Mise en route : Mise en place de votre pare-feu

294561

Created On 09/25/18 18:56 PM - Last Modified 01/16/20 08:35 AM

Resolution

J’ai déballé mon pare-feu, maintenant ce qui ?

Après le déballage de votre tout nouveau pare-feu de Palo Alto Networks, ou après une réinitialisation d’usine, l’appareil est dans un état vide avec rien mais la configuration minimale et une image du logiciel qui est installée en usine. Où allez-vous? Notre première tranche dans la nouvelle série Getting Started vous guide à travers les tout premiers stades de la préparation de votre pare-feu pour l'opération.

Nous allons faire un regard sur comment se connecter au pare-feu, pour la première fois, comment configurer les licences donc vous pouvez télécharger le contenu et les nouveaux logiciels et comment préparer votre première stratégie de sécurité.

La première chose que vous voudrez configurer est l’adresse IP de gestion, qui rend plus facile de continuer la configuration de votre nouvel appareil par la suite.

1. Configuration initiale

Les deux méthodes disponibles pour se connecter sur le nouveau périphérique est soit via un câble réseau sur le port de gestion ou d’un câble ethernet à db-9 console.

Lors de l'utilisation du portde gestion, la station de travail que vous utiliserez doit être reconfigurée de sorte que son interface réseau ait une adresse IP dans la plage IP 192.168.1.0/24, car l'IP par défaut du port de gestion sera 192.168.1.1.

Lorsque vous utilisez un câblede console, réglez l'émulateur de terminal sur 9600Baud, 8 bits de données, 1 bit d'arrêt, parité aucun, VT100. Si vous utilisez Putty, il devrait venir avec la configuration appropriée si le type de connexion est défini sur Serial.

Après avoir préparé les câbles et le poste de travail, branchez l’appareil à une prise électrique et regardez le démarrage du pare-feu vers le haut.

La console affiche la séquence d’amorçage :

                Bienvenue à PanOS
Starting udev: [OK] réglage de l'
horloge (UTC): Wed Oct 14 11:10: 53 PDT 2015 [OK]
paramètre HostName 200: [OK]
vérification des systèmes de fichiers:
 exécution du système de fichiers check on sysroot0: [OK]
 exécution du système de fichiers check on pancfg: [OK]
 exécution du système de fichiers check on panrepo: [OK]
[OK] le remontage des
fichiers Roots TEM en lecture-écriture mode: [OK]
Activation/etc/fstab swaps: [OK]
init: entrée runlevel: 3
entrée non-interactive démarrage de
mise en réseau: [OK]
démarrage du système Logger: [OK]
démarrage du noyau Logger: [OK]
....

Après que le périphérique est démarré, une invite de connexion s’affiche dans la connexion de la console et les connexions SSH ou SSL peuvent être établies à 192.168.1.1.

Nous allons mettre en évidence la console et le SSH à l’étape 1.1. et l’Interface utilisateur graphique ou GUI à l’étape 1.2.

1.1. Connexion de console et SSH

Le nom d'utilisateur et le mot de passe par défaut sont admin/admin, donc nous allons aller de l'avant et se connecter pour révéler la CLI. De là, nous allons commencer mise en place la bonne adresse IP et le sous-réseau pour l’appareil et la passerelle par défaut et les paramètres DNS, donc l’unité peut recueillir les mises à jour plus tard.

login as: admin
à l'Aide du clavier-authentification interactive.
 Mot de passe:
Last Login: Wed Oct 14 11:57:  16 2015 de 192.168.1.168
Avertissement: votre périphérique est toujours configuré avec les informations d'identification du compte admin par défaut. Veuillez changer votre mot de passe avant le déploiement. 
admin @ PA-200 > configurer
entrer en mode configuration
[Edit]
admin @ PA-200 # Set deviceconfig système IP-adresse 10.0.0.10 netmask 255.255.255.0 par défaut-Gateway 10.0.0.1 DNS-Setting serveurs primaires 4.2.2.2

Utilisez la commande Commit pour appliquer les nouveaux paramètres au système.

admin @ PA-200 # commit


.................. 55%... 60% 75%. 99%........... 100%
configuration validée avec succès

[Edit]

À ce stade, vous perdrez SSH et SSL accéder à l’appareil, comme l’adresse IP a été modifiée et le service de gestion redémarré d’adopter ces modifications. Maintenant, vous devez vous reconnecter à la nouvelle adresse IP-S'il vous plaît passer à l'étape 1,3.

