Inkasta oo dhammaan faa'iidooyinka Palo Alto Networks dab-damiska, ma jiraan waxyaabo badan oo RuNet ah oo ku saabsan dejinta qalabkan, iyo sidoo kale qoraallada qeexaya khibradda hirgelintooda. Waxaanu go’aansanay inaanu ku soo koobno agabkii aanu ururinay intii aanu shaqaynaynay agabkan iibiyaha oo aanu ka hadalno waxyaabaha aanu la kulanay intii aanu fulinaynay mashaariic kala duwan.
Si laguugu baro shabakadaha Palo Alto, maqaalkani wuxuu eegi doonaa qaabka loo baahan yahay si loo xalliyo mid ka mid ah dhibaatooyinka ugu caansan ee dab-damiska - SSL VPN helitaanka fog. Waxaan sidoo kale ka hadli doonaa hawlaha utility ee qaabeynta dab-damiska guud, aqoonsiga isticmaalaha, codsiyada, iyo siyaasadaha amniga. Haddi mawduucu xiiseeyo akhristayaasha, mustaqbalka waxaanu siidayn doonaa agab lagu falanqeeyo Site-to-Site VPN, jihaynta firfircoon iyo maamulka dhexe iyadoo la isticmaalayo Panorama.
Palo Alto Networks dab-damisku waxay isticmaalaan tiro tignoolajiyada cusub, oo ay ku jiraan App-ID, ID-user-ID, Aqoonsiga-Content-ID. Isticmaalka shaqadani waxay kuu ogolaaneysaa inaad hubiso heer sare oo ammaan ah. Tusaale ahaan, App-ID waxaa suurtagal ah in lagu aqoonsado taraafikada codsiga iyadoo lagu salaynayo saxiixyada, kood samaynta iyo heuristics, iyada oo aan loo eegin dekedda iyo borotokoolka la isticmaalo, oo ay ku jiraan gudaha tunnel SSL. Isticmaalaha-ID-ku wuxuu kuu ogolaanayaa inaad ku aqoonsato isticmaalayaasha shabakadaha dhex galka LDAP. Aqoonsiga-Content-ID wuxuu suurtogal ka dhigayaa in la iskaan-ku-baaro taraafikada oo la aqoonsado faylalka la kala qaado iyo waxa ku jira. Hawlaha kale ee dab-damiska waxaa ka mid ah ilaalinta soo dhex-galka, ka-hortagga dayacanka iyo weerarrada DoS,-ku-dhismay ka-hortagga spyware, shaandhaynta URL-ka, ururinta, iyo maamulka dhexe.
Mudaaharaadka, waxaan u adeegsan doonaa meel gooni ah, oo leh qaabayn la mid ah tan dhabta ah, marka laga reebo magacyada aaladaha, magaca domain AD iyo cinwaannada IP. Xaqiiqda, wax walba waa ka sii adag yihiin - waxaa jiri kara laamo badan. Xaaladdan oo kale, halkii laga heli lahaa hal dab-damis, koox ayaa lagu rakibi doonaa xudduudaha goobaha dhexe, waxaana sidoo kale loo baahan karaa marin firfircoon.
Loo isticmaalo istaagga PAN-OS 7.1.9. Sida qaabeynta caadiga ah, tixgeli shabakad leh Palo Alto Networks firewall oo ku yaal cidhifka. Dab-damiska wuxuu bixiyaa gelitaanka SSL VPN fog ee xafiiska madaxa. Hagaha Active Directory waxa loo isticmaali doona xog ururin ahaan (Jaantuska 1).
Jaantuska 1 - Shabakadda xannibaadda jaantuska
Dejinta talaabooyinka:
- Qalab u habaynta ka hor. Dejinta magaca, maamulka cinwaanka IP-ga, waddooyinka taagan, xisaabaadka maamulka, profiles-ka maamulka
- Rakibaadda shatiyada, habaynta iyo ku rakibida cusbooneysiinta
- Habaynta aagagga amniga, isku xidhka shabakadaha, siyaasadaha taraafikada, tarjumaada ciwaanka
- Dejinta astaanta aqoonsiga LDAP iyo astaanta aqoonsiga isticmaale
- Dejinta SSL VPN
1. Hordhac
Qalabka ugu muhiimsan ee lagu habeynayo Palo Alto Networks firewall waa shabakadda internetka; maamulka iyada oo loo marayo CLI sidoo kale waa suurtagal. Sida caadiga ah, interface interface ayaa loo dejiyay cinwaanka IP 192.168.1.1/24, gal: admin, password: admin.
