Transcripción

Hola a todos, este es ion Ermurachi del TAC (centro de asistencia técnica) en Ámsterdam.

En este vídeo, me gustaría demostrar cómo se puede configurar el dominio de acceso panorámico para limitar el acceso administrativo.
El usuario para acceder a la Asociación de dominios se obtendrá dinámicamente desde un servidor de RADIUS de Cisco ISE. Antes de saltar a la configuración, vamos a entender lo que el dominio de acceso significa en panorama.

Estoy accediendo a la GUI de panorama con la cuenta admin, que tiene el rol de superusuario. Básicamente, puedo añadir, modificar, ver o eliminar cualquier cosa, no se aplican restricciones.

Por ejemplo, para un rol de superusuario, la cuenta de superusuario, puedo ir a cualquier grupo de dispositivos y puedo agregar una regla de directiva de seguridad.
Pero en un entorno de múltiples inquilinos, o una gran empresa donde los recursos que se manejan tienden a aumentar con el tiempo, tiene sentido proporcionar a los usuarios un acceso administrativo limitado. Así, por ejemplo, user1 o Company1 podrían tener acceso a sólo firewal1; y el usuario 2 o company2 sólo puede acceder a cualquier cosa relacionada con firewal2. Déjenme mostrarles un ejemplo de trabajo.

En el mismo panorama, el usuario Dima tiene acceso al dominio sólo para Firewall1 y el usuario Sandu tiene acceso sólo para firewall 2.
Vamos a entrar con estas cuentas.

Cargando.

Por tanto, el usuario Dima sólo tiene acceso a recursos relacionados con Firewall1, context, ACC, monitor, grupos de dispositivos, plantillas y panorama.
Pero el usuario Sandu sólo tiene acceso a los recursos de Firewall 2, context, ACC, monitor, grupos de dispositivos , plantillas y panorama.

Vamos a seguir adelante con la configuración. Ir a panorama, cargar la configuración básica, Commit, cerrar.

La función de dominio de acceso, necesita un perfil de rol de Administrador creado primero. El perfil de rol admin especifica el acceso que el usuario puede tener dentro de un dominio de acceso.

Voy a crear 2 perfiles de función de administración:

• Primero será FW1-admin-papel. La función será el grupo de dispositivos y la plantilla y voy a permitir cualquier Acccess.
• El siguiente perfil de función de administración será FW2-admin-rol y de nuevo "grupo de dispositivos y plantilla" será elegido.
  
  

A continuación, crearemos 2 dominios de acceso:

• El primero de ellos será FW1-Access-Domain, sólo tendrá acceso a FW1-Template, y cambiará el contexto sólo para FW1 y escribir a objetos compartidos.
• El segundo dominio será para FW2-Access-Domain, plantilla sólo para FW2 y cambiar el contexto del dispositivo sólo para FW2. Y me olvidé de cambiar el objeto compartido para escribir. Asumo aquí que ambos usuarios están trabajando en la misma compañía y pueden escribir a los objetos compartidos.

A continuación, podemos especificar la configuración del servidor RADIUS, he configurado aquí un servidor ISE, 10.193.113.73 dirección IP.
A continuación, haga referencia a este servidor dentro de un perfil de autenticación. Puede ver el nombre de Perfil de autenticación, el tipo de autenticación, el radio de protocolo utilizado y el perfil de servidor ISE-Server; y no estamos interesados en la lista de allow. Vamos a configurar todo.

A continuación, vaya a configuración > gestión > autenticación setttings para panorama. Aquí tienes que añadir en el perfil de autenticación configurado anteriormente. A continuación, confirmar configuración para panorama.

Eso es todo para la configuración de panorama.

A continuación, vamos a hablar de radio y lo que sucede en el cable.

Tomé una captura de paquete antes de grabar este video, cuando estaba haciendo mis pruebas. Panorama redireccionará la autenticación al servidor RADIUS, en este caso, Cisco ISE a través de un paquete RADIUS de solicitud de acceso RADIUS. Se proporcionará el nombre de usuario, el perfil de autenticación como identificador de NAS y la dirección IP del panorama. Como respuesta, había un acceso-acepte.

Así que aquí está el nombre de usuario que trató de autenticar, y lo que es importante tener en cuenta es los atributos específicos del proveedor que se devuelven a panorama. Así que dentro de VSA #3 se devuelve el rol de administrador de firewall y dentro de VSA #4 se devuelve FW1-Access-domain. Son estos atributos, el número 3 y el número 4.