1.2. Programme d’installation initiale de l’interface Web

Lors de votre première connexion à l’interface web, votre navigateur peut afficher un message d’erreur. C’est parce que le certificat utilisé par l’interface web est un certificat auto-signé, que votre navigateur ne fait pas confiance. Vous pouvez ignorer le message d’erreur à ce moment, qui vous emmène ensuite à l’écran de connexion :

Connectez-vous, en utilisant le nom d'utilisateur et mot de passe par défaut admin/admin, puis accédez à L'onglet Device. Sélectionnez Configuration dans le volet gauche, puis sélectionnez gestion, où vous pouvez modifier les paramètres d’Interface de gestion :

Modifier la configuration de l’interface, puis cliquez sur OK.

Ensuite, sélectionnez l’onglet Services et configurer un serveur DNS.

Pour compléter cette étape et appliquer les modifications à l’appareil, cliquez sur le lien de validation en haut à droite :

Une fois la validation terminée, le navigateur éventuellement expire comme l’adresse IP a changé, donc vous aurez besoin de modifier manuellement l’adresse dans la barre d’adresse pour se reconnecter à la nouvelle adresse IP.

1.3 pour terminer la première étape

Le pare-feu est maintenant configuré avec une adresse IP appropriée pour travailler dans votre réseau LAN, alors allez-y et connectez les câbles :

Connecter l’Interface 1 au routeur
2 Interface pour connecter le commutateur
L’interface de gestion (mgmt) pour connecter le commutateur

Vous devriez être capable de se connecter à l’adresse IP de gestion du réseau, et vous devriez être capable de surfer sur Internet.

2. Préparer les licences et mise à jour du système

Pour pouvoir télécharger des contenus et mises à jour ou mises à niveau logicielles, le système a besoin d’être autorisés. Diverses licences contrôlent les différentes fonctions du système, de sorte que le—

la licence de support autorise le système à des mises à jour logicielles et AppID
ThreatPrevention licence ajoute des virus, des menaces et des signatures de malware
licence URL active les catégories d'URL à utiliser dans les stratégies de sécurité

Si le périphérique n'a pas encore été enregistré sur le portail de support, veuillez suivre les étapes ci-dessous pour enregistrer l'appareil: Comment enregistrer un appareil de Palo Alto Networks, de rechange, de casiers ou de la série VM-code auth

Accédez à l’onglet périphérique et sélectionnez licences dans le volet de gauche :

Si l'appareil a été enregistré à l'Aide de la méthode ci-dessus et que les codes d'Authentification ont déjà été ajoutés, allez-y et sélectionnez récupérer les clés de licence du serveur de licences.

Si l'appareil a été enregistré mais qu'aucune licence n'a encore été ajoutée, sélectionnez activer la fonctionnalité en utilisant le code d'autorisation pour activer une licence par le biais de son code d'autorisation, que vous aurez reçu de votre contact de vente de Palo Alto.

Après que les licences ont été correctement ajoutée, la page licences ressemble à ceci :

Maintenant vous êtes prêt à commencer la mise à jour le contenu sur cet appareil, alors accédez à l’onglet périphérique, puis sélectionnez les mises à jour dynamiques dans le volet gauche.

La première fois que cette page s’ouvre, il n’y aura aucun package visible par téléchargement. Le système doit d'abord chercher une liste des mises à jour disponibles avant qu'il puisse afficher ceux qui sont disponibles, alors sélectionnez Check Now.

Lorsque le système récupère la liste des mises à jour disponibles, le package d’Applications et de menaces devient disponible. Vous remarquerez peut-être que le package antivirus est manquant, car il n'apparaît qu'après avoir téléchargé et installé le package applications et menaces.

Après avoir téléchargé le package, aller de l’avant et l’installer sur le système.

Lorsque le package applications et menaces a été installé, exécutez un autre contrôle dès maintenant pour récupérer le package antivirus.

Maintenant, téléchargez et installez le package Antivirus juste comme vous l’avez fait avec le package d’Applications et de menaces.

