Palo Alto Networks güvenlik duvarlarının tüm avantajlarına rağmen, RuNet'te bu cihazların kurulumuna ilişkin çok fazla materyal ve bunların uygulama deneyimini anlatan metinler bulunmamaktadır. Bu satıcının ekipmanlarıyla yaptığımız çalışmalar sırasında biriktirdiğimiz malzemeleri özetlemeye ve çeşitli projelerin hayata geçirilmesi sırasında karşılaştığımız özelliklerden bahsetmeye karar verdik.
Bu makale, sizi Palo Alto Networks'le tanıştırmak için en yaygın güvenlik duvarı sorunlarından biri olan uzaktan erişim için SSL VPN'i çözmek için gereken yapılandırmaya bakacaktır. Ayrıca genel güvenlik duvarı yapılandırması, kullanıcı kimliği, uygulamalar ve güvenlik politikalarına yönelik yardımcı işlevlerden de bahsedeceğiz. Konu okuyucuların ilgisini çekiyorsa gelecekte Siteden Siteye VPN, dinamik yönlendirme ve Panorama kullanarak merkezi yönetimi analiz eden materyaller yayınlayacağız.
Palo Alto Networks güvenlik duvarları, App-ID, User-ID, Content-ID gibi bir dizi yenilikçi teknolojiyi kullanır. Bu işlevselliğin kullanılması, yüksek düzeyde güvenlik sağlamanıza olanak tanır. Örneğin, App-ID ile, SSL tüneli içi de dahil olmak üzere, kullanılan bağlantı noktası ve protokolden bağımsız olarak imzalara, kod çözme ve buluşsal yöntemlere dayalı olarak uygulama trafiğini tanımlamak mümkündür. User-ID, LDAP entegrasyonu yoluyla ağ kullanıcılarını tanımlamanıza olanak tanır. Content-ID, trafiği taramayı ve iletilen dosyaları ve içeriklerini tanımlamayı mümkün kılar. Diğer güvenlik duvarı işlevleri arasında izinsiz giriş koruması, güvenlik açıklarına ve DoS saldırılarına karşı koruma, yerleşik casus yazılım önleme, URL filtreleme, kümeleme ve merkezi yönetim yer alır.
Gösterim için, cihaz adları, AD etki alanı adı ve IP adresleri hariç, gerçek yapılandırmayla aynı konfigürasyona sahip izole bir stand kullanacağız. Gerçekte her şey daha karmaşıktır; birçok dal olabilir. Bu durumda tek bir güvenlik duvarı yerine merkezi sitelerin sınırlarına küme kurulacak olup dinamik yönlendirme de gerekebilecektir.
Stand üzerinde kullanılır PAN-OS 7.1.9. Tipik bir yapılandırma olarak, uçta Palo Alto Networks güvenlik duvarına sahip bir ağ düşünün. Güvenlik duvarı merkez ofise uzaktan SSL VPN erişimi sağlar. Active Directory etki alanı kullanıcı veritabanı olarak kullanılacaktır (Şekil 1).
Şekil 1 - Ağ blok şeması
Kurulum adımları:
- Cihaz ön konfigürasyonu. Adı, yönetim IP adresini, statik rotaları, yönetici hesaplarını, yönetim profillerini ayarlama
- Lisansları yükleme, güncellemeleri yapılandırma ve yükleme
- Güvenlik bölgelerini, ağ arayüzlerini, trafik politikalarını, adres çevirisini yapılandırma
- LDAP Kimlik Doğrulama Profilini ve Kullanıcı Tanımlama Özelliğini Yapılandırma
- SSL VPN kurma
1. Ön Ayar
Palo Alto Networks güvenlik duvarını yapılandırmanın ana aracı web arayüzüdür; CLI aracılığıyla yönetim de mümkündür. Varsayılan olarak yönetim arayüzü IP adresi 192.168.1.1/24, oturum açma adı: admin, şifre: admin olarak ayarlanmıştır.
