Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
III. Kiểm tra hoạt động User-ID với LDAP
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
Quy trình sau đây mô tả cách định cấu hình tác nhân User-ID tích hợp PAN-OS trên tường lửa để ánh xạ địa chỉ IP đến tên người dùng. Tác nhân User-ID tích hợp thực hiện các tác vụ tương tự như tác nhân dựa trên Windows ngoại trừ việc thăm dò máy khách NetBIOS (việc thăm dò WMI được hỗ trợ).
Để tìm hiểu chi tiết cách thức hoạt động của user-id thông qua user-id agent tích hợp sẵn trên Firewall Palo Alto có thể tham khảo hình bên dưới, về cơ bản sẽ có các bước sau:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
III. Kiểm tra hoạt động User-ID với LDAP
[LAB-22] Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
Lưu ý: tất cả các thiết bị Palo Alto trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng license trial của Palo Alto cung cấp (phiên bản Palo Alto VM-series là 10.2.5.vm_eval)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, PAN VM-series và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.16.198.0/24 và 172.16.199.0/24
- Server network: 172.16.100.0/24 và 172.16.10.0/24
Yêu cầu của bài Lab:
- Cấu hình tạo account và WMI permission trên AD để cho phép Palo Alto lấy thông tin login của User từ đó mapping IP với user.
- Cấu hình LDAP server và tích hợp với Firewall Palo Alto để tiến hành monitor và mapping thông tin user với IP.
- Cấu hình mapping group user với LDAP server (172.16.100.100) từ đó tiến hành cấu hình Security Policy để chặn user thuộc group "staff" trên AD (bao gồm user01 và user02 thuộc subnet 172.16.198.0/24 và 172.16.199.0/24) truy cập URL "vnexpress.net".
![1717335063911.png 1717335063911.png](https://cdn.securityzone.vn/2024/06/10674_82078ef735447590b72da75b7fb52d2e.png)
II. Cấu hình User-ID tích hợp với LDAP trên PAN VM-series
Quy trình sau đây mô tả cách định cấu hình tác nhân User-ID tích hợp PAN-OS trên tường lửa để ánh xạ địa chỉ IP đến tên người dùng. Tác nhân User-ID tích hợp thực hiện các tác vụ tương tự như tác nhân dựa trên Windows ngoại trừ việc thăm dò máy khách NetBIOS (việc thăm dò WMI được hỗ trợ).
- Tạo tài khoản dịch vụ Active Directory cho User-ID tích hợp PAN-OS để truy cập vào các dịch vụ và máy chủ mà tường lửa sẽ giám sát nhằm thu thập thông tin ánh xạ người dùng.
- Xác định các máy chủ mà tường lửa sẽ giám sát để thu thập thông tin mapping của người dùng.
- Chỉ định các subnet mà User-ID tích hợp PAN-OS sẽ bao gồm hoặc loại trừ khỏi ánh xạ người dùng.
- Cấu hình thông tin xác thực tên miền cho tài khoản mà tường lửa sẽ sử dụng để truy cập tài nguyên Windows. Điều này là cần thiết để giám sát các máy chủ Exchange và bộ điều khiển miền cũng như để thăm dò WMI.
- Kiểm tra cấu hình bằng lệnh <show user server-monitor state all> hoặc thông qua GUI.
Để tìm hiểu chi tiết cách thức hoạt động của user-id thông qua user-id agent tích hợp sẵn trên Firewall Palo Alto có thể tham khảo hình bên dưới, về cơ bản sẽ có các bước sau:
- Khi người dùng đã Join domain tiến hành login vào thiết bị thì sẽ có event login trên Active Directory.
- Firewall Palo Alto sẽ query thông tin event login trên AD thông qua kết nối WMI tới AD từ đó có thể mapping được thông tin của user và IP và lưu vào bảng user-id. Cùng lúc đó Firewall Palo Alto cũng tiến hành Group Mapping các user thông qua LDAP để sử dụng cho việc cấu hình Security Policy.