Avec ces tâches accomplies, c’est le bon moment pour définir un calendrier pour chaque paquet d’être automatiquement téléchargées et installées à un moment qui vous convient. Contenu mises à jour peuvent être installés au cours de la production et ne pas interrompre les sessions existantes, alors il est sûr d’appliquer les mises à jour pendant la journée. Cependant, la plupart des organisations optent pour effectuer des mises à jour pendant la nuit ou les heures creuses pour minimiser les risques.

Définir un calendrier en cliquant sur le calendrier à côté de l’annexe :

Après avoir réglé les annexes appropriées, validez la modification.

Remarque: le paramètre seuil est un nombre d'heures à retenir avant qu'un commit ne soit enfoncé et que le package soit installé. À l’expiration de la cale à un autre contrôle est effectué pour vérifier l’emballage est toujours disponible ou a été mis à jour avec une version plus récente. Si le même colis est toujours disponible sur le serveur de mise à jour, il est installé. Si un paquet plus récent est disponible, il est téléchargé et le seuil de minuterie est réinitialisée.

Une fois la validation terminée, aller de l’avant et à moderniser le système à un PAN-système d’exploitation plus récent, dans le cas où l’unité est installée sur un système d’exploitation plus ancien.

Dans l’onglet périphérique, ouvrez la section logiciels. La première fois que vous accédez à cet onglet, un popup n'affiche aucune information de mise à jour disponible, car le système n'a aucun contact précédent avec le serveur de mise à jour et ne sait pas quelles mises à jour sont disponibles. Allez-y et fermer cette fenêtre contextuelle, puis sélectionnez Vérifier maintenant.

La partie suivante peut varier sur quelle version est actuellement active sur votre appareil. Si votre pare-feu est déjà en cours d’exécution 7.1.0 ou supérieur, vous devrez peut-être seulement installer la dernière version de maintenance. Si votre pare-feu est actuellement sur 6.1. x, vous allez télécharger PAN-OS 7.0.1 et le dernier 7.0. x. Pour permettre à de petites mises à jour cumulatives, la première image dans un train de code principal est utilisée comme une image de base. Des mises à jour ultérieures ou les versions de maintenance, sont plus petites et contiennent pour la plupart des mises à jour.

Installer 7.0.2 dans cette instance, mais allez-y et sélectionner une version plus récente si disponible., une fois l’installation terminée, répétez les étapes pour aller jusqu'à la prochaine version majeure jusqu'à ce que la sortie désirée est atteinte.

Lorsque vous cliquez sur installer, un avertissement peut s’afficher. Cliquez sur OK sur le message et continuer l’installation.

Une fois l’installation terminée, redémarrez le pare-feu pour activer le nouveau PAN-OS.

Dans le cas où l’appareil est installé avec une version antérieure à la version principale précédente directement les principaux plus récente actuellement disponible version, ainsi, dans cet exemple si le pare-feu était préinstallé dans PAN-OS 6.0, il faudrait tout d’abord installer les prochaines grandes version 6.1, avant de pouvoir mettre à niveau vers 7.0 et ainsi de suite.

3. Préparer des profils de sécurité

Le système est livré avec un profil de sécurité par défaut dans chaque catégorie.

Pour l’instant, vous allez commencer la configuration avec ces profils prédéfinis, à l’exception de filtrage d’URL.

Une fois que vous vous sentez prêt à le «kick up un cran» S'il vous plaît consulter ce tutoriel: optimisation de votre politique de sécurité

Accédez à l’onglet objets, sélectionnez les profils de sécurité > filtrage d’URL et ajouter un nouveau profil de filtrage d’URL.

Dans cette première URL personnalisée profil de filtrage, commencer en définissant toutes les actions d’alerte plutôt que d’autoriser, comme l’action autoriser ne crée pas une entrée de journal de filtrage d’URL. Définir des actions d’alerte pour avoir un aperçu du genre de happening sur le réseau de navigation web.

Tous les autres profils par défaut devraient fournir déjà une couverture suffisante pour sécurité de réseau et pour les sessions offensives deviennent visibles dans les journaux appropriés. Ensuite, vous préparerons le groupe d’applications indésirables.

4. Applications

Après avoir téléchargé les packages de mise à jour, le pare-feu contient un grand nombre d'applications que vous pouvez utiliser pour créer une stratégie de sécurité, mais ces applications sont également chargées de métadonnées utiles pour créer des groupes d'applications en fonction de leur comportement, appelé une application Filtrer. Plutôt que de devoir ajouter des applications à un groupe et de tenir à jour la liste manuellement, le filtre d’application ajoute automatiquement des nouvelles demandes qui correspondent à un certain comportement pour le filtre d’application, permettant à la politique de sécurité à prendre les mesures appropriées.

