Trots alla fördelar med Palo Alto Networks brandväggar finns det inte mycket material på RuNet om att ställa in dessa enheter, liksom texter som beskriver upplevelsen av deras implementering. Vi bestämde oss för att sammanfatta det material vi har samlat på oss under vårt arbete med denna leverantörs utrustning och prata om de funktioner vi stötte på under genomförandet av olika projekt.
För att introducera dig till Palo Alto Networks kommer den här artikeln att titta på konfigurationen som krävs för att lösa ett av de vanligaste brandväggsproblemen - SSL VPN för fjärråtkomst. Vi kommer också att prata om verktygsfunktioner för allmän brandväggskonfiguration, användaridentifiering, applikationer och säkerhetspolicyer. Om ämnet är av intresse för läsare kommer vi i framtiden att släppa material som analyserar Site-to-Site VPN, dynamisk routing och centraliserad hantering med Panorama.
Palo Alto Networks brandväggar använder ett antal innovativa teknologier, inklusive App-ID, User-ID, Content-ID. Användningen av denna funktion gör att du kan säkerställa en hög säkerhetsnivå. Med App-ID är det till exempel möjligt att identifiera applikationstrafik baserat på signaturer, avkodning och heuristik, oavsett port och protokoll som används, inklusive inuti en SSL-tunnel. Användar-ID låter dig identifiera nätverksanvändare genom LDAP-integration. Content-ID gör det möjligt att skanna trafik och identifiera överförda filer och deras innehåll. Andra brandväggsfunktioner inkluderar intrångsskydd, skydd mot sårbarheter och DoS-attacker, inbyggt antispionprogram, URL-filtrering, klustring och centraliserad hantering.
För demonstrationen kommer vi att använda ett isolerat stativ, med en konfiguration identisk med den riktiga, med undantag för enhetsnamn, AD-domännamn och IP-adresser. I verkligheten är allt mer komplicerat - det kan finnas många grenar. I det här fallet, istället för en enda brandvägg, kommer ett kluster att installeras vid gränserna för centrala platser, och dynamisk routing kan också krävas.
Används på stativet PAN-OS 7.1.9. Som en typisk konfiguration, överväg ett nätverk med en Palo Alto Networks-brandvägg i kanten. Brandväggen ger fjärråtkomst till SSL VPN till huvudkontoret. Active Directory-domänen kommer att användas som en användardatabas (Figur 1).
Figur 1 – Nätverksblockschema
Inställningssteg:
- Enhetens förkonfiguration. Ställa in namn, hanterings-IP-adress, statiska rutter, administratörskonton, hanteringsprofiler
- Installera licenser, konfigurera och installera uppdateringar
- Konfigurera säkerhetszoner, nätverksgränssnitt, trafikpolicyer, adressöversättning
- Konfigurera en LDAP-autentiseringsprofil och användaridentifieringsfunktion
- Konfigurera ett SSL VPN
1. Förinställning
Huvudverktyget för att konfigurera Palo Alto Networks brandvägg är webbgränssnittet, hantering via CLI är också möjligt. Som standard är hanteringsgränssnittet inställt på IP-adress 192.168.1.1/24, inloggning: admin, lösenord: admin.
Du kan ändra adressen antingen genom att ansluta till webbgränssnittet från samma nätverk eller genom att använda kommandot ställ in deviceconfig system ip-adress <> nätmask <>. Det utförs i konfigurationsläge. För att växla till konfigurationsläge, använd kommandot konfigurera. Alla ändringar på brandväggen sker först efter att inställningarna har bekräftats av kommandot förbinda, både i kommandoradsläge och i webbgränssnittet.
För att ändra inställningar i webbgränssnittet, använd avsnittet Enhet -> Allmänna inställningar och Enhet -> Inställningar för hanteringsgränssnitt. Namn, banderoller, tidszon och andra inställningar kan ställas in i avsnittet Allmänna inställningar (Fig. 2).
