Kako brez stresa zamenjati požarno pregrado How to Replace the Firewall Without Stress Sašo Tomc - SRC d.o.o. (21. januar 2019)
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja Sprostitev migracija uspešna!
Migracija > Palo Alto Networks Požarne pregrade > Expedition > Palo Alto Firewall (NGFW) Check Point, Cisco, Fortinet, IBM XGS, Juniper, Forcepoint, uvoz podatkov iz CSV datoteke & Ročno konfiguriranje
Migracija > Expedition Tool
Migracija > Expedition Tool
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Analiza obstoječe konfiguracije Optimizacija obstoječe konfiguracije > brisanje nepotrebnih elementov združitev enakovrednih objektov Poimenovanje vmesnikov, con, objektov > pozor na dolžino imen (63 maks.) pozor na posebne znake (!? < > $ @ ) Posebna pozornost na dele konfiguracij > VPN, NAT, Dynamic & Policy-routing
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Določanje nivoja tveganja za izpad omrežja Tveganje (ne)delovanja po OSI Layer 2 > ARP tabela, 802.1Q podvmesniki Tveganje (ne)delovanja po OSI Layer 3 > Dynamic/Static & Policy Routing Tveganje zaradi napak - človeški faktor > Napake v konfiguraciji Visoki nivoji NGFW zaščite ob preklopu požarne pregrade
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Konfiguracija nove opreme Kopija dizajna (One-to-One Design) > Popolna kopija konfiguracije PA sporoča duplicate objekte Sprememba dizajna (Delta Design) > PA podpira Virtual-Routers PA podpira Virtual-Systems PA podpira Zones, Tags, PBF, Security-Profile Groups PA podpira centralizirani Panorama Management PA = Palo Alto
Konfiguracija nove opreme - VR Virtual-Routers >
Konfiguracija nove opreme - VR Virtual-Routers >
Konfiguracija nove opreme - V-sys Virtual-Systems >
Konfiguracija nove opreme - V-sys Virtual-Systems >
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning)
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning)
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI)
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard & ACC (Application Command Center)
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard & ACC (Application Command Center)
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard & ACC (Application Command Center) https://www.whois.com/
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard & ACC (Application Command Center) IPSec Tunnels Dashboard
Konfiguracija nove opreme Druga pomembna orodja > U-Turn NAT (Hair-Pinning) Tail Command (CLI) Dashboard & ACC (Application Command Center) IPSec Tunnels Dashboard Objektno konfiguriranje: - zelo uporabno iskanje objektov - geo-lokacijsko filtriranje (Lat/Lon države) - preglednost v konfiguraciji - hitri vklopi/izklopi pravil
Konfiguracija nove opreme Druga pomembna orodja > Applipedia > - Dostop v GUI vmesniku - Splet: https://applipedia.paloaltonetworks.com/
Konfiguracija nove opreme Druga pomembna orodja > Applipedia > - Dostop v GUI vmesniku - Splet: https://applipedia.paloaltonetworks.com/
Konfiguracija nove opreme Druga pomembna orodja > Applipedia > Threat Vault > - Splet: https://threatvault.paloaltonetworks.com/
Konfiguracija nove opreme Druga pomembna orodja > Applipedia > Threat Vault > - Splet: https://threatvault.paloaltonetworks.com/
Konfiguracija nove opreme Druga pomembna orodja > - U-Turn NAT, Tail, Dashboard, ACC, objekti Applipedia > - Dostop v GUI vmesniku - Splet: https://applipedia.paloaltonetworks.com/ Threat Vault > - Splet: https://threatvault.paloaltonetworks.com/
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Test delovanja pred preklopom Specifikacija vitalnih storitev & povezav v omrežju > OSI Layers referenčni model zgradbe protokolov: 1) Fizična plast (bakrene, optične povezave) 2) Povezovalna plast (vmesniki, pod-vmesniki, agregacija) 3) Omrežna plast (ICMP, NAT, HSRP, VRRP, usmerjanje) 4) Transportna plast (IPSEC, TCP, UDP) 5) Plast seje (NetBIOS, RPC, RTP) 6) Predstavitvena plast (SSL, TLS) 7) Aplikacijska plast (DNS, SMTP, SSH, HTTP/S)
Test delovanja pred preklopom Specifikacija vitalnih storitev & povezav v omrežju > OSI Layers referenčni model zgradbe protokolov
Test delovanja pred preklopom Specifikacija vitalnih storitev & povezav v omrežju > OSI Layers test: Usmerjevalna tabela (show routing route match) Ping IP-address (omrežne naprave vsi segmenti) Ping ime-strežnika (Internet vse lokalne segmente) IPSEC povezave (test delovanja do 7. OSI nivoja) Telnet www.paloalto.si 80 443 25 (testni URL) App (browser) HTTPS://www.whatismyip.com App (e-mail) send / receive
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Preklop omrežja na novo požarno pregrado Glede na nivo tveganja in čas izpada, presodimo > - preklop požarne pregrade, kot celote - preklopi posameznih virtualnih naprav / instanc - vklop novih virtualnih instanc na Palo Alto: Virtual-Routers Virtual-Systems
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Test delovanja po preklopu Popolnoma enak test, kot smo ga izvedli pred preklopom > OSI Layers test: Usmerjevalna tabela (show routing route match) Ping IP-address (omrežne naprave vsi segmenti) Ping ime-strežnika (Internet vse lokalne segmente) IPSEC povezave (test delovanja do 7. OSI nivoja) Telnet www.paloalto.si 80 443 25 (testni URL) App (browser) HTTPS://www.whatismyip.com App (e-mail) send / receive
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Odprava morebitnih težav Prisoten strokovnjak > - izkušnje s selitvijo konfiguracij na Palo Alto napravo Rešitve za pogoste težave > - brisanje ARP tabele - natančno preverjanje usmerjanja ter NAT prevajanja - pravilen prenos certifikata za SSL-VPN Sistematični pristop > - kasnejši vklop najnaprednejših varnostnih mehanizmov
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Vklop varnostnih parametrov / mehanizmov Zone & DoS Protection, User Identification > Security Profiles > Security Rule >
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Sistematski pristop testiranja delovanja varnostnih parametrov / mehanizmov
Sistematski pristop testiranja delovanja varnostnih parametrov / mehanizmov
Sistematski pristop testiranja delovanja varnostnih parametrov / mehanizmov
1) Analiza obstoječe konfiguracije 2) Določanje nivoja tveganja za izpad omrežja 3) Konfiguracija nove opreme 4) Test delovanja pred preklopom 5) Preklop omrežja na novo požarno pregrado 6) Test delovanja po preklopu 7) Odprava morebitnih težav 8) Vklop varnostnih parametrov 9) Sistematski pristop testiranja delovanja varnostnih parametrov 10) Nastavitev obveščanja
Nastavitev obveščanja Mail SNMP Syslog PDF Reports > - Threat, Application, Traffic, URL Filtering, Trend (Bandwidth, Risk, Threat) - User Activity - SaaS (software-as-a-service) Application Usage
Nastavitev obveščanja Mail SNMP Syslog PDF Reports > - Threat, Application, Traffic, URL Filtering, Trend (Bandwidth, Risk, Threat) - User Activity - SaaS Application Usage
Vprašanja? Questions? saso.tomc@src.si
Hvala! Thank you! saso.tomc@src.si