Kljub vsem prednostim požarnih zidov Palo Alto Networks v RuNetu ni veliko gradiva o nastavitvi teh naprav, pa tudi besedil, ki opisujejo izkušnje z njihovo implementacijo. Odločili smo se, da povzamemo materiale, ki smo jih nabrali med delom z opremo tega prodajalca, in spregovorimo o funkcijah, s katerimi smo se srečali med izvajanjem različnih projektov.
Da bi vam predstavili Palo Alto Networks, si bomo v tem članku ogledali konfiguracijo, ki je potrebna za rešitev ene najpogostejših težav s požarnim zidom – SSL VPN za oddaljeni dostop. Govorili bomo tudi o pripomočkih za splošno konfiguracijo požarnega zidu, identifikacijo uporabnika, aplikacije in varnostne politike. Če bo tema zanimiva za bralce, bomo v prihodnosti objavili materiale, ki bodo analizirali VPN od mesta do mesta, dinamično usmerjanje in centralizirano upravljanje z uporabo Panorame.
Požarni zidovi Palo Alto Networks uporabljajo številne inovativne tehnologije, vključno z App-ID, User-ID, Content-ID. Uporaba te funkcionalnosti vam omogoča, da zagotovite visoko stopnjo varnosti. Na primer, z App-ID je mogoče identificirati promet aplikacij na podlagi podpisov, dekodiranja in hevristike, ne glede na uporabljena vrata in protokol, vključno znotraj tunela SSL. User-ID vam omogoča identifikacijo omrežnih uporabnikov prek integracije LDAP. Content-ID omogoča skeniranje prometa ter prepoznavanje prenesenih datotek in njihove vsebine. Druge funkcije požarnega zidu vključujejo zaščito pred vdori, zaščito pred ranljivostmi in napadi DoS, vgrajeno protivohunsko programsko opremo, filtriranje URL-jev, združevanje v gruče in centralizirano upravljanje.
Za demonstracijo bomo uporabili izolirano stojalo, s konfiguracijo, ki je enaka pravi, z izjemo imen naprav, imena domene AD in naslovov IP. V resnici je vse bolj zapleteno - vej je lahko veliko. V tem primeru bo namesto enega požarnega zidu na mejah osrednjih mest nameščena gruča, morda bo potrebno tudi dinamično usmerjanje.
Uporabljeno na stojalu PAN-OS 7.1.9. Kot tipično konfiguracijo upoštevajte omrežje s požarnim zidom Palo Alto Networks na robu. Požarni zid omogoča oddaljeni SSL VPN dostop do glavne pisarne. Domena Active Directory bo uporabljena kot baza podatkov uporabnikov (slika 1).
Slika 1 – Blokovni diagram omrežja
Koraki nastavitve:
- Predkonfiguracija naprave. Nastavitev imena, naslov IP za upravljanje, statične poti, skrbniški računi, profili za upravljanje
- Namestitev licenc, konfiguracija in namestitev posodobitev
- Konfiguracija varnostnih območij, omrežnih vmesnikov, prometnih politik, prevajanje naslovov
- Konfiguriranje profila za preverjanje pristnosti LDAP in funkcije identifikacije uporabnika
- Nastavitev SSL VPN
1. Prednastavitev
Glavno orodje za konfiguracijo požarnega zidu Palo Alto Networks je spletni vmesnik, možno je tudi upravljanje preko CLI. Privzeto je upravljalni vmesnik nastavljen na naslov IP 192.168.1.1/24, prijava: admin, geslo: admin.
Naslov lahko spremenite tako, da se povežete s spletnim vmesnikom iz istega omrežja ali uporabite ukaz set deviceconfig system ip-address <> netmask <>. Izvaja se v konfiguracijskem načinu. Za preklop v konfiguracijski način uporabite ukaz nastavite. Vse spremembe na požarnem zidu se zgodijo šele, ko so nastavitve potrjene z ukazom Zavezati, tako v načinu ukazne vrstice kot v spletnem vmesniku.
Če želite spremeniti nastavitve v spletnem vmesniku, uporabite razdelek Naprava -> Splošne nastavitve in Naprava -> Nastavitve upravljalnega vmesnika. Ime, pasice, časovni pas in druge nastavitve lahko nastavite v razdelku Splošne nastavitve (slika 2).
