8. Basic requirements to establish a traffic flow through the Palo Alto Firewall

Tenemos la siguiente topologia, dividida por dos zonas, una zona interna donde tenedremos nuestras maquinas, servidores, y la zona de afuera que apunta a internet.

Lo primero que vamoa a ralizar es: 

1. Definir nuestras zonas internas y externas.
2. Definir las interfaces de las zonas
3. En tercer lugar hay que configurar en enrrutamiento para enrrutar trafio entre diferentes zonas
4. Luego tenemos que Crear una NAT policy para que nuestra ip privada se convierta en publica. 

Vamos analizar nuestra maquin de windows de la zona interna.

La configuracion de la ip es:

IP: 10.10.10.2

Subnet Mask: 255.255.255.0

Default Gateway: 10.10.10.1

DNS Server: 8.8.8.8 8.8.4.4

PALO ALTO

Ahora vamos a configurar  las zonas en Palo Alto,vamos a NETWORK/ZONES

  

Aqui vamos a configurar la primera zona que se llamara inside-zone y el tipo le asignaremos de Layer3

Le damos OK y nos deberia quedar de l siguiente menera.

Ahora Creamos la zona Outside-zone

Le damos ok 

Commit!

Ahora procedemos a crear las intefaces.

Vamos a Network / Interfaces, ahora realizamos la configuracion de la interface Ethernet 1/1

El nombre de la interface Ethernet 1/1 sera el numero de puerto. El comentario es cualquier que nosotros consideremos.

El typo de Interface sera de layer 3, el network profile lo dejamos en None.

El Virtual Router tambien lo dejamos en none y la Security Zone lo dejamos en Inside Zone ya que la interface 1/1 corresponde a la interface de la zona de adentro.

Ahora necesitamos configurar la ip de la interface, le asignaremos la ip 10.10.10.1/24

En advanced vamos a configurar el nombre de la interface, el tipo de interfaces, siempre de layer 3

Es muy importante dejarel link stateen auto y habilitar la management profile el PING para tener respuesta desde la interface de administracion.

Ahora procederemos a configurar la interface Ethernet 1/2

Aqui en la ethernet 1/2 en el comentario le agregamos WAN ya que sera nuestra interface de cara a internet.

Tipo de Interface de capa 3 y en la Security Zone agregamos la zona Outside-zone

En IPV4 asignaremos la ip de la interace

En advance habilitaremos el PING en la Management Profile

La configuracion debera quedar de la siguiente menera.

Commit!!

Ahora lo que vamos hacer es configurar el enrrutamiento para unir el trafico entre las zonas.

Vamos a Network / Virtual Routing

En virtual Router asignamos las inerfaces Ethernet

Al momento de configurar las rutas, debemos agregar como se enrutaran.

El destination sera 0.0.0.0 es decir que quiero llegar a cualquier Origen, en este caso internet.

La interface por la cual voy aenviar esos datos sera la Ethernet1/2 y e salto sera mi Router 192.168.0.1

Guardamos y nos debera quedar de la siguiente manera.

Bien, ahora deberemos configurar nuestras politicas de NAT

Vamos a Policies/NAT

ADD

Ahora configuramos la policy NAT el nombre sera el que deseamos agregar.

El tipo NAT sera para IPV4

En los origenes del Paquete como zona de destino agregaremos la zona Inside-Zone

En destination Zone agregaremos la Outside-Zone y la interface 1/2

En la traduccion del Paquete a NAT el tipo sera Synamic ip and port.

en tipo de Direccion sera de Interfce Address y la interface a traducir sera todas las ip que sean de la Ethernet 1/2 con direccionde ip 192.168.0.50/24

Le damos OK y nos debe quedar de la siguiente Manera.

Ahora nuestra parte Final es configurar nuestra policy de Seguridad para permitir la comunicacion entre zonas.

Lo primero quedebemos hacer al igresar es denegar interzona-Default

Ahora procedemos a crear una policy en ADD, agregamos el siguiente nombres.

Ahora vamos a Source donde necesitamos espesificar el origen y los destinos.

La zona de Origen sera la Inside-Zone

EL destino donde necesitamos llegar sera la Outside-Zone

No asignaremos ninguna ip solo asiganeremos zonas, estas zonas contendran muchos usuario dentro de ella.

