Paloalto Networks Firewallì˜ ì—°ë™ ê°€ì´ë“œ
================================================
ì´ ê°€ì´ë“œì—서는 Palo Alto ë°©í™”ë²½ì„ í†µí•œ ì—°ë™ì— 대한 ë‚´ìš©ì„ ì œê³µí•©ë‹ˆë‹¤.
ê°€ì´ë“œ 개요
-----------------------
ì´ ê°€ì´ë“œëŠ” Genian NAC 엔지니어 ë° ê¸°ì—… ìš´ì˜ìžê°€ Genian NAC ë° PAN 방화벽과 í˜‘ë ¥í•˜ì—¬ PAN ì¸ì¦ ë°©í™”ë²½ì— ì‚¬ìš©ìž ì¸ì¦ ì •ë³´ë¥¼ 보내는 ë°©ë²•ì— ëŒ€í•´ 설명합니다.
PAN ë°©í™”ë²½ì€ ì¼ë°˜ì 으로 사용ìžê°€ 부서 나 위치를 변경 í• ë•Œ IP ì •ë³´ê°€ 변경ë˜ê³ ì´ì— ë”°ë¼ í• ë‹¹ ëœ ê¶Œí•œì´ ìˆ˜ì • ë˜ë„ë¡ ìš”êµ¬í•©ë‹ˆë‹¤.
IP 기반 방화벽 ì •ì±…ì€ ëˆ„ê°€ IP를 ì‚¬ìš©í•˜ê³ ìžˆëŠ”ì§€ 알지 못하지만 Genian NAC와 í˜‘ë ¥í•˜ì—¬ IPì— ëŒ€í•œ ì‚¬ìš©ìž ì •ë³´ë¥¼ ì–»ì„ ìˆ˜ 있습니다.
ì´ ì •ë³´ë¥¼ 바탕으로 사용ìžì˜ 부서 ë˜ëŠ” 위치가 ì´ë™ë˜ê³ IP ì •ë³´ê°€ 변경 ë˜ë”ë¼ë„ 사용ìžëŠ” ë°©í™”ë²½ì˜ ê·œì¹™ì„ ìˆ˜ì •í•˜ì§€ ì•Šê³ ê° ì‚¬ìš©ìžì—게 í• ë‹¹ ëœ ê¶Œí•œì„ ì ìš© í• ìˆ˜ 있습니다.
관리ìžì˜ 내부 ì¸í”„ë¼ ìš´ì˜ ë° ë³´ì•ˆì„ íš¨ìœ¨ì 으로 í–¥ìƒì‹œí‚µë‹ˆë‹¤.
PAN Firewallì„ ì´ìš©í•œ Genian NAC 구축
--------------------------------------------------
Genian NAC는 ì¸ì¦ ì—°ë™ì„ ì œê³µí•©ë‹ˆë‹¤.
PAN ë°©í™”ë²½ì€ Genian NACì—ì„œ ì œê³µí•˜ëŠ” IP ë° ì‚¬ìš©ìž ì¸ì¦ ì •ë³´ë¥¼ 참조하여 ì •ë³´ì— íƒœê·¸ë¥¼ í• ë‹¹í•˜ê³ PAN 방화벽ì—ì„œ ìƒì„± ëœ USER-ID ë° ë§¤í•‘ì„ ìˆ˜í–‰í•˜ì—¬ PAN ë°©í™”ë²½ì˜ ì‚¬ìš©ìž ì—í• ì— ì˜í•œ 액세스 ì œì–´ë¥¼ 가능하게합니다.
.. image:: /images/authentication-process.jpg
:width: 600px
ì¸ì¦ 프로세스는 다ìŒê³¼ 같습니다.
#. Genian NACì˜ ì‚¬ìš©ìž ì¸ì¦
#. Genian NAC는 ì¸ì¦ ì‚¬ìš©ìž ë° IP ì •ë³´ë¥¼ PAN ë°©í™”ë²½ì— ë³´ëƒ…ë‹ˆë‹¤.
#. PAN ë°©í™”ë²½ì€ ì¸ì¦ 사용ìžì™€ Genian NACì—ì„œë°›ì€ IP ì •ë³´ë¥¼ ìžì²´ ì‚¬ìš©ìž ID í…Œì´ë¸”ê³¼ 비êµí•©ë‹ˆë‹¤.