Procedamos con la configuración de Ise.

Iremos a administración de dispositivos, recursos de red. Ya he añadido panorama como un dispositivo de red. Dale un nombre, una dirección IP y un secreto compartido.

He creado también los 2 usuarios: Dima-FW1-Access-Domain y Sandu-FW2-Access-domain. A continuación, vaya a los diccionarios de directiva >, vaya al sistema y busque los proveedores RADIUS de RADIUS. He definido el PaloAltoNetworks como un proveedor en diccionarios y los atributos específicos del proveedor admitidos en el momento de la grabación.

A continuación, vaya a autorización > elementos de directiva > resultados > autorización > perfil de autorización. Haga clic en agregar y nombrarlo PANW-FW1-Access-Domain; Tipo de acceso > acceso-aceptar; Perfil de dispositivo de red PaloAltoNetworks. Ahora, vaya a diccionarios y elija PaloAltoNetworks. Vamos a utilizar el dominio de acceso. El dominio de acceso lo copiaremos de panorama y lo pegaremos en la GUI de Ise. Y vamos a necesitar el nombre del perfil de función admin de panorama GUI, copiar y volver a ISE. Estos son los atributos que acabamos de añadir.

El perfil de autorización siguiente será PANW-FW2-Access-Domain, acceso-acepte, perfil de dispositivo PANW-Device-Profile.
Vaya a diccionarios y elija acceso-dominio. Vaya a panorama y copie FW2-Access-Domain, luego péguelo en la GUI de ISE. Vaya a los siguientes atributos, admin-role-Profile-copie el valor de panorama.

Vaya para el siguiente atributo, que es el perfil admin-rol PaloAlto-panorama-admin-role. Volver a panorama y copiar el FW2-admin-rol y luego volver a ISE y pegarlo en la GUI.

Compruebe las reglas de autenticación. No coincidiremos con MAB o DO1X, la regla predeterminada se igualará. ' Protocolos permitidos ' es el acceso de red predeterminado, que incluye los protocolos PAP y radio CHAP. Todos los almacenes de identidad del usuario incluyen la tienda local.

Podemos seguir adelante con las reglas de autorización.

Vamos a añadir 2 reglas, una coincidencia de usuario Dima-FW1-Access-Domain y una coincidencia de arena-FW2-acceso-dominio.
El setttings se puede tomar de las capturas de paquetes. Agregaré 3 ajustes para emparejar: username, NAS-Identifier, que es el perfil de autenticación definido en panorama, y la dirección IP del panorama.

Para el usuario Dima, vaya a permisos. Voy a elegir el perfil estándar y PANW-FW1-Access-domain.

A continuación, voy a ir con la creación de una segunda regla, un usuario coincidente Sandu-FW2-Access-domain. Y para el perfil de autorización, voy a elegir el perfil estándar. El que definimos anteriormente es PANW-FW2-Access-domain. Eso es todo para la configuración de ISE.

Hagamos una prueba rápida y validemos nuestra configuración:

• Dima-FW1-Access-Domain, login. Y, Sandu-FW2-Access-Domain, login.
• el usuario Dima-FW1 a la izquierda y el usuario Sandu-FW2 a la derecha.
• El usuario Dima sólo tiene acceso al grupo de dispositivos FW1-Device-Group. Anywere usted va a ir no verá nada relacionado con FW2, sólo FW1.
• Lo mismo se puede ver para el usuario Sandu-FW2-Access-Domain, panorama Managed Device FW2, Same para las plantillas y el dispositivo y el mismo para los grupos de dispositivos.
  
  

Una comprobación más rápida es los registros del sistema panorámico. Ir al sistema de monitor >. Esta es la autenticación para el usuario Dima-FW1-Access-Domain, dirección IP del servidor ISE. Y aquí tenemos FW1-admin-rol y FW1-Access-domain. Mismo para el usuario Sandu.

Para ISE, podemos ir a operaciones > registros en vivo. Y así es como se ven los detalles del registro de autenticación. Le puede decir qué es la policía authentiaction, cuáles fueron las reglas de autorización, y el almacén de identidad. Éste era el nombre de usuario, la regla de autorización y el perfil de autorización devuelto (y por supuesto, era un acceso-aceptar fue devuelto).

Y hemos llegado al final de nuestro video. Una vez más, este es ion, gracias por ver, y nos vemos en el siguiente video.