Palo Alto Networks галт хананы бүх давуу талыг үл харгалзан RuNet дээр эдгээр төхөөрөмжийг тохируулах талаар тийм ч их материал байдаггүй, түүнчлэн тэдгээрийг хэрэгжүүлэх туршлагыг тайлбарласан текстүүд байдаггүй. Бид энэ үйлдвэрлэгчийн тоног төхөөрөмжтэй ажиллахдаа цуглуулсан материалаа нэгтгэн дүгнэж, янз бүрийн төслүүдийг хэрэгжүүлэх явцад тулгарч байсан онцлог шинж чанаруудын талаар ярихаар шийдсэн.
Palo Alto Networks-ийг танд танилцуулахын тулд энэ нийтлэл нь галт ханын хамгийн түгээмэл асуудлуудын нэг болох алсын зайнаас нэвтрэх SSL VPN-ийг шийдвэрлэхэд шаардлагатай тохиргоог авч үзэх болно. Мөн бид галт ханын ерөнхий тохиргоо, хэрэглэгчийн таних тэмдэг, программууд болон аюулгүй байдлын бодлогын талаар ярих болно. Хэрэв энэ сэдэв уншигчдын сонирхлыг татвал ирээдүйд бид Panorama ашиглан Сайтаас Сайт руу VPN, динамик чиглүүлэлт, төвлөрсөн удирдлагад дүн шинжилгээ хийсэн материалыг гаргах болно.
Palo Alto Networks галт хана нь App-ID, User-ID, Content-ID зэрэг хэд хэдэн шинэлэг технологийг ашигладаг. Энэ функцийг ашиглах нь өндөр түвшний аюулгүй байдлыг хангах боломжийг олгодог. Жишээлбэл, App-ID-ийн тусламжтайгаар SSL туннелийн доторх порт, протоколоос үл хамааран гарын үсэг, код тайлах, эвристик дээр үндэслэн програмын урсгалыг тодорхойлох боломжтой. User-ID нь LDAP интеграцчлалаар дамжуулан сүлжээний хэрэглэгчдийг тодорхойлох боломжийг танд олгоно. Content-ID нь урсгалыг сканнердах, дамжуулагдсан файлууд болон тэдгээрийн агуулгыг тодорхойлох боломжийг олгодог. Галт ханын бусад функцууд нь халдлагаас хамгаалах, эмзэг байдал болон DoS халдлагаас хамгаалах, тагнуулын эсрэг програм хангамж, URL шүүлтүүр, кластер хийх, төвлөрсөн удирдлага зэрэг орно.
Үзэсгэлэнгийн хувьд бид төхөөрөмжийн нэр, AD домэйн нэр, IP хаягийг эс тооцвол бодиттой ижил тохиргоотой тусгаарлагдсан стенд ашиглах болно. Бодит байдал дээр бүх зүйл илүү төвөгтэй байдаг - олон салбар байж болно. Энэ тохиолдолд нэг галт хананы оронд төв сайтуудын хил дээр кластер суурилуулах бөгөөд динамик чиглүүлэлт шаардлагатай байж болно.
Стенд дээр ашигласан PAN-OS 7.1.9. Ердийн тохиргооны хувьд ирмэг дээр нь Palo Alto Networks галт хана бүхий сүлжээг авч үзье. Галт хана нь төв оффис руу алсын зайнаас SSL VPN нэвтрэх боломжийг олгодог. Active Directory домайныг хэрэглэгчийн мэдээллийн сан болгон ашиглах болно (Зураг 1).