#. PANì€ User-IDì— í• ë‹¹ ëœ íƒœê·¸ë¥¼ 확ì¸í•©ë‹ˆë‹¤.
#. ê° ì‚¬ìš©ìžì—게 í• ë‹¹ ëœ íƒœê·¸ë¥¼ 기반으로 ì—í• ë³„ 액세스 ì œì–´ ì •ì±…ì´ ìˆ˜ë¦½ë©ë‹ˆë‹¤.
XML API를 통해 ì—°ë™ì„ 위한 PAN Firewall 구성
-----------------------------------------------------------
**1. PAN 방화벽ì—ì„œ ê´€ë¦¬ìž ì—í• ìƒì„±**
ë¨¼ì € 웹ì—ì„œ ê´€ë¦¬ìž ì—í• ì„ ìƒì„±
- **Device** > **Admin Roles** > **Add** 으로 ì´ë™í•©ë‹ˆë‹¤.
- Genian_NAC_SSO ì˜ role **Name** ì„ ë§Œë“¤ê³ **XML API** íƒ ì•„ëž˜ë¥¼ ì„¤ì •í•©ë‹ˆë‹¤.
- ëª¨ë“ ê²ƒì„ í™œì„±í™”í•˜ê³ **OK** 를 사용하여 확ì¸í•©ë‹ˆë‹¤.
.. image:: /images/Genian_NAC_SSO.jpg
:width: 600px
**2. PAN 방화벽ì—ì„œ Genian NAC ê³„ì • ìƒì„±**
ê³„ì •ì— SSO ì—í• ì„ í• ë‹¹í•©ë‹ˆë‹¤.
- **Name** ìž…ë ¥: Genian_NAC
- **Administrator Type** ì„ íƒ: Role Based
- **Profile** ì„ íƒ: Genian_NAC_SSO
.. image:: /images/Genian_administraitor.jpg
:width: 600px
**3. PAN 방화벽ì—ì„œ XML 키를 ìƒì„±**
ë‹¤ìŒ URLë¡œ ì´ë™: **https://[ IP of PAN firewall]/api/?type=keygen&user=[username]&password=[password]**
아래ì—ì„œ ìƒì„±ëœ 키를 ë³¼ 수 있습니다.
.. code:: bash
Script
<response status = 'success'>
<result>
<key>LUFRPT1KbW80SU1hRXJuNk5XNHBudUhCNGMydE0rSUk9RFIzdEJ5RGcwWkRCVlhYMXl0Q1FPdz09
</key>
</result>
</response>
**4. Genian NACì—ì„œ SYSLOG ì „ì†¡ì„ ìœ„í•œ ì„¤ì •**
Genian NAC는 ê°ì‚¬ ë¡œê·¸ì˜ í•„í„°ë¥¼ 사용하여 XMLê³¼ ì—°ë™í•©ë‹ˆë‹¤.
- ìƒìœ„ í•ëª©ì˜ **ê°ì‚¬** ë¡œ ì´ë™í•©ë‹ˆë‹¤.
- 왼쪽 로그 í•ëª©ì—ì„œ **로그** > **검색** > **ê³ ê¸‰ê²€ìƒ‰** > **로그 ID** > **ì¸ì¦** > **검색** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
- ì‚¬ìš©ìž ì¸ì¦ 로그가 표시ë˜ê³ **다른ì´ë¦„으로 ì €ìž¥** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
(ê°€) 로그필터 ìƒì„± ë° ê°ì‚¬ë¡œê·¸ ì „ì†¡ì„¤ì •
- **ì´ë¦„** ìž…ë ¥: SSO_PaloAlto
- **Webhook URL** ì„¤ì •:
.. code:: bash
Call the PAN firewall XML
https://[IP of PAN firewall]/api/?type=user-id&action=set&key=LUFRPT1KbW80SU1hRXJuNk5XNHBudUhCNGMydE0rSUk9RFIzdEJ5RGcwWkRCVlhYMXl0Q1FPdz09
(나) 로그필터 문ìžì…‹ ë° ì „ì†¡ë‚´ìš© ì„¤ì •
- **character Set** ì„ íƒ: EUC-KR
- **ë°©ì‹** ì„ íƒ: POST
- **POST ë°ì´í„°** ìž…ë ¥:
.. code:: bash
Script
<uid-message>
<version>1.0</version>
<type>update</type>
<payload>
<login>
<entry name="{ID}" ip="{_IP}" timeout="20" />
</login>
</payload>
</uid-message>
(다) 로그필터 ë°ì´í„° ì „ì†¡íƒ€ìž… ì„¤ì •
