パロアルトネットワークのセットアップ機能: SSL VPN

パロアルトネットワークスのファイアウォールにはさまざまな利点があるにもかかわらず、RuNet にはこれらのデバイスのセットアップに関する資料や、その実装のエクスペリエンスを説明するテキストがあまりありません。 私たちは、このベンダーの機器を使用した作業中に蓄積した資料を要約し、さまざまなプロジェクトの実装中に遭遇した機能について話すことにしました。

パロ アルト ネットワークについて紹介するために、この記事では、ファイアウォールの最も一般的な問題の XNUMX つであるリモート アクセス用の SSL VPN を解決するために必要な構成について説明します。 また、一般的なファイアウォール構成、ユーザー識別、アプリケーション、セキュリティ ポリシーに関するユーティリティ機能についても説明します。 このトピックが読者の興味を引く場合は、将来的に、サイト間 VPN、動的ルーティング、および Panorama を使用した集中管理を分析した資料をリリースする予定です。

パロアルトネットワークスのファイアウォールは、App-ID、User-ID、Content-ID などの多くの革新的なテクノロジーを使用しています。 この機能を利用することで、高いセキュリティを確保できます。 たとえば、App-ID を使用すると、SSL トンネル内を含め、使用されるポートやプロトコルに関係なく、署名、デコード、ヒューリスティックに基づいてアプリケーション トラフィックを識別できます。 User-ID を使用すると、LDAP 統合を通じてネットワーク ユーザーを識別できます。 Content-ID を使用すると、トラフィックをスキャンし、送信されたファイルとその内容を識別できるようになります。 その他のファイアウォール機能には、侵入保護、脆弱性および DoS 攻撃に対する保護、組み込みのスパイウェア対策、URL フィルタリング、クラスタリング、集中管理などがあります。

デモンストレーションでは、デバイス名、AD ドメイン名、IP アドレスを除き、実際のスタンドと同一の構成を持つ分離スタンドを使用します。 実際には、すべてがより複雑です。多くの分岐が存在する可能性があります。 この場合、単一のファイアウォールの代わりにクラスターが中央サイトの境界にインストールされ、動的ルーティングも必要になる場合があります。

スタンドで使用 パン OS 7.1.9。 一般的な構成として、エッジにパロアルトネットワークのファイアウォールを備えたネットワークを考えてみましょう。 ファイアウォールは、本社へのリモート SSL VPN アクセスを提供します。 Active Directory ドメインはユーザー データベースとして使用されます (図 1)。

図 1 – ネットワークのブロック図

セットアップ手順:

1. デバイスの事前構成。 名前、管理IPアドレス、静的ルート、管理者アカウント、管理プロファイルの設定
2. ライセンスのインストール、アップデートの構成とインストール
3. セキュリティ ゾーン、ネットワーク インターフェイス、トラフィック ポリシー、アドレス変換の構成
4. LDAP 認証プロファイルとユーザー識別機能の構成
5. SSL VPN のセットアップ

1. プリセット

Palo Alto Networks ファイアウォールを設定するための主なツールは Web インターフェイスであり、CLI を介した管理も可能です。 デフォルトでは、管理インターフェイスは IP アドレス 192.168.1.1/24、ログイン: admin、パスワード: admin に設定されています。

アドレスを変更するには、同じネットワークから Web インターフェイスに接続するか、次のコマンドを使用します。 set deviceconfig システムの IP アドレス <> ネットマスク <>。 これは設定モードで実行されます。 設定モードに切り替えるには、次のコマンドを使用します。 configure。 ファイアウォール上のすべての変更は、コマンドによって設定が確認された後にのみ行われます。 コミット、コマンドラインモードとWebインターフェイスの両方で。

Web インターフェイスの設定を変更するには、セクションを使用します デバイス -> 一般設定およびデバイス -> 管理インターフェイス設定。 名前、バナー、タイムゾーンなどの設定は、「一般設定」セクションで設定できます(図2)。

