Palo Alto быстрый старт

Быстрый ввод в Palo Alto с примерами настроек, фильтрацией, защитой и расшифровкой трафика без нарушения топологии сети.

Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik

Сброс Palo Alto

Пример сброса Palo Alto через консольный порт
Пример сброса Palo Alto через консольный порт
Дожидаемся приглашения ввода ‘maint‘, на который дается 5 секунд
Продолжить
Продолжить
Выбираем Factory Reset
Выбираем Factory Reset
Выбираем версию panos
Выбираем версию panos
И сбрасываем ее
И сбрасываем ее
Процесс сброса Palo Alto
Процесс сброса Palo Alto
Идет несколько минут
Идет несколько минут
После сброса Palo Alto возвращаемся в меню
После сброса Palo Alto возвращаемся в меню
И смотрим IP адрес управления
И смотрим IP адрес управления
https://192.168.1.1/admin/admin
https://192.168.1.1/
admin/admin
WEB интерфейс Palo Alto PAN-OS 8.0.2
WEB интерфейс Palo Alto PAN-OS 8.0.2

Смена IP управления

Device > Setup > Interface > Management
Device > Setup > Interface > Management
Задаем новый адрес, шлюз, сервисы и разрешенные сети для подключения
Задаем новый адрес, шлюз, сервисы и разрешенные сети для подключения

DNS/NTP

Device > Setup > ServicesЗадаем DNS
Device > Setup > Services
Задаем DNS
И NTP сервера
И NTP сервера
Настройка DNS/NTP на Palo Alto
Настройка DNS/NTP на Palo Alto

Zones

Palo Alto работает на зонах, без них нельзя создать какие-либо правила.

В статье рассматривается режим работы «виртуальный кабель», чтобы включить Palo Alto прозрачно в действующую инфраструктуру.
ethernet1/3 - trustethernet1/4 - untrustТип virtual-wire
ethernet1/3 — trust
ethernet1/4 — untrust
Тип virtual-wire
ethernet1/3 - trustТип virtual-wire
ethernet1/3 — trust
Тип virtual-wire
ethernet1/4 - untrustТип virtual-wire
ethernet1/4 — untrust
Тип virtual-wire

Virtual Wires

Режим виртуального провода не влияет на топологию сети и работает прозрачно на L2, при этом режиме так же работает фильтрация и декрипт трафика.
Virtual Wires может быть только пара портов
Virtual Wires может быть только пара портов
Network > Interface
Network > Interface
etherner1/3 - в сторону безопасной части сети (LAN)
etherner1/3 — в сторону безопасной части сети (LAN)
etherner1/4 - в сторону не безопасной части сети (WAN)
etherner1/4 — в сторону не безопасной части сети (WAN)
Теперь NGFW работает в «сквозном режиме», что позволяет установить Palo Alto в любой сети не нарушая действующую схему.

Security

Показаны примеры правил Security, которые можно сделать на Palo Alto.

trust > untrust

Разрешающее правило из trust Zone в untrust Zone
Разрешающее правило из trust Zone в untrust Zone
Из зоны trust для всех адресов
Из зоны trust для всех адресов
Для всех пользователей и HIP
Для всех пользователей и HIP
В зону untrust до всех адресов
В зону untrust до всех адресов
Для всех приложений
Для всех приложений
Всех сервисов (портов) и URL категорий
Всех сервисов (портов) и URL категорий
Palo Alto быстрый старт
Разрешаем хождение трафика (Allow)

По URL

URL фильтрация работает как по готовым спискам из базы данных Palo Alto (нужна подписка), так и по созданным вручную.

Custom URL Category

Objects > Custom Objects > URL CategoryСписок явно разрешенных сайтов
Objects > Custom Objects > URL Category
Список явно разрешенных сайтов
Palo Alto быстрый старт
И список явно запрещенных сайтов

Разрешаем URL

Palo Alto быстрый старт
Разрешаем только указанный список сайтов
Palo Alto быстрый старт
И проверяем, что dzen.ru работает, а так же открывается ya.ru, и больше ничего не работает
Разрешим сайт настройка-микротик.рф
Разрешим сайт настройка-микротик.рф

Запрещаем URL

Запрещаем только указанный список сайтов
Запрещаем только указанный список сайтов
Запрещаем через Drop
Запрещаем через Drop
Теперь доступны все сайты, кроме явно запрещенных
Теперь доступны все сайты, кроме явно запрещенных
Сайты без https или с настроенным декриптом - будут заменяться заглушкой
Сайты без https или с настроенным декриптом — будут заменяться заглушкой
Таким способом можно блокировать только запрещенные сайты, например соцсети.

