Napriek všetkým výhodám firewallov Palo Alto Networks nie je na RuNet veľa materiálov o nastavovaní týchto zariadení, ako aj textov popisujúcich skúsenosti s ich implementáciou. Rozhodli sme sa zhrnúť materiály, ktoré sme nazhromaždili počas našej práce so zariadením tohto predajcu, a porozprávať sa o funkciách, s ktorými sme sa stretli pri realizácii rôznych projektov.
Aby sme vám predstavili Palo Alto Networks, tento článok sa pozrie na konfiguráciu potrebnú na vyriešenie jedného z najbežnejších problémov brány firewall – SSL VPN pre vzdialený prístup. Budeme hovoriť aj o pomocných funkciách pre všeobecnú konfiguráciu brány firewall, identifikáciu používateľov, aplikácie a bezpečnostné zásady. Ak bude téma čitateľov zaujímať, v budúcnosti vydáme materiály analyzujúce Site-to-Site VPN, dynamické smerovanie a centralizovanú správu pomocou Panorama.
Firewally Palo Alto Networks využívajú množstvo inovatívnych technológií, vrátane App-ID, User-ID, Content-ID. Použitie tejto funkcie vám umožňuje zaistiť vysokú úroveň bezpečnosti. Napríklad pomocou App-ID je možné identifikovať prevádzku aplikácie na základe podpisov, dekódovania a heuristiky, bez ohľadu na použitý port a protokol, a to aj vo vnútri tunela SSL. User-ID vám umožňuje identifikovať používateľov siete prostredníctvom integrácie LDAP. Content-ID umožňuje skenovať prevádzku a identifikovať prenášané súbory a ich obsah. Medzi ďalšie funkcie brány firewall patrí ochrana proti vniknutiu, ochrana pred zraniteľnosťami a útokmi DoS, vstavaný antispyware, filtrovanie adries URL, klastrovanie a centralizovaná správa.
Na ukážku použijeme izolovaný stojan, s konfiguráciou identickou s reálnym, s výnimkou názvov zariadení, názvu AD domény a IP adries. V skutočnosti je všetko komplikovanejšie - pobočiek môže byť veľa. V tomto prípade sa namiesto jedného firewallu nainštaluje klaster na hraniciach centrálnych lokalít a môže byť potrebné aj dynamické smerovanie.
Používa sa na stojane PAN-OS 7.1.9. Ako typickú konfiguráciu zvážte sieť s firewallom Palo Alto Networks na okraji. Firewall poskytuje vzdialený prístup SSL VPN do ústredia. Doména Active Directory sa použije ako databáza používateľov (obrázok 1).
Obrázok 1 – Bloková schéma siete
Kroky nastavenia:
- Predkonfigurácia zariadenia. Nastavenie mena, adries IP správy, statických trás, správcovských účtov, profilov správy
- Inštalácia licencií, konfigurácia a inštalácia aktualizácií
- Konfigurácia bezpečnostných zón, sieťových rozhraní, dopravných politík, preklad adries
- Konfigurácia profilu autentifikácie LDAP a funkcie identifikácie používateľa
- Nastavenie SSL VPN
1. Prednastavené
Hlavným nástrojom na konfiguráciu firewallu Palo Alto Networks je webové rozhranie, možná je aj správa cez CLI. Štandardne je rozhranie správy nastavené na IP adresu 192.168.1.1/24, login: admin, heslo: admin.
Adresu môžete zmeniť buď pripojením k webovému rozhraniu z rovnakej siete, alebo pomocou príkazu set deviceconfig system ip-address <> net mask <>. Vykonáva sa v konfiguračnom režime. Na prepnutie do konfiguračného režimu použite príkaz konfigurovať. Všetky zmeny na firewalle nastanú až po potvrdení nastavení príkazom spáchať, a to v režime príkazového riadka aj vo webovom rozhraní.
Na zmenu nastavení vo webovom rozhraní použite sekciu Zariadenie -> Všeobecné nastavenia a Zariadenie -> Nastavenia rozhrania správy. Názov, bannery, časové pásmo a ďalšie nastavenia je možné nastaviť v časti Všeobecné nastavenia (obr. 2).
