13. Bootstrap de cortafuegos

Tiempo estimado para completarlo: 60 minutos

Propietario del componente operable: FW

Perfil de habilidades: ingeniero de implementaciones

En esta página se proporcionan instrucciones para instalar y configurar los firewalls de Palo Alto Networks (PANW). Google Distributed Cloud (GDC) aislado ofrece dos firewalls de PANW: el firewall del sistema de detección y prevención de intrusiones (IDPS) y el firewall perimetral.

13.1. Acceder a los cortafuegos

13.1.1. Acceder a la consola

  1. Conecta un cable serie del ordenador al puerto de la consola y conéctate al firewall mediante el software de emulación de terminal (9600-8-N-1).

  2. Espera entre 10 y 15 minutos para que se complete la secuencia de arranque. Cuando el cortafuegos esté listo, la petición cambiará al nombre del cortafuegos, como PA-5260 login para el cortafuegos IDPS y PA-850 login para el cortafuegos perimetral.

  3. Las credenciales predeterminadas de nombre de usuario y contraseña son admin/admin o admin/paloalto en el modo FIPS.

13.1.2. GUI/CLI

  1. Conecta un cable Ethernet RJ-45 desde tu ordenador al puerto de gestión del firewall.

  2. Define la dirección IP de tu ordenador como 192.168.1.2/24.

  3. Para acceder a la interfaz de gestión del cortafuegos, ve a https://192.168.1.1.

  4. Las credenciales predeterminadas de nombre de usuario y contraseña son admin/admin o admin/paloalto en el modo FIPS.

13.2. Verificar hardware

  1. Comprueba que las piezas recibidas se corresponden con lo que se compró en cuanto al tipo y al número de artículos.

  2. Si detecta alguna discrepancia, abra un caso de asistencia siguiendo el procedimiento SUP-P0007.

  3. Para verificar que las ópticas conectadas son correctas, sigue las instrucciones que se indican en Configurar el cortafuegos de Palo Alto Networks.

  4. Comprueba que Alarm esté configurado como Off o False en cada componente:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    El proceso devuelve un resultado vacío.

    show system environmentals

    Todas las alarmas deben estar configuradas a las False.

  5. Comprueba las luces del cortafuegos:

    1. Panel frontal: los siguientes LEDs deben estar en verde:
      1. PWR (potencia)
      2. STS (estado)
      3. TMP (temperatura)
      4. ALM (alarma): el LED de alarma del THN está apagado.
      5. FANS (fans)
      6. PWR1 y PWR2 (alimentación)

  6. Ver el número de serie del cortafuegos.

    En los cortafuegos PA-850 y PA-5260, usa el siguiente comando show para ver el número de serie en la información del sistema:

    show system info | match serial

    Verá un resultado similar al siguiente:

    serial: 0123456789

    A continuación, se muestra un ejemplo de la salida del archivo YAML del cortafuegos.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Restablecer estado de fábrica

  1. Para poner el nodo en modo de mantenimiento desde la consola, sigue estos pasos:

    debug system maintenance-mode

    El resultado debería ser similar al siguiente:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Escribe y para continuar.

    Herramienta de recuperación de mantenimiento

  3. Ve a Restablecer estado de fábrica y selecciónalo:

    Restablecimiento del estado de fábrica con la herramienta de recuperación de mantenimiento

  4. Ve a Restablecer estado de fábrica y vuelve a seleccionarlo:

    Repetir el restablecimiento del estado de fábrica con la herramienta de recuperación de mantenimiento

  5. Selecciona Reiniciar:

    Reinicio de la herramienta de recuperación de mantenimiento

13.4. Habilitar el modo FIPS

Si necesitas habilitar el modo FIPS, debes seguir estos pasos. Como se indica en la sección Acceder a los cortafuegos, la primera vez que inicies sesión, deberás introducir una nueva contraseña de administrador. Debes usar esta contraseña durante la configuración de FIPS. Una vez que el proceso se haya completado correctamente, la contraseña del cortafuegos se restablecerá a la contraseña FIPS predeterminada.

  1. Conéctate al cortafuegos mediante la consola y espera a que aparezca la petición final PA-5260 login:.

  2. Usa el nombre de usuario y la contraseña predeterminados: admin/admin.

  3. Sigue las instrucciones que aparecen en pantalla para introducir una nueva contraseña de administrador desde la hoja de cálculo de contraseñas de dispositivos de red.

  4. Habilita el modo de mantenimiento con el siguiente comando:

    admin@PA-5260> debug system maintenance-mode

    El resultado debería ser similar al siguiente:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Selecciona Definir modo FIPS-CC:

    Definir el modo FIPS-CC

  6. Ve a Habilitar modo FIPS-CC y selecciónalo:

    Habilitar el modo FIPS-CC

  7. Asegúrate de que el proceso se complete correctamente:

    Proceso del modo FIPS-CC

  8. Ve a Reiniciar y selecciónalo:

    Restablecer estado de fábrica

  9. Después de cambiar al modo FIPS-CC, verás el siguiente estado: FIPS-CC mode enabled successfully.

    El modo FIPS-CC se ha habilitado correctamente

Los cambios siguientes ya están en vigor:

  • FIPS-CC se muestra en todo momento en la barra de estado del pie de página de la interfaz web.

  • Las credenciales de inicio de sesión del administrador predeterminadas ahora son admin/paloalto.

Una vez que el sistema realiza una autocomprobación FIPS y se establece FIPS, no se puede salir del modo de mantenimiento de depuración del sistema porque no hay ninguna conexión disponible a través de la consola en serie. Como operador, debes quitar el cable de la consola serie o desconectarte de la consola serie del cortafuegos.

13.5. Inicializar los cortafuegos de PANW con una configuración básica de la red de gestión

En este paso, se inicializan los cortafuegos de PANW aplicando ajustes de red esenciales que permiten la conectividad a la red de gestión.

13.5.1. Comprobar configuraciones

Los equipos de operaciones de hardware del GDC y del IDPS deben finalizar los archivos del directorio cellcfg para especificar la información de configuración de la implementación.

En esta sección se explica cómo iniciar los firewalls de PANW para gestionar la red y el acceso básicos.

13.5.2. Configurar la red de gestión básica

  1. En el servidor de arranque, ejecuta lo siguiente:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sustituye PATH_TO_CELLCFG_DIRECTORY por la ruta del directorio en el que se almacena cellcfg.

    Sustituye FIREWALL_TYPE por una de las siguientes opciones:

    • idps: el cortafuegos IDPS.
    • perimeter: el cortafuegos perimetral.

    Este comando realiza las siguientes acciones:

    • Define configuraciones relacionadas con el dispositivo.
    • Define el nombre de host.
    • Define la dirección IP de gestión.
    • Verifica la conectividad de la dirección IP de gestión.

    Este comando tarda unos 15 minutos en ejecutarse. Debes ejecutar los comandos gdcloud system firewall mgmt-setup para IDPS y firewalls perimetrales por separado, y no puedes ejecutarlos simultáneamente.

  2. Ejecuta el comando dos veces: una vez para el tipo de cortafuegos idps y otra para el tipo de cortafuegos perimeter.

13.6. Actualizar PAN-OS

  1. En el servidor de arranque, ejecuta el siguiente comando:gdcloud 

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sustituye PATH_TO_CELLCFG_DIRECTORY por la ruta de directorio donde se almacena cellcfg.

    Sustituye FIREWALL_TYPE por idps para el cortafuegos IDPS o por perimeter para el cortafuegos perimetral.

    Este comando realiza las siguientes acciones:

    • Comprueba si la versión actual de PAN OS coincide con la versión de destino. Si son iguales, no es necesario realizar ninguna actualización. De lo contrario, actualiza la imagen del SO PAN.
    • Si necesitas actualizar la imagen del SO PAN, verifica la versión actual de la actualización de contenido con la versión de destino. Actualiza el contenido si la versión actual es anterior a la de destino.

  2. Ejecuta el comando gdcloud system firewall bootstrap-upgrade dos veces: una vez para el tipo de cortafuegos idps y otra para el tipo de cortafuegos perimeter. El comando tarda aproximadamente 30 minutos en completarse para los cortafuegos IDPS y 1 hora para los cortafuegos perimetrales. Puedes ejecutar los comandos simultáneamente.

  3. Verifica la versión actual de PAN-OS. En la versión 1.14.3 o posterior de GDC, la versión de PAN-OS debe ser 10.2.13.

    show system info | match sw-version

13.7. Completa el bootstrap

  1. En el servidor de arranque, ejecuta lo siguiente:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sustituye PATH_TO_CELLCFG_DIRECTORY por la ruta del directorio en el que se almacena cellcfg.

    Sustituye FIREWALL_TYPE por idps para el cortafuegos IDPS o por perimeter para el cortafuegos perimetral.

