A pesar de todas as vantaxes dos firewalls de Palo Alto Networks, en RuNet non hai moito material sobre a configuración destes dispositivos, así como textos que describan a experiencia da súa implementación. Decidimos resumir os materiais que acumulamos durante o noso traballo cos equipos deste vendedor e falar das características que atopamos durante a implementación de varios proxectos.
Para presentarche Palo Alto Networks, este artigo analizará a configuración necesaria para resolver un dos problemas máis comúns do firewall: VPN SSL para acceso remoto. Tamén falaremos das funcións de utilidade para a configuración xeral do firewall, a identificación de usuarios, as aplicacións e as políticas de seguridade. Se o tema é de interese para os lectores, no futuro publicaremos materiais de análise de VPN Site-to-Site, enrutamento dinámico e xestión centralizada mediante Panorama.
Os firewalls de Palo Alto Networks usan unha serie de tecnoloxías innovadoras, incluíndo App-ID, User-ID e Content-ID. O uso desta funcionalidade permítelle garantir un alto nivel de seguridade. Por exemplo, con App-ID é posible identificar o tráfico de aplicacións en función de sinaturas, decodificación e heurística, independentemente do porto e protocolo utilizados, incluso dentro dun túnel SSL. User-ID permítelle identificar usuarios da rede mediante a integración LDAP. Content-ID permite analizar o tráfico e identificar os ficheiros transmitidos e os seus contidos. Outras funcións do firewall inclúen protección contra intrusións, protección contra vulnerabilidades e ataques DoS, anti-spyware incorporado, filtrado de URL, agrupación e xestión centralizada.
Para a demostración empregaremos un stand illado, cunha configuración idéntica á real, a excepción dos nomes de dispositivos, nome de dominio AD e enderezos IP. En realidade, todo é máis complicado: pode haber moitas ramas. Neste caso, en lugar dun único firewall, instalarase un clúster nos límites dos sitios centrais e tamén se pode requirir un enrutamento dinámico.
Usado no stand PAN-OS 7.1.9. Como configuración típica, considere unha rede cun firewall de Palo Alto Networks no bordo. O firewall proporciona acceso remoto VPN SSL á sede central. O dominio de Active Directory utilizarase como base de datos de usuarios (Figura 1).
Figura 1 – Diagrama de bloques da rede
Pasos de configuración:
- Preconfiguración do dispositivo. Configuración do nome, enderezo IP de xestión, rutas estáticas, contas de administrador, perfís de xestión
- Instalación de licenzas, configuración e instalación de actualizacións
- Configuración de zonas de seguridade, interfaces de rede, políticas de tráfico, tradución de enderezos
- Configurar un perfil de autenticación LDAP e unha función de identificación de usuario
- Configurar unha VPN SSL
1. Predefinido
A principal ferramenta para configurar o firewall de Palo Alto Networks é a interface web; tamén é posible a xestión mediante a CLI. Por defecto, a interface de xestión está configurada como enderezo IP 192.168.1.1/24, inicio de sesión: admin, contrasinal: admin.
Podes cambiar o enderezo conectándote á interface web desde a mesma rede ou usando o comando establecer deviceconfig system ip-address <> netmask <>. Realízase en modo de configuración. Para cambiar ao modo de configuración, use o comando configurar. Todos os cambios no firewall ocorren só despois de que a configuración sexa confirmada polo comando comprometerse, tanto no modo de liña de comandos como na interface web.
Para cambiar a configuración na interface web, use a sección Dispositivo -> Configuración xeral e Dispositivo -> Configuración da interface de xestión. O nome, os banners, o fuso horario e outras opcións pódense configurar na sección Configuración xeral (Fig. 2).
Figura 2 – Parámetros da interface de xestión
Se utilizas un firewall virtual nun ambiente ESXi, na sección Configuración xerais cómpre habilitar o uso do enderezo MAC asignado polo hipervisor, ou configurar os enderezos MAC especificados nas interfaces do firewall do hipervisor, ou cambiar a configuración de os interruptores virtuais para permitir que MAC cambie enderezos. En caso contrario, o tráfico non pasará.
A interface de xestión está configurada por separado e non se mostra na lista de interfaces de rede. No capítulo Configuración da interface de xestión especifica a pasarela predeterminada para a interface de xestión. Outras rutas estáticas están configuradas na sección de enrutadores virtuais; isto comentarase máis adiante.
Para permitir o acceso ao dispositivo a través doutras interfaces, debes crear un perfil de xestión Perfil de xestión No capítulo Rede -> Perfís de rede -> Xestión de interfaces e asígnao á interface adecuada.
A continuación, cómpre configurar DNS e NTP na sección Dispositivo -> Servizos para recibir actualizacións e mostrar a hora correctamente (Fig. 3). De forma predeterminada, todo o tráfico xerado polo firewall usa o enderezo IP da interface de xestión como enderezo IP de orixe. Podes asignar unha interface diferente para cada servizo específico na sección Configuración da ruta do servizo.
