Terlepas dari semua kelebihan firewall Palo Alto Networks, tidak banyak materi di RuNet tentang pengaturan perangkat ini, serta teks yang menjelaskan pengalaman penerapannya. Kami memutuskan untuk merangkum materi yang telah kami kumpulkan selama bekerja dengan peralatan vendor ini dan membicarakan fitur-fitur yang kami temui selama implementasi berbagai proyek.
Untuk memperkenalkan Anda ke Palo Alto Networks, artikel ini akan membahas konfigurasi yang diperlukan untuk menyelesaikan salah satu masalah firewall paling umum - SSL VPN untuk akses jarak jauh. Kami juga akan membahas fungsi utilitas untuk konfigurasi firewall umum, identifikasi pengguna, aplikasi, dan kebijakan keamanan. Jika topiknya menarik bagi pembaca, kedepannya kami akan merilis materi analisis Site-to-Site VPN, perutean dinamis, dan manajemen terpusat menggunakan Panorama.
Firewall Palo Alto Networks menggunakan sejumlah teknologi inovatif, termasuk App-ID, User-ID, Content-ID. Penggunaan fungsi ini memungkinkan Anda memastikan tingkat keamanan yang tinggi. Misalnya, dengan App-ID, dimungkinkan untuk mengidentifikasi lalu lintas aplikasi berdasarkan tanda tangan, decoding, dan heuristik, apa pun port dan protokol yang digunakan, termasuk di dalam terowongan SSL. User-ID memungkinkan Anda mengidentifikasi pengguna jaringan melalui integrasi LDAP. Content-ID memungkinkan untuk memindai lalu lintas dan mengidentifikasi file yang dikirimkan beserta isinya. Fungsi firewall lainnya mencakup perlindungan intrusi, perlindungan terhadap kerentanan dan serangan DoS, anti-spyware bawaan, pemfilteran URL, pengelompokan, dan manajemen terpusat.
Untuk demonstrasi, kami akan menggunakan stand terisolasi, dengan konfigurasi yang identik dengan yang asli, dengan pengecualian nama perangkat, nama domain AD, dan alamat IP. Pada kenyataannya, semuanya lebih rumit - mungkin ada banyak cabang. Dalam hal ini, alih-alih menggunakan firewall tunggal, cluster akan dipasang di perbatasan situs pusat, dan perutean dinamis mungkin juga diperlukan.
Digunakan di dudukan PAN-OS 7.1.9. Sebagai konfigurasi umum, pertimbangkan jaringan dengan firewall Palo Alto Networks di edge. Firewall menyediakan akses SSL VPN jarak jauh ke kantor pusat. Domain Active Directory akan digunakan sebagai database pengguna (Gambar 1).
Gambar 1 – Diagram blok jaringan
Langkah-langkah pengaturan:
- Pra-konfigurasi perangkat. Mengatur nama, alamat IP manajemen, rute statis, akun administrator, profil manajemen
- Menginstal lisensi, mengonfigurasi, dan menginstal pembaruan
- Mengonfigurasi zona keamanan, antarmuka jaringan, kebijakan lalu lintas, terjemahan alamat
- Mengonfigurasi Profil Otentikasi LDAP dan Fitur Identifikasi Pengguna
- Menyiapkan SSL VPN
1. Prasetel
Alat utama untuk mengonfigurasi firewall Palo Alto Networks adalah antarmuka web; manajemen melalui CLI juga dimungkinkan. Secara default, antarmuka manajemen diatur ke alamat IP 192.168.1.1/24, login: admin, kata sandi: admin.
Anda dapat mengubah alamat dengan menghubungkan ke antarmuka web dari jaringan yang sama, atau menggunakan perintah atur alamat ip sistem konfigurasi perangkat <> netmask <>. Itu dilakukan dalam mode konfigurasi. Untuk beralih ke mode konfigurasi, gunakan perintah mengkonfigurasi. Semua perubahan pada firewall hanya terjadi setelah pengaturan dikonfirmasi oleh perintah melakukan, baik dalam mode baris perintah maupun di antarmuka web.
Untuk mengubah pengaturan di antarmuka web, gunakan bagian ini Perangkat -> Pengaturan Umum dan Perangkat -> Pengaturan Antarmuka Manajemen. Nama, banner, zona waktu dan pengaturan lainnya dapat diatur di bagian Pengaturan Umum (Gbr. 2).
