Til tross for alle fordelene med Palo Alto Networks brannmurer, er det ikke mye materiale på RuNet om oppsett av disse enhetene, samt tekster som beskriver opplevelsen av implementeringen. Vi bestemte oss for å oppsummere materialene vi har samlet under arbeidet med denne leverandørens utstyr og snakke om funksjonene vi møtte under gjennomføringen av ulike prosjekter.
For å introdusere deg til Palo Alto Networks, vil denne artikkelen se på konfigurasjonen som kreves for å løse et av de vanligste brannmurproblemene - SSL VPN for ekstern tilgang. Vi vil også snakke om verktøyfunksjoner for generell brannmurkonfigurasjon, brukeridentifikasjon, applikasjoner og sikkerhetspolicyer. Hvis emnet er interessant for leserne, vil vi i fremtiden gi ut materiale som analyserer Site-to-Site VPN, dynamisk ruting og sentralisert administrasjon ved hjelp av Panorama.
Palo Alto Networks brannmurer bruker en rekke innovative teknologier, inkludert App-ID, User-ID, Content-ID. Bruken av denne funksjonaliteten lar deg sikre et høyt sikkerhetsnivå. Med App-ID er det for eksempel mulig å identifisere applikasjonstrafikk basert på signaturer, dekoding og heuristikk, uavhengig av port og protokoll som brukes, inkludert inne i en SSL-tunnel. User-ID lar deg identifisere nettverksbrukere gjennom LDAP-integrasjon. Content-ID gjør det mulig å skanne trafikk og identifisere overførte filer og deres innhold. Andre brannmurfunksjoner inkluderer inntrengningsbeskyttelse, beskyttelse mot sårbarheter og DoS-angrep, innebygd anti-spyware, URL-filtrering, klynging og sentralisert administrasjon.
For demonstrasjonen vil vi bruke et isolert stativ, med en konfigurasjon som er identisk med den ekte, med unntak av enhetsnavn, AD-domenenavn og IP-adresser. I virkeligheten er alt mer komplisert - det kan være mange grener. I dette tilfellet, i stedet for en enkelt brannmur, vil en klynge installeres ved grensene til sentrale steder, og dynamisk ruting kan også være nødvendig.
Brukes på stativ PAN-OS 7.1.9. Som en typisk konfigurasjon bør du vurdere et nettverk med en Palo Alto Networks-brannmur i kanten. Brannmuren gir ekstern SSL VPN-tilgang til hovedkontoret. Active Directory-domenet vil bli brukt som en brukerdatabase (figur 1).
Figur 1 – Nettverksblokkdiagram
Konfigurasjonstrinn:
- Forhåndskonfigurasjon av enheten. Angi navn, administrasjons-IP-adresse, statiske ruter, administratorkontoer, administrasjonsprofiler
- Installere lisenser, konfigurere og installere oppdateringer
- Konfigurering av sikkerhetssoner, nettverksgrensesnitt, trafikkpolicyer, adresseoversettelse
- Konfigurere en LDAP-autentiseringsprofil og brukeridentifikasjonsfunksjon
- Sette opp en SSL VPN
1. Forhåndsinnstilt
Hovedverktøyet for å konfigurere Palo Alto Networks brannmur er nettgrensesnittet; administrasjon via CLI er også mulig. Som standard er administrasjonsgrensesnittet satt til IP-adresse 192.168.1.1/24, pålogging: admin, passord: admin.
Du kan endre adressen enten ved å koble til nettgrensesnittet fra samme nettverk, eller ved å bruke kommandoen angi deviceconfig system ip-adresse <> nettmaske <>. Det utføres i konfigurasjonsmodus. For å bytte til konfigurasjonsmodus, bruk kommandoen konfigurere. Alle endringer på brannmuren skjer først etter at innstillingene er bekreftet av kommandoen forplikte, både i kommandolinjemodus og i webgrensesnittet.
For å endre innstillinger i nettgrensesnittet, bruk delen Enhet -> Generelle innstillinger og Enhet -> Innstillinger for administrasjonsgrensesnitt. Navnet, bannerne, tidssonen og andre innstillinger kan angis i delen Generelle innstillinger (fig. 2).
