În ciuda tuturor avantajelor firewall-urilor Palo Alto Networks, nu există prea mult material pe RuNet despre configurarea acestor dispozitive, precum și texte care descriu experiența implementării lor. Am decis să rezumăm materialele pe care le-am acumulat în timpul lucrului nostru cu echipamentele acestui furnizor și să vorbim despre caracteristicile pe care le-am întâlnit în timpul implementării diferitelor proiecte.
Pentru a vă prezenta Palo Alto Networks, acest articol va analiza configurația necesară pentru a rezolva una dintre cele mai comune probleme de firewall - VPN SSL pentru acces la distanță. Vom vorbi, de asemenea, despre funcțiile utilitare pentru configurarea firewall-ului general, identificarea utilizatorilor, aplicații și politicile de securitate. Dacă subiectul este de interes pentru cititori, în viitor vom lansa materiale de analiză Site-to-Site VPN, rutare dinamică și management centralizat folosind Panorama.
Firewall-urile Palo Alto Networks folosesc o serie de tehnologii inovatoare, inclusiv App-ID, User-ID, Content-ID. Utilizarea acestei funcționalități vă permite să asigurați un nivel ridicat de securitate. De exemplu, cu App-ID este posibil să se identifice traficul aplicației pe baza semnăturilor, decodării și euristicii, indiferent de portul și protocolul folosit, inclusiv în interiorul unui tunel SSL. User-ID vă permite să identificați utilizatorii rețelei prin integrarea LDAP. Content-ID face posibilă scanarea traficului și identificarea fișierelor transmise și conținutul acestora. Alte funcții firewall includ protecție împotriva intruziunilor, protecție împotriva vulnerabilităților și atacurilor DoS, anti-spyware încorporat, filtrare URL, clustering și management centralizat.
Pentru demonstrație vom folosi un stand izolat, cu o configurație identică cu cea reală, cu excepția numelor de dispozitive, a numelui de domeniu AD și a adreselor IP. În realitate, totul este mai complicat - pot fi multe ramuri. În acest caz, în loc de un singur firewall, va fi instalat un cluster la granițele site-urilor centrale și poate fi necesară și rutarea dinamică.
Folosit pe stand PAN-OS 7.1.9. Ca o configurație tipică, luați în considerare o rețea cu un firewall Palo Alto Networks la margine. Firewall-ul oferă acces SSL VPN la distanță la sediul central. Domeniul Active Directory va fi folosit ca bază de date pentru utilizatori (Figura 1).
Figura 1 – Diagrama bloc rețelei
Pași de configurare:
- Preconfigurarea dispozitivului. Setarea numelui, adresa IP de gestionare, rutele statice, conturile de administrator, profilurile de management
- Instalarea licențelor, configurarea și instalarea actualizărilor
- Configurare zone de securitate, interfețe de rețea, politici de trafic, traducere adrese
- Configurarea unui profil de autentificare LDAP și a unei caracteristici de identificare a utilizatorului
- Configurarea unui VPN SSL
1. Presetat
Instrumentul principal pentru configurarea paravanului de protecție Palo Alto Networks este interfața web; gestionarea prin CLI este de asemenea posibilă. Implicit, interfața de gestionare este setată la adresa IP 192.168.1.1/24, autentificare: admin, parolă: admin.
Puteți schimba adresa fie conectându-vă la interfața web din aceeași rețea, fie folosind comanda setați adresa IP a sistemului deviceconfig <> netmask <>. Se realizează în modul de configurare. Pentru a comuta în modul de configurare, utilizați comanda configura. Toate modificările de pe firewall apar numai după ce setările sunt confirmate de comandă comite, atât în modul linie de comandă, cât și în interfața web.
Pentru a modifica setările în interfața web, utilizați secțiunea Dispozitiv -> Setări generale și Dispozitiv -> Setări interfețe de gestionare. Numele, bannerele, fusul orar și alte setări pot fi setate în secțiunea Setări generale (Fig. 2).
