Nonostante tutti i vantaggi dei firewall di Palo Alto Networks, su RuNet non c'è molto materiale sulla configurazione di questi dispositivi, così come testi che descrivono l'esperienza della loro implementazione. Abbiamo deciso di riassumere i materiali che abbiamo accumulato durante il nostro lavoro con le apparecchiature di questo fornitore e di parlare delle caratteristiche che abbiamo riscontrato durante l’implementazione di vari progetti.
Per presentarti Palo Alto Networks, questo articolo esaminerà la configurazione richiesta per risolvere uno dei problemi più comuni del firewall: SSL VPN per l'accesso remoto. Parleremo anche delle funzioni di utilità per la configurazione generale del firewall, l'identificazione dell'utente, le applicazioni e le policy di sicurezza. Se l'argomento interessa ai lettori, in futuro pubblicheremo materiali che analizzano la VPN da sito a sito, il routing dinamico e la gestione centralizzata tramite Panorama.
I firewall di Palo Alto Networks utilizzano una serie di tecnologie innovative, tra cui App-ID, User-ID e Content-ID. L'utilizzo di questa funzionalità consente di garantire un elevato livello di sicurezza. Ad esempio, con App-ID è possibile identificare il traffico applicativo in base a firme, decodifica ed euristica, indipendentemente dalla porta e dal protocollo utilizzato, anche all'interno di un tunnel SSL. L'ID utente consente di identificare gli utenti della rete tramite l'integrazione LDAP. Content-ID consente di scansionare il traffico e identificare i file trasmessi e i loro contenuti. Altre funzioni firewall includono protezione dalle intrusioni, protezione contro vulnerabilità e attacchi DoS, anti-spyware integrato, filtro URL, clustering e gestione centralizzata.
Per la dimostrazione utilizzeremo uno stand isolato, con una configurazione identica a quella reale, ad eccezione dei nomi dei dispositivi, del nome di dominio AD e degli indirizzi IP. In realtà, tutto è più complicato: possono esserci molti rami. In questo caso, invece di un unico firewall, verrà installato un cluster ai confini dei siti centrali e potrebbe essere necessario anche un routing dinamico.
Utilizzato sul cavalletto PANOS 7.1.9. Come configurazione tipica, considera una rete con un firewall Palo Alto Networks all'edge. Il firewall fornisce l'accesso remoto SSL VPN alla sede centrale. Il dominio Active Directory verrà utilizzato come database utente (Figura 1).
Figura 1 – Schema a blocchi della rete
Procedura di impostazione:
- Preconfigurazione del dispositivo. Impostazione del nome, indirizzo IP di gestione, percorsi statici, account amministratore, profili di gestione
- Installazione licenze, configurazione e installazione aggiornamenti
- Configurazione di zone di sicurezza, interfacce di rete, politiche di traffico, traduzione degli indirizzi
- Configurazione di un profilo di autenticazione LDAP e di una funzione di identificazione utente
- Configurazione di una VPN SSL
1. Preimpostazione
Lo strumento principale per la configurazione del firewall Palo Alto Networks è l'interfaccia web; è possibile anche la gestione tramite CLI. Per impostazione predefinita, l'interfaccia di gestione è impostata sull'indirizzo IP 192.168.1.1/24, login: admin, password: admin.
È possibile modificare l'indirizzo collegandosi all'interfaccia web dalla stessa rete o utilizzando il comando impostare l'indirizzo IP del sistema deviceconfig <> maschera di rete <>. Viene eseguito in modalità di configurazione. Per passare alla modalità di configurazione, utilizzare il comando configure. Tutte le modifiche al firewall avvengono solo dopo che le impostazioni sono state confermate dal comando commettere, sia in modalità riga di comando che nell'interfaccia web.
Per modificare le impostazioni nell'interfaccia web, utilizzare la sezione Dispositivo -> Impostazioni generali e Dispositivo -> Impostazioni interfaccia di gestione. Il nome, i banner, il fuso orario e altre impostazioni possono essere impostati nella sezione Impostazioni generali (Fig. 2).