Figura 3 – Parámetros do servizo de rutas DNS, NTP e do sistema
2. Instalación de licenzas, configuración e instalación de actualizacións
Para o pleno funcionamento de todas as funcións do firewall, debe instalar unha licenza. Podes usar unha licenza de proba solicitándoa aos socios de Palo Alto Networks. O seu período de validez é de 30 días. A licenza actívase mediante un ficheiro ou mediante Auth-Code. As licenzas están configuradas na sección Dispositivo -> Licenzas (Fig. 4).
Despois de instalar a licenza, cómpre configurar a instalación de actualizacións na sección Dispositivo -> Actualizacións dinámicas.
Na sección Dispositivo -> Software pode descargar e instalar novas versións de PAN-OS.
Figura 4 – Panel de control de licenzas
3. Configurar zonas de seguridade, interfaces de rede, políticas de tráfico, tradución de enderezos
Os firewalls de Palo Alto Networks usan a lóxica de zona ao configurar as regras de rede. As interfaces de rede están asignadas a unha zona específica e esta zona úsase nas regras de tráfico. Este enfoque permite no futuro, ao cambiar a configuración da interface, non cambiar as regras de tráfico, senón reasignar as interfaces necesarias ás zonas apropiadas. Por defecto, o tráfico dentro dunha zona está permitido, o tráfico entre zonas está prohibido, as regras predefinidas son responsables diso intrazona-por defecto и predeterminado entre zonas.
Figura 5 – Zonas de seguridade
Neste exemplo, atribúeselle á zona unha interface na rede interna interior, e a interface orientada a Internet está asignada á zona externo. Para SSL VPN, creouse unha interface de túnel e asignouse á zona vpn (Fig. 5).
As interfaces de rede do firewall de Palo Alto Networks poden funcionar en cinco modos diferentes:
- Grifería – utilízase para recoller tráfico con fins de seguimento e análise
- HA – úsase para o funcionamento do clúster
- Fío Virtual – neste modo, Palo Alto Networks combina dúas interfaces e pasa o tráfico de forma transparente entre elas sen cambiar os enderezos MAC e IP
- Layer2 - Modo de cambio
- Layer3 - Modo enrutador
Figura 6 – Configuración do modo de funcionamento da interface
Neste exemplo, empregarase o modo Layer3 (Fig. 6). Os parámetros da interface de rede indican o enderezo IP, o modo de funcionamento e a zona de seguridade correspondente. Ademais do modo de funcionamento da interface, debes asignala ao router virtual Virtual Router, este é un análogo dunha instancia VRF en Palo Alto Networks. Os enrutadores virtuais están illados entre si e teñen as súas propias táboas de enrutamento e configuracións de protocolo de rede.
A configuración do enrutador virtual especifica rutas estáticas e configuración do protocolo de enrutamento. Neste exemplo, só se creou unha ruta predeterminada para acceder a redes externas (Fig. 7).
Figura 7 - Configuración dun enrutador virtual
A seguinte etapa de configuración son as políticas de tráfico, sección Políticas -> Seguridade. Un exemplo de configuración móstrase na Figura 8. A lóxica das regras é a mesma que para todos os cortalumes. As regras compróbanse de arriba a abaixo, ata o primeiro partido. Breve descrición das regras:
1. Acceso VPN SSL ao portal web. Permite o acceso ao portal web para autenticar conexións remotas
2. Tráfico VPN: permite o tráfico entre conexións remotas e a sede central
3. Internet básica: permite aplicacións dns, ping, traceroute e ntp. O firewall permite aplicacións baseadas en sinaturas, decodificación e heurísticas en lugar de números de portos e protocolos, polo que a sección Servizo di a aplicación predeterminada. Porto/protocolo predeterminado para esta aplicación
4. Acceso web: permite o acceso a Internet a través dos protocolos HTTP e HTTPS sen control da aplicación
5,6. Regras predeterminadas para outro tráfico.
Figura 8 — Exemplo de configuración de regras de rede
Para configurar NAT, use a sección Políticas -> NAT. Un exemplo de configuración NAT móstrase na Figura 9.
Figura 9 – Exemplo de configuración NAT
Para calquera tráfico de interno a externo, pode cambiar o enderezo de orixe polo enderezo IP externo do firewall e utilizar un enderezo de porto dinámico (PAT).
4. Configuración do perfil de autenticación LDAP e da función de identificación do usuario
Antes de conectar usuarios mediante SSL-VPN, cómpre configurar un mecanismo de autenticación. Neste exemplo, a autenticación producirase no controlador de dominio de Active Directory a través da interface web de Palo Alto Networks.
Figura 10 – Perfil LDAP
Para que a autenticación funcione, cómpre configurar Perfil LDAP и Perfil de autenticación. Na sección Dispositivo -> Perfís do servidor -> LDAP (Fig. 10) cómpre especificar o enderezo IP e o porto do controlador de dominio, o tipo de LDAP e a conta de usuario incluídos nos grupos. Operadores de servidores, Lectores de rexistro de eventos, Usuarios COM distribuídos. Despois na sección Dispositivo -> Perfil de autenticación cree un perfil de autenticación (Fig. 11), marque o creado previamente Perfil LDAP e na pestana Avanzado indicamos o grupo de usuarios (Fig. 12) aos que se permite o acceso remoto. É importante ter en conta o parámetro no seu perfil Dominio de usuario, se non, a autorización baseada en grupo non funcionará. O campo debe indicar o nome de dominio NetBIOS.