Зураг 1 – Сүлжээний блок диаграмм
Тохируулга хийх алхамууд:
- Төхөөрөмжийн урьдчилсан тохиргоо. Нэр, удирдлагын IP хаяг, статик маршрут, администраторын бүртгэл, удирдлагын профайлыг тохируулах
- Лиценз суулгах, шинэчлэлтүүдийг тохируулах, суулгах
- Аюулгүй байдлын бүс, сүлжээний интерфейс, замын хөдөлгөөний бодлого, хаягийн орчуулгыг тохируулах
- LDAP баталгаажуулалтын профайл болон хэрэглэгчийн таних функцийг тохируулах
- SSL VPN-г тохируулж байна
1. Урьдчилан тохируулсан
Palo Alto Networks галт ханыг тохируулах гол хэрэгсэл нь вэб интерфэйс бөгөөд CLI-ээр дамжуулан удирдах боломжтой. Анхдагч байдлаар, удирдлагын интерфэйсийг IP хаяг 192.168.1.1/24, нэвтрэх: админ, нууц үг: админ гэж тохируулсан.
Та нэг сүлжээнээс вэб интерфэйстэй холбогдож эсвэл тушаалыг ашиглан хаягийг өөрчилж болно төхөөрөмжийн тохиргооны системийн ip-хаяг <> сүлжээний маск <> тохируулах. Энэ нь тохиргооны горимд хийгддэг. Тохиргооны горимд шилжихийн тулд командыг ашиглана уу тохируулна. Галт хана дээрх бүх өөрчлөлт нь тохиргоог тушаалаар баталгаажуулсны дараа л хийгддэг үйлдэх, командын мөрийн горим болон вэб интерфейсийн аль алинд нь.
Вэб интерфэйс дэх тохиргоог өөрчлөхийн тулд хэсгийг ашиглана уу Төхөөрөмж -> Ерөнхий тохиргоо ба Төхөөрөмж -> Удирдлагын интерфейсийн тохиргоо. Нэр, баннер, цагийн бүс болон бусад тохиргоог Ерөнхий тохиргоо хэсэгт тохируулж болно (Зураг 2).
Зураг 2 – Удирдлагын интерфейсийн параметрүүд
Хэрэв та ESXi орчинд виртуал галт ханыг ашигладаг бол Ерөнхий тохиргоо хэсэгт гипервизорын өгсөн MAC хаягийг ашиглахыг идэвхжүүлэх эсвэл гипервизор дээрх галт ханын интерфейс дээр заасан MAC хаягуудыг тохируулах, эсвэл тохиргоог өөрчлөх шаардлагатай. виртуал шилжүүлэгч нь MAC хаягийг өөрчлөх боломжийг олгодог. Тэгэхгүй бол замын хөдөлгөөн өнгөрөхгүй.
Удирдлагын интерфейсийг тусад нь тохируулсан бөгөөд сүлжээний интерфейсийн жагсаалтад харагдахгүй. Бүлэгт Удирдлагын интерфейсийн тохиргоо удирдлагын интерфейсийн анхдагч гарцыг зааж өгдөг. Бусад статик маршрутуудыг виртуал чиглүүлэгчийн хэсэгт тохируулсан бөгөөд үүнийг дараа хэлэлцэх болно.
Бусад интерфейсээр дамжуулан төхөөрөмжид хандахыг зөвшөөрөхийн тулд та удирдлагын профайл үүсгэх ёстой Удирдлагын профайл хэсэг Сүлжээ -> Сүлжээний профайл -> Интерфэйс Mgmt мөн тохирох интерфэйс рүү хуваарилна уу.
Дараа нь та хэсэгт DNS болон NTP тохиргоог хийх хэрэгтэй Төхөөрөмж -> Үйлчилгээ шинэчлэлтүүдийг хүлээн авч, цагийг зөв харуулах (Зураг 3). Анхдагч байдлаар, галт ханаар үүсгэсэн бүх урсгал нь удирдлагын интерфейсийн IP хаягийг эх IP хаяг болгон ашигладаг. Та хэсэг дэх тодорхой үйлчилгээ тус бүрт өөр интерфэйс оноож болно Үйлчилгээний маршрутын тохиргоо.
Зураг 3 – DNS, NTP болон системийн чиглүүлэлтийн үйлчилгээний параметрүүд
2. Лиценз суулгах, шинэчлэх, суулгах
Галт ханын бүх функцийг бүрэн ажиллуулахын тулд та лиценз суулгах ёстой. Та Palo Alto Networks түншүүдээс хүсэлт гаргаж туршилтын лицензийг ашиглаж болно. Түүний хүчинтэй байх хугацаа 30 хоног байна. Лицензийг файлаар эсвэл Auth-Code ашиглан идэвхжүүлдэг. Лицензийг энэ хэсэгт тохируулсан болно Төхөөрөмж -> Лицензүүд (зураг 4).
Лицензийг суулгасны дараа та хэсэг дэх шинэчлэлтүүдийг суулгах тохиргоог хийх хэрэгтэй Төхөөрөмж -> Динамик шинэчлэлтүүд.
хэсэг Төхөөрөмж -> Програм хангамж та PAN-OS-ийн шинэ хувилбаруудыг татаж аваад суулгаж болно.
Зураг 4 – Лицензийн хяналтын самбар
3. Хамгаалалтын бүс, сүлжээний интерфейс, замын хөдөлгөөний бодлого, хаягийн орчуулгыг тохируулах
Palo Alto Networks галт хана нь сүлжээний дүрмийг тохируулахдаа бүсийн логикийг ашигладаг. Сүлжээний интерфейсийг тодорхой бүсэд хуваарилдаг бөгөөд энэ бүсийг замын хөдөлгөөний дүрэмд ашигладаг. Энэ арга нь ирээдүйд интерфэйсийн тохиргоог өөрчлөхдөө замын хөдөлгөөний дүрмийг өөрчлөхгүй, харин шаардлагатай интерфэйсийг зохих бүсэд дахин хуваарилах боломжийг олгодог. Анхдагч байдлаар, бүс доторх хөдөлгөөнийг зөвшөөрдөг, бүс хоорондын хөдөлгөөнийг хориглодог, урьдчилан тодорхойлсон дүрмүүд үүнийг хариуцдаг. intrazone-өгөгдмөл и бүс хоорондын-өгөгдмөл.
Зураг 5 – Аюулгүйн бүс
Энэ жишээнд дотоод сүлжээн дэх интерфэйсийг бүсэд хуваарилсан болно дотоод, мөн интернетэд тулгарч буй интерфэйс нь бүсэд хуваарилагдсан гадна. SSL VPN-ийн хувьд туннелийн интерфэйсийг үүсгэж, бүсэд хуваарилсан Vpn (зураг 5).
Palo Alto Networks галт ханын сүлжээний интерфейс нь таван өөр горимд ажиллах боломжтой:
- Tap товшино уу – хяналт-шинжилгээ, дүн шинжилгээ хийх зорилгоор урсгалыг цуглуулахад ашигладаг
- HA – кластерийн үйл ажиллагаанд ашигладаг
- Виртуал утас - энэ горимд Palo Alto Networks нь хоёр интерфэйсийг нэгтгэж, MAC болон IP хаягийг өөрчлөхгүйгээр тэдгээрийн хооронд урсгалыг ил тод дамжуулдаг.
- Давхар2 - шилжих горим
- Давхар3 - чиглүүлэгчийн горим
Зураг 6 – Интерфейсийн ажиллах горимыг тохируулах
Энэ жишээнд Layer3 горимыг ашиглах болно (Зураг 6). Сүлжээний интерфейсийн параметрүүд нь IP хаяг, үйлдлийн горим, харгалзах хамгаалалтын бүсийг заана. Интерфейсийн ажиллах горимоос гадна та үүнийг Virtual Router виртуал чиглүүлэгчид хуваарилах ёстой бөгөөд энэ нь Palo Alto Networks дахь VRF жишээний аналог юм. Виртуал чиглүүлэгчид нь бие биенээсээ тусгаарлагдсан бөгөөд өөрийн чиглүүлэлтийн хүснэгт, сүлжээний протоколын тохиргоотой байдаг.
Виртуал чиглүүлэгчийн тохиргоо нь статик маршрут болон чиглүүлэлтийн протоколын тохиргоог зааж өгдөг. Энэ жишээнд зөвхөн гадаад сүлжээнд нэвтрэх анхдагч маршрутыг үүсгэсэн (Зураг 7).
Зураг 7 – Виртуал чиглүүлэгчийг тохируулах
Дараагийн тохиргооны үе шат бол замын хөдөлгөөний бодлого, хэсэг юм Бодлого -> Аюулгүй байдал. Тохиргооны жишээг Зураг 8-д үзүүлэв. Дүрмүүдийн логик нь бүх галт ханатай адил байна. Дүрмүүдийг дээрээс доош, эхний тоглолт хүртэл шалгана. Дүрмийн товч тайлбар:
1. Вэб портал руу нэвтрэх SSL VPN. Алсын холболтыг баталгаажуулахын тулд вэб портал руу нэвтрэх боломжийг олгоно
2. VPN траффик – алсын холболт болон төв оффис хоорондын урсгалыг зөвшөөрөх
3. Үндсэн интернет – dns, ping, traceroute, ntp програмуудыг зөвшөөрөх. Галт хана нь портын дугаар, протокол гэхээсээ илүү гарын үсэг, код тайлах, эвристик дээр суурилсан програмуудыг ашиглахыг зөвшөөрдөг тул Үйлчилгээний хэсэг нь програмын өгөгдмөл гэж бичдэг. Энэ програмын өгөгдмөл порт/протокол
4. Вэб хандалт – програмын хяналтгүйгээр HTTP болон HTTPS протоколоор интернетэд нэвтрэх боломжийг олгох
5,6. Бусад замын хөдөлгөөний үндсэн дүрмүүд.
Зураг 8 - Сүлжээний дүрмийг тохируулах жишээ
NAT-г тохируулахын тулд хэсгийг ашиглана уу Бодлого -> NAT. NAT тохиргооны жишээг Зураг 9-д үзүүлэв.
Зураг 9 – NAT тохиргооны жишээ
Дотоодоос гадаад руу чиглэсэн аливаа траффикийн хувьд та эх хаягийг галт ханын гадаад IP хаяг болгон өөрчилж, динамик порт хаяг (PAT) ашиглаж болно.
4. LDAP баталгаажуулалтын профайл болон хэрэглэгчийн таних функцийг тохируулах
SSL-VPN-ээр хэрэглэгчдийг холбохын өмнө та баталгаажуулалтын механизмыг тохируулах хэрэгтэй. Энэ жишээнд Palo Alto Networks вэб интерфэйсээр дамжуулан Active Directory домэйн хянагчийг баталгаажуулах болно.
Зураг 10 – LDAP профайл
Баталгаажуулалт ажиллахын тулд та тохируулах хэрэгтэй LDAP профайл и Баталгаажуулах профайлБайна. Хэсэг дээр Төхөөрөмж -> Серверийн профайл -> LDAP (Зураг 10) та бүлэгт багтсан домэйн хянагчийн IP хаяг, порт, LDAP төрөл, хэрэглэгчийн бүртгэлийг зааж өгөх хэрэгтэй. Серверийн операторууд, Үйл явдлын бүртгэл уншигч, Тархсан COM хэрэглэгчид. Дараа нь хэсэгт Төхөөрөмж -> Баталгаажуулалтын профайл баталгаажуулалтын профайлыг үүсгэх (Зураг 11), өмнө нь үүсгэсэнийг тэмдэглэ LDAP профайл болон Нарийвчилсан таб дээр бид алсаас хандах эрхтэй хэрэглэгчдийн бүлгийг (Зураг 12) заана. Таны профайл дээрх параметрийг тэмдэглэх нь чухал юм Хэрэглэгчийн домэйн, эс бөгөөс бүлэгт суурилсан зөвшөөрөл ажиллахгүй. Талбар нь NetBIOS домэйн нэрийг зааж өгөх ёстой.