Figura 2 – Parametri dell'interfaccia di gestione
Se si utilizza un firewall virtuale in ambiente ESXi, nella sezione Impostazioni generali è necessario abilitare l'uso dell'indirizzo MAC assegnato dall'hypervisor, oppure configurare gli indirizzi MAC specificati sulle interfacce del firewall sull'hypervisor, oppure modificare le impostazioni di gli switch virtuali per consentire al MAC di modificare gli indirizzi. Altrimenti il traffico non passerà.
L'interfaccia di gestione viene configurata separatamente e non viene visualizzata nell'elenco delle interfacce di rete. Nel capitolo Impostazioni dell'interfaccia di gestione specifica il gateway predefinito per l'interfaccia di gestione. Altri percorsi statici sono configurati nella sezione dei router virtuali; questo verrà discusso più avanti.
Per consentire l'accesso al dispositivo tramite altre interfacce, è necessario creare un profilo di gestione Gestione dei profili sezione Rete -> Profili di rete -> Gestione interfaccia e assegnarlo all'interfaccia appropriata.
Successivamente, è necessario configurare DNS e NTP nella sezione Dispositivo -> Servizi per ricevere gli aggiornamenti e visualizzare correttamente l'ora (Fig. 3). Per impostazione predefinita, tutto il traffico generato dal firewall utilizza l'indirizzo IP dell'interfaccia di gestione come indirizzo IP di origine. È possibile assegnare un'interfaccia diversa per ogni servizio specifico nella sezione Configurazione del percorso del servizio.
Figura 3 – Parametri del servizio DNS, NTP e instradamenti di sistema
2. Installazione delle licenze, configurazione e installazione degli aggiornamenti
Per il pieno funzionamento di tutte le funzioni firewall, è necessario installare una licenza. È possibile utilizzare una licenza di prova richiedendola ai partner di Palo Alto Networks. Il suo periodo di validità è di 30 giorni. La licenza viene attivata tramite un file o utilizzando Auth-Code. Le licenze sono configurate nella sezione Dispositivo -> Licenze (Fig. 4).
Dopo aver installato la licenza, è necessario configurare l'installazione degli aggiornamenti nella sezione Dispositivo -> Aggiornamenti dinamici.
Nella sezione Dispositivo -> Software è possibile scaricare e installare nuove versioni di PAN-OS.
Figura 4 – Pannello di controllo della licenza
3. Configurazione di zone di sicurezza, interfacce di rete, politiche di traffico, traduzione degli indirizzi
I firewall di Palo Alto Networks utilizzano la logica di zona durante la configurazione delle regole di rete. Le interfacce di rete vengono assegnate a una zona specifica e questa zona viene utilizzata nelle regole del traffico. Questo approccio consentirà in futuro, quando si modificano le impostazioni dell'interfaccia, di non modificare le regole del traffico, ma invece di riassegnare le interfacce necessarie alle zone appropriate. Per impostazione predefinita, il traffico all'interno di una zona è consentito, il traffico tra le zone è vietato e le regole predefinite ne sono responsabili default intrazona и default interzona.
Figura 5 – Zone di sicurezza
In questo esempio alla zona viene assegnata un'interfaccia della rete interna internoe l'interfaccia rivolta verso Internet viene assegnata alla zona esterno. Per SSL VPN è stata creata un'interfaccia tunnel e assegnata alla zona vpn (Fig. 5).
Le interfacce di rete firewall di Palo Alto Networks possono funzionare in cinque diverse modalità:
- Rubinetto – utilizzati per raccogliere traffico a fini di monitoraggio e analisi
- HA – utilizzato per il funzionamento del cluster
- Filo virtuale – in questa modalità, Palo Alto Networks combina due interfacce e passa in modo trasparente il traffico tra di loro senza modificare gli indirizzi MAC e IP
- Layer2 - cambia modalità
- Layer3 – modalità router
Figura 6 – Impostazione della modalità operativa dell'interfaccia
In questo esempio verrà utilizzata la modalità Layer3 (Fig. 6). I parametri dell'interfaccia di rete indicano l'indirizzo IP, la modalità operativa e la zona di sicurezza corrispondente. Oltre alla modalità operativa dell'interfaccia, è necessario assegnarla al router virtuale Virtual Router, questo è un analogo dell'istanza VRF in Palo Alto Networks. I router virtuali sono isolati gli uni dagli altri e dispongono delle proprie tabelle di routing e impostazioni del protocollo di rete.