Figura 11 – Perfil de autenticación
Figura 12 – Selección do grupo AD
A seguinte etapa é a configuración Dispositivo -> Identificación do usuario. Aquí cómpre especificar o enderezo IP do controlador de dominio, as credenciais de conexión e tamén configurar os axustes Activar o rexistro de seguranza, Activar sesión, Activar a proba (Fig. 13). No capítulo Mapeo de grupos (Fig. 14) cómpre anotar os parámetros para identificar obxectos en LDAP e a lista de grupos que se utilizarán para a autorización. Do mesmo xeito que no Perfil de autenticación, aquí cómpre configurar o parámetro Dominio de usuario.
Figura 13 – Parámetros de Mapeo de Usuario
Figura 14 – Parámetros de Mapeo de Grupo
O último paso desta fase é crear unha zona VPN e unha interface para esa zona. Debe activar a opción na interface Activar a identificación do usuario (Fig. 15).
Figura 15 - Configuración dunha zona VPN
5. Configurar VPN SSL
Antes de conectarse a unha VPN SSL, o usuario remoto debe ir ao portal web, autenticarse e descargar o cliente Global Protect. A continuación, este cliente solicitará credenciais e conectarase á rede corporativa. O portal web funciona en modo https e, en consecuencia, cómpre instalar un certificado para el. Use un certificado público se é posible. Entón, o usuario non recibirá un aviso sobre a invalidez do certificado no sitio. Se non é posible utilizar un certificado público, debes emitir o teu propio, que se utilizará na páxina web de https. Pode ser autoasinado ou emitido a través dunha autoridade de certificación local. O equipo remoto debe ter un certificado raíz ou autoasinado na lista de autoridades raíz de confianza para que o usuario non reciba un erro ao conectarse ao portal web. Este exemplo usará un certificado emitido a través dos servizos de certificados de Active Directory.
Para emitir un certificado, cómpre crear unha solicitude de certificado na sección Dispositivo -> Xestión de certificados -> Certificados -> Xerar. Na solicitude indicamos o nome do certificado e o enderezo IP ou FQDN do portal web (Fig. 16). Despois de xerar a solicitude, descarga .csr arquivo e copie o seu contido no campo de solicitude de certificado do formulario web AD CS Web Enrollment. Dependendo de como estea configurada a autoridade de certificación, a solicitude de certificado debe ser aprobada e o certificado emitido debe descargarse no formato Certificado Codificado Base64. Ademais, cómpre descargar o certificado raíz da autoridade de certificación. A continuación, cómpre importar os dous certificados ao firewall. Ao importar un certificado para un portal web, debe seleccionar a solicitude no estado pendente e facer clic en importar. O nome do certificado debe coincidir co nome especificado anteriormente na solicitude. O nome do certificado raíz pódese especificar arbitrariamente. Despois de importar o certificado, cómpre crealo Perfil de servizo SSL/TLS No capítulo Dispositivo -> Xestión de certificados. No perfil indicamos o certificado previamente importado.
Figura 16 – Solicitude de certificado
O seguinte paso é configurar obxectos Pasarela de protección global и Portal de protección global No capítulo Rede -> Protección global... En configuración Pasarela de protección global indicar o enderezo IP externo do firewall, así como o creado previamente Perfil SSL, Perfil de autenticación, interface de túnel e configuración de IP do cliente. Debe especificar un conxunto de enderezos IP desde o que se asignará o enderezo ao cliente e Ruta de acceso: estas son as subredes ás que o cliente terá unha ruta. Se a tarefa é envolver todo o tráfico de usuarios a través dun firewall, entón cómpre especificar a subrede 0.0.0.0/0 (Fig. 17).
Figura 17 - Configuración dun conxunto de enderezos IP e rutas
Entón cómpre configurar Portal de protección global. Especifique o enderezo IP do firewall, Perfil SSL и Perfil de autenticación e unha lista de enderezos IP externos dos cortalumes aos que se conectará o cliente. Se hai varios firewalls, podes establecer unha prioridade para cada un, segundo a cal os usuarios escollerán un firewall ao que conectarse.
Na sección Dispositivo -> Cliente GlobalProtect cómpre descargar a distribución do cliente VPN dos servidores de Palo Alto Networks e activala. Para conectarse, o usuario debe dirixirse á páxina web do portal, onde se lle solicitará a descarga Cliente GlobalProtect. Unha vez descargado e instalado, pode introducir as súas credenciais e conectarse á súa rede corporativa mediante VPN SSL.
Conclusión
Isto completa a parte da configuración de Palo Alto Networks. Agardamos que a información fose útil e que o lector entendese as tecnoloxías utilizadas en Palo Alto Networks. Se tes preguntas sobre a configuración e suxestións sobre temas para futuros artigos, escríbeas nos comentarios, estaremos encantados de responder.
Fonte: www.habr.com