Figur 2 – Administrasjonsgrensesnittparametere
Hvis du bruker en virtuell brannmur i et ESXi-miljø, må du i delen Generelle innstillinger aktivere bruken av MAC-adressen tildelt av hypervisoren, eller konfigurere MAC-adressene spesifisert på brannmurgrensesnittene på hypervisoren, eller endre innstillingene for de virtuelle bryterne for å tillate at MAC endrer adresser. Ellers vil ikke trafikken passere.
Administrasjonsgrensesnittet er konfigurert separat og vises ikke i listen over nettverksgrensesnitt. I kapittel Innstillinger for administrasjonsgrensesnitt angir standard gateway for administrasjonsgrensesnittet. Andre statiske ruter er konfigurert i delen for virtuelle rutere; dette vil bli diskutert senere.
For å tillate tilgang til enheten via andre grensesnitt, må du opprette en administrasjonsprofil Ledelsesprofil seksjon Nettverk -> Nettverksprofiler -> Grensesnittstyring og tilordne det til riktig grensesnitt.
Deretter må du konfigurere DNS og NTP i delen Enhet -> Tjenester for å motta oppdateringer og vise tiden riktig (fig. 3). Som standard bruker all trafikk generert av brannmuren administrasjonsgrensesnittets IP-adresse som sin kilde-IP-adresse. Du kan tilordne et annet grensesnitt for hver spesifikk tjeneste i seksjonen Tjenesterutekonfigurasjon.
Figur 3 – DNS-, NTP- og systemruter-tjenesteparametere
2. Installere lisenser, sette opp og installere oppdateringer
For full drift av alle brannmurfunksjoner må du installere en lisens. Du kan bruke en prøvelisens ved å be om den fra Palo Alto Networks-partnere. Dens gyldighetsperiode er 30 dager. Lisensen aktiveres enten via en fil eller ved å bruke Auth-Code. Lisenser er konfigurert i seksjonen Enhet -> Lisenser (Fig. 4).
Etter at du har installert lisensen, må du konfigurere installasjonen av oppdateringer i delen Enhet -> Dynamiske oppdateringer.
I avsnitt Enhet -> Programvare du kan laste ned og installere nye versjoner av PAN-OS.
Figur 4 – Lisenskontrollpanel
3. Konfigurering av sikkerhetssoner, nettverksgrensesnitt, trafikkpolicyer, adresseoversettelse
Palo Alto Networks brannmurer bruker sonelogikk når de konfigurerer nettverksregler. Nettverksgrensesnitt er tilordnet en bestemt sone, og denne sonen brukes i trafikkregler. Denne tilnærmingen gjør det mulig i fremtiden, når du endrer grensesnittinnstillinger, ikke å endre trafikkreglene, men i stedet å tildele de nødvendige grensesnittene til de aktuelle sonene. Som standard er trafikk innenfor en sone tillatt, trafikk mellom soner er forbudt, forhåndsdefinerte regler er ansvarlige for dette intrazone-standard и interzone-standard.
Figur 5 – Sikkerhetssoner
I dette eksemplet er et grensesnitt på det interne nettverket tilordnet sonen intern, og grensesnittet som vender mot Internett er tilordnet sonen utvendig. For SSL VPN er det opprettet et tunnelgrensesnitt som er tilordnet sonen vpn (Fig. 5).
Palo Alto Networks brannmurnettverksgrensesnitt kan fungere i fem forskjellige moduser:
- Pek – brukes til å samle trafikk for overvåkings- og analyseformål
- HA – brukes til klyngedrift
- Virtual Wire – i denne modusen kombinerer Palo Alto Networks to grensesnitt og sender trafikk mellom dem transparent uten å endre MAC- og IP-adresser
- Layer2 – bytte modus
- Layer3 – rutermodus
Figur 6 – Innstilling av grensesnittdriftsmodus
I dette eksemplet vil Layer3-modus brukes (fig. 6). Parameterne for nettverksgrensesnittet indikerer IP-adressen, driftsmodusen og den tilhørende sikkerhetssonen. I tillegg til driftsmodusen til grensesnittet, må du tilordne den til Virtual Router virtuell ruter, dette er en analog av en VRF-instans i Palo Alto Networks. Virtuelle rutere er isolert fra hverandre og har sine egne rutingtabeller og nettverksprotokollinnstillinger.