Waxaad ka bedeli kartaa ciwaanka midkood adiga oo ku xiraya interneedka shabakada isla shabakad, ama adoo isticmaalaya amarka set deviceconfig system ip-address <> netmask <>. Waxaa lagu sameeyaa qaabka qaabeynta. Si aad ugu badasho qaabka qaabaynta, adeegso amarka isku hagaajin. Dhammaan isbeddelada ku dhaca dab-damiska waxay dhacaan kaliya ka dib marka goobaha lagu xaqiijiyo amarka gasho, labadaba qaabka khadka taliska iyo labadaba shabakada internetka.
Si aad u bedesho goobaha isku xidhka shabakada, isticmaal qaybta Aaladda -> Dejinta Guud iyo Aaladda -> Dejinta Interface Management. Magaca, calamada, aagga wakhtiga iyo goobaha kale waxa lagu dejin karaa qaybta Habaynta Guud (Jaantus. 2).
Jaantus 2 - Maareynta is-dhexgalka
Haddii aad isticmaasho firewall-ka-hortagga ah ee deegaanka ESXi, qaybta Guud ee Settings waxaad u baahan tahay inaad awood u yeelatid isticmaalka ciwaanka MAC ee uu u xilsaaray hypervisor, ama aad dejiso cinwaannada MAC ee ku qeexan is-dhexgalka dab-damiska ee hypervisor, ama beddelo goobaha dabada dalwaddii si ay u oggolaadaan in MAC beddelo ciwaannada. Haddii kale, taraafiggu ma dhex mari doono.
Interface-ka maamulka ayaa si gaar ah loo habeeyey oo laguma soo bandhigin liiska isku-xidhka shabakadaha. In cutubka Dejinta Interface Management qeexaa albaabka caadiga ah ee interface interface. Waddooyin kale oo aan caadi ahayn ayaa lagu habeeyey qaybta router-ka-maskaxda ah; tan ayaa laga hadli doonaa mar dambe.
Si aad ugu oggolaato gelitaanka aaladda iyada oo loo marayo is-dhexyaal kale, waa inaad abuurtaa astaanta maamulka Profile Maamulka qaybta Shabakadda -> Shabakadda Shabakadda -> Interface Mgmt oo ku meelee interface ku habboon.
Marka xigta, waxaad u baahan tahay inaad dejiso DNS iyo NTP qaybta Qalabka -> Adeegyada si aad u hesho warar cusub oo wakhtiga si sax ah u soo bandhigto (Jaantus. 3). Sida caadiga ah, dhammaan taraafikada uu soo saaro firewall-ku waxay isticmaalaan interface interface IP address sida ciwaanka IP-ga isha. Waxaad ku meelayn kartaa interface ka duwan adeeg kasta oo gaar ah ee qaybta Habaynta Jidka Adeegga.
Jaantuska 3 – DNS, NTP iyo cabbirrada adeegga waddooyinka nidaamka
2. Ku rakibida shatiyada, dejinta iyo ku rakibida cusbooneysiinta
Si aad si buuxda ugu shaqeyso dhammaan hawlaha dab-damiska, waa inaad ku rakibtaa shati. Waxaad isticmaali kartaa shatiga tijaabada adiga oo ka codsanaya shuraakada Palo Alto Networks. Wakhtigeedu waa 30 maalmood. Shatiga waxa lagu hawlgelinayaa iyada oo loo marayo fayl ama iyada oo la isticmaalayo Auth-Code. Shatiyada waxaa lagu habeeyey qaybta Aaladda -> Shatiyada (Sawir. 4).
Ka dib marka la rakibo shatiga, waxaad u baahan tahay inaad dejiso rakibidda cusbooneysiinta qaybta Aaladda -> Cusbooneysiinta firfircoon.
qaybta Qalabka -> Software waxaad soo dejisan kartaa oo rakibi kartaa noocyo cusub oo PAN-OS ah.
Jaantus 4 - Guddiga xakamaynta shatiga
3. Habaynta aagagga amniga, isku xidhka shabakadaha, siyaasadaha taraafikada, tarjumaada ciwaanka
Palo Alto Networks dab-damiska waxay adeegsadaan macquulka aagga marka la habeynayo xeerarka shabakadda. Isku xirka shabakadaha waxaa loo qoondeeyay aag gaar ah, aaggan waxaa loo isticmaalaa shuruucda taraafikada. Habkani wuxuu u ogolaanayaa mustaqbalka, marka la beddelo goobaha interface, maaha in la beddelo xeerarka taraafikada, laakiin taa beddelkeeda in dib loo habeeyo isdhexgalka lagama maarmaanka ah ee aagagga ku habboon. Sida caadiga ah, gaadiidka aagga dhexdiisa waa la oggol yahay, isu socodka aagagga waa mamnuuc, xeerar la sii qeexay ayaa ka mas'uul ah tan. intrazone-default и interzone-default.
