A Palo Alto Networks tűzfalainak minden előnye ellenére a RuNeten nem sok anyag található ezen eszközök beállításáról, valamint a megvalósításuk tapasztalatait leíró szövegek. Úgy döntöttünk, hogy összefoglaljuk a gyártó berendezéseivel végzett munkánk során felhalmozott anyagokat, és beszélünk azokról a funkciókról, amelyekkel a különböző projektek megvalósítása során találkoztunk.
A Palo Alto Networks bemutatása érdekében ez a cikk az egyik leggyakoribb tűzfalprobléma – az SSL VPN távoli eléréshez – megoldásához szükséges konfigurációt tekinti át. Szó lesz az általános tűzfalkonfigurációhoz, a felhasználó azonosításához, az alkalmazásokhoz és a biztonsági szabályzatokhoz szükséges segédprogramokról is. Ha a téma felkelti az olvasók érdeklődését, a jövőben a Site-to-Site VPN-t, a dinamikus útválasztást és a Panoráma segítségével központosított kezelést elemző anyagokat adunk ki.
A Palo Alto Networks tűzfalai számos innovatív technológiát használnak, beleértve az App-ID-t, a User-ID-t és a Content-ID-t. Ennek a funkciónak a használata lehetővé teszi a magas szintű biztonság biztosítását. Például az App-ID segítségével azonosítható az alkalmazásforgalom aláírások, dekódolás és heurisztika alapján, függetlenül a használt porttól és protokolltól, beleértve az SSL-alagúton belül is. A felhasználói azonosító lehetővé teszi a hálózati felhasználók azonosítását az LDAP integráción keresztül. A Content-ID lehetővé teszi a forgalom vizsgálatát és a továbbított fájlok és azok tartalmának azonosítását. A tűzfal egyéb funkciói közé tartozik a behatolás elleni védelem, a sebezhetőségek és a DoS-támadások elleni védelem, a beépített kémprogram-elhárító, URL-szűrés, fürtözés és központosított felügyelet.
A bemutatóhoz egy izolált, a valódival megegyező konfigurációjú állványt használunk, kivéve az eszközneveket, az AD domain nevet és az IP címeket. A valóságban minden bonyolultabb - sok ág lehet. Ebben az esetben egyetlen tűzfal helyett egy fürt kerül telepítésre a központi helyek határára, és szükség lehet dinamikus útválasztásra is.
Állványon használt PAN-OS 7.1.9. Tipikus konfigurációnak tekintsünk egy Palo Alto Networks tűzfallal rendelkező hálózatot a szélén. A tűzfal távoli SSL VPN hozzáférést biztosít a központi iroda számára. Az Active Directory tartomány felhasználói adatbázisként lesz használva (1. ábra).
1. ábra – Hálózati blokkdiagram
Beállítás lépései:
- Eszköz előzetes konfigurálása. Név, felügyeleti IP-cím, statikus útvonalak, rendszergazdai fiókok, felügyeleti profilok beállítása
- Licencek telepítése, frissítések konfigurálása és telepítése
- Biztonsági zónák konfigurálása, hálózati interfészek, forgalmi szabályzatok, címfordítás
- LDAP hitelesítési profil és felhasználóazonosító szolgáltatás konfigurálása
- SSL VPN beállítása
1. Előre beállított
A Palo Alto Networks tűzfal beállításának fő eszköze a webes felület, a CLI-n keresztüli kezelés is lehetséges. Alapértelmezés szerint a kezelőfelület IP-címe 192.168.1.1/24, bejelentkezési név: admin, jelszó: admin.
A címet úgy módosíthatja, hogy ugyanarról a hálózatról csatlakozik a webes felülethez, vagy használja a parancsot set deviceconfig system ip-address <> netmask <>. Konfigurációs módban hajtják végre. Konfigurációs módba váltáshoz használja a parancsot configure. A tűzfalon végrehajtott összes módosítás csak a beállítások megerősítése után következik be elkövetni, mind parancssori módban, mind a webes felületen.
A webes felület beállításainak módosításához használja a részt Eszköz -> Általános beállítások és eszköz -> Kezelőfelület beállításai. A név, a bannerek, az időzóna és egyéb beállítások az Általános beállítások részben állíthatók be (2. ábra).
