Pavarësisht nga të gjitha avantazhet e mureve të zjarrit të Palo Alto Networks, nuk ka shumë materiale në RuNet për vendosjen e këtyre pajisjeve, si dhe tekste që përshkruajnë përvojën e zbatimit të tyre. Ne vendosëm të përmbledhim materialet që kemi grumbulluar gjatë punës sonë me pajisjet e këtij shitësi dhe të flasim për veçoritë që kemi hasur gjatë zbatimit të projekteve të ndryshme.
Për t'ju prezantuar me Rrjetet Palo Alto, ky artikull do të shikojë konfigurimin e kërkuar për të zgjidhur një nga problemet më të zakonshme të murit të zjarrit - SSL VPN për qasje në distancë. Do të flasim gjithashtu për funksionet e shërbimeve për konfigurimin e përgjithshëm të murit të zjarrit, identifikimin e përdoruesit, aplikacionet dhe politikat e sigurisë. Nëse tema është me interes për lexuesit, në të ardhmen do të publikojmë materiale që analizojnë VPN-në Site-në-Sit, drejtimin dinamik dhe menaxhimin e centralizuar duke përdorur Panorama.
Muret e zjarrit të Palo Alto Networks përdorin një sërë teknologjish inovative, duke përfshirë App-ID, User-ID, Content-ID. Përdorimi i këtij funksioni ju lejon të siguroni një nivel të lartë sigurie. Për shembull, me App-ID është e mundur të identifikohet trafiku i aplikacionit bazuar në nënshkrimet, dekodimin dhe heuristikën, pavarësisht nga porti dhe protokolli i përdorur, duke përfshirë brenda një tuneli SSL. User-ID ju lejon të identifikoni përdoruesit e rrjetit përmes integrimit LDAP. Content-ID bën të mundur skanimin e trafikut dhe identifikimin e skedarëve të transmetuar dhe përmbajtjes së tyre. Funksione të tjera të murit të zjarrit përfshijnë mbrojtjen nga ndërhyrja, mbrojtjen kundër dobësive dhe sulmet DoS, anti-spyware të integruar, filtrimin e URL-ve, grumbullimin dhe menaxhimin e centralizuar.
Për demonstrim, ne do të përdorim një stendë të izoluar, me një konfigurim identik me atë real, me përjashtim të emrave të pajisjeve, emrit të domenit AD dhe adresave IP. Në realitet, gjithçka është më e ndërlikuar - mund të ketë shumë degë. Në këtë rast, në vend të një muri të vetëm të zjarrit, një grup do të instalohet në kufijtë e vendeve qendrore dhe mund të kërkohet gjithashtu një rrugëtim dinamik.
Përdoret në stendë PAN-OS 7.1.9. Si një konfigurim tipik, merrni parasysh një rrjet me një mur zjarri të Palo Alto Networks në skaj. Muri i zjarrit siguron qasje në distancë SSL VPN në zyrën qendrore. Domeni Active Directory do të përdoret si një bazë të dhënash përdoruesi (Figura 1).
Figura 1 – Diagrami i bllokut të rrjetit
Hapat e instalimit:
- Para-konfigurimi i pajisjes. Vendosja e emrit, adresa IP e menaxhimit, rrugët statike, llogaritë e administratorit, profilet e menaxhimit
- Instalimi i licencave, konfigurimi dhe instalimi i përditësimeve
- Konfigurimi i zonave të sigurisë, ndërfaqet e rrjetit, politikat e trafikut, përkthimi i adresave
- Konfigurimi i një profili të vërtetimit LDAP dhe veçorisë së identifikimit të përdoruesit
- Vendosja e një SSL VPN
1. Paracaktuar
Mjeti kryesor për konfigurimin e murit të zjarrit të Palo Alto Networks është ndërfaqja e internetit; menaxhimi nëpërmjet CLI është gjithashtu i mundur. Si parazgjedhje, ndërfaqja e menaxhimit është vendosur në adresën IP 192.168.1.1/24, hyrje: admin, fjalëkalim: admin.
