécurité
Dans cet exemple, une interface du réseau interne est affectée à la zone interne, et l'interface face à Internet est affectée à la zone externe. Pour SSL VPN, une interface tunnel a été créée et affectée à la zone vpn (Fig. 5).
Les interfaces réseau du pare-feu de Palo Alto Networks peuvent fonctionner selon cinq modes différents :
- Exploiter – utilisé pour collecter le trafic à des fins de surveillance et d’analyse
- HA – utilisé pour le fonctionnement du cluster
- Fil virtuel – dans ce mode, Palo Alto Networks combine deux interfaces et transmet le trafic entre elles de manière transparente sans changer les adresses MAC et IP
- Layer2 – mode de commutation
- Layer3 – mode routeur
Figure 6 – Réglage du mode de fonctionnement de l'interface
Dans cet exemple, le mode Layer3 sera utilisé (Fig. 6). Les paramètres de l'interface réseau indiquent l'adresse IP, le mode de fonctionnement et la zone de sécurité correspondante. En plus du mode de fonctionnement de l'interface, vous devez l'attribuer au routeur virtuel Virtual Router, il s'agit d'un analogue d'une instance VRF dans Palo Alto Networks. Les routeurs virtuels sont isolés les uns des autres et disposent de leurs propres tables de routage et paramètres de protocole réseau.
Les paramètres du routeur virtuel spécifient les routes statiques et les paramètres du protocole de routage. Dans cet exemple, seule une route par défaut a été créée pour accéder aux réseaux externes (Fig. 7).
Figure 7 – Configuration d'un routeur virtuel
La prochaine étape de configuration concerne les politiques de circulation, section Politiques -> Sécurité. Un exemple de configuration est présenté dans la figure 8. La logique des règles est la même que pour tous les pare-feu. Les règles sont vérifiées de haut en bas, jusqu'au premier match. Brève description des règles :
1. Accès VPN SSL au portail Web. Permet d'accéder au portail Web pour authentifier les connexions à distance
2. Trafic VPN – permettant le trafic entre les connexions distantes et le siège social
3. Internet de base – permettant les applications DNS, ping, traceroute, ntp. Le pare-feu autorise les applications basées sur des signatures, un décodage et des heuristiques plutôt que sur des numéros de port et des protocoles, c'est pourquoi la section Service indique application par défaut. Port/protocole par défaut pour cette application
4. Accès Web – permettant l'accès à Internet via les protocoles HTTP et HTTPS sans contrôle des applications
5,6. Règles par défaut pour le reste du trafic.
Figure 8 — Exemple de configuration de règles de réseau
Pour configurer NAT, utilisez la section Politiques -> NAT. Un exemple de configuration NAT est présenté dans la figure 9.
Figure 9 – Exemple de configuration NAT
Pour tout trafic interne vers externe, vous pouvez remplacer l'adresse source par l'adresse IP externe du pare-feu et utiliser une adresse de port dynamique (PAT).
4. Configuration du profil d'authentification LDAP et de la fonction d'identification de l'utilisateur
Avant de connecter les utilisateurs via SSL-VPN, vous devez configurer un mécanisme d'authentification. Dans cet exemple, l'authentification se fera auprès du contrôleur de domaine Active Directory via l'interface Web de Palo Alto Networks.
Figure 10 – Profil LDAP
Pour que l'authentification fonctionne, vous devez configurer Profil LDAP и Profil d'authentification... Dans le chapitre Périphérique -> Profils de serveur -> LDAP (Fig. 10) vous devez spécifier l'adresse IP et le port du contrôleur de domaine, le type LDAP et le compte utilisateur inclus dans les groupes Opérateurs de serveur, Lecteurs de journaux d'événements, Utilisateurs COM distribués. Puis dans la rubrique Appareil -> Profil d'authentification créer un profil d'authentification (Fig. 11), marquer celui créé précédemment Profil LDAP et dans l'onglet Avancé, nous indiquons le groupe d'utilisateurs (Fig. 12) qui sont autorisés à accéder à distance. Il est important de noter le paramètre dans votre profil Domaine utilisateur, sinon l'autorisation basée sur le groupe ne fonctionnera pas. Le champ doit indiquer le nom de domaine NetBIOS.
Figure 11 – Profil d'authentification
Figure 12 – Sélection du groupe AD
La prochaine étape est la configuration Appareil -> Identification de l'utilisateur. Ici, vous devez spécifier l'adresse IP du contrôleur de domaine, les informations de connexion et également configurer les paramètres. Activer le journal de sécurité, Activer la session, Activer le sondage (Fig. 13). Au chapitre Mappage de groupe (Fig. 14) vous devez noter les paramètres d'identification des objets dans LDAP et la liste des groupes qui seront utilisés pour l'autorisation. Tout comme dans le profil d'authentification, vous devez ici définir le paramètre Domaine utilisateur.
