13. Firewall-Bootstrap

Geschätzte Dauer: 60 Minuten

Eigentümer der bedienbaren Komponente: FW

Kompetenzprofil: Bereitstellungsingenieur

Auf dieser Seite finden Sie eine Anleitung zum Installieren und Konfigurieren der Firewalls von Palo Alto Networks (PANW). Google Distributed Cloud (GDC) Air-Gapped bietet zwei PANW-Firewalls: die IDPS-Firewall (Intrusion Detection and Prevention System) und die Perimeter-Firewall.

13.1 Auf die Firewalls zugreifen

13.1.1. Zugriffskonsole

  1. Verbinden Sie Ihren Computer über ein serielles Kabel mit dem Konsolenanschluss und stellen Sie mit der Terminalemulationssoftware (9600-8-N-1) eine Verbindung zur Firewall her.

  2. Warten Sie 10 bis 15 Minuten, bis die Boot-Sequenz abgeschlossen ist. Wenn die Firewall bereit ist, ändert sich der Prompt in den Namen der Firewall, z. B. PA-5260 login für die IDPS-Firewall und PA-850 login für die Perimeter-Firewall.

  3. Die Standardanmeldedaten für Nutzername und Passwort sind admin/admin oder admin/paloalto im FIPS-Modus.

13.1.2. GUI/CLI

  1. Verbinden Sie ein RJ‑45-Ethernetkabel von Ihrem Computer mit dem Management-Port der Firewall.

  2. Legen Sie die IP-Adresse Ihres Computers auf 192.168.1.2/24 fest.

  3. Rufen Sie https://192.168.1.1 auf, um auf die Verwaltungsoberfläche der Firewall zuzugreifen.

  4. Die Standardanmeldedaten für Nutzername und Passwort sind admin/admin oder admin/paloalto im FIPS-Modus.

13.2 Hardware überprüfen

  1. Prüfen Sie, ob die erhaltenen Teile in Art und Anzahl der gekauften Artikel entsprechen.

  2. Bei Abweichungen erstellen Sie gemäß SUP-P0007 eine Supportanfrage.

  3. Folgen Sie der Anleitung unter Palo Alto Networks-Firewall einrichten, um zu prüfen, ob die angeschlossenen Optiken korrekt sind.

  4. Achten Sie darauf, dass Alarm für jede Komponente auf Off oder False gesetzt ist:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    Der Prozess gibt eine leere Ausgabe zurück.

    show system environmentals

    Alle Wecker sollten auf False eingestellt sein.

  5. Prüfen Sie die LEDs an der Firewall:

    1. Vorderseite: Die folgenden LEDs sollten grün leuchten:
      1. PWR (Stromversorgung)
      2. STS (Status)
      3. TMP (Temperatur)
      4. ALM (Alarm), die Alarm-LED am THN ist aus.
      5. FANS (Fans)
      6. PWR1 und PWR2 (Stromversorgung)

  6. Seriennummer der Firewall ansehen

    Verwenden Sie für PA-850- und PA-5260-Firewalls den folgenden show-Befehl, um die Seriennummer aus den Systeminformationen aufzurufen:

    show system info | match serial

    Die Ausgabe sollte in etwa so aussehen:

    serial: 0123456789

    Nachfolgend sehen Sie ein Beispiel für die Ausgabe der YAML-Datei der Firewall.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3 Auf Werkseinstellungen zurücksetzen

  1. So versetzen Sie den Cluster über die Console in den Wartungsmodus:

    debug system maintenance-mode

    Die Ausgabe sieht etwa so aus:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Geben Sie y ein, um fortzufahren.

    Tool zur Wiederherstellung nach Wartungsarbeiten

  3. Rufen Sie Auf Werkseinstellungen zurücksetzen auf und wählen Sie die Option aus:

    Zurücksetzen auf Werkseinstellungen mit dem Wartungs-Wiederherstellungstool

  4. Rufen Sie noch einmal Auf Werkseinstellungen zurücksetzen auf und wählen Sie die Option aus:

    Wiederholen Sie das Zurücksetzen auf die Werkseinstellungen mit dem Wartungs-Wiederherstellungstool.