Gambar 2 – Parameter antarmuka manajemen
Jika Anda menggunakan firewall virtual di lingkungan ESXi, di bagian Pengaturan Umum Anda perlu mengaktifkan penggunaan alamat MAC yang ditetapkan oleh hypervisor, atau mengonfigurasi alamat MAC yang ditentukan pada antarmuka firewall di hypervisor, atau mengubah pengaturan saklar virtual untuk memungkinkan perubahan alamat MAC. Jika tidak, lalu lintas tidak akan lewat.
Antarmuka manajemen dikonfigurasi secara terpisah dan tidak ditampilkan dalam daftar antarmuka jaringan. Dalam bab Pengaturan Antarmuka Manajemen menentukan gateway default untuk antarmuka manajemen. Rute statis lainnya dikonfigurasi di bagian router virtual; ini akan dibahas nanti.
Untuk mengizinkan akses ke perangkat melalui antarmuka lain, Anda harus membuat profil manajemen Profil Manajemen bagian Jaringan -> Profil Jaringan -> Manajemen Antarmuka dan menugaskannya ke antarmuka yang sesuai.
Selanjutnya, Anda perlu mengkonfigurasi DNS dan NTP di bagian tersebut Perangkat -> Layanan untuk menerima pembaruan dan menampilkan waktu dengan benar (Gbr. 3). Secara default, semua lalu lintas yang dihasilkan oleh firewall menggunakan alamat IP antarmuka manajemen sebagai alamat IP sumbernya. Anda dapat menetapkan antarmuka berbeda untuk setiap layanan tertentu di bagian tersebut Konfigurasi Rute Layanan.
Gambar 3 – Parameter layanan rute DNS, NTP, dan sistem
2. Menginstal lisensi, menyiapkan dan menginstal pembaruan
Agar semua fungsi firewall berfungsi penuh, Anda perlu menginstal lisensi. Anda dapat menggunakan lisensi uji coba dengan memintanya dari mitra Palo Alto Networks. Masa berlakunya adalah 30 hari. Lisensi diaktifkan baik melalui file atau menggunakan Auth-Code. Lisensi dikonfigurasikan di bagian Perangkat -> Lisensi (Gbr. 4).
Setelah menginstal lisensi, Anda perlu mengkonfigurasi instalasi pembaruan di bagian tersebut Perangkat -> Pembaruan Dinamis.
Pada bagian Perangkat -> Perangkat Lunak Anda dapat mengunduh dan menginstal PAN-OS versi baru.
Gambar 4 – Panel kontrol lisensi
3. Konfigurasi zona keamanan, antarmuka jaringan, kebijakan lalu lintas, terjemahan alamat
Firewall Palo Alto Networks menggunakan logika zona saat mengonfigurasi aturan jaringan. Antarmuka jaringan ditetapkan ke zona tertentu, dan zona ini digunakan dalam peraturan lalu lintas. Pendekatan ini memungkinkan di masa depan, ketika mengubah pengaturan antarmuka, untuk tidak mengubah peraturan lalu lintas, namun untuk menetapkan kembali antarmuka yang diperlukan ke zona yang sesuai. Secara default, lalu lintas dalam suatu zona diperbolehkan, lalu lintas antar zona dilarang, aturan yang telah ditentukan sebelumnya bertanggung jawab untuk ini intrazona-default и antar zona-default.
Gambar 5 – Zona aman
Dalam contoh ini, antarmuka pada jaringan internal ditetapkan ke zona tersebut intern, dan antarmuka yang menghadap Internet ditetapkan ke zona tersebut luar. Untuk SSL VPN, antarmuka terowongan telah dibuat dan ditetapkan ke zona tersebut vpn (Gbr. 5).
Antarmuka jaringan firewall Palo Alto Networks dapat beroperasi dalam lima mode berbeda:
- Tap – digunakan untuk mengumpulkan lalu lintas untuk tujuan pemantauan dan analisis
- HA – digunakan untuk operasi cluster
- Kawat Virtual – dalam mode ini, Palo Alto Networks menggabungkan dua antarmuka dan secara transparan meneruskan lalu lintas di antara keduanya tanpa mengubah alamat MAC dan IP
- Layer2 – beralih mode
- Layer3 – modus router
Gambar 6 – Mengatur mode operasi antarmuka
Dalam contoh ini, mode Layer3 akan digunakan (Gbr. 6). Parameter antarmuka jaringan menunjukkan alamat IP, mode operasi dan zona keamanan yang sesuai. Selain mode operasi antarmuka, Anda harus menetapkannya ke router virtual Router Virtual, ini adalah analog dari instance VRF di Palo Alto Networks. Router virtual diisolasi satu sama lain dan memiliki tabel routing dan pengaturan protokol jaringannya sendiri.
