Упркос свим предностима заштитних зидова Пало Алто Нетворкс, на РуНету нема много материјала о постављању ових уређаја, као ни текстова који описују искуство њихове примене. Одлучили смо да сумирамо материјале које смо акумулирали током нашег рада са опремом овог добављача и разговарамо о карактеристикама на које смо наишли током реализације различитих пројеката.
Да бисмо вас упознали са Пало Алто Нетворкс, овај чланак ће размотрити конфигурацију која је потребна за решавање једног од најчешћих проблема са заштитним зидом - ССЛ ВПН за даљински приступ. Такође ћемо говорити о услужним функцијама за општу конфигурацију заштитног зида, идентификацију корисника, апликације и безбедносне политике. Ако је тема интересантна за читаоце, у будућности ћемо објавити материјале који анализирају Сите-то-Сите ВПН, динамичко рутирање и централизовано управљање помоћу Панораме.
Заштитни зидови Пало Алто Нетворкс користе бројне иновативне технологије, укључујући Апп-ИД, Усер-ИД, Цонтент-ИД. Коришћење ове функционалности омогућава вам да обезбедите висок ниво безбедности. На пример, помоћу Апп-ИД-а могуће је идентификовати саобраћај апликације на основу потписа, декодирања и хеуристике, без обзира на порт и протокол који се користи, укључујући унутар ССЛ тунела. Усер-ИД вам омогућава да идентификујете кориснике мреже кроз ЛДАП интеграцију. Цонтент-ИД омогућава скенирање саобраћаја и идентификацију пренетих датотека и њиховог садржаја. Остале функције заштитног зида укључују заштиту од упада, заштиту од рањивости и ДоС напада, уграђени анти-шпијунски софтвер, филтрирање УРЛ адреса, груписање и централизовано управљање.
За демонстрацију ћемо користити изоловано постоље, са конфигурацијом идентичном стварном, са изузетком назива уређаја, имена АД домена и ИП адреса. У стварности, све је компликованије - може бити много грана. У овом случају, уместо једног заштитног зида, кластер ће бити инсталиран на границама централних локација, а може бити потребно и динамичко рутирање.
Користи се на постољу ПАН-ОС 7.1.9. Као типичну конфигурацију, размотрите мрежу са заштитним зидом Пало Алто Нетворкс на ивици. Заштитни зид омогућава удаљени ССЛ ВПН приступ главној канцеларији. Домен Ацтиве Дирецтори ће се користити као корисничка база података (слика 1).
Слика 1 – Мрежни блок дијаграм
Кораци подешавања:
- Предконфигурација уређаја. Подешавање имена, ИП адресе за управљање, статичких рута, администраторских налога, профила управљања
- Инсталирање лиценци, конфигурисање и инсталирање ажурирања
- Конфигурисање сигурносних зона, мрежних интерфејса, саобраћајних политика, превода адреса
- Конфигурисање ЛДАП профила за аутентификацију и функције идентификације корисника
- Подешавање ССЛ ВПН-а
1. Пресет
Главни алат за конфигурисање заштитног зида Пало Алто Нетворкс је веб интерфејс; могуће је и управљање преко ЦЛИ. Подразумевано, интерфејс за управљање је подешен на ИП адресу 192.168.1.1/24, логин: админ, лозинка: админ.
Адресу можете променити повезивањем на веб интерфејс са исте мреже или коришћењем команде сет девицецонфиг системска ИП-адреса <> мрежна маска <>. Изводи се у конфигурационом режиму. Да бисте прешли у конфигурациони режим, користите команду конфигурисати. Све промене на заштитном зиду се дешавају тек након што наредба потврди подешавања урадити, како у режиму командне линије тако и у веб интерфејсу.
Да бисте променили подешавања у веб интерфејсу, користите одељак Уређај -> Општа подешавања и Уређај -> Подешавања интерфејса за управљање. Назив, банери, временска зона и друга подешавања се могу подесити у одељку Општа подешавања (слика 2).
Слика 2 – Параметри интерфејса за управљање
Ако користите виртуелни заштитни зид у ЕСКСи окружењу, у одељку Општа подешавања морате да омогућите коришћење МАЦ адресе коју је доделио хипервизор, или да конфигуришете МАЦ адресе наведене на интерфејсима заштитног зида на хипервизору, или промените подешавања виртуелни прекидачи који омогућавају да МАЦ промени адресе. У супротном, саобраћај неће пролазити.
Интерфејс за управљање се конфигурише засебно и не приказује се на листи мрежних интерфејса. У поглављу Подешавања интерфејса за управљање специфицира подразумевани гатеваи за интерфејс за управљање. Остале статичке руте су конфигурисане у одељку виртуелних рутера; о томе ће бити речи касније.
Да бисте дозволили приступ уређају преко других интерфејса, морате да креирате профил за управљање Профил менаџмента одељак Мрежа -> Мрежни профили -> Управљање интерфејсом и доделите га одговарајућем интерфејсу.
Затим морате да конфигуришете ДНС и НТП у одељку Уређај -> Услуге да примате ажурирања и тачно приказујете време (слика 3). Подразумевано, сав саобраћај који генерише заштитни зид користи ИП адресу интерфејса за управљање као своју изворну ИП адресу. Можете доделити другачији интерфејс за сваку одређену услугу у одељку Конфигурација сервисне руте.
Слика 3 – параметри услуге ДНС, НТП и системских рута
2. Инсталирање лиценци, подешавање и инсталирање ажурирања
За пун рад свих функција заштитног зида, морате инсталирати лиценцу. Можете користити пробну лиценцу тако што ћете је затражити од партнера Пало Алто Нетворкс-а. Његов рок важења је 30 дана. Лиценца се активира или путем датотеке или помоћу Аутх-Цоде-а. Лиценце су конфигурисане у одељку Уређај -> Лиценце (Сл. КСНУМКС).
Након инсталирања лиценце, потребно је да конфигуришете инсталацију ажурирања у одељку Уређај -> Динамичка ажурирања.
У секцији Уређај -> Софтвер можете преузети и инсталирати нове верзије ПАН-ОС-а.
Слика 4 – Контролна табла лиценце
3. Конфигурисање сигурносних зона, мрежних интерфејса, саобраћајних политика, превода адреса
Заштитни зидови Пало Алто Нетворкс користе зонску логику када конфигуришу мрежна правила. Мрежни интерфејси су додељени одређеној зони и ова зона се користи у саобраћајним правилима. Овај приступ омогућава да се у будућности, приликом промене подешавања интерфејса, не мењају правила саобраћаја, већ да се неопходни интерфејси поново додељују одговарајућим зонама. Подразумевано, саобраћај унутар зоне је дозвољен, саобраћај између зона је забрањен, за то су одговорна унапред дефинисана правила интразоне-дефаулт и међузонски-подразумевано.
Слика 5 – Безбедносне зоне
У овом примеру, интерфејс на интерној мрежи је додељен зони унутрашњи, а зони је додељен интерфејс окренут ка Интернету спољни. За ССЛ ВПН, тунелски интерфејс је креиран и додељен зони впн (Сл. КСНУМКС).
Мрежни интерфејси заштитног зида Пало Алто Нетворкс могу да раде у пет различитих режима:
- Славина – користи се за прикупљање саобраћаја у сврхе праћења и анализе
- HA – користи се за рад кластера
- Виртуелна жица – у овом режиму, Пало Алто Нетворкс комбинује два интерфејса и транспарентно пропушта саобраћај између њих без промене МАЦ и ИП адреса
- ЛаиерКСНУМКС – прекидач режима
- ЛаиерКСНУМКС – режим рутера
Слика 6 – Подешавање режима рада интерфејса
У овом примеру ће се користити режим Лаиер3 (слика 6). Параметри мрежног интерфејса указују на ИП адресу, режим рада и одговарајућу сигурносну зону. Поред режима рада интерфејса, морате га доделити виртуелном рутеру виртуелног рутера, ово је аналог ВРФ инстанце у Пало Алто Нетворкс. Виртуелни рутери су изоловани један од другог и имају сопствене табеле рутирања и подешавања мрежног протокола.
Подешавања виртуелног рутера одређују статичке руте и подешавања протокола рутирања. У овом примеру је креирана само подразумевана рута за приступ спољним мрежама (слика 7).
Слика 7 – Подешавање виртуелног рутера
Следећа фаза конфигурације су политике саобраћаја, одељак Политика -> Безбедност. Пример конфигурације је приказан на слици 8. Логика правила је иста као и за све заштитне зидове. Правила се проверавају од врха до дна, све до првог меча. Кратак опис правила:
1. ССЛ ВПН приступ веб порталу. Омогућава приступ веб порталу ради провере аутентичности удаљених веза
2. ВПН саобраћај – омогућава саобраћај између удаљених веза и централе
3. Основни Интернет – омогућава днс, пинг, трацероуте, нтп апликације. Заштитни зид дозвољава апликације засноване на потписима, декодирању и хеуристици, а не на бројевима портова и протоколима, због чега у одељку Сервис стоји апликација-подразумевано. Подразумевани порт/протокол за ову апликацију
4. Веб приступ – омогућава приступ Интернету преко ХТТП и ХТТПС протокола без контроле апликације
5,6. Подразумевана правила за други саобраћај.
Слика 8 — Пример подешавања мрежних правила
Да бисте конфигурисали НАТ, користите одељак Политике -> НАТ. Пример НАТ конфигурације је приказан на слици 9.
Слика 9 – Пример НАТ конфигурације
За било који саобраћај од интерног ка екстерном, можете променити изворну адресу у спољну ИП адресу заштитног зида и користити адресу динамичког порта (ПАТ).
4. Конфигурисање ЛДАП профила аутентикације и функције идентификације корисника
Пре повезивања корисника преко ССЛ-ВПН-а, потребно је да конфигуришете механизам за аутентификацију. У овом примеру, аутентификација ће се десити у Ацтиве Дирецтори контролеру домена преко веб интерфејса Пало Алто Нетворкс.
Слика 10 – ЛДАП профил
Да би аутентификација функционисала, потребно је да конфигуришете ЛДАП профил и Аутхентицатион Профиле. У одељку Уређај -> Профили сервера -> ЛДАП (Слика 10) потребно је да наведете ИП адресу и порт контролера домена, ЛДАП тип и кориснички налог укључен у групе Оператори сервера, Читачи дневника догађаја, Дистрибуирани ЦОМ корисници. Затим у одељку Уређај -> Профил за потврду идентитета креирати профил за аутентификацију (слика 11), означити претходно креирани ЛДАП профил а у картици Напредно означавамо групу корисника (сл. 12) којима је дозвољен даљински приступ. Важно је да забележите параметар у свом профилу Кориснички домен, иначе ауторизација заснована на групи неће радити. Поље мора навести НетБИОС име домена.
Слика 11 – Профил аутентификације
Слика 12 – Избор АД групе
Следећа фаза је подешавање Уређај -> Идентификација корисника. Овде морате да наведете ИП адресу контролера домена, акредитиве за везу, као и да конфигуришете подешавања Омогућите безбедносни дневник, Омогући сесију, Омогући испитивање (слика 13). У поглављу Групно мапирање (Сл. 14) потребно је да забележите параметре за идентификацију објеката у ЛДАП-у и листу група које ће се користити за ауторизацију. Као иу Профилу за аутентификацију, овде треба да подесите параметар Кориснички домен.
Слика 13 – Параметри мапирања корисника
Слика 14 – Параметри групног мапирања
Последњи корак у овој фази је креирање ВПН зоне и интерфејса за ту зону. Морате да омогућите опцију на интерфејсу Омогући идентификацију корисника (Сл. КСНУМКС).