Adresi aynı ağdan web arayüzüne bağlanarak veya komutu kullanarak değiştirebilirsiniz. aygıt yapılandırma sisteminin ip adresini ayarlayın <> ağ maskesi <>. Yapılandırma modunda gerçekleştirilir. Yapılandırma moduna geçmek için şu komutu kullanın: yapılandırmak. Güvenlik duvarındaki tüm değişiklikler yalnızca ayarlar komut tarafından onaylandıktan sonra gerçekleşir işlemek, hem komut satırı modunda hem de web arayüzünde.
Web arayüzündeki ayarları değiştirmek için bölümü kullanın. Cihaz -> Genel Ayarlar ve Cihaz -> Yönetim Arayüzü Ayarları. Ad, banner'lar, saat dilimi ve diğer ayarlar Genel Ayarlar bölümünden ayarlanabilir (Şek. 2).
Şekil 2 – Yönetim arayüzü parametreleri
ESXi ortamında sanal bir güvenlik duvarı kullanıyorsanız, Genel Ayarlar bölümünde hipervizör tarafından atanan MAC adresinin kullanımını etkinleştirmeniz veya hipervizördeki güvenlik duvarı arayüzlerinde belirtilen MAC adreslerini yapılandırmanız veya hiper yöneticinin ayarlarını değiştirmeniz gerekir. MAC'in adres değiştirmesine izin veren sanal anahtarlar. Aksi takdirde trafik geçmeyecektir.
Yönetim arayüzü ayrı olarak yapılandırılmıştır ve ağ arayüzleri listesinde görüntülenmez. Bölümde Yönetim Arayüzü Ayarları yönetim arayüzü için varsayılan ağ geçidini belirtir. Diğer statik yollar sanal yönlendiriciler bölümünde yapılandırılır; bu daha sonra ele alınacaktır.
Cihaza diğer arayüzler üzerinden erişime izin vermek için bir yönetim profili oluşturmalısınız Yönetim Profili bölüm Ağ -> Ağ Profilleri -> Arayüz Yönetimi ve onu uygun arayüze atayın.
Daha sonra, bölümde DNS ve NTP'yi yapılandırmanız gerekir. Cihaz -> Hizmetler güncellemeleri almak ve saati doğru şekilde görüntülemek için (Şek. 3). Varsayılan olarak, güvenlik duvarı tarafından oluşturulan tüm trafik, kaynak IP adresi olarak yönetim arayüzü IP adresini kullanır. Bölümdeki her belirli hizmet için farklı bir arayüz atayabilirsiniz. Servis Rotası Yapılandırması.
Şekil 3 - DNS, NTP ve sistem rotaları hizmet parametreleri
2. Lisansları yükleme, güncellemeleri ayarlama ve yükleme
Tüm güvenlik duvarı işlevlerinin tam olarak çalışması için bir lisans yüklemeniz gerekir. Palo Alto Networks ortaklarından talep ederek deneme lisansını kullanabilirsiniz. Geçerlilik süresi 30 gündür. Lisans, bir dosya aracılığıyla veya Kimlik Doğrulama Kodu kullanılarak etkinleştirilir. Lisanslar bölümde yapılandırılır Cihaz -> Lisanslar (Şekil 4).
Lisansı yükledikten sonra, bölümdeki güncellemelerin kurulumunu yapılandırmanız gerekir. Cihaz -> Dinamik Güncellemeler.
Bölümünde Cihaz -> Yazılım PAN-OS'un yeni sürümlerini indirip yükleyebilirsiniz.