2. ábra – Kezelőfelület paraméterei
Ha ESXi környezetben virtuális tűzfalat használ, az Általános beállítások részben engedélyeznie kell a hypervisor által hozzárendelt MAC-cím használatát, vagy konfigurálnia kell a tűzfal felületein megadott MAC-címeket a hypervisoron, vagy módosítania kell a A virtuális kapcsolók lehetővé teszik a MAC címek megváltoztatását. Ellenkező esetben a forgalom nem halad át.
A felügyeleti interfész külön van konfigurálva, és nem jelenik meg a hálózati interfészek listájában. fejezetben Kezelőfelület beállításai megadja a felügyeleti felület alapértelmezett átjáróját. Más statikus útvonalak a virtuális útválasztók részben vannak konfigurálva; erről később lesz szó.
Ha más interfészeken keresztül szeretné elérni az eszközt, létre kell hoznia egy felügyeleti profilt Menedzsment profil szakasz Hálózat -> Hálózati profilok -> Interfész Mgmt és rendelje hozzá a megfelelő interfészhez.
Ezután konfigurálnia kell a DNS-t és az NTP-t a részben Eszköz -> Szolgáltatások frissítések fogadásához és az idő helyes megjelenítéséhez (3. ábra). Alapértelmezés szerint a tűzfal által generált összes forgalom a felügyeleti interfész IP-címét használja forrás IP-címként. A szakaszban minden egyes szolgáltatáshoz más interfészt rendelhet Szolgáltatási útvonal konfigurációja.
3. ábra – DNS, NTP és rendszerútvonal szolgáltatás paraméterei
2. Licencek telepítése, frissítések beállítása és telepítése
A tűzfal összes funkciójának teljes körű működéséhez licencet kell telepítenie. Használhat próbalicencet, ha azt a Palo Alto Networks partnereitől kéri. Érvényességi ideje 30 nap. A licenc aktiválása fájlon keresztül vagy az Auth-Code használatával történik. A licencek a szakaszban vannak konfigurálva Eszköz -> Licencek (Ábra 4).
A licenc telepítése után konfigurálnia kell a frissítések telepítését a szakaszban Eszköz -> Dinamikus frissítések.
Szakaszban Eszköz -> Szoftver letöltheti és telepítheti a PAN-OS új verzióit.
4. ábra – Licencvezérlő panel
3. Biztonsági zónák, hálózati interfészek, forgalmi szabályzatok, címfordítás beállítása
A Palo Alto Networks tűzfalai zónalogikát használnak a hálózati szabályok konfigurálásakor. A hálózati interfészek egy adott zónához vannak hozzárendelve, és ezt a zónát használják a közlekedési szabályokban. Ez a megközelítés lehetővé teszi a jövőben, hogy az interfész beállításainak módosításakor ne a forgalmi szabályokat módosítsák, hanem a szükséges interfészeket a megfelelő zónákhoz hozzárendeljék. Alapértelmezés szerint a zónán belüli forgalom engedélyezett, a zónák közötti forgalom tilos, ezért előre meghatározott szabályok a felelősek intrazone-default и interzone-default.
5. ábra – Biztonsági zónák
Ebben a példában a belső hálózaton egy interfész van hozzárendelve a zónához belső, és az Internet felőli interfész hozzá van rendelve a zónához külső. Az SSL VPN-hez alagút interfészt hoztak létre és hozzárendeltek a zónához vpn (Ábra 5).
A Palo Alto Networks tűzfal hálózati interfészek öt különböző módban működhetnek:
- Érintse – a forgalom megfigyelésére és elemzésére szolgál
- HA – klaszter működésre használják
- Virtuális vezeték – ebben a módban a Palo Alto Networks két interfészt kombinál, és átláthatóan továbbítja a forgalmat közöttük a MAC- és IP-cím megváltoztatása nélkül
- Layer2 – kapcsolási mód
- Layer3 - router mód
6. ábra – Az interfész működési módjának beállítása
Ebben a példában a Layer3 módot használjuk (6. ábra). A hálózati interfész paraméterei jelzik az IP-címet, az üzemmódot és a megfelelő biztonsági zónát. Az interfész működési módján kívül hozzá kell rendelni a Virtual Router virtuális útválasztóhoz, ez a Palo Alto Networks VRF példányának analógja. A virtuális útválasztók el vannak szigetelve egymástól, és saját útválasztási táblákkal és hálózati protokoll-beállításokkal rendelkeznek.
A virtuális útválasztó beállításai statikus útvonalakat és útválasztási protokollbeállításokat határoznak meg. Ebben a példában csak egy alapértelmezett útvonal jött létre a külső hálózatok eléréséhez (7. ábra).