Jaantuska 5 - Aagagga nabdoonaanta
Tusaalahan, interface-ka shabakadda gudaha ayaa loo qoondeeyay aagga gudaha, iyo interface ka soo jeeda internetka ayaa loo qoondeeyey aagga external. SSL VPN, interface tunnel ayaa la sameeyay waxaana loo qoondeeyay aagga VPN (Sawir. 5).
Isku xirka shabakadaha Palo Alto Networks firewall waxay u shaqeyn karaan shan nooc oo kala duwan:
- tubada - loo isticmaalo in lagu ururiyo taraafigyada ujeeddooyin la socodka iyo falanqaynta
- HA – loo isticmaalo hawlgalka kooxda
- Silig Virtual - qaabkan, Palo Alto Networks waxay isku daraysaa laba is-dhexgal waxayna si hufan u dhex maraan taraafikada iyaga oo aan beddelin MAC iyo cinwaannada IP
- Lakab2 - habka beddelka
- Lakab3 - habka router
Jaantuska 6 - Dejinta habka hawlgalka interface
Tusaalahan, qaabka Layer3 ayaa la isticmaali doonaa (Jaantus. 6). Halbeegyada isku xirka shabakadu waxay muujinayaan ciwaanka IP-ga, qaabka hawlgalka iyo aagga amniga ee u dhigma. Marka lagu daro habka hawlgalka ee interface-ka, waa inaad ku wareejisaa Router Virtual Router, kani waa analooga tusaale ahaan VRF ee shabakadaha Palo Alto. Routers-ka Virtual waa ka go'doonsan yihiin midba midka kale waxayna leeyihiin miisas u gaar ah iyo jaangooyooyin hab maamuuska shabakadeed.
Dejinta router-ka casriga ah waxay qeexayaan dariiqyada taagan iyo hab-raaca hab-maamuuska. Tusaalahan, kaliya dariiq khaldan ayaa loo sameeyay gelitaanka shabakadaha dibadda (Jaantus. 7).
Jaantuska 7- Dejinta router-ka-abuurista
Marxaladda qaabeynta xigta waa siyaasadaha taraafikada, qaybta Siyaasadaha -> Amniga. Tusaalaha qaabeynta ayaa lagu muujiyey Jaantuska 8. Caqliga xeerarku wuxuu la mid yahay dhammaan dab-damisyada. Xeerarka waxaa laga hubiyaa kor ilaa hoos, ilaa kulanka ugu horeeya. Sharaxaada kooban ee xeerarka:
1. Helitaanka SSL VPN Xariirka Shabakadda. Oggolow gelitaanka marinka shabakada si loo xaqiijiyo isku xidhka fog
2. taraafikada VPN - u oggolaanaya taraafikada u dhexeeya isku xirka fogaanta iyo xafiiska madaxa
3. Internetka aasaasiga ah - u oggolaanaya dns, ping, traceroute, codsiyada ntp. Firewall-ku wuxuu ogol yahay codsiyada ku salaysan saxeexyada, dejinta, iyo heuristics halkii ay ka ahaan lahaayeen lambarrada dekedaha iyo borotokoolka, taas oo ah sababta qaybta adeeggu u leedahay codsi-default. Dekadda/protokolka ugu talagalka ah ee codsigan
4. Helitaanka Shabakadda - u oggolaanaya gelitaanka internetka iyada oo loo marayo borotokoolka HTTP iyo HTTPS iyada oo aan la xakameynin codsiga
5,6. Xeerarka caadiga ah ee gaadiidka kale.
Jaantuska 8 - Tusaalaha dejinta xeerarka shabakada
Si loo habeeyo NAT, isticmaal qaybta Siyaasadaha -> NAT. Tusaalaha qaabeynta NAT ayaa lagu muujiyay sawirka 9.
Jaantuska 9 - Tusaalaha qaabeynta NAT
Gaadiid kasta oo gudaha iyo dibadda ah, waxaad u beddeli kartaa ciwaanka isha una beddelo ciwaanka IP-ga dibadda ee dab-damiska oo waxaad isticmaashaa ciwaanka dekedda firfircoon (PAT).
