Introducción al vídeo - Configuración de su Firewall

Introducción al vídeo - Configuración de su Firewall

74012
Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:04 PM


Symptom


I"he desempacado firewall mi, ¿ahora qué?

Después de desempaquetar su firewall nuevo, o después de un restablecimiento de fábrica, el dispositivo está en un estado en blanco con nada más que la configuración mínima y una imagen de software que está instalada en la fábrica. ¿Adónde vas desde aquí? Nuestra primera entrega de la nueva serie "Get Started" te guía a través de las primeras etapas de preparación para tu firewall operación.

Resolution





Echaremos un vistazo a cómo conectarse a la firewall primera vez, cómo configurar licencias para que pueda descargar nuevo software y contenido, y cómo preparar su primera policy seguridad.

Lo primero que querrá configurar es la dirección de IP administración, lo que facilita la configuración del nuevo dispositivo más adelante.

1. Configuración inicial

Los dos métodos disponibles para conectar al nuevo dispositivo o está utilizando un cable de red en el puerto de administración o un cable de ethernet-a-db-9 consola.

  • Al utilizar el puerto de administración, la estación de trabajo que va a utilizar debe ser reconfigurada para que su interfaz de red tenga una IP dirección en el rango 192.168.1.0/24, ya que el valor predeterminado del puerto de administración será IP IP 192.168.1.1.
  • Cuando utilice un cable de consola, establezca el emulador de terminal en 9600baud, 8 bits de datos, 1 bit de parada, paridad ninguno, VT100. Si utiliza PuTTY, debe venir con la configuración adecuada si el tipo de conexión está establecido en Serie.

Después de preparar los cables y la estación de trabajo, conecte la unidad a una toma de corriente y observe el firewall arranque.

La consola emite la secuencia de arranque:

           Welcome to PanOS
Starting udev: [  OK  ]
Setting clock  (utc): Wed Oct 14 11:10:53 PDT 2015 [  OK  ]
Setting hostname 200:  [  OK  ]Checking filesystems:
   Running filesystem check on sysroot0: [  OK  ]
   Running filesystem check on pancfg: [  OK  ]
   Running filesystem check on panrepo: [  OK  ]
[  OK  ]
Remounting root filesystem in read-write mode:  [  OK  ]
Enabling /etc/fstab swaps:  [  OK  ]
INIT: Entering runlevel: 3
Entering non-interactive startup
Starting Networking: [  OK  ]
Starting system logger: [  OK  ]
Starting kernel logger: [  OK  ]
....
 

Después de arrancar el dispositivo, se muestra un mensaje de inicio de sesión en la conexión de la consola SSH o se pueden realizar conexiones al SSL 192.168.1.1.

Destacaremos la consola y en el SSH paso 1.1. y la interfaz gráfica de usuario ( ) en el GUI paso 1.2.

1.1. Consola y SSH conexión El nombre de usuario y la contraseña

predeterminados son admin/admin,por lo que seguiremos adelante e iniciaremos sesión para revelar el CLI archivo . A partir de aquí, empezaremos a configurar la dirección y la subred adecuadas IP para el dispositivo, así como la puerta de enlace y la DNS configuración predeterminadas, para que la unidad pueda recopilar actualizaciones más adelante.

login as: admin
Using keyboard-interactive authentication.
Password:
Last login: Wed Oct 14 11:57:16 2015 from 192.168.1.168
Warning: Your device is still configured with the default admin account credentials. Please change your password prior to deployment.
admin@PA-200> configure
Entering configuration mode
[edit]
admin@PA-200# set deviceconfig system ip-address 10.0.0.10 netmask 255.255.255.0 default-gateway 10.0.0.1 dns-setting servers primary 4.2.2.2


Utilice el comando commit para aplicar la nueva configuración al sistema.

admin@PA-200# commit


..................55%...60%75%.99%...........100%
Configuration committed successfully

[edit]

En este momento, perderá y tendrá acceso al dispositivo, ya que SSH se cambió la dirección y se SSL IP reinició el servicio de administración para adoptar estos cambios. Ahora usted necesita volver a conectar con la nueva IP dirección— por favor salte al paso 1.3.