Obrázok 2 – Parametre riadiaceho rozhrania
Ak používate virtuálny firewall v prostredí ESXi, v časti Všeobecné nastavenia musíte povoliť používanie MAC adresy pridelenej hypervízorom alebo nakonfigurovať MAC adresy špecifikované na rozhraniach firewallu na hypervízore, prípadne zmeniť nastavenia virtuálne prepínače umožňujúce MAC meniť adresy. V opačnom prípade nebude premávka prechádzať.
Rozhranie správy sa konfiguruje samostatne a nezobrazuje sa v zozname sieťových rozhraní. V kapitole Nastavenia riadiaceho rozhrania určuje predvolenú bránu pre rozhranie správy. Ostatné statické trasy sa konfigurujú v sekcii virtuálnych smerovačov, o čom sa bude diskutovať neskôr.
Ak chcete povoliť prístup k zariadeniu cez iné rozhrania, musíte vytvoriť profil správy Manažérsky profil časť Network -> Network Profiles -> Interface Mgmt a priraďte ho k príslušnému rozhraniu.
Ďalej musíte v sekcii nakonfigurovať DNS a NTP Zariadenie -> Služby prijímať aktualizácie a správne zobrazovať čas (obr. 3). V predvolenom nastavení všetka prevádzka generovaná bránou firewall používa ako zdrojovú IP adresu IP adresu riadiaceho rozhrania. Pre každú konkrétnu službu v sekcii môžete priradiť iné rozhranie Konfigurácia servisnej trasy.
Obrázok 3 – Parametre služby DNS, NTP a systémových ciest
2. Inštalácia licencií, nastavenie a inštalácia aktualizácií
Pre plnú prevádzku všetkých funkcií brány firewall musíte nainštalovať licenciu. Skúšobnú licenciu môžete použiť tak, že si ju vyžiadate od partnerov Palo Alto Networks. Jeho platnosť je 30 dní. Licencia sa aktivuje buď prostredníctvom súboru alebo pomocou Auth-Code. Licencie sa konfigurujú v sekcii Zariadenie -> Licencie (Obr. 4).
Po nainštalovaní licencie je potrebné nakonfigurovať inštaláciu aktualizácií v sekcii Zariadenie -> Dynamické aktualizácie.
V sekcii Zariadenie -> Softvér si môžete stiahnuť a nainštalovať nové verzie PAN-OS.
Obrázok 4 – Ovládací panel licencie
3. Konfigurácia bezpečnostných zón, sieťových rozhraní, dopravných politík, prekladu adries
Firewally Palo Alto Networks používajú pri konfigurácii pravidiel siete zónovú logiku. Sieťové rozhrania sú priradené ku konkrétnej zóne a táto zóna sa používa v pravidlách premávky. Tento prístup umožňuje v budúcnosti pri zmene nastavení rozhrania nemeniť pravidlá premávky, ale namiesto toho znova priradiť potrebné rozhrania príslušným zónam. V predvolenom nastavení je premávka v rámci zóny povolená, premávka medzi zónami je zakázaná, zodpovedajú za to preddefinované pravidlá intrazone-predvolené и interzone-default.
Obrázok 5 – Bezpečnostné zóny
V tomto príklade je k zóne priradené rozhranie na internej sieti internýa rozhranie smerujúce k internetu je priradené k zóne externý. Pre SSL VPN bolo vytvorené tunelové rozhranie a priradené k zóne VPN (Obr. 5).
Sieťové rozhrania brány firewall Palo Alto Networks môžu fungovať v piatich rôznych režimoch:
- Využiť – používa sa na zhromažďovanie návštevnosti na účely monitorovania a analýzy
- HA – používa sa na prevádzku klastra
- Virtuálny drôt – v tomto režime Palo Alto Networks kombinuje dve rozhrania a transparentne prenáša prevádzku medzi nimi bez zmeny MAC a IP adries
- Layer2 – prepnúť režim
- Layer3 – režim smerovača
Obrázok 6 – Nastavenie prevádzkového režimu rozhrania
V tomto príklade bude použitý režim Layer3 (obr. 6). Parametre sieťového rozhrania označujú IP adresu, prevádzkový režim a zodpovedajúcu bezpečnostnú zónu. Okrem prevádzkového režimu rozhrania ho musíte priradiť virtuálnemu smerovaču Virtual Router, ide o analóg inštancie VRF v sieťach Palo Alto. Virtuálne smerovače sú od seba izolované a majú svoje vlastné smerovacie tabuľky a nastavenia sieťového protokolu.
Nastavenia virtuálneho smerovača určujú statické trasy a nastavenia smerovacieho protokolu. V tomto príklade bola vytvorená iba predvolená trasa pre prístup k externým sieťam (obr. 7).
Obrázok 7 – Nastavenie virtuálneho smerovača
Ďalšou fázou konfigurácie je sekcia dopravných politík Zásady -> Bezpečnosť. Príklad konfigurácie je na obrázku 8. Logika pravidiel je rovnaká ako u všetkých firewallov. Pravidlá sa kontrolujú zhora nadol až po prvý zápas. Stručný popis pravidiel:
1. SSL VPN prístup k webovému portálu. Umožňuje prístup na webový portál na overenie vzdialených pripojení
2. VPN traffic – umožnenie prevádzky medzi vzdialenými pripojeniami a centrálou
3. Základný internet – umožňujúci aplikácie dns, ping, traceroute, ntp. Brána firewall povoľuje aplikácie založené na podpisoch, dekódovaní a heuristike, a nie na číslach portov a protokoloch, a preto je v sekcii Služba uvedená predvolená aplikácia. Predvolený port/protokol pre túto aplikáciu
4. Web Access – umožnenie prístupu na internet cez protokoly HTTP a HTTPS bez kontroly aplikácie
5,6. Predvolené pravidlá pre ostatnú premávku.
Obrázok 8 – Príklad nastavenia pravidiel siete
Na konfiguráciu NAT použite sekciu Zásady -> NAT. Príklad konfigurácie NAT je znázornený na obrázku 9.
Obrázok 9 – Príklad konfigurácie NAT
Pre akúkoľvek komunikáciu z internej na externú môžete zmeniť zdrojovú adresu na externú IP adresu brány firewall a použiť dynamickú adresu portu (PAT).
4. Konfigurácia profilu autentifikácie LDAP a funkcie identifikácie užívateľa
Pred pripojením používateľov cez SSL-VPN musíte nakonfigurovať autentifikačný mechanizmus. V tomto príklade dôjde k overeniu radiča domény Active Directory prostredníctvom webového rozhrania Palo Alto Networks.
Obrázok 10 – Profil LDAP
Aby overenie fungovalo, musíte ho nakonfigurovať Profil LDAP и Autentifikačný profil, V časti Zariadenie -> Profily servera -> LDAP (obr. 10) je potrebné zadať IP adresu a port doménového radiča, typ LDAP a používateľský účet zaradený do skupín Operátori serverov, Čítačky denníkov udalostí, Distribuovaní používatelia COM. Potom v sekcii Zariadenie -> Autentifikačný profil vytvorte autentifikačný profil (obr. 11), označte predtým vytvorený Profil LDAP a v záložke Advanced označujeme skupinu používateľov (obr. 12), ktorí majú povolený vzdialený prístup. Je dôležité poznamenať si parameter vo svojom profile Používateľská doména, inak nebude skupinová autorizácia fungovať. Pole musí uvádzať názov domény NetBIOS.
Obrázok 11 – Autentifikačný profil
Obrázok 12 – Výber skupiny AD
Ďalšou fázou je nastavenie Zariadenie -> Identifikácia používateľa. Tu musíte zadať adresu IP radiča domény, poverenia na pripojenie a tiež nakonfigurovať nastavenia Povoliť denník zabezpečenia, Povoliť reláciu, Povoliť sondovanie (obr. 13). V kapitole Skupinové mapovanie (Obr. 14) si treba všimnúť parametre na identifikáciu objektov v LDAP a zoznam skupín, ktoré budú použité na autorizáciu. Rovnako ako v Autentifikačnom profile, aj tu je potrebné nastaviť parameter User Domain.
Obrázok 13 – Parametre mapovania používateľov
Obrázok 14 – Parametre skupinového mapovania
Posledným krokom v tejto fáze je vytvorenie zóny VPN a rozhrania pre túto zónu. Musíte povoliť možnosť na rozhraní Povoliť identifikáciu používateľa (Obr. 15).
Obrázok 15 – Nastavenie zóny VPN
5. Nastavenie SSL VPN
Pred pripojením k SSL VPN musí vzdialený používateľ prejsť na webový portál, overiť a stiahnuť klienta Global Protect. Ďalej si tento klient vyžiada poverenia a pripojí sa k podnikovej sieti. Webový portál funguje v režime https a preto je potrebné preň nainštalovať certifikát. Ak je to možné, použite verejný certifikát. Potom používateľ nedostane upozornenie na neplatnosť certifikátu na stránke. Ak nie je možné použiť verejný certifikát, je potrebné vydať vlastný, ktorý bude použitý na webovej stránke pre https. Môže byť vlastnoručne podpísaný alebo vydaný prostredníctvom lokálnej certifikačnej autority. Vzdialený počítač musí mať koreňový alebo vlastnoručne podpísaný certifikát v zozname dôveryhodných koreňových autorít, aby sa používateľovi pri pripájaní k webovému portálu nedostala chyba. V tomto príklade sa použije certifikát vydaný prostredníctvom služby Active Directory Certificate Services.
Pre vydanie certifikátu je potrebné v sekcii vytvoriť žiadosť o certifikát Zariadenie -> Správa certifikátov -> Certifikáty -> Generovať. V žiadosti uvádzame názov certifikátu a IP adresu alebo FQDN webového portálu (obr. 16). Po vygenerovaní žiadosti stiahnite .csr a skopírujte jeho obsah do poľa žiadosti o certifikát vo webovom formulári AD CS Web Enrollment. V závislosti od konfigurácie certifikačnej autority musí byť žiadosť o certifikát schválená a vydaný certifikát musí byť stiahnutý vo formáte Base64 kódovaný certifikát. Okrem toho si musíte stiahnuť koreňový certifikát certifikačnej autority. Potom je potrebné naimportovať oba certifikáty do firewallu. Pri importe certifikátu pre webový portál musíte vybrať požiadavku v stave čakajúca na spracovanie a kliknúť na import. Názov certifikátu sa musí zhodovať s názvom uvedeným skôr v žiadosti. Názov koreňového certifikátu je možné zadať ľubovoľne. Po importovaní certifikátu je potrebné vytvoriť Profil služby SSL/TLS časť Zariadenie -> Správa certifikátov. V profile uvádzame predtým importovaný certifikát.
Obrázok 16 – Žiadosť o certifikát
Ďalším krokom je nastavenie objektov Global Protect Gateway и Globálny ochranný portál časť Sieť -> Globálna ochrana... V nastaveniach Global Protect Gateway uveďte externú IP adresu brány firewall, ako aj predtým vytvorenú Profil SSL, Autentifikačný profil, tunelové rozhranie a nastavenia IP klienta. Musíte zadať skupinu IP adries, z ktorej bude adresa pridelená klientovi, a Access Route - to sú podsiete, do ktorých bude mať klient smerovanie. Ak je úlohou zabaliť všetku komunikáciu používateľov cez firewall, potom musíte zadať podsieť 0.0.0.0/0 (obr. 17).
Obrázok 17 – Konfigurácia skupiny IP adries a trás
Potom musíte nakonfigurovať Globálny ochranný portál. Zadajte IP adresu brány firewall, Profil SSL и Autentifikačný profil a zoznam externých IP adries firewallov, ku ktorým sa klient pripojí. Ak existuje niekoľko brán firewall, môžete pre každú nastaviť prioritu, podľa ktorej si používatelia vyberú bránu firewall, ku ktorej sa pripájajú.
V sekcii Zariadenie -> GlobalProtect Client musíte si stiahnuť distribúciu klienta VPN zo serverov Palo Alto Networks a aktivovať ju. Na pripojenie musí používateľ prejsť na webovú stránku portálu, kde bude požiadaný o stiahnutie Klient GlobalProtect. Po stiahnutí a inštalácii môžete zadať svoje prihlasovacie údaje a pripojiť sa k podnikovej sieti cez SSL VPN.
Záver
Tým sa dokončí časť nastavenia Palo Alto Networks. Dúfame, že informácie boli užitočné a čitateľ pochopil technológie používané v Palo Alto Networks. Ak máte otázky týkajúce sa nastavenia a návrhy na témy pre budúce články, napíšte ich do komentárov, radi odpovieme.
Zdroj: hab.com