Sercanca Çözümler..

Palo Alto – İlk Kurulum – Temel Yapılandırma

31.07.2016
682
Palo Alto – İlk Kurulum – Temel Yapılandırma

Günümüzün en kapsamlı sorunlarından birisi siber saldırı olsa gerek. Tüm işlemler internet üzerinden yapıldığı için siber güvenliğin ön planda olması gereklidir. Bir çok resmi kurumda henüz farkına varılmasa da farkına varılan kurumlarda siber saldırıdan minimum düzeyde etkilenmeleri için sistemlerine UTM(Birleşik Tehdit Yönetimi) kurulmaktadır. Farklı firmaların çok farklı özelliklerine sahip cihazları piyasada yer almaktadır. Fakat Seçim konusu her zaman ilgili kişilere sorun teşkil etmektedir. Burada kendi fikrimi vermem gerekirse; Desteğinin bulunması ve yönetiminin kolay olması önceliğiniz olmalıdır. Tabi burada sözünü ettiğim UTM cihazının kendini kanıtlamış olması gerekmektedir.

Bu yazımızda sizlere Palo Alto Network ürünü olan PanOS işletim sistemine sahip UTM cihazının ilk defa kurulacak şekilde temel yapılandırma ayarlarının yapılmasını aktarmayı hedefliyorum. Şimdilik Ekstra güvenlik ayarlarının yapılmadan nasıl kurulum yapılacağına değineceğim.

Kurulumu anlatabilmek adına aşağıdaki gibi basit bir senaryo hazırladım.

senaryo

Bu kısmı madde madde yazarsam sanırım kafanızda daha kalıcı yer edinecektir. Genellikle bu tarz konularda madde madde yazmayı tercih ediyorum. Bu sayede kurulum mantığını adım adım algılayabiliyorum.

1- Cihaza Erişilmesi

Herşeyden önce cihaza erişmeniz gerekmektedir. Cihazın MGT adındaki ethernet bacağına bilgisayarınızı bağlayın. PanOS işletim sisteminde MGT portunun default IP adresi 192.168.1.1/255.255.255.0 olarak gelmektedir. Bundan dolayı bilgisayarın ilgili ethernet kartına 192.168.1.2/255.255.255.0 adresini verin.

Herhangi bir web tarayıcısının adres çubuğuna https://192.168.1.1 adresini yazın ve Enter tuşu ile cihaza erişin.

Cihazın arayüzü gelecek burada kullanıcı adı ve şifre kısmına admin – admin yazarak giriş yapın. Cihaz size şifre değiştirme ile ilgili bir uyarıda bulunacak. Tamam deyip devam edin.

2- Şifre Değiştirilmesi ve User Eklenmesi

İlk olarak cihazın uyarısını dikkate alıp şifremizi değiştirelim.

Device Tabında Administrators menüsüne girin. Burada ekli olan admin kullanıcının üzerine tıklayın ve açılan pencerede yeni şifresinizi girin. OK butonuna basın. Buradan yeni user ekleyebilirsiniz.

1-sifre-degistirme

 3- Erişim ve Yönetim Profilinin Oluşturulması

Cihazın ayarlarını yapmadan önce erişim izinlerini ayarlayalım. Bu izinler sayesinde yeni yapılandıracağımız bacaklardan cihaza erişim sağlayacağız. Ben iki tane oluşturup internet bacağına sadece ping atabilir izni verdim. local bacağa erişim ve yönetim yetkilerini verdim

2-yonetim-izileri-acilmasi

4- Zone Tanımlamasının Yapılması

PanOS işletim sisteminde Zone mantığı işlemektedir. Burada Zone nedir dediğinizi duyar gibiyim. Kısaca açıklayacak olursak; güvenlik düzeyi farklı olan alanlardır diyebilirim. Kendi ağınız ve internet ağı gibi.

PanOS kendisinde Trust ve Untrust olarak Zone tanımlaması gelmektedir. Fakat ben kendi Zonelerimi oluşturmayı tercih ettim. Buradaki Trust Zone “Güvenli Alan” yani Local Network anlamına geliyor. Diğeri ise “Güvensiz alan” yani internet anlamına geliyor.

Network Tabında bulunan Zones menüsüne girin. Burada eğer benim yaptığım gibi yapmak isterseniz trust zone tıklayın ve adını Local Network Type Kısmına Layer3 seçip OK butonuna basın.