Slika 2 – Parametri vmesnika za upravljanje
Če uporabljate virtualni požarni zid v okolju ESXi, morate v razdelku Splošne nastavitve omogočiti uporabo naslova MAC, ki ga je dodelil hipervizor, ali konfigurirati naslove MAC, določene na vmesnikih požarnega zidu na hipervizorju, ali spremeniti nastavitve navidezna stikala, ki omogočajo spreminjanje naslovov MAC. V nasprotnem primeru promet ne bo potekal.
Vmesnik za upravljanje je konfiguriran ločeno in ni prikazan na seznamu omrežnih vmesnikov. V poglavju Nastavitve upravljalnega vmesnika določa privzeti prehod za vmesnik za upravljanje. Druge statične poti so konfigurirane v razdelku o virtualnih usmerjevalnikih; o tem bomo razpravljali pozneje.
Če želite omogočiti dostop do naprave prek drugih vmesnikov, morate ustvariti upravljalni profil Vodstveni profil oddelek Omrežje -> Omrežni profili -> Upravljanje vmesnika in ga dodelite ustreznemu vmesniku.
Nato morate v razdelku konfigurirati DNS in NTP Naprava -> Storitve za prejemanje posodobitev in pravilen prikaz časa (slika 3). Privzeto ves promet, ki ga ustvari požarni zid, uporablja naslov IP vmesnika za upravljanje kot izvorni naslov IP. Za vsako posamezno storitev v razdelku lahko dodelite drugačen vmesnik Konfiguracija servisne poti.
Slika 3 – DNS, NTP in parametri storitve sistemskih poti
2. Namestitev licenc, nastavitev in namestitev posodobitev
Za polno delovanje vseh funkcij požarnega zidu morate namestiti licenco. Preskusno licenco lahko uporabite tako, da jo zahtevate pri partnerjih Palo Alto Networks. Njegov rok veljavnosti je 30 dni. Licenca se aktivira prek datoteke ali z uporabo Auth-Code. Licence so konfigurirane v razdelku Naprava -> Licence (Slika 4).
Po namestitvi licence morate v razdelku konfigurirati namestitev posodobitev Naprava -> Dinamične posodobitve.
V oddelku Naprava -> Programska oprema lahko prenesete in namestite nove različice PAN-OS.
Slika 4 – Nadzorna plošča licence
3. Konfiguriranje varnostnih območij, omrežnih vmesnikov, prometnih politik, prevajanja naslovov
Požarni zidovi Palo Alto Networks pri konfiguraciji omrežnih pravil uporabljajo consko logiko. Omrežni vmesniki so dodeljeni določenemu območju in to območje se uporablja v prometnih pravilih. Ta pristop omogoča, da v prihodnosti pri spreminjanju nastavitev vmesnika ne spremenite prometnih pravil, temveč namesto tega prerazporedite potrebne vmesnike na ustrezna območja. Privzeto je promet znotraj cone dovoljen, promet med conami je prepovedan, za to so odgovorna vnaprej določena pravila intrazone-default и medconsko privzeto.
Slika 5 – Varnostna območja
V tem primeru je območju dodeljen vmesnik v notranjem omrežju notranji, in vmesnik, ki gleda na internet, je dodeljen območju zunanja. Za SSL VPN je bil ustvarjen in dodeljen območju tunelski vmesnik VPN (Slika 5).
Omrežni vmesniki požarnega zidu Palo Alto Networks lahko delujejo v petih različnih načinih:
- Dotaknite – uporablja se za zbiranje prometa za namene spremljanja in analize
- HA – uporablja se za delovanje gruče
- Virtualna žica – v tem načinu Palo Alto Networks združuje dva vmesnika in pregledno prenaša promet med njima brez spreminjanja naslovov MAC in IP
- Sloj2 – preklopni način
- Sloj3 – način usmerjevalnika
Slika 6 – Nastavitev načina delovanja vmesnika
V tem primeru bo uporabljen način Layer3 (slika 6). Parametri omrežnega vmesnika označujejo naslov IP, način delovanja in ustrezno varnostno območje. Poleg načina delovanja vmesnika ga morate dodeliti virtualnemu usmerjevalniku Virtual Router, to je analog primerka VRF v Palo Alto Networks. Virtualni usmerjevalniki so izolirani drug od drugega in imajo lastne usmerjevalne tabele in nastavitve omrežnega protokola.