Ju mund ta ndryshoni adresën ose duke u lidhur me ndërfaqen në ueb nga i njëjti rrjet ose duke përdorur komandën caktoni konfigurimin e sistemit të ip-adresës <> netmask <>. Ajo kryhet në modalitetin e konfigurimit. Për të kaluar në modalitetin e konfigurimit, përdorni komandën konfiguroni. Të gjitha ndryshimet në murin e zjarrit ndodhin vetëm pasi cilësimet të konfirmohen nga komanda kryej, si në modalitetin e linjës së komandës ashtu edhe në ndërfaqen e internetit.
Për të ndryshuar cilësimet në ndërfaqen e internetit, përdorni seksionin Pajisja -> Cilësimet e përgjithshme dhe Pajisja -> Cilësimet e ndërfaqes së menaxhimit. Emri, banderolat, zona kohore dhe cilësimet e tjera mund të vendosen në seksionin Cilësimet e përgjithshme (Fig. 2).
Figura 2 – Parametrat e ndërfaqes së menaxhimit
Nëse përdorni një mur zjarri virtual në një mjedis ESXi, në seksionin "Cilësimet e përgjithshme" duhet të aktivizoni përdorimin e adresës MAC të caktuar nga hipervizori, ose të konfiguroni adresat MAC të specifikuara në ndërfaqet e murit të zjarrit në hipervisor, ose të ndryshoni cilësimet e çelsat virtuale për të lejuar që MAC të ndryshojë adresat. Përndryshe, trafiku nuk do të kalojë.
Ndërfaqja e menaxhimit është konfiguruar veçmas dhe nuk shfaqet në listën e ndërfaqeve të rrjetit. Në kapitull Cilësimet e ndërfaqes së menaxhimit specifikon portën e paracaktuar për ndërfaqen e menaxhimit. Rrugët e tjera statike janë konfiguruar në seksionin e ruterëve virtualë; kjo do të diskutohet më vonë.
Për të lejuar aksesin në pajisje përmes ndërfaqeve të tjera, duhet të krijoni një profil menaxhimi Profili i Menaxhimit seksion Rrjeti -> Profilet e rrjetit -> Ndërfaqja Mgmt dhe caktojeni atë në ndërfaqen e duhur.
Tjetra, duhet të konfiguroni DNS dhe NTP në seksion Pajisja -> Shërbimet për të marrë përditësime dhe për të shfaqur saktë kohën (Fig. 3). Si parazgjedhje, i gjithë trafiku i gjeneruar nga muri i zjarrit përdor adresën IP të ndërfaqes së menaxhimit si adresën IP të burimit. Ju mund të caktoni një ndërfaqe të ndryshme për çdo shërbim specifik në seksion Konfigurimi i rrugës së shërbimit.
Figura 3 – Parametrat e shërbimit të DNS, NTP dhe rrugëve të sistemit
2. Instalimi i licencave, konfigurimi dhe instalimi i përditësimeve
Për funksionimin e plotë të të gjitha funksioneve të murit të zjarrit, duhet të instaloni një licencë. Ju mund të përdorni një licencë provë duke e kërkuar atë nga partnerët e Palo Alto Networks. Periudha e vlefshmërisë së saj është 30 ditë. Licenca aktivizohet ose përmes një skedari ose duke përdorur Auth-Code. Licencat janë konfiguruar në seksion Pajisja -> Licencat (fig. 4).
Pas instalimit të licencës, duhet të konfiguroni instalimin e përditësimeve në seksion Pajisja -> Përditësimet dinamike.
Në seksionin Pajisja -> Softueri mund të shkarkoni dhe instaloni versione të reja të PAN-OS.