De virtuelle ruterinnstillingene spesifiserer statiske ruter og rutingprotokollinnstillinger. I dette eksemplet er det kun opprettet en standardrute for tilgang til eksterne nettverk (fig. 7).
Figur 7 – Sette opp en virtuell ruter
Det neste konfigurasjonsstadiet er trafikkpolicyer, seksjon Retningslinjer -> Sikkerhet. Et eksempel på konfigurasjon er vist i figur 8. Logikken i reglene er den samme som for alle brannmurer. Reglene kontrolleres fra topp til bunn, ned til første kamp. Kort beskrivelse av reglene:
1. SSL VPN-tilgang til nettportal. Gir tilgang til nettportalen for å autentisere eksterne tilkoblinger
2. VPN-trafikk – tillater trafikk mellom eksterne forbindelser og hovedkontoret
3. Grunnleggende Internett – tillater dns, ping, traceroute, ntp-applikasjoner. Brannmuren tillater applikasjoner basert på signaturer, dekoding og heuristikk i stedet for portnumre og protokoller, og det er grunnen til at tjenesteseksjonen sier applikasjonsstandard. Standard port/protokoll for denne applikasjonen
4. Webtilgang – tillater Internett-tilgang via HTTP- og HTTPS-protokoller uten applikasjonskontroll
5,6. Standardregler for annen trafikk.
Figur 8 — Eksempel på å sette opp nettverksregler
For å konfigurere NAT, bruk delen Retningslinjer -> NAT. Et eksempel på NAT-konfigurasjon er vist i figur 9.
Figur 9 – Eksempel på NAT-konfigurasjon
For all trafikk fra intern til ekstern, kan du endre kildeadressen til den eksterne IP-adressen til brannmuren og bruke en dynamisk portadresse (PAT).
4. Konfigurere LDAP-autentiseringsprofil og brukeridentifikasjonsfunksjon
Før du kobler til brukere via SSL-VPN, må du konfigurere en autentiseringsmekanisme. I dette eksemplet vil autentisering skje til Active Directory-domenekontrolleren gjennom Palo Alto Networks nettgrensesnitt.
Figur 10 – LDAP-profil
For at autentisering skal fungere, må du konfigurere LDAP-profil и Autentiseringsprofil. I seksjonen Enhet -> Serverprofiler -> LDAP (fig. 10) må du spesifisere IP-adressen og porten til domenekontrolleren, LDAP-type og brukerkonto inkludert i gruppene Server operatører, Hendelseslogglesere, Distribuerte COM-brukere. Så i seksjonen Enhet -> Autentiseringsprofil opprette en autentiseringsprofil (fig. 11), merk den tidligere opprettede LDAP-profil og i kategorien Avansert angir vi gruppen av brukere (fig. 12) som har ekstern tilgang. Det er viktig å merke seg parameteren i profilen din Brukerdomene, ellers vil ikke gruppebasert autorisasjon fungere. Feltet må angi NetBIOS-domenenavnet.
Figur 11 – Autentiseringsprofil
Figur 12 – AD gruppevalg
Neste trinn er oppsett Enhet -> Brukeridentifikasjon. Her må du spesifisere IP-adressen til domenekontrolleren, tilkoblingslegitimasjon og også konfigurere innstillinger Aktiver sikkerhetslogg, Aktiver økt, Aktiver sondering (Fig. 13). I kapittel Gruppekartlegging (Fig. 14) må du notere parametrene for å identifisere objekter i LDAP og listen over grupper som vil bli brukt for autorisasjon. Akkurat som i Autentiseringsprofilen, her må du angi parameteren User Domain.
Figur 13 – Brukerkartleggingsparametere
Figur 14 – Gruppekartleggingsparametere
Det siste trinnet i denne fasen er å lage en VPN-sone og et grensesnitt for den sonen. Du må aktivere alternativet på grensesnittet Aktiver brukeridentifikasjon (Fig. 15).