図 2 – 管理インターフェイスのパラメータ

ESXi 環境で仮想ファイアウォールを使用する場合は、「一般設定」セクションで、ハイパーバイザーによって割り当てられた MAC アドレスの使用を有効にするか、ハイパーバイザーのファイアウォール インターフェイスで指定された MAC アドレスを構成するか、またはファイアウォールの設定を変更する必要があります。仮想スイッチは MAC によるアドレスの変更を許可します。 そうしないと、トラフィックが通過できなくなります。

管理インターフェイスは個別に設定され、ネットワーク インターフェイスのリストには表示されません。 章内 管理インターフェイスの設定 管理インターフェイスのデフォルト ゲートウェイを指定します。 他の静的ルートは仮想ルーター セクションで設定されますが、これについては後で説明します。

他のインターフェイスを介したデバイスへのアクセスを許可するには、管理プロファイルを作成する必要があります 経営陣のプロフィール セクション ネットワーク -> ネットワークプロファイル -> インターフェース管理 そしてそれを適切なインターフェースに割り当てます。

次に、セクションで DNS と NTP を設定する必要があります。 デバイス -> サービス 更新を受信し、時刻を正しく表示します (図 3)。 デフォルトでは、ファイアウォールによって生成されるすべてのトラフィックは、管理インターフェイス IP アドレスを送信元 IP アドレスとして使用します。 セクションの特定のサービスごとに異なるインターフェイスを割り当てることができます。 サービスルートの設定.

図 3 – DNS、NTP、およびシステム ルート サービス パラメータ

2. ライセンスのインストール、セットアップとアップデートのインストール

すべてのファイアウォール機能を完全に動作させるには、ライセンスをインストールする必要があります。 試用版ライセンスは、パロアルトネットワークパートナーからリクエストすることで使用できます。 有効期限は30日間です。 ライセンスは、ファイルまたは認証コードを使用してアクティブ化されます。 ライセンスはセクションで設定されます デバイス -> ライセンス （рис.4）。
ライセンスをインストールした後、セクションでアップデートのインストールを設定する必要があります。 デバイス -> 動的更新.
セクション内の デバイス -> ソフトウェア 新しいバージョンの PAN-OS をダウンロードしてインストールできます。

図 4 – ライセンス コントロール パネル

3. セキュリティ ゾーン、ネットワーク インターフェイス、トラフィック ポリシー、アドレス変換の構成

Palo Alto Networks ファイアウォールは、ネットワーク ルールを構成するときにゾーン ロジックを使用します。 ネットワーク インターフェイスは特定のゾーンに割り当てられ、このゾーンはトラフィック ルールで使用されます。 このアプローチにより、将来インターフェイス設定を変更するときに、トラフィック ルールを変更するのではなく、必要なインターフェイスを適切なゾーンに再割り当てすることが可能になります。 デフォルトでは、ゾーン内のトラフィックは許可され、ゾーン間のトラフィックは禁止されます。これには事前定義されたルールが適用されます。 イントラゾーンデフォルト и ゾーン間デフォルト.

図 5 – 安全ゾーン

この例では、内部ネットワーク上のインターフェイスがゾーンに割り当てられます。 内部、インターネットに面したインターフェイスがゾーンに割り当てられます。 外部。 SSL VPN の場合、トンネル インターフェイスが作成され、ゾーンに割り当てられています。 VPN （рис.5）。

パロアルトネットワークスのファイアウォール ネットワーク インターフェイスは、次の XNUMX つの異なるモードで動作できます。

• – 監視と分析を目的としてトラフィックを収集するために使用されます
• HA – クラスター操作に使用されます
• バーチャルワイヤー – このモードでは、パロアルトネットワークは XNUMX つのインターフェイスを結合し、MAC アドレスと IP アドレスを変更せずにインターフェイス間でトラフィックを透過的に渡します。
• Layer2 – スイッチモード
• Layer3 – ルーターモード