Зураг 11 – Баталгаажуулалтын профайл
Зураг 12 – МЭ бүлгийн сонголт
Дараагийн шат бол тохиргоо юм Төхөөрөмж -> Хэрэглэгчийн таних тэмдэг. Энд та домэйн хянагчийн IP хаяг, холболтын итгэмжлэлийг зааж өгөх, мөн тохиргоог тохируулах хэрэгтэй Аюулгүй байдлын бүртгэлийг идэвхжүүлнэ үү, Session идэвхжүүлэх, Шинжилгээг идэвхжүүлнэ үү (Зураг 13). Бүлэгт Бүлгийн зураглал (Зураг 14) та LDAP дахь объектуудыг тодорхойлох параметрүүд болон зөвшөөрөлд ашиглагдах бүлгүүдийн жагсаалтыг тэмдэглэх хэрэгтэй. Баталгаажуулалтын профайлтай адил энд та Хэрэглэгчийн домэйн параметрийг тохируулах хэрэгтэй.
Зураг 13 – Хэрэглэгчийн зураглалын параметрүүд
Зураг 14 – Бүлгийн зураглалын параметрүүд
Энэ үе шатны сүүлчийн алхам бол VPN бүс болон тухайн бүсийн интерфейсийг бий болгох явдал юм. Та интерфэйс дээрх сонголтыг идэвхжүүлэх хэрэгтэй Хэрэглэгчийн таних тэмдгийг идэвхжүүлнэ үү (зураг 15).
Зураг 15 – VPN бүсийг тохируулах
5. SSL VPN-г тохируулах
SSL VPN-д холбогдохын өмнө алсын хэрэглэгч вэб портал руу орж, Global Protect клиентийг баталгаажуулж, татаж авах ёстой. Дараа нь энэ үйлчлүүлэгч итгэмжлэл хүсэх ба корпорацийн сүлжээнд холбогдох болно. Вэб портал нь https горимд ажилладаг бөгөөд үүний дагуу та гэрчилгээ суулгах хэрэгтэй. Боломжтой бол нийтийн гэрчилгээг ашиглаарай. Дараа нь хэрэглэгч сайт дээрх гэрчилгээ хүчингүй болсон тухай анхааруулга хүлээн авахгүй. Хэрэв олон нийтийн гэрчилгээг ашиглах боломжгүй бол https-д зориулсан вэб хуудсанд ашиглагдах өөрийн гэрчилгээг гаргах шаардлагатай. Үүнийг өөрөө гарын үсэг зурж эсвэл орон нутгийн гэрчилгээжүүлэх байгууллагаар дамжуулан гаргаж болно. Хэрэглэгч вэб портал руу холбогдох үед алдаа гарахгүйн тулд алсын компьютер нь итгэмжлэгдсэн эх эрх бүхий байгууллагуудын жагсаалтад root буюу өөрөө гарын үсэг зурсан гэрчилгээтэй байх ёстой. Энэ жишээнд Active Directory Certificate Services-ээр дамжуулан олгосон гэрчилгээг ашиглах болно.