Pengaturan router virtual menentukan rute statis dan pengaturan protokol perutean. Dalam contoh ini, hanya rute default yang dibuat untuk mengakses jaringan eksternal (Gbr. 7).
Gambar 7 – Menyiapkan router virtual
Tahap konfigurasi selanjutnya adalah kebijakan lalu lintas, bagian Kebijakan -> Keamanan. Contoh konfigurasi ditunjukkan pada Gambar 8. Logika aturannya sama seperti semua firewall. Aturannya diperiksa dari atas ke bawah, hingga pertandingan pertama. Deskripsi singkat tentang aturan:
1. Akses SSL VPN ke Portal Web. Mengizinkan akses ke portal web untuk mengautentikasi koneksi jarak jauh
2. Lalu lintas VPN – memungkinkan lalu lintas antara koneksi jarak jauh dan kantor pusat
3. Internet Dasar – memungkinkan aplikasi dns, ping, traceroute, ntp. Firewall mengizinkan aplikasi berdasarkan tanda tangan, decoding, dan heuristik daripada nomor port dan protokol, itulah sebabnya bagian Layanan mengatakan default aplikasi. Port/protokol default untuk aplikasi ini
4. Akses Web – memungkinkan akses Internet melalui protokol HTTP dan HTTPS tanpa kontrol aplikasi
5,6. Aturan default untuk lalu lintas lainnya.
Gambar 8 — Contoh pengaturan aturan jaringan
Untuk mengkonfigurasi NAT, gunakan bagian ini Kebijakan -> NAT. Contoh konfigurasi NAT ditunjukkan pada Gambar 9.
Gambar 9 – Contoh konfigurasi NAT
Untuk lalu lintas apa pun dari internal ke eksternal, Anda dapat mengubah alamat sumber ke alamat IP eksternal firewall dan menggunakan alamat port dinamis (PAT).
4. Mengonfigurasi Profil Otentikasi LDAP dan Fungsi Identifikasi Pengguna
Sebelum menghubungkan pengguna melalui SSL-VPN, Anda perlu mengkonfigurasi mekanisme otentikasi. Dalam contoh ini, otentikasi akan dilakukan pada pengontrol domain Direktori Aktif melalui antarmuka web Palo Alto Networks.
Gambar 10 – Profil LDAP
Agar autentikasi berfungsi, Anda perlu mengonfigurasi Profil LDAP и Profil Otentikasi. Di bagian Perangkat -> Profil Server -> LDAP (Gbr. 10) Anda perlu menentukan alamat IP dan port pengontrol domain, jenis LDAP, dan akun pengguna yang termasuk dalam grup Operator Server, Pembaca Log Peristiwa, Pengguna COM Terdistribusi. Kemudian di bagian Perangkat -> Profil Otentikasi buat profil otentikasi (Gbr. 11), tandai profil yang dibuat sebelumnya Profil LDAP dan di tab Lanjutan kami menunjukkan grup pengguna (Gbr. 12) yang diizinkan melakukan akses jarak jauh. Penting untuk mencatat parameter di profil Anda Domain Pengguna, jika tidak, otorisasi berbasis grup tidak akan berfungsi. Bidang tersebut harus menunjukkan nama domain NetBIOS.
Gambar 11 – Profil otentikasi
Gambar 12 – Pemilihan grup AD
Tahap selanjutnya adalah pengaturan Perangkat -> Identifikasi Pengguna. Di sini Anda perlu menentukan alamat IP pengontrol domain, kredensial koneksi, dan juga mengonfigurasi pengaturan Aktifkan Log Keamanan, Aktifkan Sesi, Aktifkan Penyelidikan (Gbr. 13). Dalam bab Pemetaan Grup (Gbr. 14) Anda perlu mencatat parameter untuk mengidentifikasi objek di LDAP dan daftar grup yang akan digunakan untuk otorisasi. Sama seperti di Profil Otentikasi, di sini Anda perlu mengatur parameter Domain Pengguna.
Gambar 13 – Parameter Pemetaan Pengguna
Gambar 14 – Parameter Pemetaan Grup
Langkah terakhir dalam fase ini adalah membuat zona VPN dan antarmuka untuk zona tersebut. Anda perlu mengaktifkan opsi pada antarmuka Aktifkan Identifikasi Pengguna (Gbr. 15).