4. Habaynta xogta aqoonsiga LDAP iyo shaqada aqoonsiga isticmaalaha
Kahor intaadan ku xidhin isticmaalayaasha SSL-VPN, waxaad u baahan tahay inaad habayso habka aqoonsiga. Tusaalahan, xaqiijintu waxay ku dhici doontaa maamulaha domainka Active Directory iyada oo loo sii marayo isku xidhka shabakada Palo Alto Networks.
Jaantuska 10 - LDAP profile
Si loo xaqiijiyo inay shaqeyso, waxaad u baahan tahay inaad habayso Xogta LDAP и Xogta Aqoonsiga. Qeybta Aaladda -> Profilesyada Server -> LDAP (Jaantus. 10) waxaad u baahan tahay inaad sheegto ciwaanka IP-ga iyo dekedda maamulaha domainka, nooca LDAP iyo koontada isticmaale ee ku jira kooxaha Hawl-wadeenada Server-ka, Akhristayaasha Diiwaanka Dhacdada, Isticmaalayaasha COM ee la qaybiyay. Ka dibna qaybta Qalabka -> Xogta Xogta samee astaanta aqoonsiga (Jaantus. 11), calaamadee kii hore loo abuuray Xogta LDAP iyo tab Advanced waxaan ku tusin kooxda isticmaala (Jaantus. 12) kuwaas oo loo ogol yahay in ay galaan fog. Waa muhiim in la xuso cabbirka profile kaaga Isticmaalaha Domain, haddii kale oggolaanshaha koox-ku-salaysan ma shaqayn doono. Goobtu waa inay muujisaa magaca domainka NetBIOS.
Jaantuska 11 - astaanta aqoonsiga
Jaantuska 12 - Xulashada kooxda AD
Marxaladda xigta waa habayn Qalabka -> Aqoonsiga Isticmaalaha. Halkan waxaad u baahan tahay inaad ku qeexdo ciwaanka IP-ga ee maamulaha domainka, aqoonsiga xidhiidhka, iyo sidoo kale habaynta goobaha Daar Log Security, Daar fadhiga, Daar baadhista (Jaantus. 13). In cutubka Khariidaynta Kooxda (Jaantus. 14) waxaad u baahan tahay inaad ogaato cabbirrada lagu aqoonsanayo walxaha LDAP iyo liiska kooxaha loo isticmaali doono oggolaanshaha. Sida ku jirta Profile-ka Xaqiijinta, halkan waxaad u baahan tahay inaad dejiso cabbirka Isticmaalaha Domain-ka.
Jaantuska 13 – Halbeegyada Khariidaynta Isticmaalaha
Jaantuska 14 - Xaddiga Khariidaynta Kooxda
Tallaabada ugu dambeysa ee wejigan waa in la abuuro aagga VPN iyo interface aaggaas. Waxaad u baahan tahay inaad awood u yeelatid ikhtiyaarka interface-ka Daar aqoonsiga isticmaalaha (Sawir. 15).
Jaantuska 15- Dejinta aagga VPN
5. Dejinta SSL VPN
Kahor inta aanad ku xidhin SSL VPN, isticmaalaha fog waa in uu aadaa bogga shabakada, xaqiijiyaa oo soo dejiyaa macmiilka Ilaalinta Caalamiga ah. Marka xigta, macmiilkani waxa uu codsan doonaa aqoonsiga oo ku xidhi doona shabakadda shirkadda. Xariirka shabakadu wuxuu ku shaqeeyaa qaabka https, sidaas darteed, waxaad u baahan tahay inaad ku rakibto shahaado. Isticmaal shahaado dadweyne haddii ay suurtagal tahay. Markaa isticmaaluhu ma heli doono digniin ku saabsan inaanay shaqaynayn shahaadada goobta. Haddii aysan suurtagal ahayn in la isticmaalo shahaado dadweyne, markaa waxaad u baahan tahay inaad adigu iskaa u bixiso, kaas oo loo isticmaali doono bogga internetka ee https. Waxay noqon kartaa mid iskeed u saxiixday ama laga soo saari karaa maamulka shahaado bixinta. Kumbuyuutarku waa inuu lahaadaa xidid ama shahaado iskiis u saxeexan oo ku jira liiska maamulka xidid ee la aamini karo si isticmaaluhu uusan u helin qalad marka lagu xirayo marinka shabakada. Tusaalahan waxa uu isticmaali doonaa shahaado la soo mariyo Adeegyada Shahaadada Hagaha Active.