Es importante que en Actions este en ALLOW ysten activados los logs Session

Nuestra configurcion debe quedar de la siguiente manera.

Ahora vamos a comprobar si hemos sido capaces de establecer una comunicacion de ete cliente hacia internet.

COMMIT!

dNos conectamos a nuestro PaloAlto via MOBA, sin o tien omba puede usar Puty o cualquier otro gestor de conexion 

Lo primero es probar el ping a la direccion 8.8.8.8 desde el palo alto.

Ahora probemos la conexion desde la ip 10.10.10.1 a 8.8.8.8

Como podremos observar nuestra ip funciona correctamente.

Ahora provemos la conexion desde la ip cliente para verificar que llegamos a Internet.

Todo el trafico es permitido por las politicas de Palo Alto.

Tambien podemos probar algunas paginas como facebook o youtube desde la maquina cliente.

Si vamos Logs Traffic podremos observar todo el trafico desde la ip Source hasta los distintos Destinos 

Tambien podremos ver las consultas en Session Browser

Eso es Todo, Saludos!!

7. Configuración de la interfaz de administración en Palo Alto Firewall

 

En este capítulo vamos a configurar la interface de administración.

Si probamos acceder a la ip del palo no podremos acceder

Ahora vamos a configurar la interface administracion.

Vamos a Device/Setup y hacemos clic en Management

Lo primero a configurar es dejar el tipo de IP en dhcp Client.

En cliente options lo dejamos en Send hostname,

Tildamos Los servicios de administración, dejamos los protocolos HTTP, SSH y PING

Por último habilitamos http y destilamos ping

Nos debe quedar de la siguiente menera.

Procedemos a darle OK y realizamos commit!

Ahora si intentamos hacer un ping al Palo Ato no nos responderá ya que hemos destilado PING

Una manera de ver nuestros servicios por Consola es escribiendo

#config

# show system services

Ahora Si necesitamos configurar una ip estática por entorno grafico vamos a perder conexión, lo que tenemos es acceder por consola y comenzar a configurar.

Acedemos por consola e ingresamos al modo de configuracion.

#configure mode

Ahora eliminamos el modo Dhcp-client

#delete deviceconfig system type dhcp-client

Ahora configuramos una nueva ip statica.

#set deviceconfig system type static

Ahora necesitamos espesificar la direccionde IP

#set deviceconfig system ip-address 192.168.0.100 netmask 255.255.255.0

Para grabar utilizamos el comando commit!

Ahora ingresamos con la nueva direccion de IP

Ahora validemos la configuracion desde la consola

#config

#show system info

Podran ver que la ip esta configurada de forma static.

Ahora vamos a interface / Device

hacemo click en la interface Management

Vamos a quitare el protocolo HTTP y Telenet, dejando solo HTTPS y SSH , Tambien habilitamos el PING

Ya gregamos el Default Gateway que sera la direccion ip de nuestro Router.

Aqui se agregan las ip que son prmitidas tomar la gestion y  conectarase a este Palo Alto

Estas ips pueden ser de nuestro equipo de IT

Realizamos Commit!

6. Configuración de DNS y NTP en Palo Alto Firewall

 

Comenzaremos configurando el protocolo NTP = Network Time Protocol sieve para sincornizar los relojes en los sistemas 

Para configurar los DNS debemos ir a DEVICE / Services y editamos la configuración.

Los primero es habilitar DNS Server, luego los completamos con los dns de google 8.8.8.8 y 8.8.4.4

El minimun FQDN es el tiempo refresco.

