Apesar de todas as vantagens dos firewalls da Palo Alto Networks, não há muito material no RuNet sobre a configuração desses dispositivos, bem como textos que descrevam a experiência de sua implementação. Decidimos resumir os materiais que acumulamos durante nosso trabalho com os equipamentos deste fornecedor e falar sobre as funcionalidades que encontramos durante a implementação de diversos projetos.
Para apresentar a Palo Alto Networks, este artigo examinará a configuração necessária para resolver um dos problemas de firewall mais comuns - SSL VPN para acesso remoto. Também falaremos sobre funções utilitárias para configuração geral de firewall, identificação de usuários, aplicativos e políticas de segurança. Caso o tema seja do interesse dos leitores, futuramente lançaremos materiais analisando Site-to-Site VPN, roteamento dinâmico e gerenciamento centralizado utilizando Panorama.
Os firewalls da Palo Alto Networks usam diversas tecnologias inovadoras, incluindo App-ID, User-ID e Content-ID. A utilização desta funcionalidade permite garantir um elevado nível de segurança. Por exemplo, com o App-ID é possível identificar o tráfego da aplicação com base em assinaturas, decodificação e heurística, independente da porta e do protocolo utilizado, inclusive dentro de um túnel SSL. O User-ID permite identificar usuários da rede por meio da integração LDAP. O Content-ID permite verificar o tráfego e identificar os arquivos transmitidos e seu conteúdo. Outras funções de firewall incluem proteção contra invasões, proteção contra vulnerabilidades e ataques DoS, anti-spyware integrado, filtragem de URL, clustering e gerenciamento centralizado.
Para a demonstração utilizaremos um estande isolado, com configuração idêntica ao real, com exceção dos nomes dos dispositivos, nome de domínio do AD e endereços IP. Na verdade, tudo é mais complicado - pode haver muitas filiais. Neste caso, em vez de um único firewall, um cluster será instalado nas fronteiras dos sites centrais, podendo também ser necessário roteamento dinâmico.
Usado no estande PAN-OS 7.1.9. Como configuração típica, considere uma rede com um firewall da Palo Alto Networks na borda. O firewall fornece acesso VPN SSL remoto à sede. O domínio do Active Directory será usado como banco de dados do usuário (Figura 1).
Figura 1 – Diagrama de blocos da rede
Etapas de configuração:
- Pré-configuração do dispositivo. Configurando o nome, endereço IP de gerenciamento, rotas estáticas, contas de administrador, perfis de gerenciamento
- Instalando licenças, configurando e instalando atualizações
- Configurando zonas de segurança, interfaces de rede, políticas de tráfego, tradução de endereços
- Configurando um perfil de autenticação LDAP e um recurso de identificação de usuário
- Configurando uma VPN SSL
1. Predefinição
A principal ferramenta para configurar o firewall da Palo Alto Networks é a interface web; o gerenciamento via CLI também é possível. Por padrão, a interface de gerenciamento está configurada para endereço IP 192.168.1.1/24, login: admin, senha: admin.
Você pode alterar o endereço conectando-se à interface web da mesma rede ou usando o comando definir endereço IP do sistema deviceconfig <> máscara de rede <>. É executado no modo de configuração. Para mudar para o modo de configuração, use o comando configurar. Todas as alterações no firewall ocorrem somente após as configurações serem confirmadas pelo comando commit, tanto no modo de linha de comando quanto na interface da web.
Para alterar as configurações na interface web, use a seção Dispositivo -> Configurações Gerais e Dispositivo -> Configurações da Interface de Gerenciamento. O nome, banners, fuso horário e outras configurações podem ser definidos na seção Configurações Gerais (Fig. 2).
Figura 2 – Parâmetros da interface de gerenciamento
Se você usar um firewall virtual em um ambiente ESXi, na seção Configurações Gerais você precisará habilitar o uso do endereço MAC atribuído pelo hipervisor, ou configurar os endereços MAC especificados nas interfaces do firewall no hipervisor, ou alterar as configurações de os switches virtuais para permitir alterações de endereço MAC. Caso contrário, o tráfego não passará.
A interface de gerenciamento é configurada separadamente e não é exibida na lista de interfaces de rede. No capítulo Configurações da interface de gerenciamento especifica o gateway padrão para a interface de gerenciamento. Outras rotas estáticas são configuradas na seção de roteadores virtuais; isso será discutido mais tarde.
Para permitir o acesso ao dispositivo através de outras interfaces, você deve criar um perfil de gerenciamento Profile Management seção Rede -> Perfis de Rede -> Gerenciamento de Interface e atribua-o à interface apropriada.
Em seguida, você precisa configurar DNS e NTP na seção Dispositivo -> Serviços para receber atualizações e exibir a hora corretamente (Fig. 3). Por padrão, todo o tráfego gerado pelo firewall usa o endereço IP da interface de gerenciamento como endereço IP de origem. Você pode atribuir uma interface diferente para cada serviço específico na seção Configuração de rota de serviço.