Figura 4 – Paneli i kontrollit të licencës
3. Konfigurimi i zonave të sigurisë, ndërfaqeve të rrjetit, politikave të trafikut, përkthimi i adresave
Muret e zjarrit të Palo Alto Networks përdorin logjikën e zonës kur konfigurojnë rregullat e rrjetit. Ndërfaqet e rrjetit i caktohen një zone specifike dhe kjo zonë përdoret në rregullat e trafikut. Kjo qasje lejon në të ardhmen, kur ndryshoni cilësimet e ndërfaqes, të mos ndryshoni rregullat e trafikut, por në vend të kësaj të ricaktoni ndërfaqet e nevojshme në zonat e duhura. Si parazgjedhje, trafiku brenda një zone lejohet, trafiku ndërmjet zonave është i ndaluar, rregullat e paracaktuara janë përgjegjëse për këtë intrazone-default и interzone-default.
Figura 5 – Zonat e sigurisë
Në këtë shembull, një ndërfaqe në rrjetin e brendshëm i është caktuar zonës i brendshëm, dhe ndërfaqja përballë Internetit i caktohet zonës i jashtëm. Për SSL VPN, një ndërfaqe tuneli është krijuar dhe caktuar në zonë VPN (fig. 5).
Ndërfaqet e rrjetit të murit të zjarrit të Palo Alto Networks mund të funksionojnë në pesë mënyra të ndryshme:
- Trokitje e lehtë – përdoret për të mbledhur trafikun për qëllime monitorimi dhe analize
- HA – përdoret për funksionimin e grupimeve
- Teli virtual – në këtë modalitet, Palo Alto Networks kombinon dy ndërfaqe dhe kalon në mënyrë transparente trafikun midis tyre pa ndryshuar adresat MAC dhe IP
- Layer2 – ndërroni modalitetin
- Layer3 - modaliteti i ruterit
Figura 6 – Vendosja e mënyrës së funksionimit të ndërfaqes
Në këtë shembull, do të përdoret mënyra Layer3 (Fig. 6). Parametrat e ndërfaqes së rrjetit tregojnë adresën IP, mënyrën e funksionimit dhe zonën përkatëse të sigurisë. Përveç mënyrës së funksionimit të ndërfaqes, duhet ta caktoni atë në ruterin virtual të Routerit Virtual, ky është një analog i një shembulli VRF në Rrjetet Palo Alto. Ruterat virtualë janë të izoluar nga njëri-tjetri dhe kanë tabelat e tyre të rrugëtimit dhe cilësimet e protokollit të rrjetit.
Cilësimet e ruterit virtual specifikojnë rrugët statike dhe cilësimet e protokollit të rrugëtimit. Në këtë shembull, vetëm një rrugë e paracaktuar është krijuar për të hyrë në rrjetet e jashtme (Fig. 7).
Figura 7 – Vendosja e një ruteri virtual
Faza tjetër e konfigurimit është seksioni i politikave të trafikut Politikat -> Siguria. Një shembull i konfigurimit është paraqitur në Figurën 8. Logjika e rregullave është e njëjtë si për të gjitha muret e zjarrit. Rregullat kontrollohen nga lart poshtë, deri në ndeshjen e parë. Përshkrim i shkurtër i rregullave:
1. Qasja SSL VPN në portalin ueb. Lejon hyrjen në portalin e internetit për të vërtetuar lidhjet në distancë
2. Trafiku VPN – që lejon trafikun ndërmjet lidhjeve në distancë dhe zyrës qendrore
3. Interneti bazë – lejimi i aplikacioneve dns, ping, traceroute, ntp. Muri i zjarrit lejon aplikacione të bazuara në nënshkrime, dekodim dhe heuristikë në vend të numrave dhe protokolleve të porteve, kjo është arsyeja pse seksioni i Shërbimit thotë aplikacioni-default. Porta/protokolli i parazgjedhur për këtë aplikacion
4. Qasja në ueb – lejimi i aksesit në internet nëpërmjet protokolleve HTTP dhe HTTPS pa kontroll të aplikacionit
5,6. Rregullat e parazgjedhura për trafikun tjetër.
Figura 8 - Shembull i vendosjes së rregullave të rrjetit
Për të konfiguruar NAT, përdorni seksionin Politikat -> NAT. Një shembull i konfigurimit NAT është paraqitur në Figurën 9.
