GlobalProtect
Безопасный доступ с мобильных устройств
Пользователи рассматривают физические границы как пережиток. Они рассчитывают на возможность подключаться к сети и работать из любого места, используя ноутбуки, смартфоны и планшеты. Это создает проблему для отделов информационной безопасности, которые должны защищать всех пользователей, даже если они находятся не на своем рабочем месте. Специалисты часто вынуждены идти на компромиссы, что негативно сказывается на защищенности сети компании.
GlobalProtect — комплексное решение, которое постоянно отслеживает угрозы, обеспечивает соблюдения политики безопасности и защищает сеть независимо от местоположения конечного пользователя или способа подключения. Такой подход делает корпоративную политику безопасности основной для всех сетевых подключений и обеспечивает единый и последовательный подход к ее соблюдению.
Приложения и удаленные пользователи
Современные предприятия и их сети не являются централизованными хранилищами данных, а пользователи и приложения больше не находятся под защитой хорошо контролируемого периметра. Вместо этого работа все чаще происходит за пределами традиционного офиса. Предприятия должны дать пользователям возможность быть продуктивными, находятся они в офисе или за его пределами, а также использовать мобильные устройства, подключенные к корпоративной сети. Аналогичным образом корпоративные приложения и данные становятся все менее привязанными к традиционной внутренней инфраструктуре и переносятся за ее пределы, например, на облачные сервисы.
Поскольку многие активы вышли за рамки традиционной инфраструктуры, они также вышли и за рамки традиционных средств обеспечения безопасности. Такая тенденция ведет к снижению качества работы решений для защиты информации и подрывает общую безопасность предприятия.
Когда пользователь оказывается за пределами корпоративной сети, уровень защищенности быстро падает. Специалисты ИБ в такой ситуации вынуждены поддерживать параллельные политики безопасности для корпоративной сети и мобильных пользователей, каждая из которых имеет разные возможности, правила и отчетность. Обмен информацией между этими продуктами требует серьезных вычислительных мощностей. В результате чего, политика безопасности и качество защиты падают, а общий риск возрастает, когда пользователь собирается подключиться к сети дистанционно с помощью мобильного устройства.
Решение GlobalProtect
GlobalProtect предоставляет комплексный подход для защиты смартфонов, ноутбуков и планшетов, который базируется на технологиях платформы Palo Alto Networks. Решение обеспечивает интеграцию мобильных приложений в корпоративную сеть. GlobalProtect предоставляет предприятиям возможность создать безопасную среду для приложений и данных, при этом позволяя сотрудникам пользоваться наиболее удобным в данный момент устройством.
GlobalProtect предоставляет безопасный доступ, основываясь на 3 критериях безопасности:
Как работает GlobalProtect
GlobalProtect Gateway
Защищает мобильные устройства от угроз и обеспечивает соблюдение правил, проводя мониторинг приложений, пользователей, контента, устройств и их состояния. Устанавливает VPN-соединение для мобильных устройств с помощью приложения GlobalProtect. Интегрируется с WildFire для обнаружения нового вредоносного ПО.
GlobalProtect App
Позволяет управлять устройством. Предоставляет данные о состоянии устройства и обеспечивает безопасное соединение. Подключается к GlobalProtect Gateway для получения доступа к приложениям и информации в соответствии с политикой безопасности. Обменивается информацией о настройках устройства и его состоянии с GlobalProtect Mobile Security Manager.
GlobalProtect Mobile Security Manager
Дает доступ к управлению для настройки устройства. Использует WildFire для идентификации устройств с зараженными приложениями. Предоставляет информацию о состоянии устройства с помощью GlobalProtect Gateway, чтобы гарантировать исполнение политик безопасности. Контролирует перемещение данных между персональными и бизнес-приложениями.
Global protect что это
Select Region / Country…
GlobalProtect представляет собой комплексное решение безопасности для мобильных устройств, в составе платформы Palo Alto Networks. Он обеспечивает беспрецедентный уровень интеграции с платформой и сочетает в себе технологии Global Intelligence и реализацию корпоративных политик по мобильным приложениям и угрозам. Этот принцип позволяет предприятиям обеспечить безопасное использование мобильных приложений и данных, в то же время, позволяя пользователям использовать те девайсы, с которыми им удобно работать и реализовывать «Positive control», разрешать, без потери видимости, контроля и безопасности.