Figura 3 – Parâmetros de serviço DNS, NTP e rotas do sistema
2. Instalação de licenças, configuração e instalação de atualizações
Para o pleno funcionamento de todas as funções do firewall, você deve instalar uma licença. Você pode usar uma licença de avaliação solicitando-a aos parceiros da Palo Alto Networks. Seu período de validade é de 30 dias. A licença é ativada através de um arquivo ou usando Auth-Code. As licenças são configuradas na seção Dispositivo -> Licenças (Fig. 4).
Após instalar a licença, você precisa configurar a instalação das atualizações na seção Dispositivo -> Atualizações Dinâmicas.
Na seção Dispositivo -> Software você pode baixar e instalar novas versões do PAN-OS.
Figura 4 – Painel de controle de licenças
3. Configurando zonas de segurança, interfaces de rede, políticas de tráfego, tradução de endereços
Os firewalls da Palo Alto Networks usam lógica de zona ao configurar regras de rede. As interfaces de rede são atribuídas a uma zona específica e esta zona é usada nas regras de trânsito. Esta abordagem permite no futuro, ao alterar as configurações da interface, não alterar as regras de trânsito, mas reatribuir as interfaces necessárias às zonas apropriadas. Por padrão, o tráfego dentro de uma zona é permitido, o tráfego entre zonas é proibido, regras predefinidas são responsáveis por isso padrão intrazona и padrão entre zonas.
Figura 5 – Zonas de segurança
Neste exemplo, uma interface na rede interna é atribuída à zona interno, e a interface voltada para a Internet é atribuída à zona externo. Para SSL VPN, uma interface de túnel foi criada e atribuída à zona vpn (Fig. 5).
As interfaces de rede do firewall da Palo Alto Networks podem operar em cinco modos diferentes:
- Torneira – usado para coletar tráfego para fins de monitoramento e análise
- HA – usado para operação de cluster
- Fio Virtual – neste modo, a Palo Alto Networks combina duas interfaces e passa o tráfego entre elas de forma transparente, sem alterar os endereços MAC e IP
- Layer2 - mudar de modo
- Layer3 – modo roteador
Figura 6 – Configurando o modo de operação da interface
Neste exemplo, o modo Layer3 será usado (Fig. 6). Os parâmetros da interface de rede indicam o endereço IP, modo de operação e a zona de segurança correspondente. Além do modo de operação da interface, você deve atribuí-lo ao roteador virtual Virtual Router, este é um análogo de uma instância VRF na Palo Alto Networks. Os roteadores virtuais são isolados uns dos outros e possuem suas próprias tabelas de roteamento e configurações de protocolo de rede.
As configurações do roteador virtual especificam rotas estáticas e configurações de protocolo de roteamento. Neste exemplo, foi criada apenas uma rota padrão para acesso a redes externas (Fig. 7).
Figura 7 – Configurando um roteador virtual
O próximo estágio de configuração são as políticas de tráfego, seção Políticas -> Segurança. Um exemplo de configuração é mostrado na Figura 8. A lógica das regras é a mesma de todos os firewalls. As regras são verificadas de cima para baixo, até a primeira partida. Breve descrição das regras:
1. Acesso VPN SSL ao Portal da Web. Permite acesso ao portal web para autenticar conexões remotas
2. Tráfego VPN – permitindo tráfego entre conexões remotas e a sede
3. Internet básica – permitindo aplicativos DNS, ping, traceroute e NTP. O firewall permite aplicativos baseados em assinaturas, decodificação e heurística, em vez de números de porta e protocolos, e é por isso que a seção Serviço diz padrão de aplicativo. Porta/protocolo padrão para este aplicativo
4. Acesso Web – permitindo acesso à Internet através dos protocolos HTTP e HTTPS sem controle de aplicativo
5,6. Regras padrão para outro tráfego.
Figura 8 — Exemplo de configuração de regras de rede
Para configurar o NAT, use a seção Políticas -> NAT. Um exemplo de configuração NAT é mostrado na Figura 9.
Figura 9 – Exemplo de configuração NAT
Para qualquer tráfego interno para externo, você pode alterar o endereço de origem para o endereço IP externo do firewall e usar um endereço de porta dinâmico (PAT).
4. Configurando o perfil de autenticação LDAP e a função de identificação do usuário
Antes de conectar usuários via SSL-VPN, você precisa configurar um mecanismo de autenticação. Neste exemplo, a autenticação ocorrerá no controlador de domínio do Active Directory por meio da interface web da Palo Alto Networks.
Figura 10 – Perfil LDAP
Para que a autenticação funcione, você precisa configurar Perfil LDAP и Perfil de autenticação. Na seção Dispositivo -> Perfis de Servidor -> LDAP (Fig. 10) você precisa especificar o endereço IP e porta do controlador de domínio, tipo LDAP e conta de usuário incluída nos grupos Operadores de servidor, Leitores de registro de eventos, Usuários COM distribuídos. Então na seção Dispositivo -> Perfil de Autenticação crie um perfil de autenticação (Fig. 11), marque o criado anteriormente Perfil LDAP e na aba Avançado indicamos o grupo de usuários (Fig. 12) aos quais é permitido acesso remoto. É importante observar o parâmetro no seu perfil Domínio do usuário, caso contrário, a autorização baseada em grupo não funcionará. O campo deve indicar o nome do domínio NetBIOS.
