Presentation Name / Author

Kako brez stresa zamenjati

požarno pregradoHow to Replace the Firewall Without Stress

Sašo Tomc - SRC d.o.o. (21. januar 2019)

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Sprostitev migracija uspešna!

Presentation Name / Author

Migracija > Palo Alto Networks

Požarne pregrade > Expedition > Palo Alto Firewall (NGFW)

Check Point, Cisco, Fortinet,

IBM XGS, Juniper, Forcepoint,

uvoz podatkov iz CSV datoteke

&

Ročno konfiguriranje

Presentation Name / Author

Migracija > Expedition Tool

Presentation Name / Author

Migracija > Expedition Tool

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Analiza obstoječe konfiguracije

Optimizacija obstoječe konfiguracije >

brisanje nepotrebnih elementov

združitev enakovrednih objektov

Poimenovanje vmesnikov, con, objektov >

pozor na dolžino imen (63 maks.)

pozor na posebne znake ( ! ? < > $ € @ )

Posebna pozornost na dele konfiguracij >

VPN, NAT, Dynamic & Policy-routing…

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Določanje nivoja tveganja za izpad omrežja

Tveganje (ne)delovanja po OSI Layer 2 >

ARP tabela, 802.1Q podvmesniki

Tveganje (ne)delovanja po OSI Layer 3 >

Dynamic/Static & Policy Routing

Tveganje zaradi napak - človeški faktor >

Napake v konfiguraciji

Visoki nivoji NGFW zaščite ob preklopu požarne pregrade

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Konfiguracija nove opreme

Kopija dizajna (One-to-One Design) >

Popolna kopija konfiguracije

PA sporoča „duplicate“ objekte

Sprememba dizajna (Delta Design) >

PA podpira Virtual-Routers

PA podpira Virtual-Systems

PA podpira Zones, Tags, PBF, Security-Profile Groups…

PA podpira centralizirani Panorama ManagementPA = Palo Alto

Presentation Name / Author

Konfiguracija nove opreme - VR

Virtual-Routers >

Presentation Name / Author

Konfiguracija nove opreme - VR

Virtual-Routers >

Presentation Name / Author

Konfiguracija nove opreme - V-sys

Virtual-Systems >

Presentation Name / Author

Konfiguracija nove opreme - V-sys

Virtual-Systems >

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard & ACC (Application Command Center)

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard & ACC (Application Command Center)

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard & ACC (Application Command Center)

https://www.whois.com/

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard & ACC (Application Command Center)

IPSec Tunnels Dashboard

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

U-Turn NAT (Hair-Pinning)

Tail Command (CLI)

Dashboard & ACC (Application Command Center)

IPSec Tunnels Dashboard

Objektno konfiguriranje:

- zelo uporabno iskanje objektov

- geo-lokacijsko filtriranje (Lat/Lon | države)

- preglednost v konfiguraciji

- hitri vklopi/izklopi pravil

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

Applipedia >

- Dostop v GUI vmesniku

- Splet: https://applipedia.paloaltonetworks.com/

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

Applipedia >

- Dostop v GUI vmesniku

- Splet: https://applipedia.paloaltonetworks.com/

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

Applipedia >

Threat Vault >

- Splet: https://threatvault.paloaltonetworks.com/

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

Applipedia >

Threat Vault >

- Splet: https://threatvault.paloaltonetworks.com/

Presentation Name / Author

Konfiguracija nove opreme

Druga pomembna orodja >

- U-Turn NAT, Tail, Dashboard, ACC, objekti…

Applipedia >

- Dostop v GUI vmesniku

- Splet: https://applipedia.paloaltonetworks.com/

Threat Vault >

- Splet: https://threatvault.paloaltonetworks.com/

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Test delovanja pred preklopom

Specifikacija vitalnih storitev & povezav v omrežju >

OSI Layers – referenčni model zgradbe protokolov:

1) Fizična plast (bakrene, optične povezave)