Créer un filtre d’application avec un comportement indésirable pour la première politique. Allez dans l’onglet objets, puis sélectionnez les filtres d’Application.

Par exemple, vous allez créer un filtre d'application appelé peer-to-peer, où vous ajoutez toutes les applications qui correspondent au partage de fichiers sous-catégorie et à la technologie Peer -to-peer.

Maintenant vous êtes prêt à mettre en place votre première stratégie de sécurité et de regarder les journaux, mais d’abord, nous allons prendre un rapide détour à regarder la configuration du réseau.

5. Configuration du réseau

Si vous accédez à l’onglet réseau et regardez les Interfaces, vous verrez que les interfaces 1 et 2 sont toutes deux établies à titre fil virtuel, ou vwire, et sont tous deux ajoutés à la valeur par défaut-vwire.

Un vwire a quelques avantages intéressants sur les autres types de configurations d’interface : il est considéré comme un bosse au-fil-, qui nécessite pas d’adresse IP sur l’interface et sans configuration de routage. Il peut simplement être branché entre votre routeur et commutateur pour démarrer en passant de trafic. Nous allons couvrir les autres types d’interface dans les prochains articles, mais pour l’instant, nous allons coller avec la configuration vwire.

Si les interfaces sont rouges, ils ne sont pas raccordés à un dispositif actif, assurez-vous qu’ethernet1/1 est relié à votre routeur sortant et ethernet1/2 est relié au commutateur interne et les deux interfaces sont verts.

6. Exploitation forestière et la politique de sécurité

Maintenant que vous avez préparé votre appareil, nous allons examiner les stratégies de sécurité et mis en place une configuration initiale qui permet la bonne circulation de sortir et de la mauvaise circulation doit être bloquée.

La politique de sécurité initiaux permet simplement de tout le trafic sortant, sans inspection. Il y a deux règles par défaut qui permettent intrazone et bloquent le trafic interzone. Nous vais zoomer sur ces deux derniers lors d’une séance à venir car ils ne sont pas actuellement pertinentes à le vwire.

Démarrez en éditant règle1 et rendent la règle du bloc « mauvaises applications » :

Laissez la source et destination telles quelles.

En vertu de l’Application > filtre d’Application, sélectionnez peer-to-peer. Il permet de taper le nom de l'application ou du groupe que vous souhaitez ajouter,pas besoin de faire défiler toutes les applications:

Sous Actions, définir l’action à refuser que vous n’aimez pas-to-peer et cliquez sur OK.

Ensuite, vous allez créer une stratégie de sécurité pour permettre à tout le reste dehors. Nous vous recommandons d'ajouter des applications à la règle «autoriser» plus tard, mais pour l'instant, nous allons bloquer seulement les applications que nous savons que nous n'aimons pas et permettre le reste, de sorte que vous pouvez obtenir une visibilité sur le type de trafic qui passe sur Internet et décider si vous voulez bloquer plus d'applications sur la ligne.

Sous source, sélectionnez Trust comme zone source associée à l'Interface 2, qui est connectée au commutateur LAN.

Sous destination, sélectionnez non- confiance comme zone associée à l'Interface 1 et connectée au routeur Internet.

Laissez le appliactions comme tout pour le moment.

Sous Actions, vous allez ajouter des profils de sécurité pour activer l’analyse des connexions sortantes pour un contenu malveillant ou d’appliquer aux sessions de navigation de filtrage d’URL.

La politique de sécurité devrait maintenant ressembler à ceci. S’assurer que la politique d’accès à Internet se trouve sous la stratégie de la bad-applications-blocage, comme la politique de sécurité est traitée haut vers le bas pour chaque nouvelle connexion et la première correspondance positive s’applique. Si la stratégie de la bad-applications-bloc se trouve au-dessous de la règle d’accès à Internet, les applications peer-to-peer seront autorisées.

Maintenant, allez-y et valider ces modifications et accédez à l’onglet moniteur. Lorsque l’opération de validation est terminée, les journaux commencent remplissage avec intéressant journal de trafic, URL journaux et journaux de la menace, si des infections sont détectées.