Figur 2 – Hanteringsgränssnittsparametrar
Om du använder en virtuell brandvägg i en ESXi-miljö måste du i avsnittet Allmänna inställningar aktivera användningen av MAC-adressen som tilldelats av hypervisorn, eller konfigurera MAC-adresserna som anges i brandväggsgränssnitten på hypervisorn, eller ändra inställningarna för de virtuella switcharna för att tillåta att MAC ändrar adresser. Annars kommer trafiken inte att passera.
Hanteringsgränssnittet konfigureras separat och visas inte i listan över nätverksgränssnitt. I kapitel Inställningar för hanteringsgränssnitt anger standardgatewayen för hanteringsgränssnittet. Andra statiska rutter konfigureras i avsnittet om virtuella routrar; detta kommer att diskuteras senare.
För att tillåta åtkomst till enheten via andra gränssnitt måste du skapa en hanteringsprofil Ledningsprofil avsnitt Nätverk -> Nätverksprofiler -> Gränssnittshantering och tilldela det till lämpligt gränssnitt.
Därefter måste du konfigurera DNS och NTP i avsnittet Enhet -> Tjänster för att ta emot uppdateringar och visa tiden korrekt (fig. 3). Som standard använder all trafik som genereras av brandväggen hanteringsgränssnittets IP-adress som sin käll-IP-adress. Du kan tilldela ett annat gränssnitt för varje specifik tjänst i avsnittet Konfiguration av tjänstväg.
Figur 3 – Serviceparametrar för DNS, NTP och systemvägar
2. Installera licenser, konfigurera och installera uppdateringar
För full drift av alla brandväggsfunktioner måste du installera en licens. Du kan använda en testlicens genom att begära den från Palo Alto Networks partners. Dess giltighetstid är 30 dagar. Licensen aktiveras antingen genom en fil eller med hjälp av Auth-Code. Licenser konfigureras i avsnittet Enhet -> Licenser (Fig. 4).
Efter installation av licensen måste du konfigurera installationen av uppdateringar i avsnittet Enhet -> Dynamiska uppdateringar.
I avsnitt Enhet -> Programvara du kan ladda ner och installera nya versioner av PAN-OS.
Figur 4 – Licenskontrollpanel
3. Konfigurera säkerhetszoner, nätverksgränssnitt, trafikpolicyer, adressöversättning
Palo Alto Networks brandväggar använder zonlogik när de konfigurerar nätverksregler. Nätverksgränssnitt är tilldelade en specifik zon, och denna zon används i trafikregler. Detta tillvägagångssätt gör det möjligt att i framtiden, när du ändrar gränssnittsinställningar, inte ändra trafikreglerna, utan istället att tilldela de nödvändiga gränssnitten till lämpliga zoner. Som standard är trafik inom en zon tillåten, trafik mellan zoner är förbjuden, fördefinierade regler ansvarar för detta intrazon-default и interzone-default.
Figur 5 – Säkerhetszoner
I detta exempel är ett gränssnitt på det interna nätverket tilldelat till zonen inre, och gränssnittet mot Internet är tilldelat till zonen extern. För SSL VPN har ett tunnelgränssnitt skapats och tilldelats zonen vpn (Fig. 5).
Palo Alto Networks brandväggsnätverksgränssnitt kan fungera i fem olika lägen:
- Tryck – används för att samla in trafik för övervaknings- och analysändamål
- HA – används för klusterdrift
- Virtuell tråd – i det här läget kombinerar Palo Alto Networks två gränssnitt och överför trafik mellan dem på ett transparent sätt utan att ändra MAC- och IP-adresser
- Layer2 – växla läge
- Layer3 – routerläge
Bild 6 – Inställning av gränssnittets driftläge
I det här exemplet kommer Layer3-läget att användas (fig. 6). Nätverksgränssnittsparametrarna anger IP-adress, driftläge och motsvarande säkerhetszon. Utöver gränssnittets driftläge måste du tilldela det till den virtuella routern Virtual Router, detta är en analog till en VRF-instans i Palo Alto Networks. Virtuella routrar är isolerade från varandra och har sina egna routingtabeller och nätverksprotokollinställningar.