7. ábra – Virtuális útválasztó beállítása
A következő konfigurációs szakasz a forgalmi szabályzatok szakasza Irányelvek -> Biztonság. Egy példa a konfigurációra a 8. ábrán látható. A szabályok logikája ugyanaz, mint az összes tűzfal esetében. A szabályokat felülről lefelé, lefelé az első mérkőzésig ellenőrzik. A szabályok rövid leírása:
1. SSL VPN hozzáférés a webportálhoz. Lehetővé teszi a hozzáférést a webportálhoz a távoli kapcsolatok hitelesítéséhez
2. VPN forgalom – lehetővé teszi a távoli kapcsolatok és a központi iroda közötti forgalmat
3. Alap internet – dns, ping, traceroute, ntp alkalmazások engedélyezése. A tűzfal a portszámok és protokollok helyett az aláírásokon, dekódoláson és heurisztikán alapuló alkalmazásokat engedélyezi, ezért a Szolgáltatás szakaszban az alkalmazás-alapértelmezett beállítás szerepel. Alapértelmezett port/protokoll ehhez az alkalmazáshoz
4. Webes elérés – lehetővé teszi az internet-hozzáférést HTTP és HTTPS protokollon keresztül alkalmazásvezérlés nélkül
5,6. Alapértelmezett szabályok más forgalom számára.
8. ábra – Példa a hálózati szabályok beállítására
A NAT konfigurálásához használja a részt Irányelvek -> NAT. A NAT-konfiguráció példája a 9. ábrán látható.
9. ábra – Példa a NAT konfigurációjára
A belsőről a külsőre irányuló forgalom esetén módosíthatja a forráscímet a tűzfal külső IP-címére, és dinamikus portcímet (PAT) használhat.
4. Az LDAP hitelesítési profil és a felhasználó azonosítási funkció konfigurálása
Mielőtt SSL-VPN-n keresztül csatlakozna a felhasználókhoz, be kell állítania egy hitelesítési mechanizmust. Ebben a példában az Active Directory tartományvezérlő hitelesítése a Palo Alto Networks webes felületén keresztül történik.
10. ábra – LDAP profil
A hitelesítés működéséhez konfigurálnia kell LDAP profil и Hitelesítési profil. A szakaszban Eszköz -> Szerverprofilok -> LDAP (10. ábra) meg kell adnia a tartományvezérlő IP-címét és portját, az LDAP típusát és a csoportokban szereplő felhasználói fiókot Szerver üzemeltetők, Eseménynapló olvasók, Elosztott COM-felhasználók. Aztán a szekcióban Eszköz -> Hitelesítési profil hozzon létre egy hitelesítési profilt (11. ábra), jelölje be a korábban létrehozottat LDAP profil az Advanced fülön pedig a távoli hozzáférést engedélyező felhasználók csoportját (12. ábra) jelöljük. Fontos, hogy jegyezze fel a paramétert a profiljában Felhasználói tartomány, ellenkező esetben a csoportalapú engedélyezés nem működik. A mezőben fel kell tüntetni a NetBIOS tartománynevet.
11. ábra – Hitelesítési profil
12. ábra – AD-csoport kiválasztása
A következő lépés a beállítás Eszköz -> Felhasználói azonosítás. Itt meg kell adnia a tartományvezérlő IP-címét, a kapcsolat hitelesítő adatait, és konfigurálnia kell a beállításokat Biztonsági napló engedélyezése, Munkamenet engedélyezése, Probing engedélyezése (13. ábra). fejezetben Csoportleképezés (14. ábra) meg kell jegyezni az LDAP objektumok azonosításának paramétereit és az engedélyezéshez használt csoportok listáját. A hitelesítési profilhoz hasonlóan itt is be kell állítani a Felhasználói tartomány paramétert.
13. ábra – Felhasználói leképezés paraméterei
14. ábra – Csoportleképezés paraméterei
Az utolsó lépés ebben a fázisban egy VPN-zóna és egy interfész létrehozása a zónához. Engedélyeznie kell az opciót a felületen Felhasználói azonosítás engedélyezése (Ábra 15).
