Nepaisant visų Palo Alto Networks ugniasienės pranašumų, RuNet nėra daug medžiagos apie šių įrenginių nustatymą, taip pat tekstų, apibūdinančių jų diegimo patirtį. Nusprendėme apibendrinti medžiagą, kurią sukaupėme dirbdami su šio pardavėjo įranga, ir pakalbėti apie ypatybes, su kuriomis susidūrėme įgyvendindami įvairius projektus.
Norėdami supažindinti jus su Palo Alto Networks, šiame straipsnyje bus apžvelgta konfigūracija, reikalinga norint išspręsti vieną iš dažniausiai pasitaikančių ugniasienės problemų – SSL VPN nuotolinei prieigai. Taip pat kalbėsime apie bendrosios ugniasienės konfigūracijos, vartotojo identifikavimo, taikomųjų programų ir saugos politikos paslaugų funkcijas. Jei tema sudomins skaitytojus, ateityje išleisime medžiagą, analizuojančią Site-to-Site VPN, dinaminį maršrutą ir centralizuotą valdymą naudojant Panorama.
Palo Alto Networks ugniasienės naudoja daugybę naujoviškų technologijų, įskaitant App-ID, User-ID, Content-ID. Šios funkcijos naudojimas leidžia užtikrinti aukštą saugumo lygį. Pavyzdžiui, naudojant App-ID galima nustatyti programų srautą pagal parašus, dekodavimą ir euristiką, neatsižvelgiant į naudojamą prievadą ir protokolą, įskaitant SSL tunelio viduje. Naudotojo ID leidžia identifikuoti tinklo vartotojus integruojant LDAP. „Content-ID“ leidžia nuskaityti srautą ir identifikuoti perduodamus failus bei jų turinį. Kitos ugniasienės funkcijos apima apsaugą nuo įsibrovimų, apsaugą nuo pažeidžiamumų ir DoS atakų, integruotą apsaugą nuo šnipinėjimo programų, URL filtravimą, grupavimą ir centralizuotą valdymą.
Demonstracijai naudosime izoliuotą stendą, kurio konfigūracija identiška tikrajai, išskyrus įrenginių pavadinimus, AD domeno pavadinimą ir IP adresus. Iš tikrųjų viskas yra sudėtingiau - gali būti daug šakų. Tokiu atveju vietoj vienos ugniasienės centrinių svetainių ribose bus įdiegtas klasteris, taip pat gali prireikti dinaminio maršruto parinkimo.
Naudotas ant stovo PAN-OS 7.1.9. Kaip tipinę konfigūraciją apsvarstykite tinklą su Palo Alto Networks užkarda krašte. Ugniasienė suteikia nuotolinę SSL VPN prieigą prie pagrindinės buveinės. „Active Directory“ domenas bus naudojamas kaip vartotojų duomenų bazė (1 pav.).
1 pav. Tinklo blokinė schema
Sąrankos žingsniai:
- Išankstinė įrenginio konfigūracija. Vardo, valdymo IP adreso, statinių maršrutų, administratoriaus paskyrų, valdymo profilių nustatymas
- Licencijų diegimas, konfigūravimas ir naujinimų diegimas
- Apsaugos zonų, tinklo sąsajų, eismo politikos konfigūravimas, adresų vertimas
- LDAP autentifikavimo profilio ir vartotojo identifikavimo funkcijos konfigūravimas
- SSL VPN nustatymas
1. Iš anksto nustatyta
Pagrindinis Palo Alto Networks ugniasienės konfigūravimo įrankis yra žiniatinklio sąsaja, taip pat galimas valdymas per CLI. Pagal numatytuosius nustatymus valdymo sąsaja yra nustatyta į IP adresą 192.168.1.1/24, prisijungimo vardas: admin, slaptažodis: admin.
Adresą galite pakeisti prisijungę prie žiniatinklio sąsajos iš to paties tinklo arba naudodami komandą nustatyti deviceconfig sistemos IP adresą <> tinklo kaukę <>. Jis atliekamas konfigūracijos režimu. Norėdami perjungti į konfigūracijos režimą, naudokite komandą konfigūruoti. Visi ugniasienės pakeitimai įvyksta tik tada, kai parametrai patvirtinami komanda įsipareigoti, tiek komandinės eilutės režimu, tiek žiniatinklio sąsajoje.
Norėdami pakeisti žiniatinklio sąsajos nustatymus, naudokite skyrių Įrenginys -> Bendrieji nustatymai ir įrenginys -> Valdymo sąsajos nustatymai. Pavadinimą, reklamjuostes, laiko juostą ir kitus nustatymus galima nustatyti skiltyje Bendrieji nustatymai (2 pav.).