2) Povezovalna plast (vmesniki, pod-vmesniki, agregacija)

3) Omrežna plast (ICMP, NAT, HSRP, VRRP, usmerjanje)

4) Transportna plast (IPSEC, TCP, UDP)

5) Plast seje (NetBIOS, RPC, RTP)

6) Predstavitvena plast (SSL, TLS)

7) Aplikacijska plast (DNS, SMTP, SSH, HTTP/S)

Presentation Name / Author

Test delovanja pred preklopom

Specifikacija vitalnih storitev & povezav v omrežju >

OSI Layers – referenčni model zgradbe protokolov

Presentation Name / Author

Test delovanja pred preklopom

Specifikacija vitalnih storitev & povezav v omrežju >

OSI Layers – test:

Usmerjevalna tabela (show routing route | match)

Ping IP-address (omrežne naprave | vsi segmenti)

Ping ime-strežnika (Internet | vse lokalne segmente)

IPSEC povezave (test delovanja do 7. OSI nivoja)

Telnet www.paloalto.si 80 | 443 | 25 (testni URL)

App (browser) HTTPS://www.whatismyip.com

App (e-mail) send / receive

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Preklop omrežja na novo požarno pregrado

Glede na nivo tveganja in čas izpada, presodimo >

- preklop požarne pregrade, kot celote

- preklopi posameznih virtualnih naprav / instanc

- vklop novih virtualnih instanc na Palo Alto:

Virtual-Routers

Virtual-Systems

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Test delovanja po preklopu

Popolnoma enak test, kot smo ga izvedli pred preklopom >

OSI Layers – test:

Usmerjevalna tabela (show routing route | match)

Ping IP-address (omrežne naprave | vsi segmenti)

Ping ime-strežnika (Internet | vse lokalne segmente)

IPSEC povezave (test delovanja do 7. OSI nivoja)

Telnet www.paloalto.si 80 | 443 | 25 (testni URL)

App (browser) HTTPS://www.whatismyip.com

App (e-mail) send / receive

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Odprava morebitnih težav

Prisoten strokovnjak >

- izkušnje s selitvijo konfiguracij na Palo Alto napravo

Rešitve za pogoste težave >

- brisanje ARP tabele

- natančno preverjanje usmerjanja ter NAT prevajanja

- pravilen prenos certifikata za SSL-VPN

Sistematični pristop >

- kasnejši vklop najnaprednejših varnostnih mehanizmov

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Vklop varnostnih parametrov / mehanizmov

Zone & DoS Protection, User Identification >

Security Profiles > Security Rule >

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Sistematski pristop testiranja delovanja

varnostnih parametrov / mehanizmov

Presentation Name / Author

Sistematski pristop testiranja delovanja

varnostnih parametrov / mehanizmov

Presentation Name / Author

Sistematski pristop testiranja delovanja

varnostnih parametrov / mehanizmov

1) Analiza obstoječe konfiguracije

2) Določanje nivoja tveganja za izpad omrežja

3) Konfiguracija nove opreme

4) Test delovanja pred preklopom

5) Preklop omrežja na novo požarno pregrado

6) Test delovanja po preklopu

7) Odprava morebitnih težav

8) Vklop varnostnih parametrov

9) Sistematski pristop testiranja delovanja varnostnih parametrov

10) Nastavitev obveščanja

Presentation Name / Author

Nastavitev obveščanja

Mail

SNMP

Syslog

PDF Reports >

- Threat, Application, Traffic,

URL Filtering,

Trend (Bandwidth, Risk, Threat)

- User Activity

- SaaS (software-as-a-service) Application Usage

Presentation Name / Author

Nastavitev obveščanja

Mail

SNMP

Syslog

PDF Reports >

- Threat, Application, Traffic,

URL Filtering,

Trend (Bandwidth, Risk, Threat)

- User Activity

- SaaS Application Usage

Presentation Name / Author

Vprašanja?

Questions?

saso.tomc@src.si

Hvala!

Thank you!

saso.tomc@src.si