Gambar 15 – Menyiapkan zona VPN
5. Menyiapkan SSL VPN
Sebelum menyambung ke SSL VPN, pengguna jarak jauh harus membuka portal web, mengautentikasi, dan mengunduh klien Global Protect. Selanjutnya, klien ini akan meminta kredensial dan menyambung ke jaringan perusahaan. Portal web beroperasi dalam mode https dan, oleh karena itu, Anda perlu memasang sertifikat untuk itu. Gunakan sertifikat publik jika memungkinkan. Maka pengguna tidak akan menerima peringatan tentang ketidakabsahan sertifikat di situs tersebut. Jika tidak memungkinkan untuk menggunakan sertifikat publik, maka Anda perlu menerbitkan sertifikat Anda sendiri, yang akan digunakan pada halaman web untuk https. Surat ini dapat ditandatangani sendiri atau diterbitkan melalui otoritas sertifikat setempat. Komputer jarak jauh harus memiliki sertifikat root atau yang ditandatangani sendiri dalam daftar otoritas root tepercaya sehingga pengguna tidak menerima kesalahan saat menyambung ke portal web. Contoh ini akan menggunakan sertifikat yang diterbitkan melalui Layanan Sertifikat Direktori Aktif.
Untuk menerbitkan sertifikat, Anda perlu membuat permintaan sertifikat di bagian tersebut Perangkat -> Manajemen Sertifikat -> Sertifikat -> Hasilkan. Dalam permintaan, kami menunjukkan nama sertifikat dan alamat IP atau FQDN portal web (Gbr. 16). Setelah membuat permintaan, unduh .csr file dan salin isinya ke bidang permintaan sertifikat di formulir web Pendaftaran Web AD CS. Bergantung pada bagaimana otoritas sertifikat dikonfigurasi, permintaan sertifikat harus disetujui dan sertifikat yang diterbitkan harus diunduh dalam format Sertifikat Berkode Base64. Selain itu, Anda perlu mengunduh sertifikat akar dari otoritas sertifikasi. Maka Anda perlu mengimpor kedua sertifikat ke firewall. Saat mengimpor sertifikat untuk portal web, Anda harus memilih permintaan dalam status tertunda dan klik impor. Nama sertifikat harus sesuai dengan nama yang ditentukan sebelumnya dalam permintaan. Nama sertifikat root dapat ditentukan secara sewenang-wenang. Setelah mengimpor sertifikat, Anda perlu membuatnya Profil Layanan SSL/TLS bagian Perangkat -> Manajemen Sertifikat. Di profil kami menunjukkan sertifikat yang diimpor sebelumnya.
Gambar 16 – Permintaan sertifikat
Langkah selanjutnya adalah menyiapkan objek Gerbang Perlindungan Global и Portal Perlindungan Global bagian Jaringan -> Perlindungan Global. Dalam pengaturan Gerbang Perlindungan Global menunjukkan alamat IP eksternal firewall, serta yang dibuat sebelumnya Profil SSL, Profil Otentikasi, antarmuka terowongan dan pengaturan IP klien. Anda perlu menentukan kumpulan alamat IP dari mana alamat tersebut akan diberikan ke klien, dan Rute Akses - ini adalah subnet yang rutenya akan dimiliki klien. Jika tugasnya adalah menggabungkan semua lalu lintas pengguna melalui firewall, maka Anda perlu menentukan subnet 0.0.0.0/0 (Gbr. 17).
Gambar 17 – Mengonfigurasi kumpulan alamat IP dan rute
Maka Anda perlu mengkonfigurasi Portal Perlindungan Global. Tentukan alamat IP firewall, Profil SSL и Profil Otentikasi dan daftar alamat IP eksternal firewall yang akan dihubungkan dengan klien. Jika ada beberapa firewall, Anda dapat menetapkan prioritas untuk masing-masing firewall, sesuai dengan pengguna yang akan memilih firewall untuk disambungkan.
Pada bagian Perangkat -> Klien GlobalProtect Anda perlu mengunduh distribusi klien VPN dari server Palo Alto Networks dan mengaktifkannya. Untuk terhubung, pengguna harus membuka halaman web portal, di mana ia akan diminta untuk mengunduh Klien GlobalProtect. Setelah diunduh dan diinstal, Anda dapat memasukkan kredensial Anda dan terhubung ke jaringan perusahaan Anda melalui SSL VPN.
Kesimpulan
Ini menyelesaikan bagian penyiapan Jaringan Palo Alto. Kami berharap informasinya bermanfaat dan pembaca memperoleh pemahaman tentang teknologi yang digunakan di Palo Alto Networks. Jika Anda memiliki pertanyaan tentang pengaturan dan saran topik untuk artikel mendatang, tulis di komentar, kami akan dengan senang hati menjawabnya.
Sumber: www.habr.com