  5. Wählen Sie Neu starten aus:

    Neustart des Wartungswiederherstellungstools

13.4 FIPS-Modus aktivieren

Wenn Sie den FIPS-Modus aktivieren möchten, müssen Sie die folgenden Schritte ausführen. Wie im Abschnitt Auf die Firewalls zugreifen beschrieben, müssen Sie bei der ersten Anmeldung ein neues Administratorpasswort eingeben. Sie müssen dieses Passwort bei der FIPS-Einrichtung verwenden. Nach Abschluss des Vorgangs wird das Passwort der Firewall auf das standardmäßige FIPS-Passwort zurückgesetzt.

  1. Stellen Sie über die Console eine Verbindung zur Firewall her und warten Sie auf den letzten PA-5260 login:-Prompt.

  2. Verwenden Sie den Standardnutzernamen und das Standardpasswort: admin/admin.

  3. Folgen Sie der Anleitung auf dem Bildschirm, um ein neues Administratorpasswort aus der Tabelle mit den Passwörtern für Netzwerkgeräte einzugeben.

  4. Aktivieren Sie den Wartungsmodus mit dem folgenden Befehl:

    admin@PA-5260> debug system maintenance-mode

    Die Ausgabe sieht etwa so aus:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Wählen Sie FIPS-CC-Modus festlegen aus:

    FIPS-CC-Modus festlegen

  6. Rufen Sie FIPS-CC-Modus aktivieren auf und wählen Sie die Option aus:

    FIPS-CC-Modus aktivieren

  7. Achten Sie darauf, dass der Vorgang erfolgreich abgeschlossen wird:

    Prozess für den FIPS-CC-Modus

  8. Wähle Neu starten aus:

    Neustart nach dem Zurücksetzen auf die Werkseinstellungen

  9. Nachdem Sie in den FIPS-CC-Modus gewechselt haben, wird der folgende Status angezeigt: FIPS-CC mode enabled successfully.

    FIPS-CC-Modus wurde aktiviert

Die folgenden Änderungen sind jetzt in Kraft:

  • FIPS-CC wird jederzeit in der Statusleiste in der Fußzeile der Weboberfläche angezeigt.

  • Die Standardanmeldedaten für Administratoren sind jetzt admin/paloalto.

Nachdem das System einen FIPS-Selbsttest durchgeführt und FIPS festgelegt wurde, kann der Wartungsmodus für das System-Debugging nicht beendet werden, da über die serielle Konsole keine Verbindung verfügbar ist. Als Betreiber müssen Sie das Kabel der seriellen Konsole entfernen oder die Verbindung zur seriellen Konsole der Firewall trennen.

13.5 PANW-Firewalls mit grundlegender Konfiguration des Verwaltungsnetzwerks booten

Bei diesem Schritt werden PANW-Firewalls initialisiert, indem wichtige Netzwerkeinstellungen angewendet werden, die die Verbindung zum Verwaltungsnetzwerk ermöglichen.

13.5.1. Konfigurationen prüfen

Das GDC Hardware Operations-Team und das IDPS-Team müssen Dateien im Verzeichnis cellcfg fertigstellen, um die Einrichtungsinformationen für das Deployment anzugeben.

In diesem Abschnitt wird beschrieben, wie Sie die PANW-Firewalls für das grundlegende Verwaltungsnetzwerk und den Zugriff einrichten.

13.5.2. Einfaches Verwaltungsnetzwerk einrichten

  1. Führen Sie auf dem Bootstrap-Server Folgendes aus:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ersetzen Sie PATH_TO_CELLCFG_DIRECTORY durch den Verzeichnispfad, in dem „cellcfg“ gespeichert ist.

    Ersetzen Sie FIREWALL_TYPE durch einen der folgenden Werte:

    • idps: die IDPS-Firewall.
    • perimeter: die Perimeter-Firewall.

    Dieser Befehl führt die folgenden Aktionen aus:

    • Legt gerätebezogene Konfigurationen fest.
    • Legt den Hostnamen fest.
    • Legt die Verwaltungs-IP-Adresse fest.
    • Überprüft die Konnektivität der Verwaltungs-IP-Adresse.

    Die Ausführung dauert etwa 15 Minuten. Sie müssen die gdcloud system firewall mgmt-setup-Befehle für IDPS- und Perimeterfirewalls einzeln ausführen und dürfen sie nicht gleichzeitig ausführen.

