Pomimo wszystkich zalet zapór sieciowych Palo Alto Networks, w RuNet nie ma zbyt wielu materiałów na temat konfigurowania tych urządzeń, a także tekstów opisujących doświadczenia z ich wdrażaniem. Postanowiliśmy podsumować materiały, które zgromadziliśmy podczas pracy na sprzęcie tego producenta i porozmawiać o funkcjach, które napotkaliśmy podczas realizacji różnych projektów.
Aby zapoznać Cię z Palo Alto Networks, w tym artykule przyjrzymy się konfiguracji wymaganej do rozwiązania jednego z najczęstszych problemów z zaporą sieciową – SSL VPN do zdalnego dostępu. Porozmawiamy także o funkcjach narzędziowych służących do ogólnej konfiguracji zapory ogniowej, identyfikacji użytkowników, aplikacji i zasad bezpieczeństwa. Jeśli temat zainteresuje czytelników, w przyszłości udostępnimy materiały analizujące Site-to-Site VPN, dynamiczny routing i scentralizowane zarządzanie za pomocą Panoramy.
Zapory ogniowe Palo Alto Networks wykorzystują szereg innowacyjnych technologii, w tym App-ID, User-ID, Content-ID. Zastosowanie tej funkcjonalności pozwala zapewnić wysoki poziom bezpieczeństwa. Na przykład dzięki App-ID możliwa jest identyfikacja ruchu aplikacji na podstawie sygnatur, dekodowania i heurystyki, niezależnie od używanego portu i protokołu, w tym w tunelu SSL. User-ID umożliwia identyfikację użytkowników sieci poprzez integrację z LDAP. Content-ID umożliwia skanowanie ruchu oraz identyfikację przesyłanych plików i ich zawartości. Inne funkcje zapory obejmują ochronę przed włamaniami, ochronę przed lukami w zabezpieczeniach i atakami DoS, wbudowaną ochronę przed oprogramowaniem szpiegującym, filtrowanie adresów URL, klastrowanie i scentralizowane zarządzanie.
Do demonstracji wykorzystamy izolowane stanowisko, o konfiguracji identycznej z rzeczywistą, z wyjątkiem nazw urządzeń, nazwy domeny AD i adresów IP. W rzeczywistości wszystko jest bardziej skomplikowane - może być wiele gałęzi. W takim przypadku zamiast pojedynczej zapory ogniowej na granicach ośrodków centralnych zostanie zainstalowany klaster i może być również wymagany routing dynamiczny.
Używany na stojaku PAN-OS 7.1.9. Jako typową konfigurację należy rozważyć sieć z zaporą sieciową Palo Alto Networks na brzegu. Zapora sieciowa zapewnia zdalny dostęp SSL VPN do centrali. Domena Active Directory będzie używana jako baza danych użytkowników (Rysunek 1).
Rysunek 1 – Schemat blokowy sieci
Kroki konfiguracji:
- Wstępna konfiguracja urządzenia. Ustawianie nazwy, adresu IP zarządzania, tras statycznych, kont administratorów, profili zarządzania
- Instalowanie licencji, konfigurowanie i instalowanie aktualizacji
- Konfiguracja stref bezpieczeństwa, interfejsów sieciowych, polityk ruchu, translacji adresów
- Konfigurowanie profilu uwierzytelniania LDAP i funkcji identyfikacji użytkownika
- Konfigurowanie VPN SSL
1. Ustawienie wstępne
Głównym narzędziem do konfiguracji zapory sieciowej Palo Alto Networks jest interfejs WWW, możliwe jest także zarządzanie poprzez CLI. Domyślnie interfejs zarządzania ustawiony jest na adres IP 192.168.1.1/24, login: admin, hasło: admin.
Adres możesz zmienić, łącząc się z interfejsem internetowym z tej samej sieci lub używając polecenia ustaw adres IP systemu Deviceconfig <> maskę sieci <>. Odbywa się to w trybie konfiguracji. Aby przejść do trybu konfiguracji, użyj polecenia skonfigurować. Wszelkie zmiany w firewallu następują dopiero po zatwierdzeniu ustawień komendą popełnić, zarówno w trybie wiersza poleceń, jak i w interfejsie internetowym.
Aby zmienić ustawienia w interfejsie internetowym, skorzystaj z sekcji Urządzenie -> Ustawienia ogólne i Urządzenie -> Ustawienia interfejsu zarządzania. Nazwę, banery, strefę czasową i inne ustawienia można ustawić w sekcji Ustawienia ogólne (rys. 2).