3-local_zone

Aynı işlemi internet zone oluşturmak için untrust üzerine tıklayın ve Name kısmına Internet yazıp Type kısmını Layer3 seçip OK butonuna basın.

4-internet-zone

Artık untrust ve trust zone’larımız internet ve Local Network olarak oluşturuldu. Dilerseniz Trust ve Untrust olarak bırakabilirsiniz.

5- İnterface Ayarlarının Yapılması

Sırada interface ayarımız var. Senaryomuza göre Ethernet1/1 internet bacağımız, Ethernet1/2 Local bacağımız olması gerekiyormuş.

Network Tabında bulunan interfaces menüsüne gelin.

Ethernet1/1 internet bacağınız için aşağıdaki ayarları yapın.

interface Type : Layer3

config Sekmesinde;

Virtual Router : default

Security Zone : Internet

5-ethernet1_1-ayarla

IPv4 sekmesinde;

Type : Static

Add butonuna tıklayın.

IP  : 192.23.27.9/24

6-ethernet1-IP-ayarla

Advanced sekmesinde;

Management profile : ping_izni (Erişim izninde oluşturulan ping profili)

7-ethernet1-izinleri-ayarla

Aynı işlemi bu sefer Ethernet1/2 Local bacağınız için yapalım.

interface Type : Layer3

config Sekmesinde;

Virtual Router : default

Security Zone : Local Network

8-ethernet2-ayarla

IPv4 sekmesinde;

Type : Static

Add butonuna tıklayın.

IP  : 172.16.0.1./24

9-ethernet2-IP-ayarla

Advanced sekmesinde;

Management profile : yonetim_izinleri (Erişim izninde oluşturulan yonetim_izinleri profili)

10-ethernet2-izinleri-ayarla

6- Router Tanımlamasının Yapılması

Senaryomuza göre internet bacağımızın IPv4 tipi static olduğu için cihaza gateway tanımlaması yapılmalıdır. Senaryomuzdaki Gateway adresimiz : 192.23.27.1

Aslında burada bir Router tanımlama işlemi yapıyoruz ama ben Gateway olarak anlattım. Kafanız bu noktada karışmasın. Yaptığımız işlem static bir route tanımlaması yapmaktadır. Cihaz Destination adresine göre tanımlanan Router adresine bizi yönlendirecektir. 0.0.0.0/0 Her yere anlamına gelmektedir.

Network Tabında Virtual Routers menüsüne giriyoruz.

Interfaces kısmında Local ve internet bacaklarımız yer alacaktır. Name kısmına isim verebilirsiniz.

11-virtual-routers

Static Route menüsüne gelin ve aşağıdaki tanımlamaları yapın.

Name : Gateway

Destination : 0.0.0.0/0 (Her yer anlamına gelmektedir.)

Interface : Ethernet1/1 (Router hangi bacak üzerinde ise o seçilir.)

Next Hop : IP Address moduna alınır.

Başında ismi yazmayan Kutucuğa Gateway adresi yazılır. Bizde 192.23.27.1

OK butonuna basılır.

12-virtual-routes-2

Eğer sisteminizde farklı gateway tanımlamaları yapılacak ise ve route yazılacak ise bu menüden yapabilirsiniz.

7- DHCP Kurulumunun Yapılması

Artık Local Ağımız için bir DHCP server kurabiliriz.

Network Tabında DHCP menüsüne gelin.

Aşağıdaki ayarları seneryomuza göre yapalım.

İnterface : Ethernet1/2

Mode : Auto

 (tikleyin) Ping IP when allocating new IP

Lease Kısmında Timeout Seçin

Lease time yani IP geçerlilik süresini ayarlayın.

Gateway : 172.16.0.1

Ippool Subnet : 255.255.255.0

Primary DNS : 8.8.8.8

IP Pools Kısmına DHCP IP aralığını tanımlayın.

OK Butonuna basın.

13-DHCP

8- Policy Kuralının Yazılması

Local Ağımızı internete çıkarmak için gerekli policy kuralının yazılmış olması gereklidir.

Policies Tabında Security menüsüne girin.

Eğer trust – untrust kuralınız varsa düzenleyebilir yada yeni oluşturabilirsiniz.

Name kısmına kuralın adını yazın.