- **ë°ì´í„°ì „송타입**: multipart/form-data
.. image:: /images/SSO_PaloAlto.JPG
:width: 600px
**5. PAN 방화벽ì—ì„œ 보안 ì˜ì—ì— ì‚¬ìš©ìž ì‹ë³„ 구성**
PAN 방화벽 ì •ì±… ê·œì¹™ì€ ë³´ì•ˆ ì˜ì—ì„ ì‚¬ìš©í•˜ì—¬ ì˜ì— ë‚´ì—ì„œ ìžìœ ë¡ê²Œ í르는 ë°ì´í„° íŠ¸ëž˜í”½ì„ ì‹ë³„합니다. í—ˆìš©ëœ ë³´ì•ˆ ì •ì±… ê·œì¹™ì„ ì •ì˜í•˜ê¸° ì „ì—는 다른 ì˜ì— ê°„ì— ìžìœ ë¡ê²Œ í르지 않습니다. ì‚¬ìš©ìž ID를 ì ìš©í•˜ë ¤ë©´ 최종 ì‚¬ìš©ìž íŠ¸ëž˜í”½ìœ¼ë¡œ ì „ë‹¬ë˜ëŠ” ì¸ë°”ìš´ë“œ ë° ì•„ì›ƒë°”ìš´ë“œ ì˜ì— 모ë‘ì—ì„œ ì‚¬ìš©ìž ID를 사용하ë„ë¡ ì„¤ì • 해야합니다.
ì‚¬ìš©ìž ID를 사용하ë„ë¡ ì„¤ì •
- **Network** > **Zone** ë¡œ ì´ë™
- **Enable User Identification** ì„ íƒ ë° **OK** í´ë¦.
**6. PAN 방화벽ì—ì„œ SSH ë° ì›¹ 콘솔ì—ì„œ ë¡œê·¸ì¸ ì´ë²¤íŠ¸ë¥¼ ìˆ˜ì‹ í•˜ê³ ìžˆëŠ”ì§€ 확ì¸**
.. code:: bash
CLI Command
admin@PA-VM> show user ip-user-mapping all
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ------ ------- --------- -------------- -------------
172.29.101.1 vsys1 XMLAPI genian 1111 1111
Total: 1 users
**PAN 방화벽 WebConsole**
- **Monitor** ë¡œ ì´ë™í•©ë‹ˆë‹¤.
- 왼쪽 Monitor í•ëª©ì˜ **Logs** > **User-ID** ë¡œ ì´ë™í•©ë‹ˆë‹¤.
- Genian NAC를 통해 ì¸ì¦ 목ë¡ì„ ë³¼ 수 있습니다.
.. image:: /images/Mapping-UI.JPG
:width: 600px
SYSLOG를 통해 ì—°ë™ì„ 위한 PAN Firewall 구성
----------------------------------------------------------
**1. PAN 방화벽ì—ì„œ í•„í„° ìƒì„±**
Palo Alto ë°©í™”ë²½ì€ Genian NAC와 Syslog 메시지를 ìˆ˜ì‹ í• ë•Œ ì¸ì¦ ê´€ë ¨ 메시지를 구분하는 로그 필터를 ìƒì„±í•©ë‹ˆë‹¤.
- ìƒë‹¨ í•ëª©ì˜ **Device** ë¡œ ì´ë™í•©ë‹ˆë‹¤.
- ì‚¬ìš©ìž **Identification** > **User Mapping** > PAN 방화벽 **User-ID Agent Setup** íƒì—ì„œ **기어** 와 ê°™ì€ ëª¨ì–‘ì˜ ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
- Syslog **Filters** > **Add** ë¡œ ì´ë™í•©ë‹ˆë‹¤
.. code:: bash
Enter values
Enter a Syslog Parse Profile: Genian_NAC
Enter a Event String: AUTHUSER
Enter a Username Prefix: ID=
Enter a Username Delimiter: ,
Enter a Address Prefix: IP=
Enter a Address Delimiter: ,
.. image:: /images/Genian_syslog-parse-profile.jpg
:width: 400px
**2. PAN ë°©í™”ë²½ì´ ëª¨ë‹ˆí„°í•˜ëŠ” SYSLOG ì†¡ì‹ ìž ì§€ì •**
**Device** > **User Identification** > **User Mapping** ë° **ADD** (서버 ëª¨ë‹ˆí„°ë§ ëª©ë¡ì— 대한 í•ëª©ì„ 추가)
.. code:: bash
Enter values
Enter a Name to identify the sender
Make sure the sender Profile is Enabled (default is enabled)
Set the Type to Syslog Sender.