Rysunek 2 – Parametry interfejsu zarządzania
Jeśli korzystasz z wirtualnej zapory sieciowej w środowisku ESXi, w sekcji Ustawienia ogólne musisz włączyć korzystanie z adresu MAC przypisanego przez hypervisor lub skonfigurować adresy MAC określone w interfejsach firewalla na hypervisorze lub zmienić ustawienia przełączniki wirtualne, aby umożliwić zmianę adresów MAC. W przeciwnym razie ruch nie będzie przebiegał.
Interfejs zarządzania jest konfigurowany osobno i nie jest wyświetlany na liście interfejsów sieciowych. W rozdziale Ustawienia interfejsu zarządzania określa bramę domyślną dla interfejsu zarządzania. Inne trasy statyczne konfiguruje się w sekcji routerów wirtualnych; zostanie to omówione później.
Aby umożliwić dostęp do urządzenia za pośrednictwem innych interfejsów, musisz utworzyć profil zarządzania Profile Management sekcja Sieć -> Profile sieciowe -> Zarządzanie interfejsem i przypisz go do odpowiedniego interfejsu.
Następnie musisz skonfigurować DNS i NTP w tej sekcji Urządzenie -> Usługi aby otrzymywać aktualizacje i poprawnie wyświetlać czas (rys. 3). Domyślnie cały ruch generowany przez zaporę używa adresu IP interfejsu zarządzania jako źródłowego adresu IP. Dla każdej konkretnej usługi w tej sekcji możesz przypisać inny interfejs Konfiguracja trasy usług.
Rysunek 3 – Parametry usługi DNS, NTP i tras systemowych
2. Instalacja licencji, konfiguracja i instalacja aktualizacji
Aby w pełni korzystać ze wszystkich funkcji zapory sieciowej, należy zainstalować licencję. Możesz skorzystać z licencji próbnej, zwracając się o nią do partnerów Palo Alto Networks. Jego okres ważności wynosi 30 dni. Licencję aktywuje się za pomocą pliku lub za pomocą kodu autoryzacyjnego. Licencje konfiguruje się w tej sekcji Urządzenie -> Licencje (Rys. 4).
Po zainstalowaniu licencji należy skonfigurować instalację aktualizacji w sekcji Urządzenie -> Aktualizacje dynamiczne.
W sekcji Urządzenie -> Oprogramowanie możesz pobrać i zainstalować nowe wersje PAN-OS.
Rysunek 4 – Panel sterowania licencjami
3. Konfiguracja stref bezpieczeństwa, interfejsów sieciowych, polityk ruchu, translacji adresów
Zapory sieciowe Palo Alto Networks korzystają z logiki stref podczas konfigurowania reguł sieciowych. Interfejsy sieciowe są przypisane do określonej strefy i ta strefa jest wykorzystywana w regułach ruchu. Takie podejście pozwala w przyszłości, przy zmianie ustawień interfejsów, nie na zmianę przepisów ruchu drogowego, ale na ponowne przypisanie niezbędnych interfejsów do odpowiednich stref. Domyślnie ruch w obrębie strefy jest dozwolony, ruch pomiędzy strefami jest zabroniony, odpowiadają za to predefiniowane reguły ustawienie domyślne wewnątrz strefy и międzystrefowe-domyślne.
Rysunek 5 – Strefy bezpieczeństwa
W tym przykładzie do strefy przypisany jest interfejs w sieci wewnętrznej wewnętrzny, a interfejs skierowany do Internetu jest przypisany do strefy zewnętrzny. W przypadku SSL VPN utworzono interfejs tunelu i przypisano go do strefy VPN (Rys. 5).
Interfejsy sieciowe zapory sieciowej Palo Alto Networks mogą działać w pięciu różnych trybach:
- Stuknij – wykorzystywane do gromadzenia ruchu w celach monitorowania i analizy
- HA – wykorzystywane do pracy w klastrze
- Wirtualny przewód – w tym trybie Palo Alto Networks łączy dwa interfejsy i transparentnie przekazuje ruch pomiędzy nimi bez zmiany adresów MAC i IP
- Layer2 – tryb przełączania
- Layer3 – tryb routera
Rysunek 6 – Ustawianie trybu pracy interfejsu
W tym przykładzie zostanie użyty tryb Layer3 (rys. 6). Parametry interfejsu sieciowego wskazują adres IP, tryb pracy i odpowiednią strefę bezpieczeństwa. Oprócz trybu pracy interfejsu należy przypisać go do wirtualnego routera Virtual Router, jest to analogia instancji VRF w Palo Alto Networks. Routery wirtualne są od siebie odizolowane i mają własne tablice routingu oraz ustawienia protokołów sieciowych.
Ustawienia routera wirtualnego określają trasy statyczne i ustawienia protokołu routingu. W tym przykładzie utworzono jedynie domyślną trasę dostępu do sieci zewnętrznych (rys. 7).
Rysunek 7 – Konfigurowanie routera wirtualnego
Następnym etapem konfiguracji jest sekcja Polityka ruchu Polityka -> Bezpieczeństwo. Przykład konfiguracji pokazano na rysunku 8. Logika reguł jest taka sama, jak w przypadku wszystkich firewalli. Zasady sprawdzane są od góry do dołu, aż do pierwszego meczu. Krótki opis zasad:
1. SSL VPN Dostęp do portalu internetowego. Umożliwia dostęp do portalu internetowego w celu uwierzytelniania połączeń zdalnych
2. Ruch VPN – umożliwiający ruch pomiędzy zdalnymi połączeniami a centralą
3. Internet podstawowy – umożliwiający aplikacje dns, ping, traceroute, ntp. Zapora sieciowa pozwala aplikacjom opierać się na sygnaturach, dekodowaniu i heurystyce, a nie na numerach portów i protokołach, dlatego też w sekcji Usługa jest mowa o aplikacji domyślnej. Domyślny port/protokół dla tej aplikacji
4. Dostęp sieciowy – umożliwia dostęp do Internetu poprzez protokoły HTTP i HTTPS bez kontroli aplikacji
5,6. Domyślne reguły dla innego ruchu.
Rysunek 8 — Przykład konfiguracji reguł sieciowych
Aby skonfigurować NAT, skorzystaj z sekcji Zasady -> NAT. Przykładową konfigurację NAT pokazano na rysunku 9.
Rysunek 9 – Przykład konfiguracji NAT
W przypadku dowolnego ruchu z wewnętrznego na zewnętrzny można zmienić adres źródłowy na zewnętrzny adres IP zapory i użyć dynamicznego adresu portu (PAT).
4. Konfiguracja profilu uwierzytelniania LDAP i funkcji identyfikacji użytkownika
Przed połączeniem użytkowników za pośrednictwem protokołu SSL-VPN należy skonfigurować mechanizm uwierzytelniania. W tym przykładzie uwierzytelnianie zostanie przeprowadzone na kontrolerze domeny Active Directory za pośrednictwem interfejsu sieciowego Palo Alto Networks.
Rysunek 10 – Profil LDAP
Aby uwierzytelnianie działało, musisz je skonfigurować Profil LDAP и Profil uwierzytelniający. W sekcji Urządzenie -> Profile serwera -> LDAP (Rys. 10) należy określić adres IP i port kontrolera domeny, typ LDAP oraz konto użytkownika znajdujące się w grupach Operatorzy serwerów, Czytniki dziennika zdarzeń, Rozproszeni użytkownicy COM. Potem w dziale Urządzenie -> Profil uwierzytelniania utwórz profil uwierzytelniający (rys. 11), zaznacz utworzony wcześniej Profil LDAP a w zakładce Zaawansowane wskazujemy grupę użytkowników (rys. 12), którym przysługuje zdalny dostęp. Ważne jest, aby zanotować parametr w swoim profilu Domena użytkownika, w przeciwnym razie autoryzacja oparta na grupach nie będzie działać. Pole musi wskazywać nazwę domeny NetBIOS.
Rysunek 11 – Profil uwierzytelniający
Rysunek 12 – Wybór grupy AD
Kolejnym etapem jest konfiguracja Urządzenie -> Identyfikacja użytkownika. Tutaj musisz określić adres IP kontrolera domeny, poświadczenia połączenia, a także skonfigurować ustawienia Włącz dziennik zabezpieczeń, Włącz sesję, Włącz sondowanie (ryc. 13). W rozdziale Mapowanie grupowe (Rys. 14) należy zwrócić uwagę na parametry identyfikacji obiektów w LDAP oraz listę grup, które będą wykorzystywane do autoryzacji. Podobnie jak w Profilu uwierzytelniania, tutaj należy ustawić parametr Domena użytkownika.
Rysunek 13 – Parametry mapowania użytkowników
Rysunek 14 – Parametry mapowania grupowego
Ostatnim krokiem w tej fazie jest utworzenie strefy VPN i interfejsu dla tej strefy. Musisz włączyć opcję w interfejsie Włącz identyfikację użytkownika (Rys. 15).