Rule Type: universal (default)

14-policy-rule-1

Source Sekmesinde

Source Zone kısmına Local Network Ekleyin.

Surce Address kısmında Any Seçin.

15-policy-rule-2

Destination tabına gelin.

Destination Zone kısmına Internet Zone ekleyin.

Destination Address kısmını ANY seçin.

16-policy-rule-3

Application ve Service/URL Category sekmelerini atladım. Herhangi bir profil tanımlanmadığı için Any seçip geçin.

Actions sekmesine gelin.

Action : Allow

(tikleyin) Log at Session Start

Diğer ayarlar aşağıdaki gibi kalabilir.

17-policy-rule-4

9- SNAT Kuralının Yazılması

Genel olarak bakıldığında bizim minimum 1 adet DIŞ dünyaya eriştiğimiz IP adresimiz vardır. Fakat kendi ağımızın içerisinde kendimize özel IP adresleri bulunmaktadır. Cihazımız içerideki IP adreslerini internete göndermek için data paketindeki adres başlığında yer alan iç IP adresini DIŞ IP adresine çevirir. Yada tam tersini yapar. Bu işleme NAT denir.Sanırım çok yüzeysel oldu ama kafanızda canlandığına eminim.

Bizde ağımızdaki bilgisayarları internete göndermek için SNAT işlemi uygulayacağız. Başka ürünlerde bu işleme Masquerading denilmektedir.

NAT işleminin temelde SNAT ve DNAT olarak ikiye ayrılır. Detaylı bilgi için : http://www.belgeler.org/howto/iptables-usage_nat.html

Policies Tabında NAT menüsüne gelin

Yeni oluşturmak için Add butonuna basın

Name kısmına ismini yazın.

NAT Type : Ipv4 seçin

18-SNAT-1

Orijinal Packet sekmesine geçin.

Source Zone bölümüne Local Network ekleyin.

Destination Zone : internet

Destination Interface : ethernet1/1

Service : Any

Source Address : Any

Destination Address : Any

19-SNAT-2

Translated Packet sekmesine geçin.

Source Address Translation bölümünde;

Translation Type : Dynamic IP And Port

Address Type : Interface Address

Interface : ethernet1/1

IP Adress : 192.23.27.9/24

OK butonuna basın.

20-SNAT-3

Artık sona geldik. sıra ayarları işleme sokmaya geldi. Fakat öncesinde default gelen bir ayarı silmemiz gerekiyor aksi halde ayarları işleme sokamayız.

Network Tabında Virtual Wires menüsüne gelin.

default-wire başına tik koyarak Delete edin. Size silmek için soracaktır. Yes butonuna basın.

21-virtual-wire-delete

Şimdi Ayarları işleme koyma zamanı geldi.

Sağ üstte Commit tuşu yer almaktadır. basın ve bekleyin açılan pencerede ayarları işleme sokarken takip edebilirsiniz. Hata varsa size söyleyecektir. Save butonu ile kayıt edebilirisiniz.

22-commit

Unutmayın burada PanOS sisteminin hiç bir güvenlik özelliğini kullanmadan basit bir senaryo gerçekleştirdik. İleri ki zamanlarda fırsat bulursam başka özelliklerinin kullanımını anlatan makaleler ekleyeceğim.

Esen Kalın

Sercan TEK

 

BİR YORUM YAZIN

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ZİYARETÇİ YORUMLARI - 4 YORUM
  1. cihat dedi ki:

    Güzel bir çalışma olmuş elinize sağlık.Palo alto VLAN tanımlaması ile ilgili bir çalışmanız var mı hocam ya da elinizde bununla ilgili Türkçe kaynak bulunuyor mu?

    1. Sercan TEK dedi ki:

      Merhaba, nette bir çok bilgi var ama henüz planımda vlan tanımlama ve kullanma ile ilgili bir yazım yok. Ama ileriye doğru yazarım.

  2. tolga dedi ki:

    Hocam günlerdir kaynak arıyordum. Sayenizde bugün birşeyler bulabildim. iyi çalışmalar devamını bekliyom.

    1. Sercan TEK dedi ki:

      Hocam inşallah ileriki zamanlarda daha fazla kaynak sunabilirim.

Yayımlanan tüm yazılar Sercan TEK tarafından yazılmaktadır. İzinsiz kullanımı yasaktır.