Слика 15 – Подешавање ВПН зоне
5. Подешавање ССЛ ВПН-а
Пре повезивања на ССЛ ВПН, удаљени корисник мора да оде на веб портал, аутентификује и преузме Глобал Протецт клијент. Затим ће овај клијент затражити акредитиве и повезати се на корпоративну мрежу. Веб портал ради у хттпс режиму и, сходно томе, морате да инсталирате сертификат за њега. Користите јавни сертификат ако је могуће. Тада корисник неће добити упозорење о неважећим сертификатом на сајту. Ако није могуће користити јавни сертификат, онда морате издати сопствени, који ће се користити на веб страници за хттпс. Може бити самопотписан или издат преко локалног ауторитета за сертификацију. Удаљени рачунар мора имати роот или самопотписани сертификат на листи поузданих роот ауторитета како корисник не би добио грешку приликом повезивања на веб портал. Овај пример ће користити сертификат издат преко сервиса сертификата Ацтиве Дирецтори.
Да бисте издали сертификат, потребно је да креирате захтев за сертификат у одељку Уређај -> Управљање сертификатима -> Сертификати -> Генерирај. У захтеву наводимо назив сертификата и ИП адресу или ФКДН веб портала (Сл. 16). Након генерисања захтева, преузмите .цср датотеку и копирајте њен садржај у поље захтева за сертификат у веб обрасцу за пријаву на АД ЦС. У зависности од тога како је ауторитет за сертификате конфигурисан, захтев за сертификат мора бити одобрен и издати сертификат мора бити преузет у формату Басе64 кодирани сертификат. Поред тога, потребно је да преузмете основни сертификат ауторитета за сертификацију. Затим морате да увезете оба сертификата у заштитни зид. Када увозите сертификат за веб портал, морате да изаберете захтев у статусу на чекању и кликнете на увоз. Име сертификата мора да се подудара са именом наведеним раније у захтеву. Име основног сертификата може се навести произвољно. Након увоза сертификата, потребно је да креирате ССЛ/ТЛС профил услуге одељак Уређај -> Управљање сертификатима. У профилу означавамо претходно увезени сертификат.
Слика 16 – Захтев за сертификат
Следећи корак је постављање објеката Глобал Протецт Гатеваи и Глобал Протецт Портал одељак Мрежа -> Глобална заштита. У подешавањима Глобал Протецт Гатеваи назначите спољну ИП адресу заштитног зида, као и претходно креирану ССЛ профил, Аутхентицатион Профиле, тунелски интерфејс и ИП подешавања клијента. Потребно је да наведете скуп ИП адреса са којих ће адреса бити додељена клијенту и приступну руту - ово су подмреже до којих ће клијент имати руту. Ако је задатак да се сав кориснички саобраћај обави кроз заштитни зид, онда треба да наведете подмрежу 0.0.0.0/0 (слика 17).
Слика 17 – Конфигурисање скупа ИП адреса и рута
Затим морате да конфигуришете Глобал Протецт Портал. Наведите ИП адресу заштитног зида, ССЛ профил и Аутхентицатион Профиле и списак спољних ИП адреса заштитних зидова на које ће се клијент повезати. Ако постоји неколико заштитних зидова, можете поставити приоритет за сваки, према којем ће корисници изабрати заштитни зид на који ће се повезати.
У секцији Уређај -> ГлобалПротецт Цлиент потребно је да преузмете дистрибуцију ВПН клијента са сервера Пало Алто Нетворкс и да је активирате. Да би се повезао, корисник мора да оде на веб страницу портала, где ће бити затражено да преузме ГлобалПротецт Цлиент. Када преузмете и инсталирате, можете да унесете своје акредитиве и повежете се на своју корпоративну мрежу преко ССЛ ВПН-а.
Закључак
Овим се завршава део подешавања Пало Алто Нетворкс. Надамо се да су информације биле корисне и да је читалац стекао разумевање технологија које се користе у Пало Алто Нетворкс. Ако имате питања о подешавању и сугестије о темама за будуће чланке, напишите их у коментарима, радо ћемо вам одговорити.
Извор: ввв.хабр.цом