Figura 11 – Perfil de autenticação
Figura 12 – Seleção do grupo AD
A próxima etapa é a configuração Dispositivo -> Identificação do Usuário. Aqui você precisa especificar o endereço IP do controlador de domínio, credenciais de conexão e também definir as configurações Ativar registro de segurança, Habilitar sessão, Habilitar sondagem (Fig. 13). No capítulo Mapeamento de grupo (Fig. 14) é necessário observar os parâmetros para identificação de objetos no LDAP e a lista de grupos que serão utilizados para autorização. Assim como no Perfil de Autenticação, aqui você precisa definir o parâmetro Domínio do Usuário.
Figura 13 – Parâmetros de Mapeamento de Usuário
Figura 14 – Parâmetros de Mapeamento de Grupo
A última etapa desta fase é criar uma zona VPN e uma interface para essa zona. Você precisa habilitar a opção na interface Habilitar identificação do usuário (Fig. 15).
Figura 15 – Configurando uma zona VPN
5. Configurando VPN SSL
Antes de se conectar a uma VPN SSL, o usuário remoto deve acessar o portal web, autenticar e baixar o cliente Global Protect. A seguir, este cliente solicitará credenciais e se conectará à rede corporativa. O portal web opera em modo https e, portanto, é necessário instalar um certificado para ele. Use um certificado público, se possível. Assim o usuário não receberá aviso sobre a invalidade do certificado no site. Caso não seja possível utilizar um certificado público, será necessário emitir o seu próprio, que será utilizado na página web para https. Pode ser autoassinado ou emitido por uma autoridade de certificação local. O computador remoto deve ter um certificado raiz ou autoassinado na lista de autoridades raiz confiáveis para que o usuário não receba um erro ao se conectar ao portal da web. Este exemplo usará um certificado emitido por meio dos Serviços de Certificados do Active Directory.
Para emitir um certificado, você precisa criar uma solicitação de certificado na seção Dispositivo -> Gerenciamento de certificados -> Certificados -> Gerar. No pedido indicamos o nome do certificado e o endereço IP ou FQDN do portal web (Fig. 16). Após gerar a solicitação, baixe .csr e copie seu conteúdo no campo de solicitação de certificado no formulário da Web de inscrição na Web do AD CS. Dependendo de como a autoridade de certificação estiver configurada, a solicitação de certificado deverá ser aprovada e o certificado emitido deverá ser baixado no formato Certificado codificado em Base64. Além disso, você precisa baixar o certificado raiz da autoridade de certificação. Então você precisa importar os dois certificados para o firewall. Ao importar um certificado para um portal web, deve-se selecionar a solicitação no status pendente e clicar em importar. O nome do certificado deve corresponder ao nome especificado anteriormente na solicitação. O nome do certificado raiz pode ser especificado arbitrariamente. Após importar o certificado, você precisa criar Perfil de serviço SSL/TLS seção Dispositivo -> Gerenciamento de certificados. No perfil indicamos o certificado importado anteriormente.
Figura 16 – Solicitação de certificado
A próxima etapa é configurar objetos Gateway de proteção global и Portal de proteção global seção Rede -> Proteção Global. Nas configurações Gateway de proteção global indicar o endereço IP externo do firewall, bem como os criados anteriormente Perfil SSL, Perfil de autenticação, interface de túnel e configurações de IP do cliente. Você precisa especificar um conjunto de endereços IP a partir dos quais o endereço será atribuído ao cliente e a Rota de Acesso - essas são as sub-redes para as quais o cliente terá uma rota. Se a tarefa for agrupar todo o tráfego do usuário por meio de um firewall, será necessário especificar a sub-rede 0.0.0.0/0 (Fig. 17).
Figura 17 – Configurando um pool de endereços IP e rotas
Então você precisa configurar Portal de proteção global. Especifique o endereço IP do firewall, Perfil SSL и Perfil de autenticação e uma lista de endereços IP externos de firewalls aos quais o cliente se conectará. Se houver vários firewalls, você poderá definir uma prioridade para cada um, de acordo com a qual os usuários escolherão um firewall ao qual se conectar.
Na seção Dispositivo -> Cliente GlobalProtect você precisa baixar a distribuição do cliente VPN dos servidores da Palo Alto Networks e ativá-la. Para se conectar, o usuário deve acessar a página do portal, onde será solicitado o download Cliente GlobalProtect. Depois de baixado e instalado, você pode inserir suas credenciais e conectar-se à sua rede corporativa via SSL VPN.
Conclusão
Isso conclui a parte da configuração da Palo Alto Networks. Esperamos que as informações tenham sido úteis e que o leitor tenha adquirido uma compreensão das tecnologias utilizadas na Palo Alto Networks. Se você tiver dúvidas sobre configuração e sugestões de temas para artigos futuros, escreva nos comentários, teremos prazer em responder.
Fonte: habr.com