Presentation Name / Author
Kako brez stresa zamenjati
požarno pregradoHow to Replace the Firewall Without Stress
Sašo Tomc - SRC d.o.o. (21. januar 2019)
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Sprostitev migracija uspešna!
Presentation Name / Author
Migracija > Palo Alto Networks
Požarne pregrade > Expedition > Palo Alto Firewall (NGFW)
Check Point, Cisco, Fortinet,
IBM XGS, Juniper, Forcepoint,
uvoz podatkov iz CSV datoteke
&
Ročno konfiguriranje
Presentation Name / Author
Migracija > Expedition Tool
Presentation Name / Author
Migracija > Expedition Tool
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Analiza obstoječe konfiguracije
Optimizacija obstoječe konfiguracije >
brisanje nepotrebnih elementov
združitev enakovrednih objektov
Poimenovanje vmesnikov, con, objektov >
pozor na dolžino imen (63 maks.)
pozor na posebne znake ( ! ? < > $ € @ )
Posebna pozornost na dele konfiguracij >
VPN, NAT, Dynamic & Policy-routing…
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Določanje nivoja tveganja za izpad omrežja
Tveganje (ne)delovanja po OSI Layer 2 >
ARP tabela, 802.1Q podvmesniki
Tveganje (ne)delovanja po OSI Layer 3 >
Dynamic/Static & Policy Routing
Tveganje zaradi napak - človeški faktor >
Napake v konfiguraciji
Visoki nivoji NGFW zaščite ob preklopu požarne pregrade
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Konfiguracija nove opreme
Kopija dizajna (One-to-One Design) >
Popolna kopija konfiguracije
PA sporoča „duplicate“ objekte
Sprememba dizajna (Delta Design) >
PA podpira Virtual-Routers
PA podpira Virtual-Systems
PA podpira Zones, Tags, PBF, Security-Profile Groups…
PA podpira centralizirani Panorama ManagementPA = Palo Alto
Presentation Name / Author
Konfiguracija nove opreme - VR
Virtual-Routers >
Presentation Name / Author
Konfiguracija nove opreme - VR
Virtual-Routers >
Presentation Name / Author
Konfiguracija nove opreme - V-sys
Virtual-Systems >
Presentation Name / Author
Konfiguracija nove opreme - V-sys
Virtual-Systems >
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard & ACC (Application Command Center)
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard & ACC (Application Command Center)
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard & ACC (Application Command Center)
https://www.whois.com/
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard & ACC (Application Command Center)
IPSec Tunnels Dashboard
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
U-Turn NAT (Hair-Pinning)
Tail Command (CLI)
Dashboard & ACC (Application Command Center)
IPSec Tunnels Dashboard
Objektno konfiguriranje:
- zelo uporabno iskanje objektov
- geo-lokacijsko filtriranje (Lat/Lon | države)
- preglednost v konfiguraciji
- hitri vklopi/izklopi pravil
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
Applipedia >
- Dostop v GUI vmesniku
- Splet: https://applipedia.paloaltonetworks.com/
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
Applipedia >
- Dostop v GUI vmesniku
- Splet: https://applipedia.paloaltonetworks.com/
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
Applipedia >
Threat Vault >
- Splet: https://threatvault.paloaltonetworks.com/
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
Applipedia >
Threat Vault >
- Splet: https://threatvault.paloaltonetworks.com/
Presentation Name / Author
Konfiguracija nove opreme
Druga pomembna orodja >
- U-Turn NAT, Tail, Dashboard, ACC, objekti…
Applipedia >
- Dostop v GUI vmesniku
- Splet: https://applipedia.paloaltonetworks.com/
Threat Vault >
- Splet: https://threatvault.paloaltonetworks.com/