Figura 9 – Shembull i konfigurimit NAT
Për çdo trafik nga i brendshëm në i jashtëm, mund të ndryshoni adresën e burimit në adresën IP të jashtme të murit të zjarrit dhe të përdorni një adresë porti dinamike (PAT).
4. Konfigurimi i profilit të vërtetimit LDAP dhe funksionit të identifikimit të përdoruesit
Përpara se të lidhni përdoruesit përmes SSL-VPN, duhet të konfiguroni një mekanizëm vërtetimi. Në këtë shembull, vërtetimi do të ndodhë në kontrolluesin e domenit Active Directory përmes ndërfaqes në internet të Rrjeteve Palo Alto.
Figura 10 – Profili LDAP
Që vërtetimi të funksionojë, duhet të konfiguroni Profili LDAP и Profili i vërtetimit. Në pjesën Pajisja -> Profilet e serverit -> LDAP (Fig. 10) ju duhet të specifikoni adresën IP dhe portin e kontrolluesit të domenit, llojin LDAP dhe llogarinë e përdoruesit të përfshirë në grupe Operatorët e serverëve, Lexuesit e regjistrave të ngjarjeve, Përdoruesit e COM të shpërndarë. Pastaj në seksion Pajisja -> Profili i vërtetimit krijoni një profil vërtetimi (Fig. 11), shënoni atë të krijuar më parë Profili LDAP dhe në skedën Advanced tregojmë grupin e përdoruesve (Fig. 12) të cilëve u lejohet qasja në distancë. Është e rëndësishme të vini re parametrin në profilin tuaj Domeni i përdoruesit, përndryshe autorizimi i bazuar në grup nuk do të funksionojë. Fusha duhet të tregojë emrin e domenit NetBIOS.
Figura 11 – Profili i vërtetimit
Figura 12 – Përzgjedhja e grupit AD
Faza tjetër është konfigurimi Pajisja -> Identifikimi i përdoruesit. Këtu duhet të specifikoni adresën IP të kontrolluesit të domenit, kredencialet e lidhjes dhe gjithashtu të konfiguroni cilësimet Aktivizo Regjistrin e Sigurisë, Aktivizo Sesionin, Aktivizo Probing (Fig. 13). Në kapitull Harta në grup (Fig. 14) duhet të shënoni parametrat për identifikimin e objekteve në LDAP dhe listën e grupeve që do të përdoren për autorizim. Ashtu si në profilin e vërtetimit, këtu duhet të vendosni parametrin e Domainit të Përdoruesit.
Figura 13 – Parametrat e hartës së përdoruesit
Figura 14 – Parametrat e hartës së grupit
Hapi i fundit në këtë fazë është krijimi i një zone VPN dhe një ndërfaqe për atë zonë. Duhet të aktivizoni opsionin në ndërfaqe Aktivizo identifikimin e përdoruesit (fig. 15).
Figura 15 – Vendosja e një zone VPN
5. Vendosja e SSL VPN
Përpara se të lidhet me një SSL VPN, përdoruesi në distancë duhet të shkojë në portalin e internetit, të vërtetojë dhe shkarkojë klientin Global Protect. Më pas, ky klient do të kërkojë kredencialet dhe do të lidhet me rrjetin e korporatës. Portali në internet funksionon në modalitetin https dhe, në përputhje me rrethanat, duhet të instaloni një certifikatë për të. Përdorni një certifikatë publike nëse është e mundur. Atëherë përdoruesi nuk do të marrë një paralajmërim për pavlefshmërinë e certifikatës në sit. Nëse nuk është e mundur të përdorni një certifikatë publike, atëherë duhet të lëshoni tuajën, e cila do të përdoret në faqen e internetit për https. Mund të nënshkruhet vetë ose të lëshohet përmes një autoriteti lokal certifikues. Kompjuteri në distancë duhet të ketë një certifikatë rrënjësore ose të vetë-nënshkruar në listën e autoriteteve rrënjësore të besueshme në mënyrë që përdoruesi të mos marrë një gabim kur lidhet me portalin në internet. Ky shembull do të përdorë një certifikatë të lëshuar përmes Shërbimeve të Certifikatës së Drejtorisë Active.