2 pav. Valdymo sąsajos parametrai
Jei ESXi aplinkoje naudojate virtualią ugniasienę, skiltyje Bendrieji nustatymai turite įjungti hipervizoriaus priskirto MAC adreso naudojimą arba sukonfigūruoti MAC adresus, nurodytus hipervizoriaus ugniasienės sąsajose, arba pakeisti virtualūs jungikliai, leidžiantys MAC keisti adresus. Priešingu atveju eismas nepravažiuos.
Valdymo sąsaja sukonfigūruojama atskirai ir nerodoma tinklo sąsajų sąraše. Skyriuje Valdymo sąsajos nustatymai nurodo numatytąjį valdymo sąsajos šliuzą. Kiti statiniai maršrutai sukonfigūruojami virtualių maršrutizatorių skyriuje; tai bus aptarta vėliau.
Norėdami leisti pasiekti įrenginį per kitas sąsajas, turite sukurti valdymo profilį Valdymo profilis skyrius Tinklas -> Tinklo profiliai -> Sąsajos vald ir priskirti jį atitinkamai sąsajai.
Tada skyriuje turite sukonfigūruoti DNS ir NTP Įrenginys -> Paslaugos gauti atnaujinimus ir teisingai rodyti laiką (3 pav.). Pagal numatytuosius nustatymus visas ugniasienės generuojamas srautas naudoja valdymo sąsajos IP adresą kaip šaltinio IP adresą. Kiekvienai konkrečiai paslaugai skyriuje galite priskirti skirtingą sąsają Paslaugos maršruto konfigūracija.
3 pav. – DNS, NTP ir sistemos maršrutų paslaugų parametrai
2. Licencijų diegimas, naujinimų nustatymas ir diegimas
Kad visos ugniasienės funkcijos veiktų visapusiškai, turite įdiegti licenciją. Galite naudoti bandomąją licenciją paprašę jos iš Palo Alto Networks partnerių. Jo galiojimo laikas yra 30 dienų. Licencija aktyvuojama per failą arba naudojant Auth-Code. Licencijos sukonfigūruojamos skyriuje Įrenginys -> Licencijos (Pav 4).
Įdiegę licenciją, skyriuje turite sukonfigūruoti naujinimų diegimą Įrenginys -> Dinaminiai naujinimai.
Skyriuje Įrenginys -> Programinė įranga galite atsisiųsti ir įdiegti naujas PAN-OS versijas.
4 pav. Licencijos valdymo skydelis
3. Apsaugos zonų, tinklo sąsajų, eismo taisyklių, adresų vertimo konfigūravimas
Palo Alto Networks ugniasienės konfigūruodami tinklo taisykles naudoja zonos logiką. Tinklo sąsajos priskiriamos konkrečiai zonai, ši zona naudojama eismo taisyklėse. Šis metodas leidžia ateityje, keičiant sąsajos nustatymus, nekeisti eismo taisyklių, o perskirstyti reikiamas sąsajas atitinkamoms zonoms. Pagal numatytuosius nustatymus eismas zonos viduje yra leidžiamas, eismas tarp zonų draudžiamas, už tai atsako iš anksto nustatytos taisyklės intrazona-numatytasis и tarpzoninis-numatytasis.
5 pav. Saugos zonos
Šiame pavyzdyje zonai priskirta sąsaja vidiniame tinkle vidaus, o sąsaja, nukreipta į internetą, priskiriama zonai išorinis. SSL VPN buvo sukurta tunelio sąsaja ir priskirta zonai VPN (Pav 5).
Palo Alto Networks ugniasienės tinklo sąsajos gali veikti penkiais skirtingais režimais:
- Bakstelėkite – naudojamas srautui surinkti stebėjimo ir analizės tikslais
- HA – naudojamas klasterio darbui
- Virtualus laidas – šiuo režimu Palo Alto Networks sujungia dvi sąsajas ir skaidriai perduoda srautą tarp jų nekeisdamas MAC ir IP adresų
- „Layer2“ – perjungimo režimas
- „Layer3“ - maršrutizatoriaus režimas
6 pav. – Sąsajos veikimo režimo nustatymas
Šiame pavyzdyje bus naudojamas Layer3 režimas (6 pav.). Tinklo sąsajos parametrai nurodo IP adresą, darbo režimą ir atitinkamą apsaugos zoną. Be sąsajos veikimo režimo, turite jį priskirti virtualiam maršrutizatoriui, tai yra Palo Alto Networks VRF egzemplioriaus analogas. Virtualūs maršrutizatoriai yra atskirti vienas nuo kito ir turi savo maršruto lenteles bei tinklo protokolo nustatymus.
Virtualaus maršrutizatoriaus nustatymai nurodo statinius maršrutus ir maršruto parinkimo protokolo nustatymus. Šiame pavyzdyje buvo sukurtas tik numatytasis maršrutas prieigai prie išorinių tinklų (7 pav.).
7 pav. Virtualaus maršruto parinktuvo nustatymas
Kitas konfigūravimo etapas yra eismo politikos skyrius Politika -> Sauga. Konfigūracijos pavyzdys parodytas 8 paveiksle. Taisyklių logika yra tokia pati kaip ir visų ugniasienių. Taisyklės tikrinamos iš viršaus į apačią, iki pat pirmųjų rungtynių. Trumpas taisyklių aprašymas:
1. SSL VPN prieiga prie žiniatinklio portalo. Leidžia pasiekti žiniatinklio portalą, kad būtų galima autentifikuoti nuotolinius ryšius
2. VPN srautas – leidžiantis srautą tarp nuotolinių ryšių ir pagrindinės buveinės
3. Pagrindinis internetas – leidžia dns, ping, traceroute, ntp programas. Užkarda leidžia programas, pagrįstas parašais, dekodavimu ir euristika, o ne prievadų numeriais ir protokolais, todėl skyriuje Paslauga sakoma, kad programa yra numatytoji. Numatytasis šios programos prievadas / protokolas
4. Prieiga prie interneto – interneto prieiga per HTTP ir HTTPS protokolus be taikomųjų programų valdymo
5,6. Numatytoji kito eismo taisyklės.
8 pav. Tinklo taisyklių nustatymo pavyzdys
Norėdami sukonfigūruoti NAT, naudokite skyrių Politika -> NAT. NAT konfigūracijos pavyzdys parodytas 9 paveiksle.
9 pav. NAT konfigūracijos pavyzdys
Bet kokiam srautui iš vidinio į išorinį, galite pakeisti šaltinio adresą į išorinį ugniasienės IP adresą ir naudoti dinaminį prievado adresą (PAT).
4. LDAP autentifikavimo profilio ir vartotojo identifikavimo funkcijos konfigūravimas
Prieš prijungdami vartotojus per SSL-VPN, turite sukonfigūruoti autentifikavimo mechanizmą. Šiame pavyzdyje „Active Directory“ domeno valdiklis autentifikuojamas per „Palo Alto Networks“ žiniatinklio sąsają.
10 pav. – LDAP profilis
Kad autentifikavimas veiktų, turite sukonfigūruoti LDAP profilis и Autentifikavimo profilis... Skyriuje Įrenginys -> Serverio profiliai -> LDAP (10 pav.) reikia nurodyti domeno valdiklio IP adresą ir prievadą, LDAP tipą ir į grupes įtraukto vartotojo abonementą Serverio operatoriai, Įvykių žurnalo skaitytuvai, Paskirstyti COM vartotojai. Tada skyriuje Įrenginys -> Autentifikavimo profilis sukurti autentifikavimo profilį (11 pav.), pažymėti anksčiau sukurtą LDAP profilis o skirtuke Advanced nurodome vartotojų grupę (12 pav.), kuriems leidžiama nuotolinė prieiga. Svarbu pažymėti parametrą savo profilyje Vartotojo domenas, antraip grupės autorizacija neveiks. Lauke turi būti nurodytas NetBIOS domeno pavadinimas.
11 pav. Autentifikavimo profilis
12 pav. – AD grupės pasirinkimas
Kitas etapas yra sąranka Įrenginys -> Vartotojo identifikavimas. Čia reikia nurodyti domeno valdiklio IP adresą, ryšio kredencialus ir konfigūruoti nustatymus Įgalinti saugos žurnalą, Įgalinti sesiją, Įgalinti zondavimą (13 pav.). Skyriuje Grupės žemėlapių sudarymas (14 pav.) reikia atkreipti dėmesį į LDAP objektų identifikavimo parametrus ir grupių, kurios bus naudojamos autorizacijai, sąrašą. Kaip ir autentifikavimo profilyje, čia reikia nustatyti vartotojo domeno parametrą.
13 pav. Vartotojo atvaizdavimo parametrai
14 pav. Grupės atvaizdavimo parametrai
Paskutinis šio etapo žingsnis yra sukurti VPN zoną ir šios zonos sąsają. Turite įjungti sąsajos parinktį Įgalinti vartotojo identifikavimą (Pav 15).
15 pav. VPN zonos nustatymas
5. SSL VPN nustatymas
Prieš prisijungdamas prie SSL VPN, nuotolinis vartotojas turi eiti į žiniatinklio portalą, autentifikuoti ir atsisiųsti Global Protect klientą. Tada šis klientas paprašys kredencialų ir prisijungs prie įmonės tinklo. Interneto portalas veikia https režimu ir, atitinkamai, turite įdiegti jam sertifikatą. Jei įmanoma, naudokite viešąjį sertifikatą. Tada vartotojas negaus įspėjimo apie sertifikato negaliojimą svetainėje. Jei nėra galimybės naudoti viešąjį sertifikatą, turite išduoti savo, kuris bus naudojamas tinklalapyje https. Jis gali būti pasirašytas savarankiškai arba išduotas per vietinę sertifikatų instituciją. Nuotolinis kompiuteris turi turėti šakninį arba savarankiškai pasirašytą sertifikatą patikimų šakninių institucijų sąraše, kad prisijungdamas prie interneto portalo vartotojas negautų klaidos. Šiame pavyzdyje bus naudojamas sertifikatas, išduotas naudojant „Active Directory“ sertifikatų tarnybas.
Norėdami išduoti sertifikatą, skiltyje turite sukurti sertifikato užklausą Įrenginys -> Sertifikatų valdymas -> Sertifikatai -> Generuoti. Prašyme nurodome sertifikato pavadinimą ir interneto portalo IP adresą arba FQDN (16 pav.). Sugeneravę užklausą, atsisiųskite .csr failą ir nukopijuokite jo turinį į sertifikato užklausos lauką AD CS Web Enrollment žiniatinklio formoje. Priklausomai nuo to, kaip sukonfigūruota sertifikatų institucija, sertifikato užklausa turi būti patvirtinta ir išduotas sertifikatas turi būti atsiųstas tokiu formatu „Base64“ užkoduotas sertifikatas. Be to, turite atsisiųsti sertifikavimo institucijos šakninį sertifikatą. Tada turite importuoti abu sertifikatus į užkardą. Importuodami žiniatinklio portalo sertifikatą, turite pasirinkti užklausą laukimo būsenoje ir spustelėti importuoti. Sertifikato pavadinimas turi atitikti anksčiau užklausoje nurodytą pavadinimą. Šakninio sertifikato pavadinimą galima nurodyti savavališkai. Importavus sertifikatą, reikia sukurti SSL/TLS paslaugos profilis skyrius Įrenginys -> Sertifikatų valdymas. Profilyje nurodome anksčiau importuotą sertifikatą.
16 pav. – Prašymas išduoti sertifikatą
Kitas žingsnis yra objektų nustatymas Global Protect Gateway и Pasaulinis apsaugos portalas skyrius Tinklas -> Global Protect. Nustatymuose Global Protect Gateway nurodykite išorinį ugniasienės IP adresą, taip pat anksčiau sukurtą SSL profilis, Autentifikavimo profilis, tunelio sąsaja ir kliento IP nustatymai. Turite nurodyti IP adresų telkinį, iš kurio adresas bus priskirtas klientui, ir Access Route – tai potinkliai, į kuriuos klientas turės maršrutą. Jei užduotis yra apvynioti visą vartotojų srautą per ugniasienę, tuomet reikia nurodyti potinklį 0.0.0.0/0 (17 pav.).
17 pav. – IP adresų ir maršrutų telkinio konfigūravimas
Tada reikia sukonfigūruoti Pasaulinis apsaugos portalas. Nurodykite ugniasienės IP adresą, SSL profilis и Autentifikavimo profilis ir užkardų, prie kurių prisijungs klientas, išorinių IP adresų sąrašas. Jei yra kelios ugniasienės, kiekvienai galite nustatyti prioritetą, pagal kurį vartotojai pasirinks užkardą, prie kurios prisijungs.
Skyriuje Įrenginys -> GlobalProtect Client turite atsisiųsti VPN kliento platinimą iš Palo Alto Networks serverių ir jį suaktyvinti. Norėdami prisijungti, vartotojas turi eiti į portalo tinklalapį, kur jo bus paprašyta atsisiųsti „GlobalProtect“ klientas. Atsisiuntę ir įdiegę galite įvesti savo kredencialus ir prisijungti prie įmonės tinklo per SSL VPN.
išvada
Tai užbaigia „Palo Alto Networks“ sąrankos dalį. Tikimės, kad informacija buvo naudinga ir skaitytojas suprato „Palo Alto Networks“ naudojamas technologijas. Jei turite klausimų apie sąranką ir pasiūlymų būsimų straipsnių temomis, rašykite juos komentaruose, mielai atsakysime.
Šaltinis: www.habr.com