Figur 15 – Sette opp en VPN-sone
5. Sette opp SSL VPN
Før du kobler til en SSL VPN, må den eksterne brukeren gå til nettportalen, autentisere og laste ned Global Protect-klienten. Deretter vil denne klienten be om legitimasjon og koble til bedriftsnettverket. Nettportalen fungerer i https-modus, og du må derfor installere et sertifikat for den. Bruk offentlig sertifikat hvis mulig. Da vil ikke brukeren motta en advarsel om ugyldigheten av sertifikatet på siden. Hvis det ikke er mulig å bruke et offentlig sertifikat, må du utstede ditt eget, som vil bli brukt på nettsiden for https. Det kan være selvsignert eller utstedt gjennom en lokal sertifikatmyndighet. Den eksterne datamaskinen må ha et rot- eller selvsignert sertifikat i listen over pålitelige rotautoriteter slik at brukeren ikke får en feilmelding ved tilkobling til nettportalen. Dette eksemplet vil bruke et sertifikat utstedt gjennom Active Directory Certificate Services.
For å utstede et sertifikat må du opprette en sertifikatforespørsel i seksjonen Enhet -> Sertifikatbehandling -> Sertifikater -> Generer. I forespørselen angir vi navnet på sertifikatet og IP-adressen eller FQDN til nettportalen (fig. 16). Etter å ha generert forespørselen, last ned .csr fil og kopier innholdet til sertifikatforespørselsfeltet i webskjemaet for AD CS Web Enrollment. Avhengig av hvordan sertifiseringsinstansen er konfigurert, må sertifikatforespørselen godkjennes og det utstedte sertifikatet må lastes ned i formatet Base64-kodet sertifikat. I tillegg må du laste ned rotsertifikatet til sertifiseringsmyndigheten. Deretter må du importere begge sertifikatene til brannmuren. Når du importerer et sertifikat for en nettportal, må du velge forespørselen i ventestatus og klikke på import. Sertifikatnavnet må samsvare med navnet angitt tidligere i forespørselen. Navnet på rotsertifikatet kan spesifiseres vilkårlig. Etter å ha importert sertifikatet, må du opprette SSL/TLS-tjenesteprofil seksjon Enhet -> Sertifikatbehandling. I profilen angir vi det tidligere importerte sertifikatet.
Figur 16 – Sertifikatforespørsel
Det neste trinnet er å sette opp objekter Global Protect Gateway и Global Protect Portal seksjon Nettverk -> Global beskyttelse. I innstillinger Global Protect Gateway angi den eksterne IP-adressen til brannmuren, samt tidligere opprettet SSL-profil, Autentiseringsprofil, tunnelgrensesnitt og klient IP-innstillinger. Du må spesifisere en pool av IP-adresser som adressen vil bli tildelt klienten fra, og Access Route - dette er subnettene som klienten vil ha en rute til. Hvis oppgaven er å pakke all brukertrafikk gjennom en brannmur, må du spesifisere subnettet 0.0.0.0/0 (fig. 17).
Figur 17 – Konfigurere en pool av IP-adresser og ruter
Deretter må du konfigurere Global Protect Portal. Angi IP-adressen til brannmuren, SSL-profil и Autentiseringsprofil og en liste over eksterne IP-adresser til brannmurer som klienten vil koble seg til. Hvis det er flere brannmurer, kan du angi en prioritet for hver, i henhold til hvilken brukere vil velge en brannmur å koble til.
I avsnitt Enhet -> GlobalProtect-klient du må laste ned VPN-klientdistribusjonen fra Palo Alto Networks servere og aktivere den. For å koble til må brukeren gå til portalnettsiden, hvor han blir bedt om å laste ned GlobalProtect-klient. Når du har lastet ned og installert, kan du skrive inn legitimasjonen din og koble til bedriftens nettverk via SSL VPN.
Konklusjon
Dette fullfører Palo Alto Networks-delen av oppsettet. Vi håper informasjonen var nyttig og at leseren fikk en forståelse av teknologiene som brukes ved Palo Alto Networks. Hvis du har spørsmål om oppsett og forslag til emner for fremtidige artikler, skriv dem i kommentarfeltet, vi svarer gjerne.
Kilde: www.habr.com