  2. Führen Sie den Befehl zweimal aus – einmal für den Firewalltyp als idps und einmal für den Firewalltyp als perimeter.

13.6 PAN‑OS aktualisieren

  1. Führen Sie auf dem Bootstrap-Server den folgenden gdcloud-Befehl aus:

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ersetzen Sie PATH_TO_CELLCFG_DIRECTORY durch den Verzeichnispfad, in dem cellcfg gespeichert ist.

    Ersetzen Sie FIREWALL_TYPE durch idps für die IDPS-Firewall oder perimeter für die Perimeter-Firewall.

    Dieser Befehl führt die folgenden Aktionen aus:

    • Prüfen Sie, ob die aktuelle PAN‑OS-Version mit der Zielversion übereinstimmt. Wenn dies der Fall ist, ist kein Upgrade erforderlich. Fahren Sie andernfalls mit dem Upgrade des PAN-Betriebssystem-Images fort.
    • Wenn Sie das PAN‑OS-Image aktualisieren müssen, vergleichen Sie die aktuelle Version der Inhaltsupdates mit der Zielversion. Aktualisieren Sie das Inhaltsupdate, wenn die aktuelle Version älter als die Zielversion ist.

  2. Führen Sie den Befehl gdcloud system firewall bootstrap-upgrade zweimal aus: einmal für den Firewalltyp als idps und noch einmal für den Firewalltyp als perimeter. Die Ausführung des Befehls dauert etwa 30 Minuten für die IDPS-Firewalls und 1 Stunde für die Perimeter-Firewalls. Sie können die Befehle gleichzeitig ausführen.

  3. Prüfen Sie die aktuelle PAN‑OS-Version. In GDC-Version 1.14.3 und höher muss die PAN-OS-Version 10.2.13 sein.

    show system info | match sw-version

13.7 Bootstrap abschließen

  1. Führen Sie auf dem Bootstrap-Server Folgendes aus:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Ersetzen Sie PATH_TO_CELLCFG_DIRECTORY durch den Verzeichnispfad, in dem „cellcfg“ gespeichert ist.

    Ersetzen Sie FIREWALL_TYPE durch idps für die IDPS-Firewall oder perimeter für die Perimeter-Firewall.

    Dieser Befehl führt die folgenden Aktionen aus:

    • Installiert die Lizenz.
    • Aktualisiert die Inhaltssignatur.
    • HA-Schlüsselaustausch (High Availability) und multi-vsys aktivieren.
    • Erstellt das Secret für den Stammschlüssel.
    • Initialisieren Sie die Firewallkonfiguration.

  2. Führen Sie den Befehl zweimal aus – einmal für den Firewalltyp als idps und einmal für den Firewalltyp als perimeter. Die Ausführung des Befehls dauert etwa 20 bis 25 Minuten. Sie können die gdcloud system firewall install-Befehle gleichzeitig ausführen.

13.8 Einrichtung prüfen

So prüfen Sie, ob Sie die PANW-Firewalls gebootstrapped haben:

  1. Rufen Sie die URL https://MANAGEMENT_IP_ADDRESS auf. Ersetzen Sie MANAGEMENT_IP_ADDRESS durch die Verwaltung Ihres Firewallgeräts.
  2. Melden Sie sich im Webportal an, indem Sie den Nutzernamen und das Passwort eingeben, die in Ihrer cell.yaml-Datei definiert sind.

  3. Klicken Sie im Navigationsmenü auf Dashboard. Wählen Sie Widgets -> System -> Schnittstellen und Hochverfügbarkeit aus.

    PANW-Firewall-HA-Dashboard

  4. Prüfen Sie die folgenden Elemente, um festzustellen, ob der Bootstrap-Prozess erfolgreich war:

    • Bei den IDPS-Firewalls (PA-5260), die sich im Aktiv-Aktiv-Modus befinden, haben sowohl die primäre als auch die sekundäre Firewall denselben Status:

      • Prüfen Sie, ob die folgenden Zahlen im Abschnitt Schnittstellen grün angezeigt werden:

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Prüfen Sie, ob alle Aufzählungszeichen im Abschnitt Hochverfügbarkeit grün sind. Der Abschnitt Running Config (Aktuelle Konfiguration) wird wahrscheinlich rot oder gelb angezeigt und enthält den Hinweis not synchronized (nicht synchronisiert).

