Palo Alto - Firewall - Configuração de gerenciamento do sistema

Este post auxilia na definição das configurações básicas para manutenção e gerenciamento dos firewalls de nova geração da Palo Alto. Relacionei abaixo os comandos necessários para colocar o appliance em operação. São definidos parâmetros básicos de rede como endereço da interface de gerência, hostname, default-gateway e outras configurações relacionadas aos serviços que serão utilizados pelo firewall. Todas as configurações reportadas estão relacionadas ao comando set deviceconfig system.

Definição do hostname e informação de domínio do appliance

 # set deviceconfig system hostname <name>

 # set deviceconfig system domain <value>

O nome é case-sensitive. Podem ser utilizados hiféns e underlines junto a letras e números. Para as definições de domínio deve ser informado o FQDN (Fully Qualified Domain Name) do firewall.


Definição de parâmetros relacionados à interface de gerência (MGT)

 # set deviceconfig system ip-address <ip_address> netmask <value>

 # set deviceconfig system default-gateway <gateway_ip_address>

 # set deviceconfig system speed-duplex (100Mbps-full-duplex | 1Gbps-full-duplex | auto-negotiate)

Definição de restrição de acesso ao appliance

 # set deviceconfig system permitted-ip <ip/netmask>

O comando permitted-ip restringe o acesso ao gerenciamento do firewall para os endereços IP definidos.


Definição de uma mensagem de boas vindas

 # set deviceconfig system login-banner <value>

O login-banner é uma mensagem de texto apresentada ao usuário na tela de login do firewall. É uma mensagem informativa que server de aviso para usuários ou de alerta para os desavisados que por ventura se deparem com a tela de autenticação do appliance.


Definição do time-zone

 # set deviceconfig system timezone <value>

Definição da localização geográfica

 # set deviceconfig system geo-location

Opções:
+ latitude    latitude coordinate
+ longitude   longitude coordinate


Definição de parâmetros do SNMP

 # set deviceconfig system snmp-setting snmp-system contact <value>

 # set deviceconfig system snmp-setting snmp-system location <value>

 # set deviceconfig system snmp-setting access-setting version (v2c | v3)

São definidos parâmetros de syslocation, contact e versão do SNMP. Na versão 2 é necessário apenas a definição da community-string, já na versão 3 informações de autenticação precisam ser definidas.

 # set deviceconfig system snmp-setting access-setting version v2c snmp-community-string <value>

ou

 # set deviceconfig system snmp-setting access-setting version v3 users <value>

Opções version v3:
+ authpwd   Authentication Protocol Password
+ privpwd   Privacy Protocol Password
+ view      Snmp View Name



Definindo configurações de Serviços
As definições abaixo estão relacionadas aos serviços que o firewall precisará utilizar na sua rede. Servidores de DNS (Domain Name System), NTP (Network Time Protocol) e Proxy. Para cada um destes serviços é possível indicar uma interface a qual o firewall utilizará para alcançá-los. Por default, a interface de gerenciamento (MGT) é utilizada em todas as comunicações.


Definição dos servidores DNS primário e secundário

 # set deviceconfig system dns-setting servers primary <ip_dns_server1>

 # set deviceconfig system dns-setting servers secondary <ip_dns_server2>

Definição dos servidores de NTP

 # set deviceconfig system ntp-server-1 <ip_ntp_server1>

 # set deviceconfig system ntp-server-2 <ip_ntp_server2>

Definição de proxy

 # set deviceconfig system secure-proxy-server <value>

 # set deviceconfig system secure-proxy-port <port_number>

 # set deviceconfig system secure-proxy-user <username>

 # set deviceconfig system secure-proxy-password <password>

Caso o firewall precise utilizar um proxy para a comunicação com a Internet você deverá definir o IP/Hostname do proxy assim como as informação da porta de serviço utilizada, username e password.