Le impostazioni del router virtuale specificano i percorsi statici e le impostazioni del protocollo di routing. In questo esempio è stato creato solo un percorso predefinito per l'accesso alle reti esterne (Fig. 7).
Figura 7 – Configurazione di un router virtuale
La fase successiva di configurazione riguarda le politiche del traffico, sezione Politiche -> Sicurezza. Un esempio di configurazione è mostrato nella Figura 8. La logica delle regole è la stessa di tutti i firewall. Le regole vengono controllate da cima a fondo, fino alla prima partita. Breve descrizione delle regole:
1. Accesso VPN SSL al portale Web. Consente l'accesso al portale web per autenticare le connessioni remote
2. Traffico VPN: consente il traffico tra connessioni remote e la sede centrale
3. Internet di base: consente applicazioni DNS, ping, traceroute e ntp. Il firewall consente applicazioni basate su firme, decodifica ed euristica anziché su numeri di porta e protocolli, motivo per cui la sezione Servizio indica applicazione predefinita. Porta/protocollo predefinito per questa applicazione
4. Accesso Web: consente l'accesso a Internet tramite protocolli HTTP e HTTPS senza controllo dell'applicazione
5,6. Regole predefinite per altro traffico.
Figura 8 — Esempio di impostazione delle regole di rete
Per configurare NAT utilizzare la sezione Politiche -> NAT. Un esempio di configurazione NAT è mostrato nella Figura 9.
Figura 9 – Esempio di configurazione NAT
Per qualsiasi traffico dall'interno all'esterno, è possibile modificare l'indirizzo di origine nell'indirizzo IP esterno del firewall e utilizzare un indirizzo di porta dinamico (PAT).
4. Configurazione del profilo di autenticazione LDAP e della funzione di identificazione utente
Prima di connettere gli utenti tramite SSL-VPN, è necessario configurare un meccanismo di autenticazione. In questo esempio, l'autenticazione verrà eseguita sul controller di dominio Active Directory tramite l'interfaccia Web di Palo Alto Networks.
Figura 10 – Profilo LDAP
Affinché l'autenticazione funzioni, è necessario configurare Profilo LDAP и Profilo di autenticazione. Nella sezione Dispositivo -> Profili server -> LDAP (Fig. 10) è necessario specificare l'indirizzo IP e la porta del controller di dominio, il tipo LDAP e l'account utente incluso nei gruppi Operatori di server, Lettori registro eventi, Utenti COM distribuiti. Poi nella sezione Dispositivo -> Profilo di autenticazione creare un profilo di autenticazione (Fig. 11), contrassegnare quello precedentemente creato Profilo LDAP e nella scheda Avanzate indichiamo il gruppo di utenti (Fig. 12) a cui è consentito l'accesso remoto. È importante annotare il parametro nel tuo profilo Dominio dell'utente, altrimenti l'autorizzazione basata sul gruppo non funzionerà. Il campo deve indicare il nome del dominio NetBIOS.
Figura 11 – Profilo di autenticazione
Figura 12 – Selezione del gruppo AD
La fase successiva è l'impostazione Dispositivo -> Identificazione Utente. Qui è necessario specificare l'indirizzo IP del controller di dominio, le credenziali di connessione e anche configurare le impostazioni Abilita registro di sicurezza, Abilita sessione, Abilita sondaggio (Fig. 13). Nel capitolo Mappatura dei gruppi (Fig. 14) è necessario annotare i parametri per identificare gli oggetti in LDAP e l'elenco dei gruppi che verranno utilizzati per l'autorizzazione. Proprio come nel Profilo di Autenticazione, qui è necessario impostare il parametro Dominio Utente.
Figura 13 – Parametri di Mappatura Utenti
Figura 14 – Parametri di Mappatura del Gruppo
L'ultimo passaggio di questa fase consiste nel creare una zona VPN e un'interfaccia per tale zona. È necessario abilitare l'opzione sull'interfaccia Abilita l'identificazione dell'utente (Fig. 15).