1.2. Configuración inicial de la interfaz web

Al realizar su primera conexión a la interfaz web, el explorador puede mostrar un mensaje de error. Esto es porque el certificado utilizado por la interfaz web es un certificado autofirmado que no confía en su navegador. Puede ignorar de forma segura el mensaje de error en este momento, que luego le lleva a la pantalla de inicio de sesión:

Iniciar sesión, utilizando el nombre de usuario predeterminado y el administrador / administrador de contraseñas.

Navegue a la configuración del dispositivo > > administración, donde usted puede cambiar la configuración de la interfaz de administración:
  • Cambie la configuración de la interfaz y haga clic en OK .
  • A continuación, seleccione la pestaña Servicios y configure un DNS servidor.
  • Aplique cambios en el dispositivo, haga clic en el enlace Confirmar en la parte superior derecha: 
Una vez completada la confirmación, el navegador finalmente agota el tiempo de salida a medida que la IP dirección ha cambiado, por lo que deberá cambiar manualmente la dirección de la barra de direcciones para volver a conectarse al nuevo IP archivo .

1.3 Terminando el primer paso

El ahora está configurado con una dirección adecuada para trabajar en su firewall IP LAN red, así que adelante y conecte los cables:
  • 1 interfaz de conectar al router
  • Conecte la interfaz 2 al conmutador
  • Conecte la interfaz de administración (mgmt) al Switch
Usted debe ser capaz de conectarse a la gestión IP desde la red, y usted debe ser capaz de navegar a Internet.

2. Preparación de las licencias y actualización del sistema

Para poder descargar contenido y actualizaciones de aplicaciones o actualizaciones de software, es necesario licenciar el sistema. Diversas licencias controlan las diferentes funciones del sistema,
  • La licencia de soporte da derecho al sistema a actualizaciones de software y AppID
  • Licencia ThreatPrevention añade firmas de virus, amenazas y malware
  • URL licencia permite URL categorías para su uso en políticas de seguridad
Si el dispositivo aún no se ha registrado en el portal de soporte, siga estos pasos para registrar el dispositivo: Cómo registrar un dispositivo palo alto networks, repuesto o código de autenticación de Traps VM- serie

Vaya a la pestaña Dispositivo y seleccione Licencias en el panel izquierdo:
  • Si el dispositivo se ha registrado utilizando el método anterior y los códigos de autenticación ya se han agregado, siga adelante y seleccione Recuperar claves de licencia del servidor de licencias.
  • Si el dispositivo estaba registrado pero aún no se han añadido licencias, seleccione Activar función utilizando código de autorización para activar una licencia a través de su código de autorización, que habrá recibido de su contacto de ventas de Palo Alto.

Ahora está listo para comenzar a actualizar el contenido de este dispositivo, así que vaya al dispositivo > actualizaciones dinámicas.

2.1 Actualización del contenido

La primera vez que se abra esta página, no habrá paquetes visibles para su descarga. El sistema primero tendrá que obtener una lista de las actualizaciones disponibles antes de poder mostrar cuáles están disponibles, así que seleccione Comprobar ahora.

Cuando el sistema recupera una lista de actualizaciones disponibles, el paquete Aplicaciones y Amenazas estará disponible. Usted puede notar que falta el paquete AntiVirus. Solo aparece después de descargar e instalar el paquete aplicaciones y amenazas.

Después de descargar el paquete, siga adelante e instálelo en el sistema.

Cuando se haya instalado el paquete Aplicaciones y amenazas, ejecute otro Comprobar ahora para recuperar el paquete antivirus.

Ahora descargue e instale el paquete Antivirus al igual que lo hizo con el paquete Aplicaciones y Amenazas.

2.2 Establecer un horario

Con estas tareas completadas, este es un buen momento para establecer una programación para que cada paquete se descargue e instale automáticamente en un momento que sea conveniente para usted. Contenido puede ser instalado durante la producción y no interrumpir las sesiones existentes, así que es seguro aplicar actualizaciones durante el día. Sin embargo, la mayoría de las organizaciones optan por realizar actualizaciones durante la noche o fuera de horario para minimizar el riesgo.

Establezca una programación haciendo clic en el marco temporal situado junto a la programación.

Después de establecer las programaciones adecuadas, confirme el cambio.

2.3 Actualización del sistema

Una vez completada la confirmación, siga adelante y actualice el sistema a un más reciente PAN-OS en caso de que la unidad esté instalada en un archivo OS .

Vaya al software de > del dispositivo. La primera vez que accede a esta pestaña, aparece una ventana emergente Sin información de actualización disponible, porque el sistema no tiene contacto previo con el servidor de actualizaciones y no sabe qué actualizaciones están disponibles. Siga adelante y cierre esta ventana emergente y, a continuación, seleccione Comprobar ahora.

Consulta la BEST PRACTICES GUIDE FOR PAN-OS UPGRADE para obtener más información sobre cómo actualizar el dispositivo correctamente.

3. Preparación de perfiles de seguridad

El sistema viene precargado con un perfil de seguridad predeterminado en cada categoría.

Por ahora, iniciará la configuración con estos perfiles predeterminados, excepto para URL el filtrado. Vaya a la pestaña Objetos, seleccione Perfiles de seguridad > URL Filtrado y agregue un nuevo perfil de URL filtrado.

En este primer URL perfil de filtrado personalizado, comience estableciendo todas las acciones para alertar en lugar de permitir, ya que la acción allow no crea una URL entrada de registro de filtrado. Establezca acciones para alertar para obtener información sobre el tipo de navegación web que ocurre en la red.

Todos los demás perfiles predeterminados ya deben proporcionar suficiente cobertura para la seguridad de la red y para que las sesiones ofensivas se vuelvan visibles en los registros adecuados. A continuación, preparará el grupo de aplicaciones no deseadas.

4. Aplicaciones

Después de descargar paquetes de actualización, contiene una gran cantidad de aplicaciones que puede usar para crear firewall policy seguridad, pero estas aplicaciones también vienen cargadas con metadatos útiles para crear grupos de aplicaciones en función de su comportamiento, denominado filtro de aplicación. En lugar de tener que agregar manualmente aplicaciones a un grupo y mantener la lista actualizada, el filtro de aplicación agrega automáticamente nuevas aplicaciones que coinciden con un determinado comportamiento al filtro de la aplicación, lo que permite a la seguridad realizar las policy acciones adecuadas.

Cree un filtro de aplicación con un comportamiento indeseable para el primer policy archivo . Vaya a la pestaña Objetos y, a continuación, seleccione Filtros de aplicación.

Como ejemplo, creará un filtro de aplicación denominado punto a punto, donde agregará todas las aplicaciones que coincidan con el uso compartido de archivos de Subcategoría y tecnología punto a punto.

Ahora está listo para configurar su primera seguridad policy y mirar los registros, pero primero, vamos a tomar un desvío rápido para ver la configuración de red.

5. Configuración de red

Si usted navega a la lengueta de la red y mira las interfaces, usted ve que las interfaces 1 y 2 están configuradas como alambre virtual, o vwire, y ambos se agregan al vwire predeterminado.

A vwire tiene algunas ventajas interesantes sobre otros tipos de configuraciones de interfaz: se considera un bump-in-the-wire, que no requiere IP ninguna dirección en la interfaz y ninguna configuración de ruteo. Simplemente puede ser conectado entre el router y cambiar para comenzar a pasar tráfico. Cubriremos otros tipos de interfaz en los próximos artículos, pero por ahora, vamos a seguir con la configuración de vwire.