Nastavitve navideznega usmerjevalnika določajo statične poti in nastavitve protokola usmerjanja. V tem primeru je bila ustvarjena le privzeta pot za dostop do zunanjih omrežij (slika 7).
Slika 7 – Nastavitev virtualnega usmerjevalnika
Naslednja faza konfiguracije so prometne politike, razdelek Politike -> Varnost. Primer konfiguracije je prikazan na sliki 8. Logika pravil je enaka kot pri vseh požarnih zidovih. Pravila se preverjajo od zgoraj navzdol, do prve tekme. Kratek opis pravil:
1. SSL VPN dostop do spletnega portala. Omogoča dostop do spletnega portala za preverjanje pristnosti oddaljenih povezav
2. VPN promet – omogoča promet med oddaljenimi povezavami in centralo
3. Osnovni internet – omogoča aplikacije dns, ping, traceroute, ntp. Požarni zid dovoljuje aplikacije, ki temeljijo na podpisih, dekodiranju in hevristiki, namesto na številkah vrat in protokolih, zato v razdelku Storitev piše privzeta aplikacija. Privzeta vrata/protokol za to aplikacijo
4. Spletni dostop – omogoča dostop do interneta prek protokolov HTTP in HTTPS brez nadzora aplikacije
5,6. Privzeta pravila za drug promet.
Slika 8 — Primer nastavitve omrežnih pravil
Če želite konfigurirati NAT, uporabite razdelek Politike -> NAT. Primer konfiguracije NAT je prikazan na sliki 9.
Slika 9 – Primer konfiguracije NAT
Za kakršen koli promet od notranjega do zunanjega lahko izvorni naslov spremenite v zunanji IP naslov požarnega zidu in uporabite dinamični naslov vrat (PAT).
4. Konfiguriranje profila za preverjanje pristnosti LDAP in funkcije identifikacije uporabnika
Preden povežete uporabnike prek SSL-VPN, morate konfigurirati mehanizem za preverjanje pristnosti. V tem primeru se bo preverjanje pristnosti izvajalo na krmilniku domene Active Directory prek spletnega vmesnika Palo Alto Networks.
Slika 10 – Profil LDAP
Če želite, da preverjanje pristnosti deluje, morate konfigurirati Profil LDAP и Profil za preverjanje pristnosti. V razdelku Naprava -> Profili strežnika -> LDAP (Slika 10) morate določiti naslov IP in vrata krmilnika domene, vrsto LDAP in uporabniški račun, vključen v skupine Operaterji strežnikov, Bralniki dnevnikov dogodkov, Porazdeljeni uporabniki COM. Nato v razdelku Naprava -> Profil za preverjanje pristnosti ustvarite avtentikacijski profil (slika 11), označite predhodno ustvarjenega Profil LDAP in v zavihku Napredno označimo skupino uporabnikov (slika 12), ki jim je dovoljen oddaljeni dostop. Pomembno je, da zabeležite parameter v svojem profilu Uporabniška domena, sicer avtorizacija na podlagi skupine ne bo delovala. Polje mora vsebovati ime domene NetBIOS.
Slika 11 – Profil avtentikacije
Slika 12 – Izbira skupine AD
Naslednja faza je nastavitev Naprava -> Identifikacija uporabnika. Tukaj morate določiti naslov IP krmilnika domene, poverilnice za povezavo in tudi konfigurirati nastavitve Omogoči varnostni dnevnik, Omogoči sejo, Omogoči sondiranje (Slika 13). V poglavju Skupinsko preslikavo (Slika 14) si morate zapomniti parametre za prepoznavanje objektov v LDAP in seznam skupin, ki bodo uporabljene za avtorizacijo. Tako kot v profilu za preverjanje pristnosti morate tudi tukaj nastaviti parameter uporabniške domene.
Slika 13 – Parametri preslikave uporabnikov
Slika 14 – Parametri preslikave skupine
Zadnji korak v tej fazi je ustvarjanje območja VPN in vmesnika za to območje. Možnost morate omogočiti na vmesniku Omogoči identifikacijo uporabnika (Slika 15).