Figura 2 – Parametrii interfeței de management
Dacă utilizați un firewall virtual într-un mediu ESXi, în secțiunea Setări generale trebuie să activați utilizarea adresei MAC atribuite de hypervisor sau să configurați adresele MAC specificate pe interfețele firewall de pe hypervisor sau să modificați setările pentru comutatoarele virtuale pentru a permite MAC să modifice adresele. În caz contrar, traficul nu va trece.
Interfața de management este configurată separat și nu este afișată în lista de interfețe de rețea. În capitolul Setări interfețe de gestionare specifică gateway-ul implicit pentru interfața de management. Alte rute statice sunt configurate în secțiunea de routere virtuale; acest lucru va fi discutat mai târziu.
Pentru a permite accesul la dispozitiv prin alte interfețe, trebuie să creați un profil de management Profil de management În capitol Rețea -> Profiluri de rețea -> Administrare interfață și atribuiți-l la interfața corespunzătoare.
Apoi, trebuie să configurați DNS și NTP în secțiune Dispozitiv -> Servicii pentru a primi actualizări și pentru a afișa corect ora (Fig. 3). În mod implicit, tot traficul generat de firewall utilizează adresa IP a interfeței de gestionare ca adresă IP sursă. Puteți atribui o interfață diferită pentru fiecare serviciu specific din secțiune Configurare rută de serviciu.
Figura 3 – Parametrii serviciului DNS, NTP și rute de sistem
2. Instalarea licențelor, configurarea și instalarea actualizărilor
Pentru funcționarea completă a tuturor funcțiilor firewall-ului, trebuie să instalați o licență. Puteți utiliza o licență de probă solicitând-o de la partenerii Palo Alto Networks. Perioada de valabilitate a acestuia este de 30 de zile. Licența este activată fie printr-un fișier, fie folosind Auth-Code. Licențele sunt configurate în secțiune Dispozitiv -> Licențe (Fig. 4).
După instalarea licenței, trebuie să configurați instalarea actualizărilor în secțiune Dispozitiv -> Actualizări dinamice.
În secțiunea Dispozitiv -> Software puteți descărca și instala versiuni noi de PAN-OS.
Figura 4 – Panoul de control al licenței
3. Configurarea zonelor de securitate, interfețelor de rețea, politicilor de trafic, traducerea adresei
Firewall-urile Palo Alto Networks folosesc logica zonelor la configurarea regulilor de rețea. Interfețele de rețea sunt alocate unei anumite zone, iar această zonă este utilizată în regulile de trafic. Această abordare permite pe viitor, atunci când se schimbă setările interfeței, să nu se modifice regulile de circulație, ci în schimb să reatribuiască interfețele necesare zonelor corespunzătoare. În mod implicit, traficul în interiorul unei zone este permis, traficul între zone este interzis, regulile predefinite sunt responsabile pentru acest lucru intrazonă-implicit и interzonă-implicit.
Figura 5 – Zone de siguranță
În acest exemplu, o interfață în rețeaua internă este atribuită zonei intern, iar interfața orientată spre Internet este atribuită zonei extern. Pentru SSL VPN, o interfață tunel a fost creată și alocată zonei VPN (Fig. 5).
Interfețele de rețea firewall Palo Alto Networks pot funcționa în cinci moduri diferite:
- Robinet – folosit pentru colectarea traficului în scopuri de monitorizare și analiză
- HA – folosit pentru operarea clusterului
- Firma virtuală – în acest mod, Palo Alto Networks combină două interfețe și transmite în mod transparent traficul între ele fără a schimba adresele MAC și IP
- Layer2 - Mod de comutare
- Layer3 – modul router
Figura 6 – Setarea modului de operare al interfeței
În acest exemplu, va fi utilizat modul Layer3 (Fig. 6). Parametrii interfeței de rețea indică adresa IP, modul de funcționare și zona de securitate corespunzătoare. Pe lângă modul de operare al interfeței, trebuie să o alocați routerului virtual Router virtual, acesta este un analog al unei instanțe VRF din Palo Alto Networks. Routerele virtuale sunt izolate unele de altele și au propriile lor tabele de rutare și setări de protocol de rețea.