図 6 – インターフェース動作モードの設定

この例では、Layer3 モードが使用されます (図 6)。 ネットワーク インターフェイス パラメータは、IP アドレス、動作モード、および対応するセキュリティ ゾーンを示します。 インターフェイスの動作モードに加えて、インターフェイスを Virtual Router 仮想ルーターに割り当てる必要があります。これは、パロ アルト ネットワークの VRF インスタンスに相当します。 仮想ルーターは相互に分離されており、独自のルーティング テーブルとネットワーク プロトコル設定を持っています。

仮想ルーター設定では、静的ルートとルーティング プロトコル設定を指定します。 この例では、外部ネットワークにアクセスするためのデフォルト ルートのみが作成されています (図 7)。

図 7 – 仮想ルーターのセットアップ

次の設定段階はトラフィック ポリシーです。セクション ポリシー -> セキュリティ。 構成の例を図 8 に示します。ルールのロジックはすべてのファイアウォールと同じです。 ルールは最初の一致まで上から下にチェックされます。 ルールの簡単な説明:

1. SSL VPN による Web ポータルへのアクセス。 リモート接続を認証するために Web ポータルへのアクセスを許可します
2. VPN トラフィック – リモート接続と本社間のトラフィックを許可します。
3. 基本的なインターネット – DNS、ping、traceroute、ntp アプリケーションを許可します。 ファイアウォールでは、ポート番号やプロトコルではなく、署名、デコード、ヒューリスティックに基づいてアプリケーションを許可します。これが、サービス セクションにアプリケーションのデフォルトと記載されている理由です。 このアプリケーションのデフォルトのポート/プロトコル
4. Web アクセス – アプリケーション制御なしで HTTP および HTTPS プロトコルを介したインターネット アクセスを許可します。
5,6. 他のトラフィックのデフォルト ルール。

図8 — ネットワークルールの設定例

NAT を設定するには、セクションを使用します。 ポリシー -> NAT。 NAT 構成の例を図 9 に示します。

図 9 – NAT 構成の例

内部から外部へのトラフィックの場合、送信元アドレスをファイアウォールの外部 IP アドレスに変更し、ダイナミック ポート アドレス（PAT）を使用できます。

4. LDAP認証プロファイルとユーザー識別機能の設定
SSL-VPN 経由でユーザーを接続する前に、認証メカニズムを構成する必要があります。 この例では、Palo Alto Networks Web インターフェイスを介して Active Directory ドメイン コントローラーに対して認証が行われます。

図 10 – LDAP プロファイル

認証が機能するには、以下を構成する必要があります LDAPプロファイル и 認証プロファイル。 セクション内 デバイス -> サーバープロファイル -> LDAP (図 10) ドメイン コントローラーの IP アドレスとポート、LDAP タイプ、グループに含まれるユーザー アカウントを指定する必要があります。 サーバーオペレーター, イベントログリーダー, 分散COMユーザー。 それからセクションでは デバイス -> 認証プロファイル 認証プロファイルを作成し (図 11)、以前に作成したプロファイルにマークを付けます LDAPプロファイル [詳細] タブでは、リモート アクセスを許可するユーザーのグループ (図 12) を示します。 プロファイル内のパラメータに注意することが重要です ユーザードメインそうでない場合、グループベースの認証は機能しません。 このフィールドには NetBIOS ドメイン名を指定する必要があります。

図 11 – 認証プロファイル

図 12 – AD グループの選択

次のステージはセットアップです デバイス -> ユーザー識別。 ここでは、ドメイン コントローラーの IP アドレス、接続資格情報を指定し、設定を構成する必要があります。 セキュリティログを有効にする, セッションを有効にする, プロービングを有効にする (図13)。 章内 グループマッピング (図 14) LDAP 内のオブジェクトを識別するためのパラメータと、認可に使用されるグループのリストに注意する必要があります。 認証プロファイルと同様に、ここでもユーザー ドメイン パラメーターを設定する必要があります。

図 13 – ユーザー マッピング パラメータ

図 14 – グループ マッピング パラメータ

このフェーズの最後のステップは、VPN ゾーンとそのゾーンのインターフェイスを作成することです。 インターフェイスでオプションを有効にする必要があります ユーザー識別を有効にする （рис.15）。