Si tenemos un servidor proxy debemos configurarlo en el siguiente apartado, ya que toda la comunicacion pasara por el proxy

Para configurar el protocolo NTP de Argentina tenemos que ir a la siguiente direccion

pool.ntp.org: NTP Servers in Argentina, ar.pool.ntp.org (ntppool.org)

En todo caso lo pueden buscar asi en google, en mi caso pongo Argentina

agregamos la dirección del server ntp par Arg y también podremos agregar otro server como secundario, pero en mi caso solo voy a dejar este

Si usted lo desea puede agregar algunos de los siguientes:

#13 Configuración y Administración del protocolo de ruteo OSPF

 

Vamos a utilizar el mismo escenario donde hicimos el laboratorio de RIP

Les voy a dejar los comandos para configurar y declarar los Router como OSPF

Router 1

enabled

config

int fa0/0

ip address 10.10.10.1 255.255.255.0

no shut

exit

int loopback 1

ip address 1.1.1.1 255.255.255.0

int loopback 11

ip address 11.11.11.11. 255.255.255.255

router ospf 1 (1 corresponde al ID)

network 1.1.1.1 0.0.0.0 area 0 (area 0 = significa area 0)

network 11.11.11.11 0.0.0.0 area 0

network 10.10.10.0 0.0.0.255 area 0

##########################################

Router 2

enable

config

int fa0/0

ip address 10.10.10.2 255.255.255.0

no shut

exit

int loopback 2

int address 2.2.2.2 255.255.255.255

int loopback 22

ip address 22.22.22.22 255.255.255.255

router ospf 1

network 2.2.2.2 0.0.0.0 area 0

network 22.22.22.22 0.0.0.0 area 0

network 10.10.10.0 0.0.0.255 area 0

#########################################

Una vez realizado esto podemos validar como quedo configuradas de las interfaces con el comando

do show ip int b

Tambien podremos validar si nuestras tablas de ruteo quedaron configuradas con OSPF, por o general vamos a identificar este protocolo porque tiene la letra O

esto aveces tarda unos 5 minutos en reconocer las interfaces de los otros ROuters

En nuestro caso ya está reconociendo las rutas del Router 1

Ahora vamos hacer la confiraciones en palo alto, si recuenrda el anterior video nosotros yahabismos configurado el protocolo RIP, lo cual para ganar un poco de tiempo lo que debemos hacer ahora es ir Virtual Routers y deshabilitar router la opcion de RIP para habilitar OSPF

Para mayor comodidad vamos a eliminar la autenticación que hemos creado en el video anterior.

y tambien vamos a eliminar sus interfaces.

Ahora procedemos a crear OSPF

Al momento de crear OSPF debemos habilitarlo, luego establecer un ID al router puede ser el número que ustedes quieran, en este caso le pusimos 7.7.7.7 y algo muy importante es crear el area.

Lo primero a configurar para el área es el área ID y el tipo, en este caso lo dejamos como normal

como esta es el área cero, le indicamos Área ID 0.0.00

Ahora en interfaces vamos agregar nuestra interface 

Aquí las interfaces que debemos agregar es la Ether1/1 del Palo alto.

Es importante entender el Timing de intervalos, El intervalo de echo/hola para identificar si hay comunicación son de 10 seg, si hay contadores muertos o perdida será de 4 paquetes, mientras que el intervalo de retrasmisión será de 5

Obviamente podemos configurarlos a nuestro antojo.

Ahora vamos a configurar las interfaces Loopback, la interface será la loopback 5, vamos a dejarla en Enabled por default esto ya viene habilitado, pero aquí la dejamos en modo pasivo y en link type la dejamos en Broadkast para que envié paquetes si es necesario. 

Hacemos los mismo con la Loopback 6

Damos OK y debería quedarnos asi.

Damos ok

Por favor no se olvide del Commit!!

Ahora vamos a realizar las comprobaciones en el palo alto.

Si vamos a runtime Status podremos hacer las comprobaciones

El Destination es hacia dónde queremos y ir corresponde a las redes del Router 1, el próximo salto o next hop significa que cuando el palo llegue a esa ruta 10.10.10.0/24 podrá llegar a las redes 11.11.11.11/32 y 1.1.1.1/32

Lo mismo sucede con las rutas del router 2, para llegar a las redes 2.2.2.2/32 y 22.22.22.22/32 debemos ir por la ruta 10.10.10.0/32

En la pestaña interfaces tendremos mayor información de cómo están configuradas 

Esta es la pestaña de vecinos, la cual podremos ver las redes de los router 1 y 2, esto con OSPF él lo aprende automáticamente.

Si vamos al Router 1 podremos comprobar que el ya aprendió automaticamente las rutas del router 1 y las de palo alto, esto también incluye las interfaces Loopback