Şekil 4 – Lisans kontrol paneli
3. Güvenlik bölgelerini, ağ arayüzlerini, trafik politikalarını, adres çevirisini yapılandırma
Palo Alto Networks güvenlik duvarları, ağ kurallarını yapılandırırken bölge mantığını kullanır. Ağ arayüzleri belirli bir bölgeye atanır ve bu bölge trafik kurallarında kullanılır. Bu yaklaşım, gelecekte arayüz ayarlarını değiştirirken trafik kurallarının değiştirilmesine değil, bunun yerine gerekli arayüzlerin uygun bölgelere yeniden atanmasına olanak tanır. Varsayılan olarak bir bölge içindeki trafiğe izin verilir, bölgeler arasındaki trafiğe izin verilmez, bundan önceden tanımlanmış kurallar sorumludur bölge içi varsayılan и bölgeler arası varsayılan.
Şekil 5 – Güvenlik bölgeleri
Bu örnekte, bölgeye dahili ağdaki bir arayüz atanmıştır. içve İnternet'e bakan arayüz bölgeye atanır dış. SSL VPN için tünel arayüzü oluşturulmuş ve bölgeye atanmıştır. vpn (Şekil 5).
Palo Alto Networks güvenlik duvarı ağ arayüzleri beş farklı modda çalışabilir:
- Musluk – izleme ve analiz amacıyla trafiği toplamak için kullanılır
- HA – küme işlemi için kullanılır
- Sanal Tel – bu modda, Palo Alto Networks iki arayüzü birleştirir ve MAC ve IP adreslerini değiştirmeden aralarındaki trafiği şeffaf bir şekilde aktarır
- Layer2 – geçiş modu
- Layer3 – yönlendirici modu
Şekil 6 – Arayüz çalışma modunun ayarlanması
Bu örnekte Layer3 modu kullanılacaktır (Şekil 6). Ağ arayüzü parametreleri IP adresini, çalışma modunu ve ilgili güvenlik bölgesini gösterir. Arayüzün çalışma moduna ek olarak, onu Sanal Yönlendirici sanal yönlendiricisine atamanız gerekir; bu, Palo Alto Networks'teki VRF örneğinin bir analogudur. Sanal yönlendiriciler birbirlerinden yalıtılmıştır ve kendi yönlendirme tablolarına ve ağ protokolü ayarlarına sahiptirler.
Sanal yönlendirici ayarları, statik yolları ve yönlendirme protokolü ayarlarını belirtir. Bu örnekte, harici ağlara erişim için yalnızca varsayılan bir rota oluşturulmuştur (Şekil 7).
Şekil 7 – Sanal yönlendirici kurma
Bir sonraki yapılandırma aşaması trafik politikaları bölümüdür Politikalar -> Güvenlik. Şekil 8'de bir yapılandırma örneği gösterilmektedir. Kuralların mantığı tüm güvenlik duvarlarıyla aynıdır. Kurallar baştan aşağı, ilk maça kadar kontrol edilir. Kuralların kısa açıklaması:
1. Web Portalına SSL VPN Erişimi. Uzak bağlantıların kimliğini doğrulamak için web portalına erişime izin verir
2. VPN trafiği – uzak bağlantılar ile merkez ofis arasındaki trafiğe izin verir
3. Temel İnternet – dns, ping, traceroute, ntp uygulamalarına izin verir. Güvenlik duvarı, bağlantı noktası numaraları ve protokoller yerine imzalara, kod çözmeye ve buluşsal yöntemlere dayalı uygulamalara izin verir; bu nedenle Hizmet bölümünde uygulama varsayılanı yazmaktadır. Bu uygulama için varsayılan bağlantı noktası/protokol
4. Web Erişimi – uygulama kontrolü olmadan HTTP ve HTTPS protokolleri aracılığıyla İnternet erişimine izin verir
5,6. Diğer trafik için varsayılan kurallar.
Şekil 8 - Ağ kurallarını ayarlama örneği
NAT'ı yapılandırmak için bölümü kullanın Politikalar -> NAT. NAT yapılandırmasının bir örneği Şekil 9'da gösterilmektedir.
Şekil 9 - NAT yapılandırması örneği
Dahiliden hariciye herhangi bir trafik için kaynak adresini güvenlik duvarının harici IP adresiyle değiştirebilir ve dinamik port adresi (PAT) kullanabilirsiniz.