Setările routerului virtual specifică rutele statice și setările protocolului de rutare. În acest exemplu, a fost creată doar o rută implicită pentru accesarea rețelelor externe (Fig. 7).
Figura 7 – Configurarea unui router virtual
Următoarea etapă de configurare este politicile de trafic, secțiunea Politici -> Securitate. Un exemplu de configurare este prezentat în Figura 8. Logica regulilor este aceeași ca pentru toate firewall-urile. Regulile sunt verificate de sus în jos, până la primul meci. Scurtă descriere a regulilor:
1. Acces VPN SSL la portalul web. Permite accesul la portalul web pentru autentificarea conexiunilor de la distanță
2. Trafic VPN – permițând traficul între conexiunile la distanță și sediul central
3. Internet de bază – permițând aplicații dns, ping, traceroute, ntp. Firewall-ul permite aplicații bazate pe semnături, decodare și euristică, mai degrabă decât numere de porturi și protocoale, motiv pentru care secțiunea Service spune aplicație-implicit. Port/protocol implicit pentru această aplicație
4. Acces Web – permițând accesul la Internet prin protocoale HTTP și HTTPS fără controlul aplicației
5,6. Reguli implicite pentru alt trafic.
Figura 8 — Exemplu de configurare a regulilor de rețea
Pentru a configura NAT, utilizați secțiunea Politici -> NAT. Un exemplu de configurare NAT este prezentat în Figura 9.
Figura 9 – Exemplu de configurare NAT
Pentru orice trafic de la intern la extern, puteți schimba adresa sursă la adresa IP externă a paravanului de protecție și puteți utiliza o adresă de port dinamică (PAT).
4. Configurarea profilului de autentificare LDAP și a funcției de identificare a utilizatorului
Înainte de a conecta utilizatorii prin SSL-VPN, trebuie să configurați un mecanism de autentificare. În acest exemplu, autentificarea va avea loc la controlerul de domeniu Active Directory prin interfața web Palo Alto Networks.
Figura 10 – Profil LDAP
Pentru ca autentificarea să funcționeze, trebuie să configurați Profil LDAP и Profil de autentificare. În secțiunea Dispozitiv -> Profiluri server -> LDAP (Fig. 10) trebuie să specificați adresa IP și portul controlerului de domeniu, tipul LDAP și contul de utilizator incluse în grupuri Operatori de server, Cititoare de jurnal de evenimente, Utilizatori COM distribuiti. Apoi în secțiune Dispozitiv -> Profil de autentificare creați un profil de autentificare (Fig. 11), marcați-l pe cel creat anterior Profil LDAP iar în fila Avansat indicăm grupul de utilizatori (Fig. 12) cărora li se permite accesul la distanță. Este important să notați parametrul în profilul dvs Domeniul utilizatorului, în caz contrar, autorizarea bazată pe grup nu va funcționa. Câmpul trebuie să indice numele domeniului NetBIOS.
Figura 11 – Profil de autentificare
Figura 12 – Selectarea grupului AD
Următoarea etapă este configurarea Dispozitiv -> Identificare utilizator. Aici trebuie să specificați adresa IP a controlerului de domeniu, acreditările de conectare și, de asemenea, să configurați setările Activați jurnalul de securitate, Activați sesiunea, Activați sondarea (Fig. 13). În capitolul Maparea grupului (Fig. 14) trebuie să notați parametrii pentru identificarea obiectelor în LDAP și lista de grupuri care vor fi utilizate pentru autorizare. La fel ca în Profilul de autentificare, aici trebuie să setați parametrul User Domain.
Figura 13 – Parametrii de cartografiere utilizator
Figura 14 – Parametrii de cartografiere de grup
Ultimul pas din această fază este crearea unei zone VPN și a unei interfețe pentru acea zonă. Trebuie să activați opțiunea de pe interfață Activați Identificarea utilizatorului (Fig. 15).