Сертификат олгохын тулд та хэсэгт гэрчилгээний хүсэлт гаргах шаардлагатай Төхөөрөмж -> Гэрчилгээний менежмент -> Сертификат -> Үүсгэх. Хүсэлтэд бид гэрчилгээний нэр, вэб порталын IP хаяг эсвэл FQDN-ийг зааж өгнө (Зураг 16). Хүсэлтийг үүсгэсний дараа татаж авна уу .csr файл болон агуулгыг нь AD CS Web Enrollment вэб маягтын гэрчилгээний хүсэлтийн талбарт хуулна. Сертификатын эрх бүхий байгууллага хэрхэн тохируулагдсанаас хамааран гэрчилгээний хүсэлтийг баталж, олгосон гэрчилгээг форматаар татаж авах шаардлагатай. Base64 кодлогдсон гэрчилгээ. Нэмж дурдахад та гэрчилгээжүүлэх байгууллагын үндсэн гэрчилгээг татаж авах хэрэгтэй. Дараа нь та хоёр гэрчилгээг галт хананд импортлох хэрэгтэй. Вэб порталын гэрчилгээг импортлохдоо та хүлээгдэж буй төлөвт байгаа хүсэлтийг сонгоод импортыг дарна уу. Гэрчилгээний нэр нь хүсэлтэд өмнө нь заасан нэртэй тохирч байх ёстой. Үндсэн гэрчилгээний нэрийг дур зоргоороо зааж өгч болно. Сертификатыг импортлосны дараа та үүсгэх хэрэгтэй SSL/TLS үйлчилгээний профайл хэсэг Төхөөрөмж -> Сертификат менежмент. Профайл дээр бид өмнө нь импортолсон гэрчилгээг зааж өгсөн болно.
Зураг 16 – Гэрчилгээний хүсэлт
Дараагийн алхам бол объектуудыг тохируулах явдал юм Global Protect Gateway и Global Protect Portal хэсэг Сүлжээ -> Глобал хамгаалах. Тохиргоонд Global Protect Gateway галт ханын гадаад IP хаяг, түүнчлэн өмнө нь үүсгэгдсэнийг зааж өгнө SSL профайл, Баталгаажуулах профайл, туннелийн интерфейс болон үйлчлүүлэгчийн IP тохиргоо. Та үйлчлүүлэгчид хаягийг нь өгөх IP хаягийн санг зааж өгөх хэрэгтэй ба Access Route - эдгээр нь үйлчлүүлэгчийн чиглүүлэх дэд сүлжээнүүд юм. Хэрэв даалгавар бол бүх хэрэглэгчийн траффикийг галт ханаар боох бол та 0.0.0.0/0 дэд сүлжээг зааж өгөх хэрэгтэй (Зураг 17).
Зураг 17 – IP хаяг, маршрутын санг тохируулах
Дараа нь та тохируулах хэрэгтэй Global Protect Portal. Галт ханын IP хаягийг зааж өгөх, SSL профайл и Баталгаажуулах профайл болон үйлчлүүлэгчийн холбогдох галт хананы гадаад IP хаягуудын жагсаалт. Хэрэв хэд хэдэн галт хана байгаа бол хэрэглэгч тус бүрдээ тэргүүлэх чиглэлийг тохируулж болох бөгөөд үүний дагуу хэрэглэгчид холбогдох галт ханыг сонгоно.
хэсэг Төхөөрөмж -> GlobalProtect Client Та Palo Alto Networks серверүүдээс VPN клиент түгээлтийг татаж аваад идэвхжүүлэх хэрэгтэй. Холбогдохын тулд хэрэглэгч портал вэб хуудас руу орох ёстой бөгөөд тэндээс татаж авахыг хүсэх болно GlobalProtect үйлчлүүлэгч. Татаж аваад суулгасны дараа та итгэмжлэлээ оруулан SSL VPN-ээр дамжуулан өөрийн байгууллагын сүлжээнд холбогдох боломжтой.
дүгнэлт
Энэ нь тохиргооны Palo Alto Networks хэсгийг дуусгана. Мэдээлэл хэрэгтэй байсан бөгөөд уншигч Palo Alto Networks-д ашигладаг технологийн талаар ойлголттой болсон гэж найдаж байна. Хэрэв танд тохиргооны талаар асуулт, ирээдүйн нийтлэлүүдийн сэдвүүдийн талаархи санал байвал сэтгэгдэл дээр бичээрэй, бид хариулахад баяртай байх болно.
Эх сурвалж: www.habr.com