Slika 15 – Nastavitev cone VPN
5. Nastavitev SSL VPN
Preden se poveže s SSL VPN, mora oddaljeni uporabnik obiskati spletni portal, se overiti in prenesti odjemalca Global Protect. Nato bo ta odjemalec zahteval poverilnice in se povezal z omrežjem podjetja. Spletni portal deluje v načinu https, zato morate zanj namestiti certifikat. Če je mogoče, uporabite javno potrdilo. Potem uporabnik ne bo prejel opozorila o neveljavnosti potrdila na spletnem mestu. Če javnega potrdila ni mogoče uporabiti, morate izdati svojega, ki bo uporabljen na spletni strani za https. Lahko je samopodpisan ali pa ga izda lokalni overitelj potrdil. Oddaljeni računalnik mora imeti korensko ali samopodpisano potrdilo na seznamu zaupanja vrednih korenskih organov, da uporabnik ne prejme napake pri povezovanju s spletnim portalom. Ta primer bo uporabil potrdilo, izdano prek storitve potrdil Active Directory.
Za izdajo potrdila morate v razdelku ustvariti zahtevo za potrdilo Naprava -> Upravljanje potrdil -> Potrdila -> Ustvari. V zahtevi navedemo ime certifikata in IP naslov oziroma FQDN spletnega portala (slika 16). Ko ustvarite zahtevo, prenesite .csr datoteko in kopirajte njeno vsebino v polje zahteve za potrdilo v spletnem obrazcu AD CS Web Enrollment. Glede na to, kako je overitelj potrdil konfiguriran, mora biti zahteva za potrdilo odobrena in izdano potrdilo prenešeno v formatu Kodirano potrdilo Base64. Poleg tega morate prenesti korensko potrdilo overitelja potrdil. Nato morate oba potrdila uvoziti v požarni zid. Pri uvozu potrdila za spletni portal morate izbrati zahtevo v stanju čakanja in klikniti uvoz. Ime potrdila se mora ujemati z imenom, navedenim prej v zahtevi. Ime korenskega potrdila lahko določite poljubno. Po uvozu potrdila morate ustvariti Profil storitve SSL/TLS oddelek Naprava -> Upravljanje potrdil. V profilu označimo predhodno uvoženo potrdilo.
Slika 16 – Zahteva za potrdilo
Naslednji korak je postavitev objektov Global Protect Gateway и Global Protect Portal oddelek Omrežje -> Globalna zaščita. V nastavitvah Global Protect Gateway navedite zunanji naslov IP požarnega zidu, kot tudi predhodno ustvarjen SSL profil, Profil za preverjanje pristnosti, vmesnik tunela in nastavitve IP odjemalca. Določiti morate skupino naslovov IP, iz katerih bo naslov dodeljen stranki, in Access Route - to so podomrežja, do katerih bo imela stranka pot. Če je naloga zaviti ves uporabniški promet skozi požarni zid, potem morate podati podomrežje 0.0.0.0/0 (slika 17).
Slika 17 – Konfiguriranje skupine naslovov IP in poti
Nato morate konfigurirati Global Protect Portal. Določite naslov IP požarnega zidu, SSL profil и Profil za preverjanje pristnosti in seznam zunanjih naslovov IP požarnih zidov, na katere se bo odjemalec povezal. Če obstaja več požarnih zidov, lahko vsakemu določite prioriteto, glede na katero bodo uporabniki izbrali požarni zid, na katerega se bodo povezovali.
V oddelku Naprava -> Odjemalec GlobalProtect distribucijo odjemalca VPN morate prenesti s strežnikov Palo Alto Networks in jo aktivirati. Za povezavo mora uporabnik obiskati spletno stran portala, kjer bo pozvan k prenosu Odjemalec GlobalProtect. Ko ga prenesete in namestite, lahko vnesete svoje poverilnice in se prek SSL VPN povežete z omrežjem podjetja.
Zaključek
S tem je del nastavitve Palo Alto Networks zaključen. Upamo, da so bile informacije koristne in je bralec pridobil razumevanje tehnologij, ki se uporabljajo v Palo Alto Networks. Če imate vprašanja o nastavitvah in predloge o temah za prihodnje članke, jih napišite v komentarje, z veseljem vam bomo odgovorili.
Vir: www.habr.com