GlobalProtect позволяет безопасно работать с мобильным устройством на основе трех требований к безопасности:
1) Управление девайсом
GlobalProtect позволяет организации управлять конфигурацией мобильного устройства и следить за использованием устройства в рамках всей организации.
2) Защита устройства
GlobalProtect устанавливает IPsec/SSL VPN-туннель для защиты устройства. Туннель терминируется на файерволе нового поколения Palo Alto Networks и обеспечивает последовательное применение политик безопасности и защиты от угроз, независимо от того, где находится пользователь. Файервол нового поколения проверяет трафик на наличие угроз и защищает мобильное устройство от вредоносного содержимого.
3) Управление данными
GlobalProtect использует приложения, пользователей, контент и состояние устройства в качестве критериев политик доступа к сетевым ресурсам. Доступ к важным ресурсам может быть заблокирован для неидентифицированных устройств. Решение также контролирует бизнес-данные на мобильных устройствах, при соблюдении конфиденциальности пользователя в разрезе персональных данных.
Шлюз Global Protect:
Агент GlobalProtect :
Менеджер GlobalProtect Mobile Security:
Global Protect App. Поддержка платформ :
Особенности настройки Palo Alto Networks: SSL VPN
Несмотря на все преимущества межсетевых экранов Palo Alto Networks, в рунете не так много материалов по настройке этих устройств, а также текстов, описывающих опыт их внедрения. Мы решили обобщить материалы, накопленные у нас за время работы с оборудованием этого вендора и рассказать об особенностях, с которыми столкнулись в ходе реализации различных проектов.
Для знакомства с Palo Alto Networks в этой статье будут рассмотрены настройки, необходимые для решения одной из самых распространенных задач межсетевого экранирования, — SSL VPN для удаленного доступа. Также мы поговорим о вспомогательных функциях для общей настройки межсетевого экрана, идентификации пользователей, приложений и политик безопасности. Если тема заинтересует читателей, в дальнейшем мы выпустим материалы с разбором Site-to-Site VPN, динамической маршрутизации и централизованного управления с помощью Panorama.
Межсетевые экраны Palo Alto Networks используют ряд инновационных технологий, включая App-ID, User-ID, Content-ID. Применение этого функционала позволяет обеспечить высокий уровень безопасности. Например, с помощью App-ID возможно идентифицировать трафик приложений на основании сигнатур, декодирования и эвристики, вне зависимости от используемого порта и протокола, в том числе внутри SSL-туннеля. User-ID позволяет идентифицировать пользователей сети через интеграцию с LDAP. Content-ID дает возможность сканировать трафик и идентифицировать передаваемые файлы и их содержимое. Среди других функций межсетевых экранов можно выделить защиту от вторжений, защиту от уязвимостей и DoS-атак, встроенный анти-шпион, URL-фильтрацию, кластеризацию, централизованное управление.
Для демонстрации мы будем использовать изолированный стенд, с конфигурацией, идентичной реальной, за исключением имен устройств, имени домена AD и IP-адресов. В реальности все сложнее — филиалов может быть много. На границах центральных площадок в таком случае вместо одного межсетевого экрана будет установлен кластер, также может потребоваться динамическая маршрутизация.
На стенде используется PAN-OS 7.1.9. В качестве типовой конфигурации рассмотрим сеть с межсетевым экраном Palo Alto Networks на границе. Межсетевой экран предоставляет удаленный доступ SSL VPN к головному офису. В качестве базы данных пользователей будет использоваться домен Active Directory (рисунок 1).
Рисунок 1 – Структурная схема сети
1. Преднастройка
Основным инструментом настройки межсетевого экрана Palo Alto Networks является веб-интерфейс, возможно также управление через CLI. По умолчанию у management-интерфейса задан IP-адрес 192.168.1.1/24, login: admin, password: admin.