- Khi người dùng truy cập traffic qua Firewall lúc này Firewall sẽ sử dụng thông tin trong bảng user-id và Security Policy để quyết định có cho phép người dùng đi qua hay không. (giao tiếp này là giao tiếp 2 chiều)
- Nếu được cho phép Firewall sẽ tiến hanh forward traffic đó ra bên ngoài. (giao tiếp này là giao tiếp 2 chiều)
![1717838607467.png 1717838607467.png](https://cdn.securityzone.vn/2024/06/10800_10a1e0ccc5b8da33a6d32b7d5d9a9b66.png)
![1717339037058.png 1717339037058.png](https://cdn.securityzone.vn/2024/06/10675_1d8bf09b14f40a4e99200e7cfb951d08.png)
![1717339043356.png 1717339043356.png](https://cdn.securityzone.vn/2024/06/10676_a3956fd7bba505d1f6a52f47cf323452.png)
![]() | ![]() |
![1717339088573.png 1717339088573.png](https://cdn.securityzone.vn/2024/06/10679_9fad8ecf784f2140437b7cabb63fd57e.png)
![1717339126730.png 1717339126730.png](https://cdn.securityzone.vn/2024/06/10681_f889929fd5e9f7e56a33608c6f64c3ab.png)
![1717339281243.png 1717339281243.png](https://cdn.securityzone.vn/2024/06/10688_e4a02dff4bf8bc126643f4fe3e24e507.png)
![1717339291459.png 1717339291459.png](https://cdn.securityzone.vn/2024/06/10689_8a4a14bab1d1374931c1d1c1512fade0.png)
![]() | ![]() |
![1717339530582.png 1717339530582.png](https://cdn.securityzone.vn/2024/06/10695_92bf9e5ea43c2be1d255465ecebfee20.png)
![1717339587339.png 1717339587339.png](https://cdn.securityzone.vn/2024/06/10696_697efcd3e18cd0eb31e21b4730875c7b.png)
![1717339522123.png 1717339522123.png](https://cdn.securityzone.vn/2024/06/10694_9a9acb57ca46ffaf34a6dda04943c37e.png)
![1717339681146.png 1717339681146.png](https://cdn.securityzone.vn/2024/06/10697_bb28ef6075cfb0fc430eca04be031977.png)
![1717340599849.png 1717340599849.png](https://cdn.securityzone.vn/2024/06/10725_f002e87de0477e08c47791d8f75896cc.png)
![1717339768081.png 1717339768081.png](https://cdn.securityzone.vn/2024/06/10700_f0c6e7b684164135464f6e19cff2fbf2.png)
![1717340678621.png 1717340678621.png](https://cdn.securityzone.vn/2024/06/10726_cde68c0749c93e3078f2d77df0669d83.png)
![1717339995609.png 1717339995609.png](https://cdn.securityzone.vn/2024/06/10708_e1fcd5c0fb1a229b0cafe0226de035e9.png)
![1717339778023.png 1717339778023.png](https://cdn.securityzone.vn/2024/06/10701_78b3293a696c7263258f3d2339324355.png)
![1717339794379.png 1717339794379.png](https://cdn.securityzone.vn/2024/06/10702_d4914f0324a42a5551116bc43dd78b6d.png)
![1717339801343.png 1717339801343.png](https://cdn.securityzone.vn/2024/06/10703_6dac378bb8e6a8c7e1f77a8f0547e915.png)
![1717340736751.png 1717340736751.png](https://cdn.securityzone.vn/2024/06/10727_5ed28e18705a95e67f7dfe1320e1d7cd.png)
III. Kiểm tra hoạt động User-ID với LDAP![1717340025303.png 1717340025303.png](https://cdn.securityzone.vn/2024/06/10710_81abb5f722a752860a46506aa6ec5818.png)
![1717340788441.png 1717340788441.png](https://cdn.securityzone.vn/2024/06/10728_503946bffec9009796b9113e8f455e2c.png)
![1717340109956.png 1717340109956.png](https://cdn.securityzone.vn/2024/06/10713_b904fcbbf06a179724a448d1b927b568.png)
![1717340917632.png 1717340917632.png](https://cdn.securityzone.vn/2024/06/10731_539b386233f37b0dc35f0d226838cdb6.png)
![1717340404930.png 1717340404930.png](https://cdn.securityzone.vn/2024/06/10721_62cbee66ea287bb2e16bb20dc1ab984f.png)
![1717340410264.png 1717340410264.png](https://cdn.securityzone.vn/2024/06/10722_b7f3055352fa834fcfe4fd5d7315f4e1.png)
Attachments
-
1717339072314.png55.5 KB · Views: 0
-
1717339405555.png154.2 KB · Views: 0
-
1717339686264.png129.3 KB · Views: 0
-
1717339806980.png125.4 KB · Views: 0
-
1717339909864.png135 KB · Views: 0
-
1717340006951.png139.9 KB · Views: 0
-
1717340036979.png320.4 KB · Views: 0
-
1717340118066.png263.3 KB · Views: 0
-
1717340260385.png79.5 KB · Views: 0
-
1717340366209.png48.9 KB · Views: 0
-
1717340810137.png309.2 KB · Views: 0
Last edited: