Palo Alto Networks 설정 기능: SSL VPN

Palo Alto Networks 방화벽의 모든 장점에도 불구하고 RuNet에는 이러한 장치 설정에 대한 자료와 구현 경험을 설명하는 텍스트가 많지 않습니다. 우리는 이 공급업체의 장비를 사용하면서 축적된 자료를 요약하고 다양한 프로젝트를 수행하면서 접한 기능에 대해 이야기하기로 결정했습니다.

Palo Alto Networks를 소개하기 위해 이 기사에서는 가장 일반적인 방화벽 문제 중 하나인 원격 액세스를 위한 SSL VPN을 해결하는 데 필요한 구성을 살펴보겠습니다. 또한 일반 방화벽 구성, 사용자 식별, 애플리케이션 및 보안 정책을 위한 유틸리티 기능에 대해서도 설명합니다. 주제가 독자의 관심을 끌면 향후에는 Panorama를 사용한 Site-to-Site VPN, 동적 라우팅 및 중앙 집중식 관리를 분석하는 자료를 공개할 예정입니다.

Palo Alto Networks 방화벽은 App-ID, User-ID, Content-ID를 포함한 다양한 혁신적인 기술을 사용합니다. 이 기능을 사용하면 높은 수준의 보안을 보장할 수 있습니다. 예를 들어 App-ID를 사용하면 SSL 터널 내부를 포함하여 사용되는 포트 및 프로토콜에 관계없이 서명, 디코딩 및 휴리스틱을 기반으로 애플리케이션 트래픽을 식별할 수 있습니다. User-ID를 사용하면 LDAP 통합을 통해 네트워크 사용자를 식별할 수 있습니다. Content-ID를 사용하면 트래픽을 검색하고 전송된 파일과 해당 콘텐츠를 식별할 수 있습니다. 기타 방화벽 기능에는 침입 방지, 취약점 및 DoS 공격 방지, 내장된 스파이웨어 방지, URL 필터링, 클러스터링 및 중앙 집중식 관리가 포함됩니다.

시연을 위해 장치 이름, AD 도메인 이름 및 IP 주소를 제외하고 실제와 동일한 구성을 갖춘 격리된 스탠드를 사용합니다. 실제로는 모든 것이 더 복잡합니다. 분기가 많을 수 있습니다. 이 경우 단일 방화벽 대신 중앙 사이트의 경계에 클러스터가 설치되며 동적 라우팅도 필요할 수 있습니다.

스탠드에 사용 팬OS 7.1.9. 일반적인 구성으로 엣지에 Palo Alto Networks 방화벽이 있는 네트워크를 고려해 보세요. 방화벽은 본사에 대한 원격 SSL VPN 액세스를 제공합니다. Active Directory 도메인은 사용자 데이터베이스로 사용됩니다(그림 1).

그림 1 - 네트워크 블록 다이어그램

설정 단계:

1. 장치 사전 구성. 이름, 관리 IP 주소, 고정 경로, 관리자 계정, 관리 프로필 설정
2. 라이선스 설치, 업데이트 구성 및 설치
3. 보안 영역, 네트워크 인터페이스, 트래픽 정책, 주소 변환 구성
4. LDAP 인증 프로필 및 사용자 식별 기능 구성
5. SSL VPN 설정

1. 프리셋

팔로알토 네트웍스 방화벽을 구성하는 주요 도구는 웹 인터페이스이며, CLI를 통한 관리도 가능합니다. 기본적으로 관리 인터페이스는 IP 주소 192.168.1.1/24, 로그인: admin, 비밀번호: admin으로 설정됩니다.

동일한 네트워크에서 웹 인터페이스에 연결하거나 다음 명령을 사용하여 주소를 변경할 수 있습니다. deviceconfig 시스템 IP 주소 설정 <> 넷마스크 <>. 구성 모드에서 수행됩니다. 구성 모드로 전환하려면 다음 명령을 사용하십시오. 구성. 방화벽의 모든 변경 사항은 명령으로 설정을 확인한 후에만 발생합니다. 범하다, 명령줄 모드와 웹 인터페이스 모두에서.

웹 인터페이스에서 설정을 변경하려면 섹션을 사용하십시오. 장치 -> 일반 설정 및 장치 -> 관리 인터페이스 설정. 이름, 배너, 시간대 및 기타 설정은 일반 설정 섹션에서 설정할 수 있습니다(그림 2).

그림 2 - 관리 인터페이스 매개변수

ESXi 환경에서 가상 방화벽을 사용하는 경우 일반 설정 섹션에서 하이퍼바이저가 할당한 MAC 주소 사용을 활성화하거나 하이퍼바이저의 방화벽 인터페이스에 지정된 MAC 주소를 구성하거나 설정을 변경해야 합니다. MAC 주소 변경을 허용하는 가상 스위치. 그렇지 않으면 트래픽이 통과하지 못합니다.

관리 인터페이스는 별도로 구성되며 네트워크 인터페이스 목록에 표시되지 않습니다. 장에서 관리 인터페이스 설정 관리 인터페이스의 기본 게이트웨이를 지정합니다. 다른 정적 경로는 가상 라우터 섹션에서 구성되며 이에 대해서는 나중에 설명합니다.

다른 인터페이스를 통해 장치에 대한 액세스를 허용하려면 관리 프로필을 생성해야 합니다. 관리 프로필 섹션 네트워크 -> 네트워크 프로필 -> 인터페이스 관리 적절한 인터페이스에 할당합니다.

다음으로 섹션에서 DNS 및 NTP를 구성해야 합니다. 장치 -> 서비스 업데이트를 수신하고 시간을 올바르게 표시합니다(그림 3). 기본적으로 방화벽에서 생성된 모든 트래픽은 관리 인터페이스 IP 주소를 소스 IP 주소로 사용합니다. 섹션에서 각 특정 서비스에 대해 서로 다른 인터페이스를 할당할 수 있습니다. 서비스 경로 구성.

그림 3 - DNS, NTP 및 시스템 경로 서비스 매개변수

2. 라이선스 설치, 업데이트 설정 및 설치

모든 방화벽 기능을 제대로 작동하려면 라이센스를 설치해야 합니다. Palo Alto Networks 파트너에게 요청하여 평가판 라이선스를 사용할 수 있습니다. 유효기간은 30일입니다. 라이센스는 파일을 통해 또는 인증 코드를 사용하여 활성화됩니다. 라이센스는 섹션에서 구성됩니다. 장치 -> 라이선스 (그림 4).
라이센스를 설치한 후 섹션에서 업데이트 설치를 구성해야 합니다. 장치 -> 동적 업데이트.
섹션에서 장치 -> 소프트웨어 PAN-OS의 새 버전을 다운로드하여 설치할 수 있습니다.

그림 4 - 라이센스 제어판

3. 보안 영역, 네트워크 인터페이스, 트래픽 정책, 주소 변환 구성

Palo Alto Networks 방화벽은 네트워크 규칙을 구성할 때 영역 논리를 사용합니다. 네트워크 인터페이스는 특정 영역에 할당되며 이 영역은 트래픽 규칙에 사용됩니다. 이 접근 방식을 사용하면 나중에 인터페이스 설정을 변경할 때 트래픽 규칙을 변경하는 것이 아니라 필요한 인터페이스를 적절한 영역에 다시 할당할 수 있습니다. 기본적으로 영역 내 트래픽은 허용되고, 영역 간 트래픽은 금지되며, 사전 정의된 규칙이 이를 담당합니다. 영역 내 기본값 и 영역 간 기본값.

그림 5 – 안전 구역

이 예에서는 내부 네트워크의 인터페이스가 영역에 할당됩니다. 내부의, 인터넷에 연결되는 인터페이스가 영역에 할당됩니다. 외부. SSL VPN의 경우 터널 인터페이스가 생성되어 영역에 할당되었습니다. VPN을 (그림 5).

Palo Alto Networks 방화벽 네트워크 인터페이스는 다섯 가지 모드로 작동할 수 있습니다.

• 가볍게 두드리다 – 모니터링 및 분석 목적으로 트래픽을 수집하는 데 사용됩니다.
• HA – 클러스터 운영에 사용
• 가상 와이어 – 이 모드에서 Palo Alto Networks는 두 개의 인터페이스를 결합하고 MAC 및 IP 주소를 변경하지 않고 인터페이스 간에 트래픽을 투명하게 전달합니다.
• Layer2 - 스위치 모드
• Layer3 – 라우터 모드

그림 6 – 인터페이스 작동 모드 설정

이 예에서는 Layer3 모드가 사용됩니다(그림 6). 네트워크 인터페이스 매개변수는 IP 주소, 작동 모드 및 해당 보안 영역을 나타냅니다. 인터페이스의 작동 모드 외에도 이를 가상 라우터 가상 라우터에 할당해야 합니다. 이는 Palo Alto Networks의 VRF 인스턴스와 유사합니다. 가상 라우터는 서로 격리되어 있으며 자체 라우팅 테이블과 네트워크 프로토콜 설정을 갖습니다.

가상 라우터 설정은 고정 경로 및 라우팅 프로토콜 설정을 지정합니다. 이 예에서는 외부 네트워크에 액세스하기 위한 기본 경로만 생성되었습니다(그림 7).

그림 7 - 가상 라우터 설정

다음 구성 단계는 트래픽 정책 섹션입니다. 정책 -> 보안. 구성의 예가 그림 8에 나와 있습니다. 규칙의 논리는 모든 방화벽과 동일합니다. 규칙은 위에서 아래로, 첫 번째 일치 항목까지 확인됩니다. 규칙에 대한 간략한 설명:

1. 웹 포털에 대한 SSL VPN 액세스. 원격 연결을 인증하기 위해 웹 포털에 대한 액세스를 허용합니다.
2. VPN 트래픽 – 원격 연결과 본사 간의 트래픽을 허용합니다.
3. 기본 인터넷 – dns, ping, Traceroute, ntp 애플리케이션을 허용합니다. 방화벽은 포트 번호와 프로토콜이 아닌 서명, 디코딩 및 경험적 방법을 기반으로 하는 응용 프로그램을 허용하므로 서비스 섹션에 응용 프로그램 기본값이 표시됩니다. 이 애플리케이션의 기본 포트/프로토콜
4. 웹 액세스 - 애플리케이션 제어 없이 HTTP 및 HTTPS 프로토콜을 통해 인터넷 액세스를 허용합니다.
5,6. 기타 트래픽에 대한 기본 규칙입니다.

그림 8 - 네트워크 규칙 설정 예

NAT를 구성하려면 섹션을 사용하십시오. 정책 -> NAT. NAT 구성의 예가 그림 9에 나와 있습니다.

그림 9 - NAT 구성의 예

내부에서 외부로의 모든 트래픽의 경우 소스 주소를 방화벽의 외부 IP 주소로 변경하고 동적 포트 주소(PAT)를 사용할 수 있습니다.

4. LDAP 인증 프로필 및 사용자 식별 기능 구성
SSL-VPN을 통해 사용자를 연결하기 전에 인증 메커니즘을 구성해야 합니다. 이 예에서는 Palo Alto Networks 웹 인터페이스를 통해 Active Directory 도메인 컨트롤러에 대한 인증이 발생합니다.

그림 10 – LDAP 프로필

인증이 작동하려면 다음을 구성해야 합니다. LDAP 프로필 и 인증 프로필. 섹션 장치 -> 서버 프로필 -> LDAP (그림 10) 도메인 컨트롤러의 IP 주소와 포트, 그룹에 포함된 LDAP 유형 및 사용자 계정을 지정해야 합니다. 서버 운영자, 이벤트 로그 리더, 분산 COM 사용자. 그런 다음 섹션에서 장치 -> 인증 프로필 인증 프로필을 생성하고(그림 11) 이전에 생성된 프로필을 표시합니다. LDAP 프로필 고급 탭에는 원격 액세스가 허용된 사용자 그룹(그림 12)이 표시됩니다. 프로필의 매개변수를 기록해 두는 것이 중요합니다. 사용자 도메인그렇지 않으면 그룹 기반 인증이 작동하지 않습니다. 필드는 NetBIOS 도메인 이름을 나타내야 합니다.

그림 11 – 인증 프로필

그림 12 – AD 그룹 선택

다음 단계가 설정되었습니다. 기기 -> 사용자 식별. 여기서는 도메인 컨트롤러의 IP 주소, 연결 자격 증명을 지정하고 설정도 구성해야 합니다. 보안 로그 활성화, 세션 활성화, 프로빙 활성화 (그림 13). 장에서 그룹 매핑 (그림 14) LDAP에서 객체를 식별하기 위한 매개변수와 인증에 사용될 그룹 목록을 기록해 두어야 합니다. 인증 프로필과 마찬가지로 여기에서도 사용자 도메인 매개변수를 설정해야 합니다.

그림 13 - 사용자 매핑 매개변수

그림 14 - 그룹 매핑 매개변수

이 단계의 마지막 단계는 VPN 영역과 해당 영역에 대한 인터페이스를 만드는 것입니다. 인터페이스에서 옵션을 활성화해야 합니다 사용자 식별 활성화 (그림 15).

그림 15 - VPN 영역 설정

5. SSL VPN 설정

SSL VPN에 연결하기 전에 원격 사용자는 웹 포털로 이동하여 Global Protect 클라이언트를 인증하고 다운로드해야 합니다. 다음으로 이 클라이언트는 자격 증명을 요청하고 회사 네트워크에 연결합니다. 웹 포털은 https 모드에서 작동하므로 이에 대한 인증서를 설치해야 합니다. 가능하면 공용 인증서를 사용하세요. 그러면 사용자는 사이트에서 인증서의 무효성에 대한 경고를 받지 않습니다. 공인 인증서를 사용할 수 없는 경우 https용 웹 페이지에서 사용할 인증서를 직접 발급해야 합니다. 자체 서명되거나 로컬 인증 기관을 통해 발급될 수 있습니다. 원격 컴퓨터에는 신뢰할 수 있는 루트 인증 기관 목록에 루트 또는 자체 서명된 인증서가 있어야 사용자가 웹 포털에 연결할 때 오류가 발생하지 않습니다. 이 예에서는 Active Directory 인증서 서비스를 통해 발급된 인증서를 사용합니다.

인증서를 발급하려면 섹션에서 인증서 요청을 생성해야 합니다. 장치 -> 인증서 관리 -> 인증서 -> 생성. 요청에는 인증서 이름과 웹 포털의 IP 주소 또는 FQDN이 표시됩니다(그림 16). 요청을 생성한 후 다운로드 .csr 파일을 다운로드하고 그 내용을 AD CS 웹 등록 웹 양식의 인증서 요청 필드에 복사합니다. 인증기관이 어떻게 구성되어 있는지에 따라 인증서 요청을 승인해야 하며, 발급된 인증서를 다음 형식으로 다운로드해야 합니다. Base64로 인코딩된 인증서. 또한 인증 기관의 루트 인증서를 다운로드해야 합니다. 그런 다음 두 인증서를 모두 방화벽으로 가져와야 합니다. 웹 포털 인증서를 가져올 때 보류 상태의 요청을 선택하고 가져오기를 클릭해야 합니다. 인증서 이름은 요청에서 이전에 지정한 이름과 일치해야 합니다. 루트 인증서의 이름은 임의로 지정할 수 있습니다. 인증서를 가져온 후에는 다음을 생성해야 합니다. SSL/TLS 서비스 프로필 섹션 단말기 -> 인증서 관리. 프로필에는 이전에 가져온 인증서가 표시됩니다.

그림 16 - 인증서 요청

다음 단계는 개체를 설정하는 것입니다. 글로벌 보호 게이트웨이 и 글로벌 보호 포털 섹션 네트워크 -> 글로벌 보호. 설정에서 글로벌 보호 게이트웨이 방화벽의 외부 IP 주소와 이전에 생성된 IP 주소를 나타냅니다. SSL 프로필, 인증 프로필, 터널 인터페이스 및 클라이언트 IP 설정. 클라이언트에 주소가 할당될 IP 주소 풀과 액세스 경로(클라이언트가 경로를 갖게 될 서브넷)를 지정해야 합니다. 작업이 방화벽을 통해 모든 사용자 트래픽을 래핑하는 것이라면 서브넷 0.0.0.0/0을 지정해야 합니다(그림 17).

그림 17 – IP 주소 및 경로 풀 구성

그런 다음 구성해야합니다 글로벌 보호 포털. 방화벽의 IP 주소를 지정하고, SSL 프로필 и 인증 프로필 클라이언트가 연결할 방화벽의 외부 IP 주소 목록입니다. 방화벽이 여러 개인 경우 사용자가 연결할 방화벽을 선택하는 방식에 따라 각 방화벽에 우선 순위를 설정할 수 있습니다.

섹션에서 장치 -> GlobalProtect 클라이언트 Palo Alto Networks 서버에서 VPN 클라이언트 배포판을 다운로드하고 활성화해야 합니다. 연결하려면 사용자가 포털 웹 페이지로 이동해야 하며, 여기에서 다운로드하라는 메시지가 표시됩니다. GlobalProtect 클라이언트. 다운로드하여 설치한 후에는 자격 증명을 입력하고 SSL VPN을 통해 회사 네트워크에 연결할 수 있습니다.

결론

이로써 Palo Alto Networks 설정 부분이 완료되었습니다. 정보가 유용했고 독자가 Palo Alto Networks에서 사용하는 기술을 이해하는 데 도움이 되기를 바랍니다. 향후 기사의 주제에 대한 설정 및 제안에 대한 질문이 있는 경우 댓글에 적어주시면 기꺼이 답변해 드리겠습니다.

출처 : habr.com