      PANW IDPS-Firewall-HA-Schnittstellen

    • Bei den Perimeter-Firewalls (PA-850) im Aktiv/Passiv-Modus haben die aktiven und passiven Firewalls einen unterschiedlichen Status:

      • Für die aktive Firewall:

        • Prüfen Sie den Abschnitt Hochverfügbarkeit:

          • Prüfen Sie, ob Local als Aktiv und grün angezeigt wird, während Peer als Passiv und gelb angezeigt wird.
          • Der Abschnitt Running Config sollte rot oder gelb sein und nicht synchronisiert anzeigen.
          • Prüfen Sie, ob alle anderen Aufzählungspunkte im Abschnitt Hochverfügbarkeit grün angezeigt werden.

        • Prüfen Sie, ob die folgenden Zahlen im Abschnitt Schnittstellen grün sind:

          • 9, 10

        PANW Perimeter-Firewall – HA aktiv

      • Für die passive Firewall:

        • Prüfen Sie den Abschnitt Hochverfügbarkeit:

          • Prüfen Sie, ob Lokal als Passiv und gelb angezeigt wird, während Peer als Aktiv und grün angezeigt wird.
          • Der Abschnitt Running Config sollte rot oder gelb sein und nicht synchronisiert anzeigen.
          • Prüfen Sie, ob alle anderen Aufzählungszeichen im Abschnitt Hochverfügbarkeit grün sind.

        • Prüfen Sie, ob die folgenden Zahlen im Abschnitt Schnittstellen rot sind:

          • 9, 10

        PANW Perimeter Firewall – HA-passiv

  5. Rufen Sie den Tab Netzwerk auf und klicken Sie auf Zonen.

    Prüfen Sie, ob das Präfix des Namens der Sicherheitszone in der Spalte Name mit der Kennung für das virtuelle System in der Spalte Location übereinstimmt.

    Das folgende Bild zeigt beispielsweise, dass vsys1-gpc in der Spalte Name korrekt mit root (vsys1) in der Spalte Location übereinstimmt:

    PANW-Firewall-Benutzeroberfläche mit konsistentem virtuellen Namen und Sicherheitszonenpräfix

13.9 Mögliche Probleme

13.9.1. Firewall-Secrets nicht bereitgestellt

Beim Bootstrapping der Firewall in den folgenden Abschnitten können ähnliche Logs wie die folgenden angezeigt werden:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Wenn Sie diese Logs erhalten, haben Sie die Firewall-Secrets nicht richtig festgelegt. Sie müssen die Secrets aktualisieren, damit für jede aufgeführte Firewall die folgenden Richtlinien eingehalten werden:

  • Keine doppelten Nutzernamen.
  • Sie benötigen ein Konto für jeden Typ: readonly, admin und breakglass.
  • Für kein Konto kann der Standardwert TO-BE-FILLED verwendet werden.
  • Ein Konto vom Typ admin muss den Nutzernamen admin haben.

Risikominderung:

Damit die Konfigurationen aktualisiert werden, müssen Sie Anmeldedaten in Secret-Dateien eingeben, wie unter 14.6.1 Konfigurationen prüfen beschrieben.

Wenn die Firewalls bereits erreichbar sind, werden durch Ausführen der Schritte in 14.6.2 Einfaches Verwaltungsnetzwerk einrichten keine Secrets im KIND-Cluster aktualisiert. Sie müssen die Secrets manuell mit den richtigen Passwörtern über die kubectl-CLI aktualisieren.

13.9.2. Fehler bei der Validierung der Firewall-Seriennummer

Wenn die Seriennummer der Firewall in den cellcfg-Dateien nicht mit der Seriennummer des Firewallgeräts übereinstimmt, werden möglicherweise Fehler wie die folgenden angezeigt:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Wenn Sie diese Protokolle erhalten, müssen Sie die Seriennummern der Firewalls in der Datei „cellcfg“ aktualisieren.

Risikominderung:

Folgen Sie der Anleitung in 14.2. Prüfen Sie die Hardware, um die Seriennummer der Firewall zu bestätigen, und aktualisieren Sie die YAML-Datei.