Definição de rota para os serviços
Como informado anteriormente, aqui você define como o firewall irá se comunicar com outros servidores/serviços em sua rede. Você pode definir a interface que o appliance utilizará para alcançar cada um destes. Caso você precise que o firewall se comunique com um tipo de serviço não relacionado entre as opções do comando set deviceconfig system route service, você pode especificar através do comando set deviceconfig system route destination o ip de qualquer outro servidor.

 # set deviceconfig system route service <service> source-address <interface_ip_address>

Opções:
  crl-status         CRL servers
  dns                DNS server(s)
  email              SMTP gateway(s)
  netflow            Netflow server(s)
  ntp                NTP server(s)
  paloalto-updates   Palo Alto update server
  panorama           Panorama server
  proxy              Proxy server
  radius             RADIUS server
  snmp               SNMP server(s)
  syslog             Syslog server(s)
  uid-agent          UID agent(s)
  url-updates        URL update server
  wildfire           WildFire service

ou

 # set deviceconfig system route destination <ip-address> source-address <interface_ip_address>

________________________________________________

As informações contidas acima foram baseadas em documentos publicados pela Palo Alto Networks referentes a versão PAN-OS 5.0. Mais Informações: Palo Alto Networks

Palo Alto - Firewall - Configuração inicial

Antes de você iniciar a configuração das políticas de segurança no seu next-generation firewall da Palo Alto é necessário primeiramente definir os parâmetros básicos da interface de gerência (MGT). Essa interface é utilizada para a gestão do appliance e possibilitará o acesso remoto ao elemento via interface WEB ou CLI.

O acesso inicial pode ser realizado via cabo serial conectando o seu computador na porta console do appliance e utilizando um aplicativo para emulação de terminal como o Putty. Esse tipo de conexão permitirá o acesso a CLI (Command Line Interface) do dispositivo. Os parâmetros da porta serial estão definidos como 9600-8-N-1. A outra maneira de acessar é utilizando um cabo Ethernet para conectar a interface MGT do elemento. Para esse tipo de acesso você precisará utilizar um web browser e digitar https://192.168.1.1 que é o IP padrão definido para essa interface.

É bom lembrar que o equipamento que você irá utilizar (desktop / notebook) para a conexão ao firewall precisa estar na mesma rede 192.168.1.0 do elemento. Sendo necessário definir um endereço diferente do utilizado anteriormente como por exemplo 192.168.1.2.

1 - Conecte o cabo serial na interface console do firewall.

2 - Configure o software de emulação de terminal com os seguintes parâmetros: 9600-8-N-1.

3 - Efetue o login com os valores default.

 Username: admin
 Password: admin

4 - Altere a senha default de acesso ao appliance

 admin@PA-5060> set password
 Enter old password : <informe a senha antiga>
 Enter new password : <digite a nova senha>
 Confirm password   : <confirme a nova senha>
 

5 - Configure a interface de gerência (MGT). Defina os valores de IP, máscara, gateway e DNS.

 admin@PA-5060> configure

 admin@PA-5060# set deviceconfig system ip-address <ip_address> netmask <value>

 admin@PA-5060# set deviceconfig system default-gateway <IP do Gateway>

 admin@PA-5060# set deviceconfig system dns-setting servers primary <IP do servidor DNS>

 admin@PA-5060# commit

Obs: Ao final de cada alteração realizada é necessário executar o comando commit para que validar a configuração.

6 - Teste a conectividade do firewall

 admin@PA-5060> ping host <hostname or ip_address>

Você pode realizar um ping para o default-gateway para confirmar se o firewall consegue comunicar com outros elementos na rede. Também pode ser utilizado o hostname de algum elemento de rede já que o servidor DNS foi definido anteriormente.

________________________________________________

As informações contidas acima foram baseadas em documentos publicados pela Palo Alto Networks referentes a versão PAN-OS 5.0. Mais Informações: Palo Alto Networks