図 15 – VPN ゾーンのセットアップ

5. SSL VPN のセットアップ

SSL VPN に接続する前に、リモート ユーザーは Web ポータルにアクセスし、認証して Global Protect クライアントをダウンロードする必要があります。 次に、このクライアントは資格情報を要求し、企業ネットワークに接続します。 Web ポータルは https モードで動作するため、証明書をインストールする必要があります。 可能であれば、公開証明書を使用してください。 そうすれば、ユーザーはサイト上で証明書が無効であることについての警告を受け取りません。 公開証明書を使用できない場合は、https の Web ページで使用される独自の証明書を発行する必要があります。 自己署名することも、ローカルの認証局を通じて発行することもできます。 ユーザーが Web ポータルに接続するときにエラーが発生しないように、リモート コンピューターには信頼されたルート認証局のリストにルート証明書または自己署名証明書が含まれている必要があります。 この例では、Active Directory 証明書サービスを通じて発行された証明書を使用します。

証明書を発行するには、セクションで証明書リクエストを作成する必要があります。 デバイス -> 証明書管理 -> 証明書 -> 生成。 リクエストでは、証明書の名前と Web ポータルの IP アドレスまたは FQDN を指定します (図 16)。 リクエストを生成したら、ダウンロードします .csr ファイルを作成し、その内容を AD CS Web 登録 Web フォームの証明書要求フィールドにコピーします。 認証局の構成に応じて、証明書要求が承認され、発行された証明書が次の形式でダウンロードされる必要があります。 Base64 エンコードされた証明書。 さらに、証明機関のルート証明書をダウンロードする必要があります。 次に、両方の証明書をファイアウォールにインポートする必要があります。 Web ポータルの証明書をインポートする場合は、保留中ステータスのリクエストを選択し、インポートをクリックする必要があります。 証明書名は、リクエストの前の方で指定した名前と一致する必要があります。 ルート証明書の名前は任意に指定できます。 証明書をインポートした後、以下を作成する必要があります SSL/TLSサービスプロファイル セクション デバイス -> 証明書管理。 プロファイルでは、以前にインポートされた証明書を示します。

図 16 – 証明書リクエスト

次のステップはオブジェクトの設定です グローバル プロテクト ゲートウェイ и グローバルプロテクトポータル セクション ネットワーク -> グローバルプロテクト。 設定で グローバル プロテクト ゲートウェイ ファイアウォールの外部 IP アドレスと、以前に作成された IP アドレスを示します。 SSLプロファイル, 認証プロファイル、トンネルインターフェイスとクライアントIP設定。 クライアントにアドレスが割り当てられる IP アドレスのプールと、アクセス ルートを指定する必要があります。これらは、クライアントがルートを持つサブネットです。 すべてのユーザー トラフィックをファイアウォール経由でラップするタスクの場合は、サブネット 0.0.0.0/0 を指定する必要があります (図 17)。

図 17 – IP アドレスとルートのプールの構成

次に、設定する必要があります グローバルプロテクトポータル。 ファイアウォールのIPアドレスを指定し、 SSLプロファイル и 認証プロファイル およびクライアントが接続するファイアウォールの外部 IP アドレスのリスト。 複数のファイアウォールがある場合は、どのユーザーが接続するファイアウォールを選択するかに応じて、それぞれに優先順位を設定できます。

セクション内の デバイス -> GlobalProtect クライアント パロアルトネットワークサーバーから VPN クライアントディストリビューションをダウンロードしてアクティブ化する必要があります。 接続するには、ユーザーはポータル Web ページにアクセスする必要があり、ダウンロードするように求められます。 GlobalProtect クライアント。 ダウンロードしてインストールしたら、資格情報を入力し、SSL VPN 経由で企業ネットワークに接続できます。

まとめ

これで、セットアップのパロアルトネットワーク部分が完了しました。 この情報が役に立ち、読者がパロアルトネットワークスで使用されているテクノロジーを理解できたことを願っています。 設定に関するご質問や今後の記事のトピックに関するご提案がございましたら、コメント欄に書いていただければ喜んでお答えいたします。

出所： habr.com