Изменить адрес можно либо подключившись к веб-интерфейсу из той же сети, либо посредством команды set deviceconfig system ip-address <> netmask <>. Она выполняется в режиме конфигурирования. Для переключения в режим конфигурирования используется команда configure. Все изменения на межсетевом экране происходят только после подтверждения настроек командой commit, как в режиме командной строки, так и в веб-интерфейсе.
Рисунок 2 – Параметры интерфейса управления
В случае, если применяется виртуальный межсетевой экран в среде ESXi, в разделе General Settings нужно включить использование MAC-адреса, назначенного гипервизором, либо настроить на гипервизоре MAC-адреса, заданные на интерфейсах межсетевого экрана, либо изменить настройки виртуальных коммутаторов на разрешение изменений MAC-адресов. В противном случае, трафик проходить не будет.
Интерфейс управления настраивается отдельно и не отображается в списке сетевых интерфейсов. В разделе Management Interface Settings указывается шлюз по умолчанию для интерфейса управления. Другие статические маршруты настраиваются в разделе виртуальных маршрутизаторов, об этом будет написано далее.
Рисунок 3 – Параметры служб DNS, NTP и системных маршрутов
2. Установка лицензий, настройка и установка обновлений
Рисунок 4 – Панель управления лицензиями
3. Настройка зон безопасности, сетевых интерфейсов, политики трафика, трансляции адресов
Межсетевые экраны Palo Alto Networks применяют логику зон при настройке сетевых правил. Сетевые интерфейсы назначаются на определённую зону, и она используется в правилах трафика. Такой подход позволяет в будущем при изменении настроек интерфейсов не менять правила трафика, а вместо этого переназначить нужные интерфейсы в соответствующие зоны. По умолчанию, трафик внутри зоны разрешен, трафик между зонами запрещен, за это отвечают предустановленные правила intrazone-default и interzone-default.
Рисунок 5 – Зоны безопасности
В данном примере интерфейс во внутренней сети назначен в зону internal, а интерфейс, направленный в Интернет, назначен в зону external. Для SSL VPN создан туннельный интерфейс, назначенный в зону vpn (рис. 5).
Сетевые интерфейсы межсетевого экрана Palo Alto Networks могут работать в пяти различных режимах:
В данном примере будет использован режим Layer3 (рис. 6). В параметрах сетевого интерфейса указывается IP-адрес, режим работы и соответствующая зона безопасности. Кроме режима работы интерфейса необходимо назначить его в виртуальный маршрутизатор Virtual Router, это аналог VRF инстанса в Palo Alto Networks. Виртуальные маршрутизаторы изолированы друг от друга и имеют свои таблицы маршрутизации и настройки сетевых протоколов.
В настройках виртуального маршрутизатора указываются статические маршруты и настройки протоколов маршрутизации. В данном примере создан только маршрут по умолчанию для доступа во внешние сети (рис. 7).
Рисунок 7 – Настройка виртуального маршрутизатора
1. SSL VPN Access to Web Portal. Разрешает доступ к веб-порталу для аутентификации удаленных подключений
2. VPN traffic – разрешение трафика между удаленными подключениями и головным офисом
3. Basic Internet – разрешение приложений dns, ping, traceroute, ntp. Межсетевой экран разрешает приложения на основе сигнатур, декодирования и эвристики, а не номеров портов и протоколов, поэтому в разделе Service указано application-default. Порт/протокол по умолчанию для данного приложения
4. Web Access – разрешение доступа в интернет по протоколам HTTP и HTTPS без контроля приложений
5,6. Правила по умолчанию для остального трафика.
Рисунок 8 — Пример настройки сетевых правил
Рисунок 9 – Пример настройки NAT
Для любого трафика из internal в external можно изменить адрес источника на внешний IP-адрес межсетевого экрана и использовать динамический адрес порта (PAT).
4. Настройка профиля аутентификации LDAP и функции User Identification
Перед подключением пользователей через SSL-VPN необходимо настроить механизм аутентификации. В данном примере аутентификация будет происходить на контроллере домена Active Directory через веб-интерфейс Palo Alto Networks.
Рисунок 10 – LDAP профиль
Рисунок 11 – Профиль аутентификации
Рисунок 12 – Выбор группы AD
Рисунок 13 – Параметры User Mapping
Рисунок 14 – Параметры Group Mapping
Последним шагом на этом этапе будет создание VPN-зоны и интерфейса для этой зоны. На интерфейсе нужно включить параметр Enable User Identification (рис. 15).
Рисунок 15 – Настройка VPN-зоны
5. Настройка SSL VPN
Перед подключением SSL VPN, удаленный пользователь должен зайти на веб-портал, пройти аутентификацию и скачать клиент Global Protect. Далее, этот клиент запросит учетные данные и подключит к корпоративной сети. Веб-портал работает в режиме https и, соответственно, необходимо установить для него сертификат. Используйте публичный сертификат, если есть такая возможность. Тогда пользователю не будет выдано предупреждение о невалидности сертификата на сайте. Если нет возможности использовать публичный сертификат, тогда необходимо выпустить собственный, который будет применяться на веб-странице для https. Он может быть самоподписным или выпущенным через локальный центр сертификации. Удаленный компьютер должен иметь корневой или самоподписный сертификат в списке доверенных корневых центров, чтобы пользователю не выдавалась ошибка при подключении к веб-порталу. В данном примере будет использован сертификат, выпущенный через центр сертификации Active Directory Certificate Services.
Рисунок 16 – Запрос на сертификат
Рисунок 17 – Настройка пула IP адресов и маршрутов
Затем необходимо настроить Global Protect Portal. Указываем IP-адрес межсетевого экрана, SSL Profile и Authentication Profile и список внешних IP-адресов межсетевых экранов, к которым будет подключаться клиент. Если межсетевых экранов несколько, можно выставить для каждого приоритет, в соответствии с которым пользователи будут выбирать межсетевой экран для подключения.
GlobalProtect Pre-Logon c предварительным входом в систему
• Аутентификация – локальная база данных и LDAP
• Тот же интерфейс, служащий порталом и шлюзом.
• Корневые, промежуточные и серверные сертификаты генерируются на PAN
Настройка сертификатов, необходимых для prelogon
1. Создание корневого ЦС, промежуточного ЦС и сертификата сервера. Потом выпустим сертификаты для пользователя.
Сертификат сервера потребуется для профиля SSL / TLS
2. Создать профиль SSL / TLS в разделе «Device»> «Управление сертификатами»> «Профиль службы SSL / TLS», ссылаясь на созданный выше «сертификат сервера». Для тестов используем TLSv1.0
3. Создадим профиль аутентификации в разделе
• Имя – дайте имя этому профилю аутентификации
• Тип – выберите ldap (локальная база или радиус и т.д)
• Вкладка «Дополнительно»> «Список разрешений»> «Добавить» – выбрать все (если есть группы, то можно ограничить их требуемыми группами)
1. Настраиваем портал GlobalProtect
Зададим имя порталу и выберем интерфейс, который послужит порталом из выпадающего списка.
7. Пользователи могут входить на портал следующими способами:
• Портал содержит «профиль сертификата», но «нет» аутентификационных файлов cookie
• Портал «не» содержит «профиль сертификата», но имеет «cookie-файлы авторизации».(В этом случае пользователь должен установить самое первое соединение GP, которое создаст два файла cookie: один для пользователя и другой для предварительного входа в систему. С этого момента предварительный вход будет работать.
• Портал содержит как «профиль сертификата», так и «cookie-файлы авторизации».
В ходе тестирования был выделен следующий рабочий вариант выше.
8. Вкладка «Agent»
Требуются две клиентские конфигурации, одна для предварительного входа в систему и вторая для любых пользовательских групп.
Для каждой конфигурации необходимо установить доверенные сертификаты. Далее рассмотрим настройки каждой конфигурации.
Pre-logon config Добавить новый клиентский конфиг
а. Вкладка Аутентификация.
с. Вкладка «Шлюзы»
Адрес – введите IP-адрес или полное доменное имя, на которое ссылались в общем имени сертификата (CN)
д. Вкладка App
В раскрывающемся списке «Метод подключения » выберите « Pre-logon (всегда включен) ». А также выберем использовать единый вход – ДА.
е. Нажмите OK, чтобы сохранить.
Конфигурация клиента для пользователей Copy prelogon config создадим копию конфига. Затем заменим следующие значения:
б. Вкладка «Пользователь / группа пользователей». Выберите «любой» из выпадающего списка или добавьте определенных пользователей / группы пользователей.
После сохраним и закроем конфигурации портала.
Настроим профиль сертификата клиента
Импортируем сюда корневой сертификат и промежуточный.
Зададим имя шлюзу и выберем интерфейс, который служит шлюзом из выпадающего списка.
9. Вкладка Аутентификация. Похожую настройку делали для портала ранее. Здесь для шлюза.
а. В разделе «Профиль службы SSL / TLS» в раскрывающемся списке выберите профиль SSL / TLS, созданный на шаге 2.
б. Аутентификация клиента> Добавить. Дайте ему любое имя, оставьте ОС на «Any». Под профилем аутентификации выберите профиль аутентификации, созданный на шаге 3.
с. Выберите созданный выше профиль сертификата из выпадающего
д. Нажмите OK, чтобы сохранить.
Переопределение аутентификации : установите флажки « Создать cookie для переопределения аутентификации» и «Принять cookie для переопределения аутентификации». Этот файл cookie может быть зашифрован / дешифрован с использованием любого сертификата, выбранного из раскрывающегося списка «Сертификат для шифрования / дешифрования cookie ».
Для тестирования на клиентском компьютере
1. Из браузера перейдите по адресу https: //gp2.example.com
2. Введем учетные данные
3. Скачаем клиент GP (5.0.8)
4. В клиенте GP введем адрес и учетные данные портала, нажмем «Подключиться».
5. На межсетевом экране шлюза вы увидите, что фактический пользователь подключен.
6. Выйдите из системы с этого компьютера, чтобы смоделировать ситуацию перед входом в систему.
7. На межсетевом экране шлюза вы увидите подключенного пользователя перед входом в систему.
Русские Блоги
Как использовать GlobalProtect для VPN-подключения в системе Linux (Ubuntu) (в качестве примера рассмотрим Beijing Post)
Видно, что GlobalProtect использует протокол IPSec, поэтому редактор сначала попытался подключиться, напрямую развернув этот протокол в Linux, используя VPNC для подключения, но кажется, что в GlobalProtect нет пары конфигурации или есть какая-то проверка, результат подключения был Ответа нет, но шлюз портала можно пропинговать, я не знаю, что пошло не так.
Информация о конфигурации выглядит следующим образом:
ВотUbuntu 16.04 Системное соединениеПекинская почтаВозьмем пример, иллюстрирующий шаги связывания. Другие версии системы не были протестированы, но процесс работы другой. Если у вас возникли проблемы, вы можете обратиться за помощью в Google.
Экологическая установка
Во-первых, нам нужно установить openconnect, вот два метода:
(1) Загрузите и скомпилируйте openconnect, команды:
(2) Создайте новый файл vpnc-script в каталоге / etc / vpnc / (вы также можете перейти на другие пути, но не забудьте заменить путь к файлу в следующих командах)
Откройте вышеуказанную веб-ссылку и скопируйте все содержимое в только что созданный файл vpnc-script, как показано на рисунке ниже:
(4) Измените разрешение только что созданного файла, иначе будет сообщено об ошибке: разрешение отклонено
На этом этапе все настройки среды завершены.
Запустите openconnect
Затем следуйте инструкциям и введите имя пользователя и пароль для последовательного подключения к GlobalProtect:
Если это похоже на рисунок выше, это означает, что соединение с GlobalProtect установлено успешно. Тест выглядит следующим образом:
На данный момент вы можете использовать GlobalProtect в системе Linux, если вам это не нужно, используйте его напрямуюCtrl+C Просто закончите Терминал только сейчас. Если вам нужно открыть GlobalProtect в следующий раз, вам нужно только выполнить описанные выше шаги «Запустить openconnect» снова, без повторной установки. Если у вас есть какие-либо вопросы, вы можете оставить сообщение внизу статьи для общения!