    Este comando realiza las siguientes acciones:

    • Instala la licencia.
    • Actualiza la firma del contenido.
    • Intercambio de claves de alta disponibilidad y habilitación de multi-vsys.
    • Crea el secreto de la clave raíz.
    • Inicializa la configuración del cortafuegos.

  2. Ejecuta el comando dos veces: una vez para el tipo de cortafuegos idps y otra para el tipo de cortafuegos perimeter. El comando tarda entre 20 y 25 minutos en completarse. Puedes ejecutar los comandos de gdcloud system firewall install simultáneamente.

13.8. Verificar la configuración

Para verificar que has iniciado los firewalls de PANW, sigue estos pasos:

  1. Ve a la URL https://MANAGEMENT_IP_ADDRESS. Sustituye MANAGEMENT_IP_ADDRESS por la gestión de tu dispositivo de cortafuegos.
  2. Inicia sesión en el portal web introduciendo el nombre de usuario y la contraseña definidos en el archivo cell.yaml.

  3. En el menú de navegación, haga clic en Panel de control. Selecciona Widgets -> Sistema -> Interfaces y Alta disponibilidad.

    Panel de alta disponibilidad del cortafuegos de PANW

  4. Examina los siguientes elementos para verificar que el proceso de arranque se ha completado correctamente:

    • En el caso de los firewalls IDPS (PA-5260) que están en modo activo-activo, tanto el firewall principal como el secundario deben tener el mismo estado:

      • Comprueba si los siguientes números de la sección Interfaces están en verde:

        • 5, 6, 7, 8, 21, 22, 23 y 24

      • Comprueba si todos los puntos de la sección Alta disponibilidad están en verde. Ten en cuenta que la sección Running Config (Configuración en ejecución) se mostrará en rojo o amarillo y dirá not synchronized (no sincronizado).

      Interfaces de alta disponibilidad de cortafuegos IDPS de PANW

    • En el caso de los firewalls perimetrales (PA-850) que están en modo activo-pasivo, el firewall activo y el pasivo tendrán un estado diferente:

      • En el cortafuegos activo:

        • Consulta la sección Alta disponibilidad:

          • Comprueba que Local muestre el estado Activo y el color verde, mientras que Peer muestre el estado Pasivo y el color amarillo.
          • Es normal que la sección Running Config (Configuración en ejecución) se muestre en rojo o amarillo y diga not synchronized (no sincronizado).
          • Comprueba si todos los demás puntos de la sección Alta disponibilidad están en verde.

        • Comprueba si los siguientes números de la sección Interfaces aparecen en verde:

          • 9, 10

        PANW Perimeter firewall HA active

      • En el cortafuegos pasivo:

        • Consulta la sección Alta disponibilidad:

          • Comprueba si Local muestra el estado Pasivo y el color amarillo, mientras que Peer muestra el estado Activo y el color verde.
          • Es normal que la sección Running Config (Configuración en ejecución) se muestre en rojo o amarillo y diga not synchronized (no sincronizado).
          • Comprueba si todos los demás puntos de la sección Alta disponibilidad están en verde.

        • Comprueba si los siguientes números de la sección Interfaces aparecen en rojo:

          • 9, 10

        PANW Perimeter firewall HA passive

  5. En la pestaña Red, vaya a Zonas.

    Comprueba que el prefijo del nombre de la zona de seguridad de la columna Nombre coincida con el identificador del sistema virtual de la columna Ubicación.

    Por ejemplo, en la siguiente imagen se muestra que vsys1-gpc de la columna Nombre coincide correctamente con root (vsys1) de la columna Ubicación:

    Interfaz de usuario del cortafuegos de PANW con nombre virtual y prefijo de zona de seguridad coherentes

13.9. Posibles problemas

13.9.1. No se han aprovisionado secretos de cortafuegos

Al iniciar el cortafuegos en las siguientes secciones, puedes recibir registros similares a los siguientes:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Si recibes estos registros, significa que no has definido correctamente los secretos del cortafuegos. Debe actualizar los secretos para asegurarse de que, en cada cortafuegos de la lista, sigue las directrices:

  • No se permiten nombres de usuario duplicados.
  • Debes tener una cuenta de cada tipo: readonly, admin y breakglass.
  • Ninguna cuenta puede usar el valor predeterminado TO-BE-FILLED.
  • Una cuenta de tipo admin debe tener el nombre de usuario admin.

Mitigación:

Para que las configuraciones estén actualizadas, introduce las credenciales en los archivos de secretos tal como se describe en 14.6.1 Comprobar configuraciones.

Si ya se puede acceder a los firewalls, al seguir los pasos de la sección 14.6.2 Configurar la red de gestión básica no se actualizan los secretos del clúster de KIND. Debes actualizar los secretos manualmente con las contraseñas correctas mediante la CLI de kubectl.

13.9.2. Errores de validación del número de serie del cortafuegos

Si no coincide el número de serie del cortafuegos en los archivos cellcfg y el dispositivo de cortafuegos, es posible que veas errores como los siguientes:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Si recibes estos registros, debes actualizar los números de serie del cortafuegos en el archivo cellcfg.

Mitigación:

Sigue las instrucciones de 14.2. Verifica el hardware para confirmar el número de serie del cortafuegos y actualiza el archivo YAML.

13.9.3. El cortafuegos no puede arrancar o no se encuentra ninguna imagen en el menú de restablecimiento de fábrica (modo Recuperación)

Si tu dispositivo Palo Alto Networks Firewall no puede arrancar o no tiene ninguna imagen disponible en el menú de restablecimiento al estado de fábrica accesible desde Modo de mantenimiento>Restablecimiento al estado de fábrica, sigue estas instrucciones.

Para comprobar si la partición está en blanco, sigue estos pasos:

  1. Reinicia el cortafuegos desenchufando solo los cables de la fuente de alimentación. No desenchufes la fuente de alimentación.
    • Si has sacado la fuente de alimentación, vuelve a insertarla sin el cable de alimentación. A continuación, vuelve a conectar el cable de alimentación.
  2. Accede al modo Recovery.
  3. Selecciona Imagen de disco.
  4. Selecciona Opciones avanzadas e introduce la contraseña: MA1NT.
  5. Selecciona sysroot1 (X).
  6. Pulsa Intro en Estado.

  7. Comprueba si el Estado de sysroot1 es EMPTY.

    Ejemplo de salida:

Ventana de terminal de PuTTY que muestra el estado de sysroot1 como vacío

Si el estado de la partición sysroot1 es EMPTY, sigue los pasos para solucionar el problema por completo .

Mitigación

Para recuperar tu dispositivo, usa la consola para entrar en el modo de mantenimiento. Necesitarás saber la contraseña MA1NT para acceder al modo de mantenimiento avanzado Imagen de disco.

.

Solución de problemas

Si tienes problemas para recuperar tu electrodoméstico, puedes probar lo siguiente:

  • Comprueba que estés usando la contraseña correcta para acceder al modo de mantenimiento.
  • Prueba a usar otro puerto de la consola.
  • Ponte en contacto con el equipo de Asistencia de Palo Alto Networks para obtener ayuda.

13.9.4. Las interfaces de cortafuegos no funcionan

Si alguna interfaz de la sección Verificar la configuración que debería estar activa no lo está, puede deberse a que los cables entre el dispositivo de cortafuegos y los conmutadores no estén bien conectados o a que las ópticas no sean compatibles.

Solución de problemas

  • Para comprobar si las conexiones de cable físicas son las esperadas connections de la cell.yaml, ejecuta el comando de CLI de validación desde el equipo de arranque:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Consulta el registro de validación para verificar la conexión y sigue las sugerencias de mitigación del registro.

      • Problema conocido: falla una comprobación que indica que la conexión al dispositivo de cortafuegos desde el recurso ManagementAggSwitch no coincide. El resultado es similar al siguiente:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Solución alternativa: ignore los errores de los puertos 11 y 12 del cortafuegos perimetral. Estos puertos no estarán disponibles hasta que se instale el clúster de administrador raíz.

    • Para obtener más información sobre el comando de CLI de validación, consulta Comprobaciones posteriores al hardware.

  • Para comprobar si se están usando ópticas incompatibles, sigue las instrucciones de Configurar el cortafuegos de Palo Alto Networks.

13.9.5. Permiso denegado durante el intercambio de claves de alta disponibilidad

Durante el paso 14.7 del arranque del cortafuegos, la configuración del clúster puede fallar debido a que se deniega el permiso para guardar la clave de alta disponibilidad en el programa de arranque. A veces, puede que el comando se quede bloqueado en Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet y High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

Solución de problemas:

  • Consulta el caso 8 del ejemplo FW-R1002.

Comprueba si el directorio de Ubuntu del host (bootstrapper o jumphost) es propiedad de root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

La solución es corregir la propiedad de /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Después, vuelve a ejecutar el comando.