Për të lëshuar një certifikatë, duhet të krijoni një kërkesë për certifikatë në seksion Pajisja -> Menaxhimi i certifikatës -> Certifikatat -> Gjeneroni. Në kërkesë tregojmë emrin e certifikatës dhe adresën IP ose FQDN të ueb portalit (Fig. 16). Pasi të keni krijuar kërkesën, shkarkoni .csr skedari dhe kopjoni përmbajtjen e tij në fushën e kërkesës për certifikatë në formularin e internetit të AD CS Web Enrollment. Në varësi të mënyrës se si është konfiguruar autoriteti i certifikatës, kërkesa për certifikatë duhet të miratohet dhe certifikata e lëshuar duhet të shkarkohet në formatin Certifikata e koduar Base64. Për më tepër, duhet të shkarkoni certifikatën rrënjësore të autoritetit të certifikimit. Pastaj ju duhet të importoni të dy certifikatat në murin e zjarrit. Kur importoni një certifikatë për një portal ueb, duhet të zgjidhni kërkesën në statusin në pritje dhe të klikoni import. Emri i certifikatës duhet të përputhet me emrin e specifikuar më parë në kërkesë. Emri i certifikatës rrënjë mund të specifikohet në mënyrë arbitrare. Pas importimit të certifikatës, duhet të krijoni Profili i shërbimit SSL/TLS seksion Pajisja -> Menaxhimi i Certifikatës. Në profil tregojmë certifikatën e importuar më parë.
Figura 16 – Kërkesa për certifikatë
Hapi tjetër është konfigurimi i objekteve Global Protect Gateway и Portali Global Protect seksion Rrjeti -> Mbrojtja globale. Në cilësimet Global Protect Gateway tregoni adresën IP të jashtme të murit të zjarrit, si dhe të krijuar më parë Profili SSL, Profili i vërtetimit, ndërfaqja e tunelit dhe cilësimet e IP-së së klientit. Ju duhet të specifikoni një grup adresash IP nga të cilat adresa do t'i caktohet klientit, dhe Rruga e Accessit - këto janë nënrrjetet në të cilat klienti do të ketë një rrugë. Nëse detyra është të mbyllni të gjithë trafikun e përdoruesit përmes një muri zjarri, atëherë duhet të specifikoni nënrrjetin 0.0.0.0/0 (Fig. 17).
Figura 17 – Konfigurimi i një grupi adresash IP dhe rrugësh
Pastaj ju duhet të konfiguroni Portali Global Protect. Specifikoni adresën IP të murit të zjarrit, Profili SSL и Profili i vërtetimit dhe një listë të adresave IP të jashtme të mureve të zjarrit me të cilat do të lidhet klienti. Nëse ka disa mure zjarri, mund të vendosni një prioritet për secilin, sipas të cilit përdoruesit do të zgjedhin një mur zjarri për t'u lidhur.
Në seksionin Pajisja -> Klienti GlobalProtect ju duhet të shkarkoni shpërndarjen e klientit VPN nga serverët e Rrjeteve Palo Alto dhe ta aktivizoni atë. Për t'u lidhur, përdoruesi duhet të shkojë në faqen e portalit, ku do t'i kërkohet të shkarkojë Klienti GlobalProtect. Pasi të shkarkohet dhe instalohet, mund të futni kredencialet tuaja dhe të lidheni me rrjetin tuaj të korporatës nëpërmjet SSL VPN.
Përfundim
Kjo plotëson pjesën e konfigurimit të Palo Alto Networks. Shpresojmë se informacioni ishte i dobishëm dhe lexuesi fitoi një kuptim të teknologjive të përdorura në Palo Alto Networks. Nëse keni pyetje në lidhje me konfigurimin dhe sugjerimet për tema për artikujt e ardhshëm, shkruajini ato në komente, ne do të jemi të lumtur t'ju përgjigjemi.
Burimi: www.habr.com