4. LDAP Kimlik Doğrulama Profilini ve Kullanıcı Tanımlama İşlevini Yapılandırma
Kullanıcıları SSL-VPN aracılığıyla bağlamadan önce bir kimlik doğrulama mekanizması yapılandırmanız gerekir. Bu örnekte, Palo Alto Networks web arayüzü aracılığıyla Active Directory etki alanı denetleyicisinde kimlik doğrulama gerçekleştirilecektir.
Şekil 10 – LDAP profili
Kimlik doğrulamanın çalışması için yapılandırmanız gerekir LDAP Profili и Kimlik Doğrulama Profili. Bölümünde Cihaz -> Sunucu Profilleri -> LDAP (Şekil 10) gruplara dahil olan etki alanı denetleyicisinin IP adresini ve bağlantı noktasını, LDAP türünü ve kullanıcı hesabını belirtmeniz gerekir Sunucu Operatörleri, Olay Günlüğü Okuyucular, Dağıtılmış COM Kullanıcıları. Daha sonra bölümde Cihaz -> Kimlik Doğrulama Profili bir kimlik doğrulama profili oluşturun (Şek. 11), önceden oluşturulmuş olanı işaretleyin LDAP Profili Gelişmiş sekmesinde ise uzaktan erişime izin verilen kullanıcı grubunu (Şekil 12) belirtiyoruz. Profilinizdeki parametreye dikkat etmeniz önemlidir Kullanıcı Etki Alanıaksi takdirde grup bazlı yetkilendirme çalışmaz. Alan NetBIOS alan adını belirtmelidir.
Şekil 11 - Kimlik doğrulama profili
Şekil 12 – AD grubu seçimi
Bir sonraki aşama kurulum Cihaz -> Kullanıcı Kimliği. Burada etki alanı denetleyicisinin IP adresini, bağlantı kimlik bilgilerini belirtmeniz ve ayrıca ayarları yapılandırmanız gerekir. Güvenlik Günlüğünü Etkinleştir, Oturumu Etkinleştir, İncelemeyi Etkinleştir (Şekil 13). Bölümde Grup Eşleme (Şekil 14), LDAP'deki nesneleri tanımlamaya yönelik parametreleri ve yetkilendirme için kullanılacak grupların listesini not etmeniz gerekir. Kimlik Doğrulama Profilinde olduğu gibi burada da Kullanıcı Etki Alanı parametresini ayarlamanız gerekmektedir.
Şekil 13 – Kullanıcı Eşleme parametreleri
Şekil 14 – Grup Eşleme parametreleri
Bu aşamadaki son adım, bir VPN bölgesi ve o bölge için bir arayüz oluşturmaktır. Arayüzdeki seçeneği etkinleştirmeniz gerekir Kullanıcı Kimliğini Etkinleştir (Şekil 15).
Şekil 15 – Bir VPN bölgesinin kurulması
5. SSL VPN'i kurma
Uzaktaki kullanıcının bir SSL VPN'e bağlanmadan önce web portalına gitmesi, kimliğini doğrulaması ve Global Koruma istemcisini indirmesi gerekir. Daha sonra bu istemci kimlik bilgilerini isteyecek ve kurumsal ağa bağlanacaktır. Web portalı https modunda çalışır ve buna göre bunun için bir sertifika yüklemeniz gerekir. Mümkünse genel bir sertifika kullanın. Daha sonra kullanıcı sitedeki sertifikanın geçersizliği konusunda bir uyarı almayacaktır. Genel bir sertifika kullanmak mümkün değilse, https için web sayfasında kullanılacak olan kendi sertifikanızı vermeniz gerekir. Kendinden imzalı olabilir veya yerel bir sertifika yetkilisi aracılığıyla verilebilir. Kullanıcının web portalına bağlanırken hata almaması için, uzak bilgisayarın güvenilen kök yetkililer listesinde bir kök veya kendinden imzalı sertifikaya sahip olması gerekir. Bu örnekte Active Directory Sertifika Hizmetleri aracılığıyla verilen bir sertifika kullanılacaktır.