15. ábra – VPN-zóna beállítása
5. Az SSL VPN beállítása
Mielőtt SSL VPN-hez csatlakozna, a távoli felhasználónak fel kell lépnie a webportálra, hitelesítenie kell magát, és le kell töltenie a Global Protect klienst. Ezután ez az ügyfél hitelesítő adatokat kér, és csatlakozik a vállalati hálózathoz. A webportál https módban működik, és ennek megfelelően tanúsítványt kell telepítenie hozzá. Ha lehetséges, használjon nyilvános tanúsítványt. Ekkor a felhasználó nem kap figyelmeztetést a tanúsítvány érvénytelenségéről az oldalon. Ha nem lehetséges nyilvános tanúsítványt használni, akkor saját tanúsítványt kell kiállítania, amely a https-hez kerül felhasználásra a weboldalon. Lehet önaláírt, vagy a helyi tanúsító hatóságon keresztül kiadni. A távoli számítógépnek root vagy önaláírt tanúsítvánnyal kell rendelkeznie a megbízható root jogosultságok listájában, hogy a felhasználó ne kapjon hibaüzenetet a webportálhoz való csatlakozáskor. Ez a példa az Active Directory tanúsítványszolgáltatásán keresztül kiadott tanúsítványt fog használni.
Tanúsítvány kiállításához létre kell hozni egy tanúsítványkérelmet a szakaszban Eszköz -> Tanúsítványkezelés -> Tanúsítványok -> Generálás. A kérelemben feltüntetjük a tanúsítvány nevét és a webportál IP-címét vagy FQDN-jét (16. ábra). A kérelem generálása után töltse le .csr fájlt, és másolja a tartalmát az AD CS Web Enrollment webes űrlap tanúsítványkérés mezőjébe. A tanúsító hatóság konfigurálásától függően a tanúsítványkérelmet jóvá kell hagyni, és a kiadott tanúsítványt a következő formátumban kell letölteni. Base64 kódolt tanúsítvány. Ezenkívül le kell töltenie a hitelesítésszolgáltató gyökértanúsítványát. Ezután mindkét tanúsítványt importálnia kell a tűzfalba. Tanúsítvány importálásakor egy webportálhoz ki kell választania a kérést a függőben lévő állapotban, és az importálás gombra kell kattintania. A tanúsítvány nevének meg kell egyeznie a kérésben korábban megadott névvel. A gyökértanúsítvány neve tetszőlegesen megadható. A tanúsítvány importálása után létre kell hozni SSL/TLS szolgáltatásprofil szakasz Eszköz -> Tanúsítványkezelés. A profilban feltüntetjük a korábban importált tanúsítványt.
16. ábra – Tanúsítványkérés
A következő lépés az objektumok beállítása Global Protect Gateway и Global Protect Portal szakasz Hálózat -> Globális védelem... A beállításokban Global Protect Gateway jelzi a tűzfal külső IP-címét, valamint a korábban létrehozott SSL profil, Hitelesítési profil, alagút interfész és a kliens IP beállításai. Meg kell adnia az IP-címek készletét, amelyből a cím hozzá lesz rendelve az ügyfélhez, és az Access Route-t - ezek azok az alhálózatok, amelyekhez az ügyfélnek útvonala lesz. Ha az a feladat, hogy az összes felhasználói forgalmat tűzfalon keresztül hajtsák végre, akkor meg kell adni a 0.0.0.0/0 alhálózatot (17. ábra).
17. ábra – IP-címek és útvonalak készletének konfigurálása
Ezután konfigurálni kell Global Protect Portal. Adja meg a tűzfal IP-címét, SSL profil и Hitelesítési profil és azon tűzfalak külső IP-címeinek listája, amelyekhez az ügyfél csatlakozni fog. Ha több tűzfal van, mindegyikhez beállíthat egy prioritást, amely szerint a felhasználók kiválasztják a tűzfalat a csatlakozáshoz.
Szakaszban Eszköz -> GlobalProtect Client le kell töltenie a VPN kliens disztribúciót a Palo Alto Networks szervereiről, és aktiválnia kell. A csatlakozáshoz a felhasználónak fel kell lépnie a portál weboldalára, ahol a rendszer felkéri a letöltésre GlobalProtect Client. Miután letöltötte és telepítette, megadhatja hitelesítő adatait, és SSL VPN-en keresztül csatlakozhat vállalati hálózatához.
Következtetés
Ezzel befejeződik a beállítás Palo Alto Networks része. Reméljük, hogy az információ hasznos volt, és az olvasó megértette a Palo Alto Networks által használt technológiákat. Ha kérdése van a beállítással kapcsolatban, és javaslatai vannak a jövőbeli cikkek témáival kapcsolatban, írja meg őket a megjegyzésekben, szívesen válaszolunk.
Forrás: will.com