phile

Internship/Fresher
Jan 4, 2021
88
16
8
Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
III. Kiểm tra hoạt động User-ID với LDAP

[LAB-22] Cấu hình User-ID tích hợp với LDAP trên PAN VM-series

Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)

I. Giới thiệu về mô hình bài Lab


Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
  • Outside network: 10.120.190.0/24
  • User network: 172.16.198.0/24 và 172.16.199.0/24
  • Server network: 172.16.100.0/24 và 172.16.10.0/24
Gateway lần lượt được cấu hình trên PAN VM-series: 10.120.190.50/24, 172.16.198.250, 172.16.198.250, 172.16.10.250,...
Yêu cầu của bài Lab:
  • Cấu hình tạo account và WMI permission trên AD để cho phép Palo Alto lấy thông tin login của User từ đó mapping IP với user.
  • Cấu hình LDAP server và tích hợp với Firewall Palo Alto để tiến hành monitor và mapping thông tin user với IP.
  • Cấu hình mapping group user với LDAP server (172.16.100.100) từ đó tiến hành cấu hình Security Policy để chặn user thuộc group "staff" trên AD (bao gồm user01 và user02 thuộc subnet 172.16.198.0/24 và 172.16.199.0/24) truy cập URL "vnexpress.net".
1717335063911.png


II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series

Quy trình sau đây mô tả cách định cấu hình tác nhân User-ID tích hợp PAN-OS trên tường lửa để ánh xạ địa chỉ IP đến tên người dùng. Tác nhân User-ID tích hợp thực hiện các tác vụ tương tự như tác nhân dựa trên Windows ngoại trừ việc thăm dò máy khách NetBIOS (việc thăm dò WMI được hỗ trợ).
  1. Tạo tài khoản dịch vụ Active Directory cho User-ID tích hợp PAN-OS để truy cập vào các dịch vụ và máy chủ mà tường lửa sẽ giám sát nhằm thu thập thông tin ánh xạ người dùng.
  2. Xác định các máy chủ mà tường lửa sẽ giám sát để thu thập thông tin mapping của người dùng.
  3. Chỉ định các subnet mà User-ID tích hợp PAN-OS sẽ bao gồm hoặc loại trừ khỏi ánh xạ người dùng.
  4. Cấu hình thông tin xác thực tên miền cho tài khoản mà tường lửa sẽ sử dụng để truy cập tài nguyên Windows. Điều này là cần thiết để giám sát các máy chủ Exchange và bộ điều khiển miền cũng như để thăm dò WMI.
  5. Kiểm tra cấu hình bằng lệnh <show user server-monitor state all> hoặc thông qua GUI.
Lưu ý: trong một vài trường hợp có thể cấu hình thời gian định kỳ mà User-ID tích hợp PAN-OS sẽ query tới server được giám sát mặc định là 2s nhưng đối với hệ thống cũ thì nên để thành 5s.

Để tìm hiểu chi tiết cách thức hoạt động của user-id thông qua user-id agent tích hợp sẵn trên Firewall Palo Alto có thể tham khảo hình bên dưới, về cơ bản sẽ có các bước sau:
  1. Khi người dùng đã Join domain tiến hành login vào thiết bị thì sẽ có event login trên Active Directory.
  2. Firewall Palo Alto sẽ query thông tin event login trên AD thông qua kết nối WMI tới AD từ đó có thể mapping được thông tin của user và IP và lưu vào bảng user-id. Cùng lúc đó Firewall Palo Alto cũng tiến hành Group Mapping các user thông qua LDAP để sử dụng cho việc cấu hình Security Policy.
  3. Khi người dùng truy cập traffic qua Firewall lúc này Firewall sẽ sử dụng thông tin trong bảng user-id và Security Policy để quyết định có cho phép người dùng đi qua hay không. (giao tiếp này là giao tiếp 2 chiều)
  4. Nếu được cho phép Firewall sẽ tiến hanh forward traffic đó ra bên ngoài. (giao tiếp này là giao tiếp 2 chiều)
1717838607467.png


1717339037058.png
1717339043356.png

1717340496614.png
1717339078776.png
1717339088573.png
1717339126730.png
1717339281243.png

1717339291459.png

1717340549854.png
1717339379748.png
1717339530582.png

1717339587339.png



1717339522123.png


1717339681146.png
1717340599849.png
1717339768081.png

1717340678621.png

1717339995609.png
1717339778023.png
1717339794379.png
1717339801343.png
1717340736751.png

III. Kiểm tra hoạt động User-ID với LDAP

1717340025303.png
1717340788441.png

1717340109956.png

1717340917632.png

1717340404930.png

1717340410264.png
 

Attachments

  • 1717339072314.png
    1717339072314.png
    55.5 KB · Views: 0
  • 1717339405555.png
    1717339405555.png
    154.2 KB · Views: 0
  • 1717339686264.png
    1717339686264.png
    129.3 KB · Views: 0
  • 1717339806980.png
    1717339806980.png
    125.4 KB · Views: 0
  • 1717339909864.png
    1717339909864.png
    135 KB · Views: 0
  • 1717340006951.png
    1717340006951.png
    139.9 KB · Views: 0
  • 1717340036979.png
    1717340036979.png
    320.4 KB · Views: 0
  • 1717340118066.png
    1717340118066.png
    263.3 KB · Views: 0
  • 1717340260385.png
    1717340260385.png
    79.5 KB · Views: 0
  • 1717340366209.png
    1717340366209.png
    48.9 KB · Views: 0
  • 1717340810137.png
    1717340810137.png
    309.2 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu