🥇 Карактеристики за поставување мрежи на Palo Alto: SSL VPN

И покрај сите предности на заштитните ѕидови на Palo Alto Networks, нема многу материјал на RuNet за поставување на овие уреди, како и текстови кои го опишуваат искуството од нивната имплементација. Решивме да ги сумираме материјалите што ги акумулиравме за време на нашата работа со опремата на овој продавач и да зборуваме за карактеристиките што ги сретнавме при спроведувањето на различни проекти.

За да ве запознаеме со мрежите Palo Alto, овој напис ќе ја разгледа конфигурацијата потребна за решавање на еден од најчестите проблеми со заштитен ѕид - SSL VPN за далечински пристап. Ќе зборуваме и за корисни функции за општа конфигурација на заштитен ѕид, идентификација на корисникот, апликации и безбедносни политики. Доколку темата е од интерес за читателите, во иднина ќе објавуваме материјали за анализа на VPN од сајт до локација, динамично рутирање и централизирано управување со користење на Панорама.

Заштитните ѕидови на Palo Alto Networks користат голем број иновативни технологии, вклучувајќи App-ID, User-ID, Content-ID. Употребата на оваа функционалност ви овозможува да обезбедите високо ниво на безбедност. На пример, со App-ID е можно да се идентификува сообраќајот на апликациите врз основа на потписи, декодирање и хеуристика, без оглед на пристаништето и протоколот што се користи, вклучително и внатре во SSL тунел. User-ID ви овозможува да ги идентификувате корисниците на мрежата преку LDAP интеграција. Content-ID овозможува скенирање на сообраќајот и идентификација на пренесените датотеки и нивната содржина. Други функции на заштитен ѕид вклучуваат заштита од упад, заштита од пропусти и DoS напади, вграден анти-шпионски софтвер, филтрирање URL, групирање и централизирано управување.

За демонстрација, ќе користиме изолиран штанд, со конфигурација идентична на вистинската, со исклучок на имиња на уреди, име на домен АД и IP адреси. Во реалноста, сè е покомплицирано - може да има многу гранки. Во овој случај, наместо еден заштитен ѕид, ќе се инсталира кластер на границите на централните локации, а може да биде потребно и динамично рутирање.

Се користи на штандот PAN-OS 7.1.9. Како типична конфигурација, разгледајте ја мрежата со заштитен ѕид на Palo Alto Networks на работ. Заштитниот ѕид обезбедува далечински SSL VPN пристап до седиштето. Доменот Active Directory ќе се користи како корисничка база на податоци (Слика 1).

Слика 1 – Мрежен блок дијаграм

Чекори за поставување:

Пред-конфигурација на уредот. Поставување име, IP адреса за управување, статични правци, администраторски сметки, профили за управување
Инсталирање лиценци, конфигурирање и инсталирање ажурирања
Конфигурирање на безбедносни зони, мрежни интерфејси, сообраќајни политики, превод на адреси
Конфигурирање на LDAP профил за автентикација и функција за идентификација на корисникот
Поставување SSL VPN

1. Претходно поставено

Главната алатка за конфигурирање на заштитниот ѕид на Palo Alto Networks е веб-интерфејсот; можно е и управување преку CLI. Стандардно, интерфејсот за управување е поставен на IP адреса 192.168.1.1/24, најава: админ, лозинка: админ.

Можете да ја промените адресата или со поврзување на веб-интерфејсот од истата мрежа или со користење на командата поставете уред конфигурација на системска IP-адреса <> мрежна маска <>. Се изведува во режим на конфигурација. За да се префрлите во режим на конфигурација, користете ја командата конфигурирате. Сите промени на заштитниот ѕид се случуваат само откако поставките се потврдени со командата изврши, и во режим на командна линија и во веб-интерфејс.

За да ги промените поставките во веб-интерфејсот, користете го делот Уред -> Општи поставки и Уред -> Поставки за интерфејс за управување. Името, банерите, временската зона и другите поставки може да се постават во делот Општи поставки (сл. 2).

Слика 2 – Параметри на интерфејсот за управување

Ако користите виртуелен заштитен ѕид во ESXi средина, во делот Општи поставки треба да ја овозможите употребата на MAC адресата доделена од хипервизорот или да ги конфигурирате MAC адресите наведени на интерфејсите на заштитниот ѕид на хипервизорот или да ги промените поставките на виртуелните прекинувачи за да дозволат MAC да ги менува адресите. Во спротивно сообраќајот нема да минува.

Интерфејсот за управување е конфигуриран посебно и не се прикажува во списокот со мрежни интерфејси. Во поглавјето Поставки за интерфејс за управување ја одредува стандардната порта за интерфејсот за управување. Други статични правци се конфигурирани во делот за виртуелни рутери; ова ќе се дискутира подоцна.

За да дозволите пристап до уредот преку други интерфејси, мора да креирате профил за управување Профил на управување дел Мрежа -> Мрежни профили -> Интерфејс Mgmt и доделете го на соодветниот интерфејс.

Следно, треба да ги конфигурирате DNS и NTP во делот Уред -> Услуги да примате ажурирања и правилно да го прикажувате времето (сл. 3). Стандардно, целиот сообраќај генериран од заштитниот ѕид ја користи IP адресата на интерфејсот за управување како изворна IP адреса. Можете да доделите различен интерфејс за секоја специфична услуга во делот Конфигурација на услугата рута.

Слика 3 – Параметри на услугата за DNS, NTP и системски рути

2. Инсталирање лиценци, поставување и инсталирање ажурирања

За целосно функционирање на сите функции на заштитен ѕид, мора да инсталирате лиценца. Може да користите пробна лиценца ако ја побарате од партнерите на Palo Alto Networks. Нејзиниот рок на важност е 30 дена. Лиценцата се активира или преку датотека или користејќи Auth-Code. Лиценците се конфигурирани во делот Уред -> Лиценци (слика 4).
По инсталирањето на лиценцата, треба да ја конфигурирате инсталацијата на ажурирања во делот Уред -> Динамички ажурирања.
Во делот Уред -> Софтвер можете да преземете и инсталирате нови верзии на PAN-OS.

Слика 4 – Контролна табла за лиценца

3. Конфигурирање на безбедносни зони, мрежни интерфејси, сообраќајни политики, превод на адреси

Заштитните ѕидови на Palo Alto Networks користат зонска логика при конфигурирање на мрежните правила. Мрежните интерфејси се доделуваат на одредена зона и оваа зона се користи во сообраќајните правила. Овој пристап овозможува во иднина, при промена на поставките на интерфејсот, да не се менуваат сообраќајните правила, туку наместо тоа да се преназначат потребните интерфејси во соодветните зони. Стандардно, сообраќајот во зоната е дозволен, сообраќајот помеѓу зоните е забранет, однапред дефинираните правила се одговорни за ова интразона-стандардно и меѓузонски-стандардно.

Слика 5 – Безбедносни зони

Во овој пример, интерфејсот на внатрешната мрежа е доделен на зоната внатрешна, а интерфејсот свртен кон Интернет е доделен на зоната надворешен. За SSL VPN, тунелен интерфејс е креиран и доделен на зоната VPN (слика 5).

Мрежните интерфејси на заштитен ѕид на Palo Alto Networks можат да работат во пет различни режими:

Допрете – се користи за собирање сообраќај заради следење и анализа
HA – се користи за работа на кластерот
Виртуелна жица – во овој режим, Palo Alto Networks комбинира два интерфејси и транспарентно го пренесува сообраќајот меѓу нив без промена на MAC и IP адресите
Layer2 – префрли режим
Layer3 - режим на рутер

Слика 6 – Поставување на режимот на работа на интерфејсот

Во овој пример, ќе се користи режимот Layer3 (сл. 6). Параметрите на мрежниот интерфејс ја означуваат IP адресата, режимот на работа и соодветната безбедносна зона. Покрај режимот на работа на интерфејсот, мора да го доделите на виртуелниот рутер Virtual Router, ова е аналог на пример VRF во Palo Alto Networks. Виртуелните рутери се изолирани едни од други и имаат свои табели за рутирање и поставки за мрежен протокол.

Поставките на виртуелниот рутер ги одредуваат статичните правци и поставките на протоколот за рутирање. Во овој пример, создадена е само стандардна рута за пристап до надворешни мрежи (сл. 7).

Слика 7 – Поставување виртуелен рутер

Следната фаза на конфигурација е сообраќајните политики, дел Политики -> Безбедност. Пример за конфигурација е прикажан на слика 8. Логиката на правилата е иста како и за сите заштитни ѕидови. Правилата се проверуваат од горе до долу, па се до првиот натпревар. Краток опис на правилата:

1. SSL VPN пристап до веб порталот. Овозможува пристап до веб-порталот за автентикација на далечинските врски
2. VPN сообраќај – дозволува сообраќај помеѓу далечинските врски и седиштето
3. Основен Интернет – дозволува dns, ping, traceroute, ntp апликации. Заштитниот ѕид дозволува апликации засновани на потписи, декодирање и хеуристика, наместо на броеви на порти и протоколи, поради што во делот Услуга стои апликација-стандардно. Стандардна порта/протокол за оваа апликација
4. Веб пристап – дозволува пристап до Интернет преку протоколи HTTP и HTTPS без контрола на апликацијата
5,6. Стандардните правила за другиот сообраќај.

Слика 8 - Пример за поставување мрежни правила

За да го конфигурирате NAT, користете го делот Политики -> NAT. Пример за NAT конфигурација е прикажан на Слика 9.

Слика 9 – Пример за NAT конфигурација

За секој сообраќај од внатрешен кон надворешен, можете да ја смените изворната адреса во надворешната IP адреса на заштитниот ѕид и да користите адреса на динамична порта (PAT).

4. Конфигурирање на профилот за автентикација на LDAP и функцијата за идентификација на корисникот
Пред да ги поврзете корисниците преку SSL-VPN, треба да конфигурирате механизам за автентикација. Во овој пример, автентикацијата ќе се случи на контролерот на доменот Active Directory преку веб-интерфејсот на Palo Alto Networks.

Слика 10 – LDAP профил

За да работи автентикацијата, треба да конфигурирате LDAP профил и Профил за автентикација. Во делот Уред -> Профили на серверот -> LDAP (сл. 10) треба да ја наведете IP адресата и портата на контролорот на доменот, типот LDAP и корисничката сметка вклучени во групите Оператори на сервери, Читачи на дневници на настани, Дистрибуирани COM корисници. Потоа во делот Уред -> Профил за автентикација креирајте профил за автентикација (сл. 11), означете го претходно креираниот LDAP профил а во табулаторот Advanced ја означуваме групата корисници (сл. 12) на кои им е дозволен далечински пристап. Важно е да го забележите параметарот во вашиот профил Кориснички домен, инаку овластувањето засновано на група нема да работи. Полето мора да го означи името на доменот NetBIOS.

Слика 11 – Профил за автентикација

Слика 12 – Избор на група АД

Следната фаза е поставување Уред -> Корисничка идентификација. Овде треба да ја наведете IP адресата на контролорот на доменот, ингеренциите за поврзување, а исто така да ги конфигурирате поставките Овозможи евиденција за безбедност, Овозможи сесија, Овозможи сондирање (сл. 13). Во поглавјето Групно мапирање (Сл. 14) треба да ги забележите параметрите за идентификација на објекти во LDAP и списокот на групи што ќе се користат за авторизација. Исто како и во Профилот за автентикација, тука треба да го поставите параметарот Кориснички домен.

Слика 13 – Параметри за мапирање на корисници

Слика 14 – Параметри за мапирање на групи

Последниот чекор во оваа фаза е да се создаде VPN зона и интерфејс за таа зона. Треба да ја овозможите опцијата на интерфејсот Овозможете идентификација на корисникот (слика 15).

Слика 15 – Поставување VPN зона

5. Поставување SSL VPN

Пред да се поврзе со SSL VPN, далечинскиот корисник мора да оди на веб-порталот, да го автентицира и преземе клиентот Global Protect. Следно, овој клиент ќе побара акредитиви и ќе се поврзе на корпоративната мрежа. Веб-порталот работи во режим https и, соодветно, треба да инсталирате сертификат за него. Користете јавен сертификат ако е можно. Тогаш корисникот нема да добие предупредување за невалидноста на сертификатот на страницата. Ако не е можно да се користи јавен сертификат, тогаш треба да издадете ваш, кој ќе се користи на веб-страницата за https. Може да се потпише самостојно или да се издаде преку локален орган за сертификати. Далечинскиот компјутер мора да има root или само-потпишан сертификат во списокот со доверливи авторитети за root за да не добие грешка при поврзувањето на веб-порталот. Овој пример ќе користи сертификат издаден преку услугите за сертификати на Active Directory.

За да издадете сертификат, треба да креирате барање за сертификат во делот Уред -> Управување со сертификати -> Сертификати -> Генерирање. Во барањето го наведуваме името на сертификатот и IP адресата или FQDN на веб-порталот (сл. 16). Откако ќе го генерирате барањето, преземете .csr датотека и копирајте ја неговата содржина во полето за барање сертификат во веб-формуларот AD CS Web Enrollment. Во зависност од тоа како е конфигуриран органот за сертификати, барањето за сертификат мора да биде одобрено и издадениот сертификат мора да се преземе во формат Base64 кодиран сертификат. Дополнително, треба да го преземете коренскиот сертификат на органот за сертификација. Потоа треба да ги увезете двата сертификати во заштитниот ѕид. Кога увезувате сертификат за веб-портал, мора да го изберете барањето во статусот на чекање и да кликнете на увоз. Името на сертификатот мора да одговара на името наведено претходно во барањето. Името на коренскиот сертификат може да се назначи произволно. По увозот на сертификатот, треба да креирате Профил на услугата SSL/TLS дел Уред -> Управување со сертификати. Во профилот го означуваме претходно увезениот сертификат.

Слика 16 – Барање за сертификат

Следниот чекор е поставување на објекти Global Protect Gateway и Global Protect портал дел Мрежа -> Глобална заштита. Во поставките Global Protect Gateway означете ја надворешната IP адреса на заштитниот ѕид, како и претходно креираната SSL профил, Профил за автентикација, интерфејс на тунел и поставки за IP на клиентот. Треба да наведете базен на IP адреси од кои адресата ќе биде доделена на клиентот, и Access Route - тоа се подмрежите до кои клиентот ќе има рута. Ако задачата е да го завиткате целиот кориснички сообраќај преку заштитен ѕид, тогаш треба да ја наведете подмрежата 0.0.0.0/0 (сл. 17).

Слика 17 – Конфигурирање на базен од IP адреси и рути

Потоа треба да конфигурирате Global Protect портал. Наведете ја IP адресата на заштитниот ѕид, SSL профил и Профил за автентикација и листа на надворешни IP адреси на заштитните ѕидови на кои ќе се поврзе клиентот. Ако има неколку заштитни ѕидови, можете да поставите приоритет за секој, според кој корисниците ќе изберат заштитен ѕид за поврзување.

Во делот Уред -> Клиент GlobalProtect треба да ја преземете дистрибуцијата на клиентот VPN од серверите на Palo Alto Networks и да ја активирате. За да се поврзе, корисникот мора да оди на веб-страницата на порталот, каде што ќе биде побарано да преземе GlobalProtect клиент. Откако ќе го преземете и инсталирате, можете да ги внесете вашите ингеренции и да се поврзете на вашата корпоративна мрежа преку SSL VPN.

Заклучок

Ова го комплетира делот на Palo Alto Networks од поставувањето. Се надеваме дека информациите беа корисни и читателот стекна разбирање за технологиите што се користат во Palo Alto Networks. Ако имате прашања во врска со поставувањето и предлози за теми за идни написи, напишете ги во коментарите, со задоволство ќе одговориме.

Извор: www.habr.com

Карактеристики за поставување на Palo Alto Networks: SSL VPN

1. Претходно поставено

2. Инсталирање лиценци, поставување и инсталирање ажурирања

3. Конфигурирање на безбедносни зони, мрежни интерфејси, сообраќајни политики, превод на адреси

5. Поставување SSL VPN

Заклучок

Додадете коментар Откажи одговор