Незважаючи на всі переваги міжмережевих екранів Palo Alto Networks, у рунеті не так багато матеріалів з налаштування цих пристроїв, а також текстів, що описують досвід їх впровадження. Ми вирішили узагальнити матеріали, накопичені у нас за час роботи з обладнанням цього вендора та розповісти про особливості, з якими зіткнулися під час реалізації різноманітних проектів.
Для знайомства з Palo Alto Networks у цій статті будуть розглянуті налаштування, необхідні для вирішення одного з найпоширеніших завдань міжмережевого екранування, SSL VPN для віддаленого доступу. Також ми поговоримо про допоміжні функції для спільного налаштування міжмережевого екрану, ідентифікації користувачів, програм та політик безпеки. Якщо тема зацікавить читачів, надалі ми випустимо матеріали з розбором Site-to-Site VPN, динамічної маршрутизації та централізованого керування за допомогою Panorama.
Міжмережні екрани Palo Alto Networks використовують низку інноваційних технологій, включаючи App-ID, User-ID, Content-ID. Застосування цього функціоналу дає змогу забезпечити високий рівень безпеки. Наприклад, за допомогою App-ID можна ідентифікувати трафік додатків на основі сигнатур, декодування та евристики, незалежно від порту і протоколу, що використовується, у тому числі всередині SSL-тунелю. User-ID дозволяє ідентифікувати користувачів мережі через інтеграцію з LDAP. Content-ID дає можливість сканувати трафік та ідентифікувати передані файли та їх вміст. Серед інших функцій міжмережевих екранів можна виділити захист від вторгнень, захист від уразливостей та DoS-атак, вбудований антишпигун, URL-фільтрацію, кластеризацію, централізоване управління.
Для демонстрації ми будемо використовувати ізольований стенд, з конфігурацією, ідентичною до реальної, за винятком імен пристроїв, імені домену AD та IP-адрес. Насправді все складніше — філій може бути багато. На межах центральних майданчиків у такому разі замість одного міжмережевого екрану буде встановлено кластер, також може знадобитися динамічна маршрутизація.
На стенді використовується PAN-OS 7.1.9. Як типова конфігурація розглянемо мережу з міжмережевим екраном Palo Alto Networks на кордоні. Міжмережевий екран надає віддалений SSL VPN доступ до головного офісу. Як базу даних користувачів використовуватиметься домен Active Directory (рисунок 1).
Малюнок 1 – Структурна схема мережі
Етапи налаштування:
- Передналаштування пристрою. Завдання імені, IP-адреси керування, статичних маршрутів, облікових записів адміністраторів, профілів керування
- Встановлення ліцензій, налаштування та встановлення оновлень
- Налаштування зон безпеки, мережевих інтерфейсів, політики трафіку, трансляції адрес
- Налаштування профілю автентифікації LDAP та функції User Identification
- Налаштування SSL VPN
1. Передналаштування
Основним інструментом налаштування міжмережевого екрану Palo Alto Networks є веб-інтерфейс, можливе також керування через CLI. За умовчанням у management-інтерфейсу задана IP-адреса 192.168.1.1/24, login: admin, password: admin.
Змінити адресу можна або підключившись до веб-інтерфейсу з тієї ж мережі, або за допомогою команди set deviceconfig system ip-address <> netmask <>. Вона виконується як конфігурація. Для перемикання в режим налаштування використовується команда конфігурувати. Усі зміни на міжмережевому екрані відбуваються лише після підтвердження налаштувань командою commit, як у режимі командного рядка, і у веб-інтерфейсі.
Для зміни налаштувань у веб-інтерфейсі використовується розділ Device -> General Settings і Device -> Management Interface Settings. Ім'я, банери, часовий пояс та інші параметри можна встановити в розділі General Settings (мал. 2).
Рисунок 2 – Параметри інтерфейсу керування
У випадку, якщо застосовується віртуальний міжмережевий екран у середовищі ESXi, у розділі General Settings потрібно включити використання MAC-адреси, призначеної гіпервізором, або налаштувати на гіпервізорі MAC-адреси, задані на інтерфейсах міжмережевого екрана, або змінити налаштування віртуальних комутаторів на дозвіл змін MAC- адрес. Інакше трафік проходити не буде.
Інтерфейс керування налаштовується окремо і не відображається у списку мережних інтерфейсів. В розділі Management Interface Settings вказується стандартний шлюз для інтерфейсу управління. Інші статичні маршрути налаштовуються розділ віртуальних маршрутизаторів, про це буде написано далі.
Для дозволу доступу до пристрою через інші інтерфейси необхідно створити профіль керування Управління профілю у розділі Network -> Network Profiles -> Interface Mgmt та призначити його на відповідний інтерфейс.
Далі, необхідно налаштувати DNS та NTP у розділі Device -> Services для отримання оновлень та коректного відображення часу (рис. 3). За умовчанням весь трафік, створений міжмережевим екраном, використовує як IP-адресу джерела IP-адресу інтерфейсу управління. Призначити інший інтерфейс для кожної конкретної служби можна у розділі Service Route Configuration.
Рисунок 3 – Параметри служб DNS, NTP та системних маршрутів
2. Встановлення ліцензій, налаштування та встановлення оновлень
Для повноцінної роботи всіх функцій міжмережевого екрана необхідно встановити ліцензію. Можна використовувати тріальну ліцензію, запросивши її партнерів Palo Alto Networks. Термін її дії – 30 днів. Активується ліцензія або через файл або за допомогою Auth-Code. Налаштовуються ліцензії у розділі Device -> Licenses (Рис. 4).
Після встановлення ліцензії необхідно налаштувати інсталяцію оновлень у розділі Device -> Dynamic Updates.
У розділі Device -> Software можна завантажити та встановити нові версії PAN-OS.
Рисунок 4 – Панель керування ліцензіями
3. Налаштування зон безпеки, мережевих інтерфейсів, політики трафіку, трансляції адрес.
Міжмережні екрани Palo Alto Networks застосовують логіку зон під час налаштування мережевих правил. Мережевий інтерфейс призначається на певну зону, і вона використовується в правилах трафіку. Такий підхід дозволяє в майбутньому при зміні налаштувань інтерфейсів не змінювати правила трафіку, а натомість перепризначити потрібні інтерфейси у відповідні зони. За умовчанням, трафік усередині зони дозволено, трафік між зонами заборонено, за це відповідають встановлені правила. intrazone-default и interzone-default.
Рисунок 5 – Зони безпеки
У цьому прикладі інтерфейс у внутрішній мережі призначений у зону внутрішній, а інтерфейс, спрямований до Інтернету, призначений у зону зовнішній. Для SSL VPN створено тунельний інтерфейс, призначений у зону VPN (Рис. 5).
Мережеві інтерфейси міжмережевого екрану Palo Alto Networks можуть працювати в п'яти різних режимах:
- Кран – використовується для збору трафіку з метою моніторингу та аналізу
- HA – використовується для роботи кластера
- Virtual Wire – у цьому режимі Palo Alto Networks об'єднує два інтерфейси та прозоро пропускає трафік між ними, не змінюючи MAC та IP-адреси
- Шар2 – режим комутатора
- Шар3 – режим маршрутизатора
Рисунок 6 – Налаштування режиму роботи інтерфейсу
У цьому прикладі буде використано режим Layer3 (рис. 6). У параметрах мережного інтерфейсу вказується IP-адреса, режим роботи та відповідна зона безпеки. Крім режиму роботи інтерфейсу, необхідно призначити його у віртуальний маршрутизатор Virtual Router, це аналог VRF інстансу в Palo Alto Networks. Віртуальні маршрутизатори ізольовані один від одного та мають свої таблиці маршрутизації та налаштування мережевих протоколів.
У налаштуваннях віртуального маршрутизатора вказуються статичні маршрути та налаштування протоколів маршрутизації. У цьому прикладі створено лише маршрут за промовчанням для доступу до зовнішніх мереж (мал. 7).
Рисунок 7 – Налаштування віртуального маршрутизатора
Наступний етап налаштування – політики трафіку, розділ Policies -> Security. Приклад налаштування показаний на малюнку 8. Логіка роботи правил така сама, як у всіх міжмережевих екранів. Правила перевіряються зверху донизу, до першого збігу. Короткий опис правил:
1. SSL VPN Access to Web Portal. Дозволяє доступ до веб-порталу для автентифікації віддалених підключень
2. VPN traffic – дозвіл трафіку між віддаленими підключеннями та головним офісом
3. Basic Internet – дозвіл додатків dns, ping, traceroute, ntp. Міжмережевий екран дозволяє програми на основі сигнатур, декодування та евристики, а не номерів портів та протоколів, тому в розділі Service вказано application-default. Стандартний порт/протокол для цієї програми
4. Web Access – дозвіл доступу до Інтернету за протоколами HTTP і HTTPS без контролю додатків
5,6. Правила за промовчанням для решти трафіку.
Рисунок 8 — Приклад налаштування мережевих правил
Для налаштування NAT використовується розділ Policies -> NAT. Приклад налаштування NAT показаний малюнку 9.
Рисунок 9 – Приклад налаштування NAT
Для будь-якого трафіку з internal в external можна змінити адресу джерела на зовнішню IP-адресу міжмережевого екрана та використовувати динамічний адресу порту (PAT).
4. Налаштування профілю автентифікації LDAP та функції User Identification
Перед підключенням користувачів через SSL-VPN необхідно налаштувати механізм автентифікації. У цьому прикладі автентифікація відбуватиметься на контролері домену Active Directory через веб-інтерфейс Palo Alto Networks.
Малюнок 10 – LDAP профіль
Для того щоб автентифікація працювала, потрібно налаштувати LDAP Profile и Authentication Profile. У розділі Device -> Server Profiles -> LDAP (рис. 10) потрібно вказати IP-адресу та порт контролера домену, тип LDAP та обліковий запис користувача, що входить до груп Оператори сервера, Зчитувачі журналу подій, Розподілені користувачі COM. Потім у розділі Device -> Authentication Profile створюємо профіль аутентифікації (рис. 11), відзначаємо раніше створений LDAP Profile та у вкладці Advanced вказуємо групу користувачів (рис. 12), яким дозволено віддалений доступ. Важливо відзначити у профілі параметр Домен користувача, інакше авторизація на основі груп не працюватиме. У полі має бути вказано ім'я домену NetBIOS.
