Ondanks alle voordelen van de firewalls van Palo Alto Networks, is er op RuNet niet veel materiaal over het instellen van deze apparaten, evenals teksten die de ervaring met de implementatie ervan beschrijven. We besloten de materialen die we tijdens ons werk met de apparatuur van deze leverancier hebben verzameld samen te vatten en te praten over de kenmerken die we tegenkwamen tijdens de implementatie van verschillende projecten.
Om u kennis te laten maken met Palo Alto Networks, wordt in dit artikel gekeken naar de configuratie die nodig is om een van de meest voorkomende firewallproblemen op te lossen: SSL VPN voor externe toegang. We zullen ook praten over hulpprogrammafuncties voor algemene firewallconfiguratie, gebruikersidentificatie, applicaties en beveiligingsbeleid. Als het onderwerp interessant is voor lezers, zullen we in de toekomst materiaal vrijgeven waarin Site-to-Site VPN, dynamische routing en gecentraliseerd beheer met behulp van Panorama worden geanalyseerd.
De firewalls van Palo Alto Networks maken gebruik van een aantal innovatieve technologieën, waaronder App-ID, User-ID en Content-ID. Door deze functionaliteit te gebruiken, kunt u een hoog beveiligingsniveau garanderen. Met App-ID is het bijvoorbeeld mogelijk om applicatieverkeer te identificeren op basis van handtekeningen, decodering en heuristiek, ongeacht de gebruikte poort en protocol, ook binnen een SSL-tunnel. Met User-ID kunt u netwerkgebruikers identificeren via LDAP-integratie. Content-ID maakt het mogelijk om verkeer te scannen en verzonden bestanden en hun inhoud te identificeren. Andere firewallfuncties zijn onder meer bescherming tegen inbraak, bescherming tegen kwetsbaarheden en DoS-aanvallen, ingebouwde antispyware, URL-filtering, clustering en gecentraliseerd beheer.
Voor de demonstratie zullen we een geïsoleerde standaard gebruiken, met een configuratie die identiek is aan de echte, met uitzondering van apparaatnamen, AD-domeinnaam en IP-adressen. In werkelijkheid is alles ingewikkelder: er kunnen veel vertakkingen zijn. In dit geval wordt in plaats van een enkele firewall een cluster geïnstalleerd aan de grenzen van centrale locaties en kan dynamische routering ook vereist zijn.
Gebruikt op de standaard PAN-OS 7.1.9. Als typische configuratie kunt u een netwerk overwegen met een Palo Alto Networks-firewall aan de rand. De firewall biedt externe SSL VPN-toegang tot het hoofdkantoor. Het Active Directory-domein zal worden gebruikt als gebruikersdatabase (Figuur 1).
Figuur 1 – Netwerkblokdiagram
Installatiestappen:
- Voorconfiguratie van het apparaat. Instellen van de naam, het beheer-IP-adres, statische routes, beheerdersaccounts, beheerprofielen
- Licenties installeren, updates configureren en installeren
- Beveiligingszones, netwerkinterfaces, verkeersbeleid, adresvertaling configureren
- Een LDAP-verificatieprofiel en gebruikersidentificatiefunctie configureren
- Een SSL-VPN instellen
1. Voorinstelling
Het belangrijkste hulpmiddel voor het configureren van de Palo Alto Networks firewall is de webinterface; beheer via de CLI is ook mogelijk. Standaard is de beheerinterface ingesteld op IP-adres 192.168.1.1/24, login: admin, wachtwoord: admin.
U kunt het adres wijzigen door verbinding te maken met de webinterface vanaf hetzelfde netwerk of door de opdracht te gebruiken stel deviceconfig systeem ip-adres <> netmasker <> in. Het wordt uitgevoerd in de configuratiemodus. Gebruik de opdracht om naar de configuratiemodus te schakelen configureer. Alle wijzigingen aan de firewall vinden pas plaats nadat de instellingen door de opdracht zijn bevestigd plegen, zowel in de opdrachtregelmodus als in de webinterface.
Gebruik de sectie om instellingen in de webinterface te wijzigen Apparaat -> Algemene instellingen en Apparaat -> Beheerinterface-instellingen. De naam, banners, tijdzone en andere instellingen kunnen worden ingesteld in het gedeelte Algemene instellingen (Fig. 2).