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Test delovanja pred preklopom
Specifikacija vitalnih storitev & povezav v omrežju >
OSI Layers – referenčni model zgradbe protokolov:
1) Fizična plast (bakrene, optične povezave)
2) Povezovalna plast (vmesniki, pod-vmesniki, agregacija)
3) Omrežna plast (ICMP, NAT, HSRP, VRRP, usmerjanje)
4) Transportna plast (IPSEC, TCP, UDP)
5) Plast seje (NetBIOS, RPC, RTP)
6) Predstavitvena plast (SSL, TLS)
7) Aplikacijska plast (DNS, SMTP, SSH, HTTP/S)
Presentation Name / Author
Test delovanja pred preklopom
Specifikacija vitalnih storitev & povezav v omrežju >
OSI Layers – referenčni model zgradbe protokolov
Presentation Name / Author
Test delovanja pred preklopom
Specifikacija vitalnih storitev & povezav v omrežju >
OSI Layers – test:
Usmerjevalna tabela (show routing route | match)
Ping IP-address (omrežne naprave | vsi segmenti)
Ping ime-strežnika (Internet | vse lokalne segmente)
IPSEC povezave (test delovanja do 7. OSI nivoja)
Telnet www.paloalto.si 80 | 443 | 25 (testni URL)
App (browser) HTTPS://www.whatismyip.com
App (e-mail) send / receive
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Preklop omrežja na novo požarno pregrado
Glede na nivo tveganja in čas izpada, presodimo >
- preklop požarne pregrade, kot celote
- preklopi posameznih virtualnih naprav / instanc
- vklop novih virtualnih instanc na Palo Alto:
Virtual-Routers
Virtual-Systems
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Test delovanja po preklopu
Popolnoma enak test, kot smo ga izvedli pred preklopom >
OSI Layers – test:
Usmerjevalna tabela (show routing route | match)
Ping IP-address (omrežne naprave | vsi segmenti)
Ping ime-strežnika (Internet | vse lokalne segmente)
IPSEC povezave (test delovanja do 7. OSI nivoja)
Telnet www.paloalto.si 80 | 443 | 25 (testni URL)
App (browser) HTTPS://www.whatismyip.com
App (e-mail) send / receive
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Odprava morebitnih težav
Prisoten strokovnjak >
- izkušnje s selitvijo konfiguracij na Palo Alto napravo
Rešitve za pogoste težave >
- brisanje ARP tabele
- natančno preverjanje usmerjanja ter NAT prevajanja
- pravilen prenos certifikata za SSL-VPN
Sistematični pristop >
- kasnejši vklop najnaprednejših varnostnih mehanizmov
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Vklop varnostnih parametrov / mehanizmov
Zone & DoS Protection, User Identification >
Security Profiles > Security Rule >
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Sistematski pristop testiranja delovanja
varnostnih parametrov / mehanizmov
Presentation Name / Author
Sistematski pristop testiranja delovanja
varnostnih parametrov / mehanizmov
Presentation Name / Author
Sistematski pristop testiranja delovanja
varnostnih parametrov / mehanizmov
1) Analiza obstoječe konfiguracije
2) Določanje nivoja tveganja za izpad omrežja
3) Konfiguracija nove opreme
4) Test delovanja pred preklopom
5) Preklop omrežja na novo požarno pregrado
6) Test delovanja po preklopu
7) Odprava morebitnih težav
8) Vklop varnostnih parametrov
9) Sistematski pristop testiranja delovanja varnostnih parametrov
10) Nastavitev obveščanja
Presentation Name / Author
Nastavitev obveščanja
SNMP
Syslog
PDF Reports >
- Threat, Application, Traffic,
URL Filtering,
Trend (Bandwidth, Risk, Threat)
- User Activity
- SaaS (software-as-a-service) Application Usage
Presentation Name / Author
Nastavitev obveščanja
SNMP
Syslog
PDF Reports >
- Threat, Application, Traffic,
URL Filtering,
Trend (Bandwidth, Risk, Threat)
- User Activity
- SaaS Application Usage
Presentation Name / Author