Enter the Network Address of the Genian NAC IP address
Select SSL(default) or UDP as the Connection Type
.. note:: UDP í”„ë¡œí† ì½œì€ ì•”í˜¸í™”ë˜ì§€ ì•Šì€ ë°ì´í„°ì´ë¯€ë¡œ ìŠ¤í‘¸í•‘ì´ ë 수 있어 SSL í”„ë¡œí† ì½œì„ ì‚¬ìš©í•˜ëŠ” ê²ƒì´ ì¢‹ìŠµë‹ˆë‹¤.
The listening ports(514 for UDP and 6514 for SSL)
.. image:: /images/Genian_syslog_sender.jpg
:width: 400px
**4. PAN 방화벽ì—ì„œ SYSLOG Listener 서비스 활성화**
Genian NACì˜ SYSLOG를 ë°›ì„ ìˆ˜ 있습니다.
- **Network** > **Network Profiles** > **Interface Mgmt** > **ADD** 새 프로파ì¼ë¡œ ì´ë™í•©ë‹ˆë‹¤.
.. code:: bash
Enter values
Enter a Name to identify the Network Profile: Allow Genian NAC
Check the User-ID SYSLOG Listener-SSL or User-ID SYSLOG Listener-UDP
Click OK to save the interface management profile
**5. PAN 방화벽ì—ì„œ ì¸í„°íŽ˜ì´ìŠ¤ 관리 프로파ì¼ì„ ì¸í„°íŽ˜ì´ìŠ¤ì— í• ë‹¹**
- **Network** > **Interfaces** ë¡œ ì´ë™í•˜ì—¬ ì¸í„°íŽ˜ì´ìŠ¤ë¥¼ 편집합니다.
- **Advanced** > **other info** > **Interface Management Profile** ì„ íƒ > **Allow Genian NAC** ì„ íƒ > **Ok** 를 í´ë¦í•©ë‹ˆë‹¤.
- **Commit**
**6. Genian NACì—ì„œ SYSLOG를 ì „ì†¡í•˜ë„ë¡ ì„¤ì •**
Genian NAC는 ê°ì‚¬ ë¡œê·¸ì˜ í•„í„°ë¥¼ 사용하여 SYSLOG 와 ì—°ë™í•©ë‹ˆë‹¤.
- ìƒìœ„ í•ëª©ì˜ **ê°ì‚¬** ë¡œ ì´ë™í•©ë‹ˆë‹¤.
- 왼쪽 로그 í•ëª©ì—ì„œ **로그** > **검색** > **ê³ ê¸‰ê²€ìƒ‰** > **로그 ID** > **ì¸ì¦** > **검색** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
- ì‚¬ìš©ìž ì¸ì¦ 로그가 표시ë˜ê³ **다른ì´ë¦„으로 ì €ìž¥** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤.
.. code:: bash
Enter values
Enter a Name
Enter a Server IP address[ Palo Alto IP]
Select the Protocol either UDP or TCP(TLS)
Set a Server port(UDP for 514, TCP(TLS) for 6514)
Enter the SYSLOG Message: USERAUTH, ID={ID}, IP={_IP}
Click the Save
.. image:: /images/Genian_NAC_syslog.JPG
:width: 600px
**7. PAN 방화벽ì—ì„œ 사용ìžê°€ 로그ì¸í•˜ê±°ë‚˜ ë¡œê·¸ì•„ì›ƒí• ë•Œ 사용ìžê°€ 매핑ë˜ëŠ”지 확ì¸**
.. code:: bash
CLI command
admin@PA-VM> show user ip-user-mapping all type SYSLOG
IP Vsys From User IdleTimeout(s) MaxTimeout(s)
--------------- ----- ------- -------------------- -------------- -------------
172.29.101.1 vsys1 SYSLOGI genian 2220 2220
Total: 1 users