Palo Alto – İlk Kurulum – Temel Yapılandırma

Günümüzün en kapsamlı sorunlarından birisi siber saldırı olsa gerek. Tüm işlemler internet üzerinden yapıldığı için siber güvenliğin ön planda olması gereklidir. Bir çok resmi kurumda henüz farkına varılmasa da farkına varılan kurumlarda siber saldırıdan minimum düzeyde etkilenmeleri için sistemlerine UTM(Birleşik Tehdit Yönetimi) kurulmaktadır. Farklı firmaların çok farklı özelliklerine sahip cihazları piyasada yer almaktadır. Fakat Seçim konusu her zaman ilgili kişilere sorun teşkil etmektedir. Burada kendi fikrimi vermem gerekirse; Desteğinin bulunması ve yönetiminin kolay olması önceliğiniz olmalıdır. Tabi burada sözünü ettiğim UTM cihazının kendini kanıtlamış olması gerekmektedir.

Bu yazımızda sizlere Palo Alto Network ürünü olan PanOS işletim sistemine sahip UTM cihazının ilk defa kurulacak şekilde temel yapılandırma ayarlarının yapılmasını aktarmayı hedefliyorum. Şimdilik Ekstra güvenlik ayarlarının yapılmadan nasıl kurulum yapılacağına değineceğim.

Kurulumu anlatabilmek adına aşağıdaki gibi basit bir senaryo hazırladım.

Bu kısmı madde madde yazarsam sanırım kafanızda daha kalıcı yer edinecektir. Genellikle bu tarz konularda madde madde yazmayı tercih ediyorum. Bu sayede kurulum mantığını adım adım algılayabiliyorum.

1- Cihaza Erişilmesi

Herşeyden önce cihaza erişmeniz gerekmektedir. Cihazın MGT adındaki ethernet bacağına bilgisayarınızı bağlayın. PanOS işletim sisteminde MGT portunun default IP adresi 192.168.1.1/255.255.255.0 olarak gelmektedir. Bundan dolayı bilgisayarın ilgili ethernet kartına 192.168.1.2/255.255.255.0 adresini verin.

Herhangi bir web tarayıcısının adres çubuğuna https://192.168.1.1 adresini yazın ve Enter tuşu ile cihaza erişin.

Cihazın arayüzü gelecek burada kullanıcı adı ve şifre kısmına admin – admin yazarak giriş yapın. Cihaz size şifre değiştirme ile ilgili bir uyarıda bulunacak. Tamam deyip devam edin.

2- Şifre Değiştirilmesi ve User Eklenmesi

İlk olarak cihazın uyarısını dikkate alıp şifremizi değiştirelim.

Device Tabında Administrators menüsüne girin. Burada ekli olan admin kullanıcının üzerine tıklayın ve açılan pencerede yeni şifresinizi girin. OK butonuna basın. Buradan yeni user ekleyebilirsiniz.

 3- Erişim ve Yönetim Profilinin Oluşturulması

Cihazın ayarlarını yapmadan önce erişim izinlerini ayarlayalım. Bu izinler sayesinde yeni yapılandıracağımız bacaklardan cihaza erişim sağlayacağız. Ben iki tane oluşturup internet bacağına sadece ping atabilir izni verdim. local bacağa erişim ve yönetim yetkilerini verdim

4- Zone Tanımlamasının Yapılması

PanOS işletim sisteminde Zone mantığı işlemektedir. Burada Zone nedir dediğinizi duyar gibiyim. Kısaca açıklayacak olursak; güvenlik düzeyi farklı olan alanlardır diyebilirim. Kendi ağınız ve internet ağı gibi.

PanOS kendisinde Trust ve Untrust olarak Zone tanımlaması gelmektedir. Fakat ben kendi Zonelerimi oluşturmayı tercih ettim. Buradaki Trust Zone “Güvenli Alan” yani Local Network anlamına geliyor. Diğeri ise “Güvensiz alan” yani internet anlamına geliyor.

Network Tabında bulunan Zones menüsüne girin. Burada eğer benim yaptığım gibi yapmak isterseniz trust zone tıklayın ve adını Local Network Type Kısmına Layer3 seçip OK butonuna basın.

Aynı işlemi internet zone oluşturmak için untrust üzerine tıklayın ve Name kısmına Internet yazıp Type kısmını Layer3 seçip OK butonuna basın.

Artık untrust ve trust zone’larımız internet ve Local Network olarak oluşturuldu. Dilerseniz Trust ve Untrust olarak bırakabilirsiniz.

5- İnterface Ayarlarının Yapılması

Sırada interface ayarımız var. Senaryomuza göre Ethernet1/1 internet bacağımız, Ethernet1/2 Local bacağımız olması gerekiyormuş.

Network Tabında bulunan interfaces menüsüne gelin.

Ethernet1/1 internet bacağınız için aşağıdaki ayarları yapın.

interface Type : Layer3

config Sekmesinde;

Virtual Router : default

Security Zone : Internet

IPv4 sekmesinde;

Type : Static

Add butonuna tıklayın.

IP  : 192.23.27.9/24

Advanced sekmesinde;

Management profile : ping_izni (Erişim izninde oluşturulan ping profili)

Aynı işlemi bu sefer Ethernet1/2 Local bacağınız için yapalım.

interface Type : Layer3

config Sekmesinde;

Virtual Router : default

Security Zone : Local Network

IPv4 sekmesinde;

Type : Static

Add butonuna tıklayın.