Security Profiles

Security Profiles позволяет собирать несколько политик и настраивать URL категории (для которых нужна подписка), а так же кастомные категории, которые настраивали выше.

URL Filtering

Копируем default профиль и делаем кастомный, где указываем разрешенные и запрещенные категории.
Копируем default профиль и делаем кастомный, где указываем разрешенные и запрещенные категории.
Из-за отсутствия подписки, работать будут только кастомные категории.
Из-за отсутствия подписки, работать будут только кастомные категории.
Из URL Category список сайтов переезжает в URL Filtering
Из URL Category список сайтов переезжает в URL Filtering
Запрещенные сайты так же не доступны
Запрещенные сайты так же не доступны
Warning: Rule ‘URL’: No valid URL filtering license,
(Module: device)

Напоминаю, что без лицензии категории сайтов не работают, остается вариант только с кастомными URL категориями, где мы либо разрешаем что знаем точно, либо запрещаем.

Без лицензии так же не работает остальной функционал антивирусов и защиты 🙂
Так как m.vk.com так же продолжает работать - можно заблокировать wildcard домен *.vk.com и исключить app vkontakte-base
Так как m.vk.com так же продолжает работать — можно заблокировать wildcard домен *.vk.com и исключить app vkontakte-base

Antivirus

Копия default запрещаем или логирует трафик с обнаруженными вирусами
Копия default запрещаем или логирует трафик с обнаруженными вирусами

Anti Spyware

Копия strict для защиты от шпионского ПО
Копия strict для защиты от шпионского ПО

Vulnerability Protection

Копия strict для предотвращения атак
Копия strict для предотвращения атак

File Blocking

Копия basic file blocking для блокирования скачивания файлов
Копия basic file blocking для блокирования скачивания файлов

Wildfire Analysis

Копия default для отправки файлов в песочницу для анализа
Копия default для отправки файлов в песочницу для анализа

Security Profile Groups

Собираем в единый профиль Security Profile Groups
Собираем в единый профиль Security Profile Groups
И применяем на правиле
И применяем на правиле с событием Allow

Расшифровка TLS/SSL

Сертификаты

Untrusted

Сертификат для не безопасных сайтов
Сертификат для не безопасных сайтов
Ставим свойство Forward Untrust Certificate
Ставим свойство Forward Untrust Certificate

CA

В корпоративной среде должен быть CA, с которого на Palo Alto импортируются сертификаты и ключи, но мы создадим на самой PAN-OS.
Создаем CA_Palo, которым будем подписывать остальные сертификаты
Создаем CA_Palo, которым будем подписывать остальные сертификаты
Указываем, что это Trusted Root CA
Указываем, что это
Trusted Root CA
Trusted
Создаем сертификат и подписываем CA_Palo
Создаем сертификат и подписываем CA_Palo
Назначаем Forward Trust Certificate, которым будем подписывать расшифрованные сайты
Назначаем Forward Trust Certificate, которым будем подписывать расшифрованные сайты

Профиль декрипта

Создаем отдельный профиль декрипта
Создаем отдельный профиль декрипта

Правило декрипта

Policies > DecryptionСоздаем правило декрипта трафика
Policies > Decryption
Создаем правило декрипта трафика
Palo Alto быстрый старт
Весь трафик из зоны trust
Весь трафик в зону untrust
Весь трафик в зону untrust
Все порты и категории
Все порты и категории
Используем созданный профиль декрипта
Используем созданный профиль декрипта

Проверка декрипта

При открытии сайта видим ошибку сертификата и нашу цепочку сертификатов, которую нужно установить на машину, либо раздать через доменную политику.
При открытии сайта видим ошибку сертификата и нашу цепочку сертификатов, которую нужно установить на машину, либо раздать через доменную политику.
После установки сертификата сайт начинает открываться с нашей цепочкой
После установки сертификата сайт начинает открываться с нашей цепочкой
К сожалению тестовый PA-200 не поддерживает TLS 1.3 из-за EOL
К сожалению тестовый PA-200 не поддерживает TLS 1.3 из-за EOL
Создадим исключение декрипта на листе URL_Nodecrypt
Создадим исключение декрипта на листе URL_Nodecrypt
И применим в правиле выше
И применим в правиле выше
С No Decrypt
С No Decrypt
Декрипт позволяет расшифровать трафик для проверки на вирусы и другие типы атак.

Остальной функционал

Palo Alto имеет множество функций защиты и управления удаленным доступом сотрудников, например Global Protect позволяет проверять наличие антивируса, его статус и актуальность баз, а так же обновления операционной системы.

User-id определяет доменных пользователей и позволяет делать правила относительно них и групп безопасности.

App-id определяет тип трафика по приложениям, например ssl или google-base, позволяя ограничить часть функций ресурса.

Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik
Настройка MikroTik