Figure 13 – Paramètres de mappage utilisateur
Figure 14 – Paramètres de mappage de groupe
La dernière étape de cette phase consiste à créer une zone VPN et une interface pour cette zone. Vous devez activer l'option sur l'interface Activer l'identification de l'utilisateur (Fig. 15).
Figure 15 – Configuration d'une zone VPN
5. Configuration du VPN SSL
Avant de se connecter à un VPN SSL, l'utilisateur distant doit se rendre sur le portail web, s'authentifier et télécharger le client Global Protect. Ensuite, ce client demandera des informations d'identification et se connectera au réseau d'entreprise. Le portail Web fonctionne en mode https et, par conséquent, vous devez installer un certificat pour celui-ci. Utilisez un certificat public si possible. L'utilisateur ne recevra alors pas d'avertissement concernant l'invalidité du certificat sur le site. S'il n'est pas possible d'utiliser un certificat public, vous devez alors émettre le vôtre, qui sera utilisé sur la page Web pour https. Il peut être auto-signé ou émis par une autorité de certification locale. L'ordinateur distant doit disposer d'un certificat racine ou auto-signé dans la liste des autorités racine de confiance afin que l'utilisateur ne reçoive pas d'erreur lors de la connexion au portail Web. Cet exemple utilisera un certificat émis via les services de certificats Active Directory.
Pour émettre un certificat, vous devez créer une demande de certificat dans la section Appareil -> Gestion des certificats -> Certificats -> Générer. Dans la demande, nous indiquons le nom du certificat et l'adresse IP ou FQDN du portail Web (Fig. 16). Après avoir généré la requête, téléchargez .csr et copiez son contenu dans le champ de demande de certificat du formulaire Web d'inscription Web AD CS. Selon la configuration de l'autorité de certification, la demande de certificat doit être approuvée et le certificat émis doit être téléchargé au format Certificat codé en Base64. De plus, vous devez télécharger le certificat racine de l'autorité de certification. Ensuite, vous devez importer les deux certificats dans le pare-feu. Lors de l'importation d'un certificat pour un portail Web, vous devez sélectionner la demande en attente et cliquer sur importer. Le nom du certificat doit correspondre au nom spécifié précédemment dans la demande. Le nom du certificat racine peut être spécifié arbitrairement. Après avoir importé le certificat, vous devez créer Profil de service SSL/TLS section Appareil -> Gestion des certificats. Dans le profil, nous indiquons le certificat précédemment importé.
Figure 16 – Demande de certificat
La prochaine étape consiste à configurer les objets Passerelle de protection globale и Portail Global Protect section Réseau -> Protection globale... Dans les paramètres Passerelle de protection globale indiquer l'adresse IP externe du pare-feu, ainsi que celle créée précédemment Profil SSL, Profil d'authentification, l'interface du tunnel et les paramètres IP du client. Vous devez spécifier un pool d'adresses IP à partir duquel l'adresse sera attribuée au client, ainsi qu'un itinéraire d'accès - ce sont les sous-réseaux vers lesquels le client aura un itinéraire. Si la tâche consiste à envelopper tout le trafic utilisateur via un pare-feu, vous devez alors spécifier le sous-réseau 0.0.0.0/0 (Fig. 17).
Figure 17 – Configuration d'un pool d'adresses IP et de routes
Ensuite, vous devez configurer Portail Global Protect. Précisez l'adresse IP du pare-feu, Profil SSL и Profil d'authentification et une liste d'adresses IP externes des pare-feu auxquels le client se connectera. S'il existe plusieurs pare-feu, vous pouvez définir une priorité pour chacun, en fonction du pare-feu auquel les utilisateurs choisiront de se connecter.
Dans la section Appareil -> Client GlobalProtect vous devez télécharger la distribution du client VPN à partir des serveurs de Palo Alto Networks et l'activer. Pour se connecter, l'utilisateur doit se rendre sur la page web du portail, où il lui sera demandé de télécharger Client GlobalProtect. Une fois téléchargé et installé, vous pouvez saisir vos informations d'identification et vous connecter à votre réseau d'entreprise via SSL VPN.
Conclusion
Ceci termine la partie Palo Alto Networks de la configuration. Nous espérons que les informations ont été utiles et que le lecteur a acquis une compréhension des technologies utilisées chez Palo Alto Networks. Si vous avez des questions sur la configuration et des suggestions sur des sujets pour de futurs articles, écrivez-les dans les commentaires, nous serons heureux d'y répondre.
Source: habr.com