IP  : 172.16.0.1./24

Advanced sekmesinde;

Management profile : yonetim_izinleri (Erişim izninde oluşturulan yonetim_izinleri profili)

6- Router Tanımlamasının Yapılması

Senaryomuza göre internet bacağımızın IPv4 tipi static olduğu için cihaza gateway tanımlaması yapılmalıdır. Senaryomuzdaki Gateway adresimiz : 192.23.27.1

Aslında burada bir Router tanımlama işlemi yapıyoruz ama ben Gateway olarak anlattım. Kafanız bu noktada karışmasın. Yaptığımız işlem static bir route tanımlaması yapmaktadır. Cihaz Destination adresine göre tanımlanan Router adresine bizi yönlendirecektir. 0.0.0.0/0 Her yere anlamına gelmektedir.

Network Tabında Virtual Routers menüsüne giriyoruz.

Interfaces kısmında Local ve internet bacaklarımız yer alacaktır. Name kısmına isim verebilirsiniz.

Static Route menüsüne gelin ve aşağıdaki tanımlamaları yapın.

Name : Gateway

Destination : 0.0.0.0/0 (Her yer anlamına gelmektedir.)

Interface : Ethernet1/1 (Router hangi bacak üzerinde ise o seçilir.)

Next Hop : IP Address moduna alınır.

Başında ismi yazmayan Kutucuğa Gateway adresi yazılır. Bizde 192.23.27.1

OK butonuna basılır.

Eğer sisteminizde farklı gateway tanımlamaları yapılacak ise ve route yazılacak ise bu menüden yapabilirsiniz.

7- DHCP Kurulumunun Yapılması

Artık Local Ağımız için bir DHCP server kurabiliriz.

Network Tabında DHCP menüsüne gelin.

Aşağıdaki ayarları seneryomuza göre yapalım.

İnterface : Ethernet1/2

Mode : Auto

 (tikleyin) Ping IP when allocating new IP

Lease Kısmında Timeout Seçin

Lease time yani IP geçerlilik süresini ayarlayın.

Gateway : 172.16.0.1

Ippool Subnet : 255.255.255.0

Primary DNS : 8.8.8.8

IP Pools Kısmına DHCP IP aralığını tanımlayın.

OK Butonuna basın.

8- Policy Kuralının Yazılması

Local Ağımızı internete çıkarmak için gerekli policy kuralının yazılmış olması gereklidir.

Policies Tabında Security menüsüne girin.

Eğer trust – untrust kuralınız varsa düzenleyebilir yada yeni oluşturabilirsiniz.

Name kısmına kuralın adını yazın.

Rule Type: universal (default)

Source Sekmesinde

Source Zone kısmına Local Network Ekleyin.

Surce Address kısmında Any Seçin.

Destination tabına gelin.

Destination Zone kısmına Internet Zone ekleyin.

Destination Address kısmını ANY seçin.

Application ve Service/URL Category sekmelerini atladım. Herhangi bir profil tanımlanmadığı için Any seçip geçin.

Actions sekmesine gelin.

Action : Allow

(tikleyin) Log at Session Start

Diğer ayarlar aşağıdaki gibi kalabilir.

9- SNAT Kuralının Yazılması

Genel olarak bakıldığında bizim minimum 1 adet DIŞ dünyaya eriştiğimiz IP adresimiz vardır. Fakat kendi ağımızın içerisinde kendimize özel IP adresleri bulunmaktadır. Cihazımız içerideki IP adreslerini internete göndermek için data paketindeki adres başlığında yer alan iç IP adresini DIŞ IP adresine çevirir. Yada tam tersini yapar. Bu işleme NAT denir.Sanırım çok yüzeysel oldu ama kafanızda canlandığına eminim.

Bizde ağımızdaki bilgisayarları internete göndermek için SNAT işlemi uygulayacağız. Başka ürünlerde bu işleme Masquerading denilmektedir.

NAT işleminin temelde SNAT ve DNAT olarak ikiye ayrılır. Detaylı bilgi için : http://www.belgeler.org/howto/iptables-usage_nat.html

Policies Tabında NAT menüsüne gelin

Yeni oluşturmak için Add butonuna basın

Name kısmına ismini yazın.

NAT Type : Ipv4 seçin

Orijinal Packet sekmesine geçin.

Source Zone bölümüne Local Network ekleyin.

Destination Zone : internet

Destination Interface : ethernet1/1

Service : Any

Source Address : Any

Destination Address : Any

Translated Packet sekmesine geçin.

Source Address Translation bölümünde;

Translation Type : Dynamic IP And Port

Address Type : Interface Address

Interface : ethernet1/1

IP Adress : 192.23.27.9/24

OK butonuna basın.

Artık sona geldik. sıra ayarları işleme sokmaya geldi. Fakat öncesinde default gelen bir ayarı silmemiz gerekiyor aksi halde ayarları işleme sokamayız.

Network Tabında Virtual Wires menüsüne gelin.

default-wire başına tik koyarak Delete edin. Size silmek için soracaktır. Yes butonuna basın.

Şimdi Ayarları işleme koyma zamanı geldi.

Sağ üstte Commit tuşu yer almaktadır. basın ve bekleyin açılan pencerede ayarları işleme sokarken takip edebilirsiniz. Hata varsa size söyleyecektir. Save butonu ile kayıt edebilirisiniz.

Unutmayın burada PanOS sisteminin hiç bir güvenlik özelliğini kullanmadan basit bir senaryo gerçekleştirdik. İleri ki zamanlarda fırsat bulursam başka özelliklerinin kullanımını anlatan makaleler ekleyeceğim.

Esen Kalın

Sercan TEK