Sertifika vermek için bölümde bir sertifika isteği oluşturmanız gerekir. Cihaz -> Sertifika Yönetimi -> Sertifikalar -> Oluştur. Talepte, sertifikanın adını ve web portalının IP adresini veya FQDN'sini belirtiyoruz (Şekil 16). İsteği oluşturduktan sonra indirin .csr dosyalayın ve içeriğini AD CS Web Kaydı web formundaki sertifika istek alanına kopyalayın. Sertifika yetkilisinin nasıl yapılandırıldığına bağlı olarak sertifika isteğinin onaylanması ve verilen sertifikanın şu formatta indirilmesi gerekir: Base64 Kodlanmış Sertifika. Ayrıca sertifika yetkilisinin kök sertifikasını da indirmeniz gerekir. Daha sonra her iki sertifikayı da güvenlik duvarına aktarmanız gerekir. Bir web portalı için sertifikayı içe aktarırken, bekleme durumundaki isteği seçmeli ve içe aktar'ı tıklatmalısınız. Sertifika adı, istekte daha önce belirtilen adla eşleşmelidir. Kök sertifikanın adı isteğe bağlı olarak belirtilebilir. Sertifikayı içe aktardıktan sonra oluşturmanız gerekir. SSL/TLS Hizmet Profili bölüm Cihaz -> Sertifika Yönetimi. Profilde önceden içe aktarılan sertifikayı belirtiyoruz.
Şekil 16 – Sertifika talebi
Bir sonraki adım nesneleri ayarlamaktır Küresel Koruma Ağ Geçidi и Küresel Koruma Portalı bölüm Ağ -> Küresel Koruma. ayarlarda Küresel Koruma Ağ Geçidi güvenlik duvarının harici IP adresini ve daha önce oluşturulmuş olanı belirtin SSL Profili, Kimlik Doğrulama Profili, tünel arayüzü ve istemci IP ayarları. Adresin istemciye atanacağı bir IP adresi havuzu ve Erişim Rotası belirtmeniz gerekir; bunlar, istemcinin rotaya sahip olacağı alt ağlardır. Görev tüm kullanıcı trafiğini bir güvenlik duvarı üzerinden sarmaksa, 0.0.0.0/0 alt ağını belirtmeniz gerekir (Şekil 17).
Şekil 17 – Bir IP adresleri ve rota havuzunu yapılandırma
Daha sonra yapılandırmanız gerekir Küresel Koruma Portalı. Güvenlik duvarının IP adresini belirtin, SSL Profili и Kimlik Doğrulama Profili ve istemcinin bağlanacağı güvenlik duvarlarının harici IP adreslerinin bir listesi. Birden fazla güvenlik duvarı varsa, her biri için kullanıcıların bağlanacak güvenlik duvarını seçeceği bir öncelik belirleyebilirsiniz.
Bölümünde Cihaz -> GlobalProtect İstemcisi VPN istemci dağıtımını Palo Alto Networks sunucularından indirip etkinleştirmeniz gerekir. Bağlanmak için kullanıcının indirmesi istenecek portal web sayfasına gitmesi gerekir. GlobalProtect İstemcisi. İndirip yükledikten sonra kimlik bilgilerinizi girebilir ve kurumsal ağınıza SSL VPN aracılığıyla bağlanabilirsiniz.
Sonuç
Bu, kurulumun Palo Alto Networks kısmını tamamlar. Bilgilerin faydalı olduğunu ve okuyucunun Palo Alto Networks'te kullanılan teknolojiler hakkında bilgi sahibi olduğunu umuyoruz. Kurulumla ilgili sorularınız ve gelecekteki makaleler için konu önerileriniz varsa bunları yorumlara yazın, yanıtlamaktan memnuniyet duyarız.
Kaynak: habr.com