Si aad u bixiso shahaado, waxaad u baahan tahay inaad abuurto codsi shahaado qaybta Aaladda -> Maareynta Shahaadada -> Shahaadooyinka -> Abuur. Codsiga waxaan ku muujineynaa magaca shahaadada iyo cinwaanka IP-ga ama FQDN ee bogga internetka (Jaantus. 16). Kadib abuurista codsiga, soo deji .csr fayl garee oo koobi ka koobbi waxa ku jira goobta codsiga shahaadada ee foomka shabakada AD CS diiwaangelinta. Iyadoo ku xiran sida loo habeeyey maamulka shahaadada, codsiga shahaadada waa in la oggolaadaa oo shahaadada la soo saaray waa in qaab ahaan loo soo dejiyaa. Base64 Shahaado la calaamadeeyay. Intaa waxaa dheer, waxaad u baahan tahay inaad soo dejiso shahaadada asalka ah ee maamulka shahaadada. Markaa waxaad u baahan tahay inaad labada shahaado soo geliso dab-damiska. Markaad soo dejinayso shahaado bogga shabakadda, waa inaad doorataa codsiga ku jira heerka la sugayo oo guji soo dejinta. Magaca shahaadodu waa inuu u dhigmaa magaca hore loogu sheegay codsiga. Magaca shahaadada xididka waxaa lagu qeexi karaa si sabab la'aan ah. Ka dib soo dejinta shahaadada, waxaad u baahan tahay inaad abuurto Adeegga SSL/TLS Profile qaybta Qalabka -> Maamulka Shahaadada. Profile-ka waxaanu ku muujinaynaa shahaadadii hore ee la soo dejiyay.
Jaantus 16 - Codsiga shahaado
Tallaabada xigta waa dejinta walxaha Global Protect Gateway и Xariirka Ilaalinta Caalamiga ah qaybta Shabakadda -> Ilaalinta Caalamiga ah. In settings Global Protect Gateway Tilmaan ciwaanka IP-ga dibadda ee dab-darka, iyo sidoo kale sidii hore loo abuuray Profile SSL, Xogta Aqoonsiga, tunnel interface iyo dejinta IP macmiilka. Waxaad u baahan tahay inaad qeexdo barkad ciwaannada IP ah oo ciwaanka lagu meelayn doono macmiilka, iyo Jidka Helitaanka - kuwani waa shabakad-hoosaadka uu macmiilku u yeelan doono waddo. Haddii hawshu ay tahay in lagu duubo dhammaan taraafikada isticmaalaha iyada oo loo marayo firewall, markaa waxaad u baahan tahay inaad qeexdo subnet 0.0.0.0/0 (Jaantus. 17).
Jaantus 17 – Habaynta barkadda ciwaanka IP-ga iyo waddooyinka
Markaa waxaad u baahan tahay inaad habayso Xariirka Ilaalinta Caalamiga ah. Sheeg ciwaanka IP-ga ee firewall-ka, Profile SSL и Xogta Aqoonsiga iyo liiska ciwaannada IP-ga ee dibadda ee dab-damiska kaas oo macmiilku ku xidhi doono. Haddii ay jiraan dhowr dab-damis, waxaad u dejin kartaa mudnaanta mid kasta, iyadoo loo eegayo isticmaalayaashu waxay dooran doonaan firewall si ay ugu xidhmaan.
qaybta Aaladda -> GlobalProtect Client waxaad u baahan tahay inaad kala soo baxdo qaybinta macmiilka VPN server-yada Palo Alto Networks oo aad dhaqaajiso. Si loo xidho, isticmaaluhu waa inuu aadaa bogga internetka ee portal, halkaas oo laga codsan doono inuu soo dejiyo GlobalProtect Client. Marka la soo dejiyo oo la rakibo, waxaad geli kartaa aqoonsigaaga oo waxaad ku xidhi kartaa shabakadaada shirkadda SSL VPN.
gunaanad
Tani waxay dhamaystiraysaa qaybta shabakadaha Palo Alto ee habaynta. Waxaan rajeyneynaa in macluumaadka uu ahaa mid faa'iido leh oo akhristuhu uu helay fahamka tignoolajiyada loo isticmaalo Shabakadaha Palo Alto. Haddii aad hayso su'aalo ku saabsan dejinta iyo soo jeedinta mawduucyada maqaallada mustaqbalka, ku qor faallooyinka, waxaan ku farxi doonnaa inaan ka jawaabno.
Source: www.habr.com