13.9.3. Firewall kann nicht gestartet werden oder es wird kein Bild im Menü zum Zurücksetzen auf die Werkseinstellungen (Wiederherstellungsmodus) angezeigt

Wenn Ihre Palo Alto Networks-Firewall-Appliance nicht gestartet werden kann oder im Menü zum Zurücksetzen auf die Werkseinstellungen, das über den Wartungsmodus>Auf Werkseinstellungen zurücksetzen aufgerufen werden kann, kein Image verfügbar ist, folgen Sie dieser Anleitung.

So prüfen Sie, ob die Partition leer ist:

  1. Starte die Firewall neu, indem du nur die Kabel vom Netzteil abziehst. Ziehen Sie das Netzteil nicht ab.
    • Wenn du das Netzteil herausgezogen hast, setze es ohne Netzkabel wieder ein. Schließe das Stromkabel wieder an.
  2. Starten Sie den Wiederherstellungsmodus.
  3. Wählen Sie Laufwerk-Image aus.
  4. Wählen Sie Erweiterte Optionen aus und geben Sie das Passwort ein: MA1NT.
  5. Wählen Sie sysroot1 (X) aus.
  6. Drücken Sie die Eingabetaste, um Status auszuwählen.

  7. Prüfen Sie, ob der State von sysroot1 EMPTY ist.

    Beispielausgabe:

PuTTY-Terminalfenster, in dem der Status von „sysroot1“ als leer angezeigt wird

Wenn der Status der Partition „sysroot1“ EMPTY lautet, folgen Sie der vollständigen Anleitung zur Fehlerbehebung .

Möglichkeiten zur Behebung des Problems

Um das Gerät wiederherzustellen, rufen Sie über die Console den Wartungsmodus auf. Sie benötigen das Passwort MA1NT, um den erweiterten Wartungsmodus Disk Image aufzurufen.

Fehlerbehebung

Wenn Sie Probleme beim Wiederherstellen Ihres Geräts haben, können Sie Folgendes versuchen:

  • Prüfen Sie, ob Sie das richtige Passwort für den Wartungsmodus verwenden.
  • Versuche es mit einem anderen Konsolenanschluss.
  • Wenden Sie sich an den Support von Palo Alto Networks, um Hilfe zu erhalten.

13.9.4. Firewall-Schnittstellen sind ausgefallen

Wenn eine Schnittstelle aus der Einrichtung überprüfen, die eigentlich aktiv sein sollte, tatsächlich inaktiv ist, kann das an falschen Kabelverbindungen zwischen dem Firewall-Gerät und den Switches oder an inkompatiblen Optiken liegen.

Fehlerbehebung

  • Führen Sie den CLI-Validierungsbefehl auf dem Bootstrapper-Computer aus, um zu prüfen, ob die physischen Kabelverbindungen mit den erwarteten connections aus cell.yaml übereinstimmen:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Prüfen Sie das Validierungsprotokoll auf die Bestätigung der Verbindung und folgen Sie den Vorschlägen zur Fehlerbehebung im Protokoll.

      • Bekanntes Problem: Eine Prüfung schlägt fehl, weil die Verbindung zur Firewall-Appliance über die ManagementAggSwitch-Ressource nicht übereinstimmt. Die Ausgabe sieht dann ungefähr so aus:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Problemumgehung: Ignorieren Sie die Fehler für die Perimeter-Firewall-Ports 11 und 12. Diese Ports sind bis zur Installation des Root-Administratorclusters nicht verfügbar.

    • Weitere Informationen zum CLI-Befehl für die Validierung finden Sie unter Prüfungen nach der Hardwareinstallation.

  • Folgen Sie der Anleitung unter Palo Alto Network-Firewall einrichten, um zu prüfen, ob inkompatible Optiken verwendet werden.

13.9.5. Zugriff während des HA-Schlüsselaustauschs verweigert

Während des Firewall-Bootstraps in Schritt 14.7 kann die Clusterkonfiguration fehlschlagen, weil die Berechtigung zum Speichern des HA-Schlüssels auf dem Bootstrapper verweigert wird. Manchmal bleibt der Befehl bei Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet und High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure hängen.

Fehlerbehebung:

  • Siehe FW-R1002, Beispiel 8.

Prüfen Sie, ob das Ubuntu-Verzeichnis auf dem Host (Bootstrapper oder Jumphost) dem Root-Nutzer gehört:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

Die Lösung besteht darin, die Inhaberschaft von /home/ubuntu zu korrigieren:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Führen Sie den Befehl danach noch einmal aus.