Rysunek 15 – Konfigurowanie strefy VPN
5. Konfigurowanie SSL VPN
Przed połączeniem się z siecią VPN SSL użytkownik zdalny musi przejść do portalu internetowego, uwierzytelnić się i pobrać klienta Global Protect. Następnie ten klient poprosi o poświadczenia i połączy się z siecią firmową. Portal internetowy działa w trybie https i dlatego należy dla niego zainstalować certyfikat. Jeśli to możliwe, użyj certyfikatu publicznego. Wtedy użytkownik nie otrzyma ostrzeżenia o nieważności certyfikatu w serwisie. Jeśli nie ma możliwości wykorzystania certyfikatu publicznego, wówczas należy wystawić własny, który będzie używany na stronie internetowej dla protokołu https. Może być podpisany samodzielnie lub wystawiony przez lokalny urząd certyfikacji. Komputer zdalny musi posiadać certyfikat główny lub certyfikat z podpisem własnym na liście zaufanych urzędów głównych, aby użytkownik nie otrzymał błędu podczas łączenia się z portalem internetowym. W tym przykładzie zostanie użyty certyfikat wystawiony za pośrednictwem usług certyfikatów Active Directory.
Aby wystawić certyfikat, należy w sekcji utworzyć żądanie certyfikatu Urządzenie -> Zarządzanie certyfikatami -> Certyfikaty -> Generuj. W żądaniu podajemy nazwę certyfikatu oraz adres IP lub FQDN portalu internetowego (rys. 16). Po wygenerowaniu żądania pobierz .csr plik i skopiuj jego zawartość do pola żądania certyfikatu w formularzu internetowym rejestracji w sieci Web usługi AD CS. W zależności od konfiguracji urzędu certyfikacji żądanie certyfikatu musi zostać zatwierdzone, a wydany certyfikat musi zostać pobrany w formacie Certyfikat zakodowany w Base64. Dodatkowo należy pobrać certyfikat główny urzędu certyfikacji. Następnie musisz zaimportować oba certyfikaty do zapory. Podczas importowania certyfikatu dla portalu internetowego należy zaznaczyć żądanie w statusie oczekującym i kliknąć przycisk importuj. Nazwa certyfikatu musi być zgodna z nazwą podaną wcześniej w żądaniu. Nazwę certyfikatu głównego można określić dowolnie. Po zaimportowaniu certyfikatu musisz go utworzyć Profil usługi SSL/TLS sekcja Urządzenie -> Zarządzanie certyfikatami. W profilu wskazujemy wcześniej zaimportowany certyfikat.
Rysunek 16 – Żądanie certyfikatu
Następnym krokiem jest ustawienie obiektów Globalna brama ochrony и Globalny portal ochrony sekcja Sieć -> Globalna ochrona. W ustawieniach Globalna brama ochrony wskazać zewnętrzny adres IP zapory sieciowej, a także wcześniej utworzony Profil SSL, Profil uwierzytelniający, interfejs tunelu i ustawienia IP klienta. Należy określić pulę adresów IP, z których adres zostanie przypisany klientowi, oraz Trasę dostępu – są to podsieci, do których klient będzie miał trasę. Jeżeli zadaniem jest objęcie całego ruchu użytkowników przez zaporę sieciową, należy określić podsieć 0.0.0.0/0 (rys. 17).
Rysunek 17 – Konfigurowanie puli adresów IP i tras
Następnie musisz skonfigurować Globalny portal ochrony. Podaj adres IP zapory sieciowej, Profil SSL и Profil uwierzytelniający oraz listę zewnętrznych adresów IP zapór sieciowych, z którymi będzie się łączyć klient. Jeśli istnieje kilka zapór sieciowych, możesz ustawić dla każdej z nich priorytet, zgodnie z którym użytkownicy będą wybierać zaporę, z którą będą się łączyć.
W sekcji Urządzenie -> Klient GlobalProtect musisz pobrać dystrybucję klienta VPN z serwerów Palo Alto Networks i aktywować ją. Aby się połączyć, użytkownik musi wejść na stronę portalu, gdzie zostanie poproszony o pobranie Klient GlobalProtect. Po pobraniu i zainstalowaniu możesz wprowadzić swoje dane uwierzytelniające i połączyć się z siecią firmową za pośrednictwem protokołu SSL VPN.
wniosek
To kończy część konfiguracji Palo Alto Networks. Mamy nadzieję, że informacje były przydatne, a czytelnik zyskał wiedzę na temat technologii stosowanych w Palo Alto Networks. Jeśli masz pytania dotyczące konfiguracji i sugestie dotyczące tematów przyszłych artykułów, napisz je w komentarzach, chętnie odpowiemy.
Źródło: www.habr.com