6. Seguridad policy y registro Ahora que ha preparado el

dispositivo, echemos un vistazo a las directivas de seguridad y configuremos una configuración inicial que permita que salga un buen tráfico y se bloquee el tráfico incorrecto.

La seguridad inicial policy simplemente permite todo el tráfico saliente, sin inspección. Hay dos reglas por defecto que permiten intrazone y bloquean el tráfico interzone. Ampliaremos estos dos últimos en una próxima sesión, ya que actualmente no son relevantes para el vwire.

Comience editando rule1 y consócelo como la regla de bloque de "aplicaciones incorrectas":

  • Deje la fuente y el destino como son.
  • Bajo la aplicación > filtro de aplicación, seleccione peer-to-peer. Ayuda a escribir el nombre de la aplicación o grupo que desea agregar,sin necesidad de desplazarse por todas las aplicaciones:
  • En Acciones, establezca la acción en Denegar como no le gusta punto a punto y haga clic en OK .
A continuación, creará una seguridad policy para permitir que todo lo demás salga. Le recomendamos que agregue aplicaciones a la regla 'permitir' más tarde, pero por ahora, vamos a bloquear sólo las aplicaciones que sabemos que no nos gustan y permitir el resto, por lo que puede obtener visibilidad sobre qué tipo de tráfico está pasando a Internet y decidir si desea bloquear más aplicaciones en la línea. 
  • Bajo origen, seleccione la confianza como la zona de origen asociada con la interfaz 2, que está conectada con el LAN Switch.
  • Bajo destino, seleccione la desconfianza como la zona asociada con la interfaz 1 y conectada con el router de Internet.
  • Deje las aplicaciones como Cualquiera por ahora. 
  • En Acciones, agregará perfiles de seguridad para habilitar el análisis de conexiones salientes en busca de contenido malintencionado o para aplicar URL el filtrado a las sesiones de exploración.
Asegúrese de que el acceso a Internet policy se coloca debajo del bloque de aplicaciones incorrectas, ya que la seguridad se procesa de arriba a abajo para cada nueva conexión y se aplica la primera coincidencia policy policy positiva. Si el bloque de aplicaciones incorrectas policy se encuentra debajo de la regla de acceso a Internet, se permitirán aplicaciones punto a punto.

Ahora siga adelante y confirme estos cambios y navegue a la lengueta del monitor. Cuando se completa la operación de confirmación, los registros comienzan a llenarse de tráfico interesante, URL e información de amenazas, si se detecta alguna

I infección. Por favor, siéntase libre de dejar un comentario y echa un vistazo a nuestros otros episodios en la serie de introducción.

 

 


Saludos,
Tom Piens

Additional Information


Configuración del día 1: ¿Qué hace?

Al registrar un nuevo dispositivo al final del proceso de registro, aparece un nuevo paso opcional, que le pide que ejecute una configuración del día 1.

¿Qué hace este paso y cuáles son las ventajas de ejecutarlo?

La herramienta Configuración del día 1 ayuda a crear una configuración de línea base robusta proporcionando plantillas que introducen la configuración de procedimientos recomendados como base sobre la que se puede crear el resto de la configuración.

Las plantillas de configuración se basan en las recomendaciones de mejores prácticas existentes de Palo Alto Networks.

En lugar de documentación extensa y detallada de "procedimientos", las plantillas de configuración del día 1 proporcionan un modelo de configuración fácil de implementar que es agnóstico de casos de uso. El énfasis está en los elementos de seguridad clave, como: actualizaciones dinámicas, perfiles de seguridad, reglas y registro que deben ser coherentes en todas las implementaciones.
 

BLOG: DAY 1CONFIGURATION
DAY1 CONFIGURATION : WHAT DOES IT DO ?
BLOG: DAY CONFIGURATION TOOL FOR PANORAMA
VIDEO TUTORIAL: DAY 1CONFIGURATION TOOL
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CllmCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language