Figura 15 – Configurazione di una zona VPN
5. Configurazione della VPN SSL
Prima di connettersi a una VPN SSL, l'utente remoto deve accedere al portale Web, autenticarsi e scaricare il client Global Protect. Successivamente, questo client richiederà le credenziali e si connetterà alla rete aziendale. Il portale web funziona in modalità https e, di conseguenza, è necessario installarne un certificato. Se possibile, utilizzare un certificato pubblico. Quindi l'utente non riceverà un avviso sull'invalidità del certificato sul sito. Se non è possibile utilizzare un certificato pubblico, è necessario emetterne uno proprio, che verrà utilizzato nella pagina Web per https. Può essere autofirmato o emesso tramite un'autorità di certificazione locale. Il computer remoto deve disporre di un certificato root o autofirmato nell'elenco delle autorità root attendibili in modo che l'utente non riceva un errore quando si connette al portale web. In questo esempio verrà utilizzato un certificato emesso tramite Servizi certificati Active Directory.
Per emettere un certificato è necessario creare una richiesta di certificato nella sezione Dispositivo -> Gestione certificati -> Certificati -> Genera. Nella richiesta indichiamo il nome del certificato e l'indirizzo IP o FQDN del portale web (Fig. 16). Dopo aver generato la richiesta, scarica .csr file e copiarne il contenuto nel campo di richiesta del certificato nel modulo Web di registrazione Web di AD CS. A seconda di come è configurata l'autorità di certificazione, la richiesta di certificato deve essere approvata e il certificato emesso deve essere scaricato nel formato Certificato codificato Base64. Inoltre, è necessario scaricare il certificato radice dell'autorità di certificazione. Quindi è necessario importare entrambi i certificati nel firewall. Quando si importa un certificato per un portale web, è necessario selezionare la richiesta nello stato in sospeso e fare clic su Importa. Il nome del certificato deve corrispondere al nome specificato in precedenza nella richiesta. Il nome del certificato radice può essere specificato arbitrariamente. Dopo aver importato il certificato, è necessario creare Profilo del servizio SSL/TLS sezione Dispositivo -> Gestione certificati. Nel profilo indichiamo il certificato precedentemente importato.
Figura 16 – Richiesta di certificato
Il passaggio successivo è l'impostazione degli oggetti Gateway di protezione globale и Portale di protezione globale sezione Rete -> Protezione globale... Nelle impostazioni Gateway di protezione globale indicare l'indirizzo IP esterno del firewall, così come creato in precedenza Profilo SSL, Profilo di autenticazione, interfaccia tunnel e impostazioni IP del client. È necessario specificare un pool di indirizzi IP da cui verrà assegnato l'indirizzo al client e il percorso di accesso: queste sono le sottoreti verso le quali il client avrà un percorso. Se l'attività è avvolgere tutto il traffico utente attraverso un firewall, è necessario specificare la sottorete 0.0.0.0/0 (Fig. 17).
Figura 17 – Configurazione di un pool di indirizzi IP e route
Quindi è necessario configurare Portale di protezione globale. Specificare l'indirizzo IP del firewall, Profilo SSL и Profilo di autenticazione e un elenco di indirizzi IP esterni dei firewall a cui si connetterà il client. Se sono presenti più firewall, è possibile impostare per ciascuno una priorità, in base alla quale gli utenti sceglieranno un firewall a cui connettersi.
Nella sezione Dispositivo -> Client GlobalProtect è necessario scaricare la distribuzione del client VPN dai server di Palo Alto Networks e attivarla. Per connettersi, l'utente dovrà recarsi alla pagina web del portale, dove gli verrà chiesto di effettuare il download Cliente GlobalProtect. Una volta scaricato e installato, potrai inserire le tue credenziali e connetterti alla tua rete aziendale tramite SSL VPN.
conclusione
Ciò completa la parte Palo Alto Networks della configurazione. Ci auguriamo che le informazioni siano state utili e che il lettore abbia acquisito una comprensione delle tecnologie utilizzate in Palo Alto Networks. Se hai domande sul setup e suggerimenti su argomenti per i prossimi articoli, scrivili nei commenti, saremo felici di rispondere.
Fonte: habr.com