De virtuella routerinställningarna anger statiska rutter och routingprotokollinställningar. I det här exemplet har endast en standardrutt skapats för åtkomst till externa nätverk (fig. 7).
Figur 7 – Konfigurera en virtuell router
Nästa konfigurationssteg är trafikpolicyer, avsnitt Policyer -> Säkerhet. Ett exempel på konfiguration visas i figur 8. Logiken i reglerna är densamma som för alla brandväggar. Reglerna kontrolleras uppifrån och ner, ner till första matchen. Kort beskrivning av reglerna:
1. SSL VPN-åtkomst till webbportal. Ger åtkomst till webbportalen för att autentisera fjärranslutningar
2. VPN-trafik – tillåter trafik mellan fjärranslutningar och huvudkontoret
3. Grundläggande Internet – tillåter dns, ping, traceroute, ntp-applikationer. Brandväggen tillåter applikationer baserade på signaturer, avkodning och heuristik snarare än portnummer och protokoll, varför tjänsteavsnittet säger applikationsstandard. Standardport/standardprotokoll för denna applikation
4. Web Access – tillåter internetåtkomst via HTTP- och HTTPS-protokoll utan applikationskontroll
5,6. Standardregler för annan trafik.
Figur 8 — Exempel på inställning av nätverksregler
För att konfigurera NAT, använd avsnittet Policyer -> NAT. Ett exempel på NAT-konfiguration visas i figur 9.
Figur 9 – Exempel på NAT-konfiguration
För all trafik från intern till extern kan du ändra källadressen till brandväggens externa IP-adress och använda en dynamisk portadress (PAT).
4. Konfigurera LDAP-autentiseringsprofil och användaridentifieringsfunktion
Innan du ansluter användare via SSL-VPN måste du konfigurera en autentiseringsmekanism. I det här exemplet kommer autentisering att ske till Active Directory-domänkontrollanten via Palo Alto Networks webbgränssnitt.
Figur 10 – LDAP-profil
För att autentisering ska fungera måste du konfigurera LDAP-profil и Autentiseringsprofil. I avsnittet Enhet -> Serverprofiler -> LDAP (Fig. 10) måste du ange IP-adressen och porten för domänkontrollanten, LDAP-typ och användarkonto som ingår i grupperna Serveroperatörer, Händelseloggläsare, Distribuerade COM-användare. Sedan i avsnittet Enhet -> Autentiseringsprofil skapa en autentiseringsprofil (fig. 11), markera den tidigare skapade LDAP-profil och på fliken Avancerat anger vi gruppen av användare (fig. 12) som tillåts fjärråtkomst. Det är viktigt att notera parametern i din profil Användardomän, annars fungerar inte gruppbaserad auktorisering. Fältet måste ange NetBIOS-domännamnet.
Figur 11 – Autentiseringsprofil
Figur 12 – AD-gruppval
Nästa steg är installationen Enhet -> Användaridentifikation. Här måste du ange IP-adressen för domänkontrollanten, anslutningsuppgifter och även konfigurera inställningar Aktivera säkerhetslogg, Aktivera session, Aktivera sondering (Fig. 13). I kapitel Gruppkartläggning (Fig. 14) måste du notera parametrarna för att identifiera objekt i LDAP och listan över grupper som kommer att användas för auktorisering. Precis som i autentiseringsprofilen måste du här ställa in parametern User Domain.
Figur 13 – Användarmappningsparametrar
Figur 14 – Gruppmappningsparametrar
Det sista steget i denna fas är att skapa en VPN-zon och ett gränssnitt för den zonen. Du måste aktivera alternativet i gränssnittet Aktivera användaridentifiering (Fig. 15).
Figur 15 – Konfigurera en VPN-zon
5. Konfigurera SSL VPN
Innan han ansluter till ett SSL VPN måste fjärranvändaren gå till webbportalen, autentisera och ladda ner Global Protect-klienten. Därefter kommer den här klienten att begära inloggningsuppgifter och ansluta till företagets nätverk. Webbportalen fungerar i https-läge och därför måste du installera ett certifikat för den. Använd ett offentligt certifikat om möjligt. Då får användaren ingen varning om certifikatets ogiltighet på sajten. Om det inte är möjligt att använda ett offentligt certifikat måste du utfärda ett eget, som kommer att användas på webbsidan för https. Det kan vara självsignerat eller utfärdat av en lokal certifikatmyndighet. Fjärrdatorn måste ha ett rot- eller självsignerat certifikat i listan över betrodda rotmyndigheter så att användaren inte får ett felmeddelande vid anslutning till webbportalen. Det här exemplet kommer att använda ett certifikat som utfärdats via Active Directory Certificate Services.
För att utfärda ett certifikat måste du skapa en certifikatbegäran i avsnittet Enhet -> Certifikathantering -> Certifikat -> Generera. I begäran anger vi namnet på certifikatet och webbportalens IP-adress eller FQDN (Fig. 16). Ladda ner efter att ha skapat begäran .csr fil och kopiera dess innehåll till certifikatbegäransfältet i webbformuläret för AD CS Web Enrollment. Beroende på hur certifikatutfärdaren är konfigurerad måste certifikatbegäran godkännas och det utfärdade certifikatet måste laddas ner i formatet Base64-kodat certifikat. Dessutom måste du ladda ner certifieringsmyndighetens rotcertifikat. Sedan måste du importera båda certifikaten till brandväggen. När du importerar ett certifikat för en webbportal måste du välja begäran i väntande status och klicka på importera. Certifikatnamnet måste matcha det namn som angetts tidigare i begäran. Namnet på rotcertifikatet kan anges godtyckligt. Efter att ha importerat certifikatet måste du skapa SSL/TLS-tjänstprofil avsnitt Enhet -> Certifikathantering. I profilen anger vi det tidigare importerade certifikatet.
Figur 16 – Certifikatbegäran
Nästa steg är att ställa in objekt Global Protect Gateway и Global Protect Portal avsnitt Nätverk -> Globalt skydd. I inställningar Global Protect Gateway ange brandväggens externa IP-adress, såväl som tidigare skapad SSL-profil, Autentiseringsprofil, tunnelgränssnitt och klient-IP-inställningar. Du måste ange en pool av IP-adresser från vilken adressen kommer att tilldelas till klienten, och Access Route - dessa är undernäten som klienten kommer att ha en rutt till. Om uppgiften är att svepa all användartrafik genom en brandvägg, måste du ange subnätet 0.0.0.0/0 (Fig. 17).
Figur 17 – Konfigurera en pool av IP-adresser och rutter
Sedan måste du konfigurera Global Protect Portal. Ange brandväggens IP-adress, SSL-profil и Autentiseringsprofil och en lista över externa IP-adresser för brandväggar som klienten kommer att ansluta till. Om det finns flera brandväggar kan du ställa in en prioritet för varje, enligt vilken användare ska välja en brandvägg att ansluta till.
I avsnitt Enhet -> GlobalProtect-klient du måste ladda ner VPN-klientdistributionen från Palo Alto Networks servrar och aktivera den. För att ansluta måste användaren gå till portalens webbsida, där han kommer att bli ombedd att ladda ner GlobalProtect-klient. När du har laddat ner och installerat kan du ange dina referenser och ansluta till ditt företagsnätverk via SSL VPN.
Slutsats
Detta avslutar Palo Alto Networks-delen av installationen. Vi hoppas att informationen var användbar och att läsaren fick en förståelse för de teknologier som används på Palo Alto Networks. Om du har frågor om inställningar och förslag på ämnen för framtida artiklar, skriv dem i kommentarerna, vi svarar gärna.
Källa: will.com