Figuur 2 – Parameters van de beheerinterface
Als u een virtuele firewall gebruikt in een ESXi-omgeving, moet u in het gedeelte Algemene instellingen het gebruik inschakelen van het MAC-adres dat is toegewezen door de hypervisor, of de MAC-adressen configureren die zijn opgegeven op de firewallinterfaces op de hypervisor, of de instellingen wijzigen van de virtuele switches om MAC-adressen te wijzigen. Anders komt het verkeer er niet doorheen.
De beheerinterface wordt afzonderlijk geconfigureerd en wordt niet weergegeven in de lijst met netwerkinterfaces. In hoofdstuk Instellingen beheerinterface specificeert de standaardgateway voor de beheerinterface. Andere statische routes worden geconfigureerd in het gedeelte over virtuele routers; dit wordt later besproken.
Om toegang tot het apparaat via andere interfaces mogelijk te maken, moet u een beheerprofiel aanmaken Managementprofiel sectie Netwerk -> Netwerkprofielen -> Interfacebeheer en wijs deze toe aan de juiste interface.
Vervolgens moet u DNS en NTP configureren in de sectie Apparaat -> Diensten om updates te ontvangen en de tijd correct weer te geven (Fig. 3). Standaard gebruikt al het verkeer dat door de firewall wordt gegenereerd het IP-adres van de beheerinterface als bron-IP-adres. U kunt voor elke specifieke dienst in de sectie een andere interface toewijzen Configuratie van serviceroutes.
Figuur 3 – Serviceparameters voor DNS, NTP en systeemroutes
2. Licenties installeren, updates instellen en installeren
Voor volledige werking van alle firewallfuncties moet u een licentie installeren. U kunt een proeflicentie gebruiken door deze aan te vragen bij partners van Palo Alto Networks. De geldigheidsduur ervan bedraagt 30 dagen. De licentie wordt geactiveerd via een bestand of met behulp van Auth-Code. Licenties worden geconfigureerd in de sectie Apparaat -> Licenties (Fig. 4).
Nadat u de licentie hebt geïnstalleerd, moet u de installatie van updates in de sectie configureren Apparaat -> Dynamische updates.
In paragraaf Apparaat -> Software u kunt nieuwe versies van PAN-OS downloaden en installeren.
Figuur 4 – Licentiecontrolepaneel
3. Beveiligingszones, netwerkinterfaces, verkeersbeleid, adresvertaling configureren
Palo Alto Networks-firewalls gebruiken zonelogica bij het configureren van netwerkregels. Netwerkinterfaces worden toegewezen aan een specifieke zone en deze zone wordt gebruikt in verkeersregels. Deze aanpak maakt het in de toekomst mogelijk om bij het wijzigen van interface-instellingen de verkeersregels niet te wijzigen, maar in plaats daarvan de benodigde interfaces opnieuw toe te wijzen aan de juiste zones. Standaard is verkeer binnen een zone toegestaan, verkeer tussen zones is verboden, hiervoor zijn vooraf gedefinieerde regels verantwoordelijk intrazone-standaard и interzone-standaard.
Figuur 5 – Veiligheidszones
In dit voorbeeld wordt aan de zone een interface op het interne netwerk toegewezen internen de interface die naar internet gericht is, wordt aan de zone toegewezen extern. Voor SSL VPN is een tunnelinterface gemaakt en toegewezen aan de zone vpn (Fig. 5).
Palo Alto Networks firewall-netwerkinterfaces kunnen in vijf verschillende modi werken:
- Tik – gebruikt om verkeer te verzamelen voor monitoring- en analysedoeleinden
- HA – gebruikt voor clusterbediening
- Virtuele draad – in deze modus combineert Palo Alto Networks twee interfaces en geeft transparant verkeer daartussen door zonder MAC- en IP-adressen te wijzigen
- Layer2 - verander modus
- Layer3 – routermodus
Figuur 6 – De bedieningsmodus van de interface instellen
In dit voorbeeld wordt de Layer3-modus gebruikt (Fig. 6). De netwerkinterfaceparameters geven het IP-adres, de bedrijfsmodus en de bijbehorende beveiligingszone aan. Naast de bedieningsmodus van de interface moet u deze toewijzen aan de virtuele router van de Virtual Router, dit is analoog aan een VRF-instantie in Palo Alto Networks. Virtuele routers zijn van elkaar geïsoleerd en hebben hun eigen routeringstabellen en netwerkprotocolinstellingen.
De virtuele routerinstellingen specificeren statische routes en routeringsprotocolinstellingen. In dit voorbeeld is alleen een standaardroute gemaakt voor toegang tot externe netwerken (Fig. 7).
Figuur 7 – Een virtuele router opzetten
De volgende configuratiefase is het verkeersbeleid, sectie Beleid -> Beveiliging. Een configuratievoorbeeld wordt getoond in Figuur 8. De logica van de regels is dezelfde als voor alle firewalls. De regels worden van boven naar beneden gecontroleerd, tot aan de eerste wedstrijd. Korte beschrijving van de regels:
1. SSL VPN-toegang tot webportaal. Geeft toegang tot het webportaal om externe verbindingen te verifiëren
2. VPN-verkeer – maakt verkeer mogelijk tussen externe verbindingen en het hoofdkantoor
3. Basisinternet – maakt dns-, ping-, traceroute- en ntp-applicaties mogelijk. De firewall staat toepassingen toe die zijn gebaseerd op handtekeningen, decodering en heuristieken in plaats van op poortnummers en protocollen. Daarom staat in de sectie Service 'applicatie-standaard'. Standaardpoort/protocol voor deze toepassing
4. Webtoegang – maakt internettoegang mogelijk via HTTP- en HTTPS-protocollen zonder applicatiecontrole
5,6. Standaardregels voor ander verkeer.
Figuur 8 — Voorbeeld van het instellen van netwerkregels
Gebruik de sectie om NAT te configureren Beleid -> NAT. Een voorbeeld van een NAT-configuratie wordt getoond in Figuur 9.
Figuur 9 – Voorbeeld van NAT-configuratie
Voor al het verkeer van intern naar extern kunt u het bronadres wijzigen in het externe IP-adres van de firewall en een dynamisch poortadres (PAT) gebruiken.
4. LDAP-authenticatieprofiel en gebruikersidentificatiefunctie configureren
Voordat u gebruikers via SSL-VPN verbindt, moet u een authenticatiemechanisme configureren. In dit voorbeeld vindt verificatie plaats bij de Active Directory-domeincontroller via de webinterface van Palo Alto Networks.
Figuur 10 – LDAP-profiel
Om authenticatie te laten werken, moet u configureren LDAP-profiel и Authenticatieprofiel. In sectie Apparaat -> Serverprofielen -> LDAP (Afb. 10) U moet het IP-adres en de poort van de domeincontroller, het LDAP-type en het gebruikersaccount in de groepen opgeven Serveroperators, Lezers van gebeurtenislogboeken, Gedistribueerde COM-gebruikers. Dan in de sectie Apparaat -> Authenticatieprofiel maak een authenticatieprofiel aan (Fig. 11), markeer het eerder gemaakte profiel LDAP-profiel en op het tabblad Geavanceerd geven we de groep gebruikers aan (Fig. 12) die externe toegang mag krijgen. Het is belangrijk om de parameter in uw profiel te noteren Gebruikersdomein, anders werkt groepsgebaseerde autorisatie niet. In het veld moet de NetBIOS-domeinnaam worden vermeld.
Figuur 11 – Authenticatieprofiel
Figuur 12 – Selectie van AD-groepen
De volgende fase is het opzetten Apparaat -> Gebruikersidentificatie. Hier moet u het IP-adres van de domeincontroller en de verbindingsreferenties opgeven en ook de instellingen configureren Beveiligingslogboek inschakelen, Sessie inschakelen, Schakel sonderen in (Afb. 13). In hoofdstuk Groepstoewijzing (Fig. 14) moet u de parameters noteren voor het identificeren van objecten in LDAP en de lijst met groepen die voor autorisatie zullen worden gebruikt. Net als in het Authenticatieprofiel moet u hier de parameter Gebruikersdomein instellen.
Figuur 13 – Parameters voor gebruikerstoewijzing
Figuur 14 – Groepstoewijzingsparameters
De laatste stap in deze fase is het creëren van een VPN-zone en een interface voor die zone. U moet de optie op de interface inschakelen Schakel gebruikersidentificatie in (Fig. 15).
Figuur 15 – Een VPN-zone instellen
5. SSL VPN instellen
Voordat de externe gebruiker verbinding maakt met een SSL VPN, moet hij naar het webportaal gaan, zich authenticeren en de Global Protect-client downloaden. Vervolgens vraagt deze client om inloggegevens en maakt verbinding met het bedrijfsnetwerk. Het webportaal werkt in https-modus en daarom moet u er een certificaat voor installeren. Gebruik indien mogelijk een openbaar certificaat. Dan krijgt de gebruiker geen waarschuwing over de ongeldigheid van het certificaat op de site. Als het niet mogelijk is om een openbaar certificaat te gebruiken, moet u uw eigen certificaat uitgeven, dat op de webpagina voor https zal worden gebruikt. Het kan zelfondertekend zijn of worden uitgegeven via een lokale certificeringsinstantie. De externe computer moet een root- of zelfondertekend certificaat hebben in de lijst met vertrouwde root-autoriteiten, zodat de gebruiker geen foutmelding krijgt wanneer hij verbinding maakt met de webportal. In dit voorbeeld wordt een certificaat gebruikt dat is uitgegeven via Active Directory Certificate Services.
Om een certificaat uit te geven, moet u een certificaataanvraag indienen in de sectie Apparaat -> Certificaatbeheer -> Certificaten -> Genereren. In het verzoek vermelden wij de naam van het certificaat en het IP-adres of FQDN van het webportaal (Fig. 16). Nadat u het verzoek heeft gegenereerd, downloadt u .mvo bestand en kopieer de inhoud ervan naar het certificaataanvraagveld in het AD CS-webinschrijvingswebformulier. Afhankelijk van hoe de certificeringsinstantie is geconfigureerd, moet de certificaataanvraag worden goedgekeurd en moet het uitgegeven certificaat in het formaat worden gedownload Base64 gecodeerd certificaat. Bovendien moet u het rootcertificaat van de certificeringsinstantie downloaden. Vervolgens moet u beide certificaten in de firewall importeren. Wanneer u een certificaat voor een webportaal importeert, moet u de aanvraag in de status 'in behandeling' selecteren en op importeren klikken. De certificaatnaam moet overeenkomen met de naam die eerder in de aanvraag is opgegeven. De naam van het rootcertificaat kan willekeurig worden opgegeven. Nadat u het certificaat heeft geïmporteerd, moet u het aanmaken SSL/TLS-serviceprofiel sectie Apparaat -> Certificaatbeheer. In het profiel geven we het eerder geïmporteerde certificaat aan.
Figuur 16 – Certificaataanvraag
De volgende stap is het instellen van objecten Global Protect-gateway и Global Protect-portaal sectie Netwerk -> Globale bescherming. Bij instellingen Global Protect-gateway geef het externe IP-adres van de firewall aan, evenals het eerder gemaakte adres SSL-profiel, Authenticatieprofiel, tunnelinterface en client-IP-instellingen. U moet een pool van IP-adressen opgeven waarvandaan het adres aan de client wordt toegewezen, en toegangsroute - dit zijn de subnetten waarnaar de client een route zal hebben. Als het de taak is om al het gebruikersverkeer door een firewall te laten lopen, moet u het subnet 0.0.0.0/0 opgeven (Fig. 17).
Figuur 17 – Een pool van IP-adressen en routes configureren
Dan moet je configureren Global Protect-portaal. Geef het IP-adres van de firewall op, SSL-profiel и Authenticatieprofiel en een lijst met externe IP-adressen van firewalls waarmee de client verbinding zal maken. Als er meerdere firewalls zijn, kunt u voor elke firewall een prioriteit instellen, op basis waarvan gebruikers een firewall kiezen om verbinding mee te maken.
In paragraaf Apparaat -> GlobalProtect-client u moet de VPN-clientdistributie downloaden van de Palo Alto Networks-servers en deze activeren. Om verbinding te maken, moet de gebruiker naar de portalwebpagina gaan, waar hem wordt gevraagd om te downloaden GlobalProtect-klant. Eenmaal gedownload en geïnstalleerd, kunt u uw inloggegevens invoeren en via SSL VPN verbinding maken met uw bedrijfsnetwerk.
Conclusie
Hiermee is het Palo Alto Networks-gedeelte van de installatie voltooid. We hopen dat de informatie nuttig was en dat de lezer inzicht heeft gekregen in de technologieën die bij Palo Alto Networks worden gebruikt. Als je vragen hebt over de installatie en suggesties over onderwerpen voor toekomstige artikelen, schrijf ze dan in de reacties, we beantwoorden ze graag.
Bron: www.habr.com