Малюнок 11 – Профіль автентифікації
Рисунок 12 – Вибір групи AD
Наступний етап – налаштування Device -> User Identification. Тут потрібно вказати IP-адресу контролера домену, облікові дані для підключення, а також налаштувати параметри Enable Security Log, Enable Session, Enable Probing (Рис. 13). В розділі Group Mapping (Мал. 14) слід зазначити параметри ідентифікації об'єктів у LDAP та список груп, які будуть використовуватися для авторизації. Так само як і в Authentication Profile, тут потрібно задати параметр User Domain.
Рисунок 13 – Параметри User Mapping
Рисунок 14 – Параметри Group Mapping
Останнім кроком на цьому етапі буде створення VPN-зони та інтерфейсу цієї зони. На інтерфейсі потрібно увімкнути параметр Enable User Identification (Рис. 15).
Рисунок 15 – Налаштування VPN-зони
5. Налаштування SSL VPN
Перед підключенням SSL VPN, віддалений користувач повинен зайти на веб-портал, пройти аутентифікацію та завантажити клієнт Global Protect. Далі, цей клієнт запросить облікові дані та підключить до корпоративної мережі. Веб-портал працює в режимі https і, відповідно, необхідно встановити сертифікат. Використовуйте публічний сертифікат, якщо є можливість. Тоді користувачеві не буде видано попередження про невалідність сертифікату на сайті. Якщо немає можливості використовувати публічний сертифікат, тоді необхідно випустити власний, який буде застосовуватись на веб-сторінці https. Він може бути самопідписний або випущений через локальний центр сертифікації. Віддалений комп'ютер повинен мати кореневий або самопідписний сертифікат у списку довірених кореневих центрів, щоб користувачеві не видавалась помилка під час підключення до веб-порталу. У цьому прикладі буде використано сертифікат, випущений через центр сертифікації Active Directory Certificate Services.
Для випуску сертифіката потрібно створити запит на сертифікат у розділі Device -> Certificate Management -> Certificates -> Generate. У запиті вказуємо ім'я сертифіката та IP-адресу або FQDN веб-порталу (рис. 16). Після генерації запиту завантажуємо .csr файл і копіюємо його вміст у полі запиту сертифіката на веб-форму AD CS Web Enrollment. Залежно від налаштування центру сертифікації, запит на сертифікат потрібно схвалити та завантажити випущений сертифікат у форматі Base64 Encoded Certificate. Додатково потрібно завантажити кореневий сертифікат центру сертифікації. Потім потрібно імпортувати обидва сертифікати на міжмережевий екран. При імпорті сертифіката для веб-порталу необхідно виділити запит у статусі pending та натиснути import. Ім'я сертифіката має збігатися з ім'ям, зазначеним раніше у запиті. Ім'я кореневого сертифіката можна вказати довільно. Після імпортування сертифіката необхідно створити SSL/TLS Service Profile у розділі Device -> Certificate Management. У профілі вказуємо раніше імпортований сертифікат.
Малюнок 16 – Запит на сертифікат
Наступний крок – налаштування об'єктів Global Protect Gateway и Global Protect Portal у розділі Network -> Global Protect. В налаштуваннях Global Protect Gateway вказуємо зовнішню IP-адресу міжмережевого екрану, а також раніше створені SSL Profile, Authentication Profile, тунельний інтерфейс та IP-налаштування клієнта. Потрібно задати пул IP-адрес, з якого буде призначено адресу клієнту, і Access Route - це підмережі, до яких буде маршрут клієнта. Якщо стоїть завдання загорнути весь трафік користувача через міжмережевий екран, потрібно вказати підсіти 0.0.0.0/0 (рис. 17).
Рисунок 17 – Налаштування пулу IP адрес та маршрутів
Потім потрібно налаштувати Global Protect Portal. Вказуємо IP-адресу міжмережевого екрану, SSL Profile и Authentication Profile і список зовнішніх IP-адрес міжсетевих екранів, до яких буде підключатися клієнт. Якщо міжмережевих екранів кілька, можна виставити для кожного пріоритет, відповідно до якого користувачі вибиратимуть міжмережевий екран для підключення.
У розділі Device -> GlobalProtect Client потрібно завантажити дистрибутив VPN-клієнта з серверів Palo Alto Networks та активувати його. Для підключення користувач повинен зайти на веб-сторінку порталу, де йому буде запропоновано завантажити GlobalProtect Client. Після завантаження та встановлення можна буде ввести свої облікові дані та підключитися до корпоративної мережі через SSL VPN.
Висновок
На цьому частина налаштування Palo Alto Networks завершена. Сподіваємося, що інформація була корисною, і читач отримав уявлення про технології, що використовуються в Palo Alto Networks. Якщо у вас є питання щодо налаштування та побажання за темами майбутніх статей — пишіть їх у коментарях, будемо раді відповісти.
Джерело: habr.com