Figura 15 – Configurarea unei zone VPN
5. Configurarea VPN SSL
Înainte de a se conecta la un VPN SSL, utilizatorul de la distanță trebuie să acceseze portalul web, să se autentifice și să descarce clientul Global Protect. Apoi, acest client va solicita acreditări și se va conecta la rețeaua corporativă. Portalul web funcționează în modul https și, în consecință, trebuie să instalați un certificat pentru acesta. Folosiți un certificat public dacă este posibil. Atunci utilizatorul nu va primi un avertisment cu privire la invaliditatea certificatului de pe site. Dacă nu este posibil să utilizați un certificat public, atunci trebuie să eliberați propriul certificat, care va fi folosit pe pagina web pentru https. Poate fi autosemnat sau eliberat printr-o autoritate locală de certificare. Computerul la distanță trebuie să aibă un certificat rădăcină sau autosemnat în lista de autorități rădăcină de încredere, astfel încât utilizatorul să nu primească o eroare la conectarea la portalul web. Acest exemplu va folosi un certificat emis prin Active Directory Certificate Services.
Pentru a emite un certificat, trebuie să creați o cerere de certificat în secțiune Dispozitiv -> Gestionare certificate -> Certificate -> Generare. În cerere indicăm numele certificatului și adresa IP sau FQDN-ul portalului web (Fig. 16). După generarea cererii, descărcați .csr fișier și copiați conținutul acestuia în câmpul de cerere de certificat din formularul web AD CS Web Enrollment. În funcție de modul în care este configurată autoritatea de certificare, cererea de certificat trebuie să fie aprobată și certificatul emis trebuie descărcat în format Certificat codificat Base64. În plus, trebuie să descărcați certificatul rădăcină al autorității de certificare. Apoi, trebuie să importați ambele certificate în firewall. Când importați un certificat pentru un portal web, trebuie să selectați cererea în starea în așteptare și să faceți clic pe import. Numele certificatului trebuie să se potrivească cu numele specificat mai devreme în cerere. Numele certificatului rădăcină poate fi specificat în mod arbitrar. După importarea certificatului, trebuie să creați Profil de serviciu SSL/TLS În capitol Dispozitiv -> Gestionarea certificatelor. În profil indicăm certificatul importat anterior.
Figura 16 – Cerere de certificat
Următorul pas este configurarea obiectelor Global Protect Gateway и Portalul Global Protect În capitol Rețea -> Protecție globală... În setări Global Protect Gateway indicați adresa IP externă a paravanului de protecție, precum și cea creată anterior Profil SSL, Profil de autentificare, interfața tunel și setările IP ale clientului. Trebuie să specificați un grup de adrese IP din care adresa va fi atribuită clientului și Rută de acces - acestea sunt subrețelele către care clientul va avea o rută. Dacă sarcina este de a încheia tot traficul utilizatorului printr-un firewall, atunci trebuie să specificați subrețeaua 0.0.0.0/0 (Fig. 17).
Figura 17 – Configurarea unui grup de adrese IP și rute
Apoi trebuie să configurați Portalul Global Protect. Specificați adresa IP a paravanului de protecție, Profil SSL и Profil de autentificare și o listă de adrese IP externe ale firewall-urilor la care se va conecta clientul. Dacă există mai multe firewall-uri, puteți seta o prioritate pentru fiecare, în funcție de care utilizatorii vor alege un firewall la care să se conecteze.
În secțiunea Dispozitiv -> Client GlobalProtect trebuie să descărcați distribuția clientului VPN de pe serverele Palo Alto Networks și să o activați. Pentru a se conecta, utilizatorul trebuie să acceseze pagina web a portalului, de unde i se va cere să descarce Client GlobalProtect. Odată descărcat și instalat, vă puteți introduce acreditările și vă puteți conecta la rețeaua corporativă prin SSL VPN.
Concluzie
Aceasta completează partea Palo Alto Networks a configurației. Sperăm că informațiile au fost utile și cititorul a dobândit o înțelegere a tehnologiilor utilizate la Palo Alto Networks. Dacă aveți întrebări despre configurare și sugestii cu privire la subiecte pentru articolele viitoare, scrieți-le în comentarii, vom fi bucuroși să vă răspundem.
Sursa: www.habr.com