13. Bootstrap du pare-feu

Temps estimé pour suivre la totalité du cours : 60 minutes

Propriétaire du composant opérationnel : FW

Profil de compétences : ingénieur de déploiement

Cette page explique comment installer et configurer les pare-feu Palo Alto Networks (PANW). Google Distributed Cloud (GDC) air-gapped propose deux pare-feu PANW : le pare-feu IDPS (Intrusion Detection and Prevention System) et le pare-feu de périmètre.

13.1. Accéder aux pare-feu

13.1.1. Accéder à la console

  1. Connectez un câble série de votre ordinateur au port de la console, puis connectez-vous au pare-feu à l'aide du logiciel d'émulation de terminal (9600-8-N-1).

  2. Attendez 10 à 15 minutes pour que la séquence de démarrage se termine. Lorsque le pare-feu est prêt, l'invite est remplacée par le nom du pare-feu, tel que PA-5260 login pour le pare-feu IDPS et PA-850 login pour le pare-feu de périmètre.

  3. Les identifiants par défaut (nom d'utilisateur et mot de passe) sont admin/admin ou admin/paloalto en mode FIPS.

13.1.2. GUI/CLI

  1. Branchez un câble Ethernet RJ-45 de votre ordinateur au port de gestion du pare-feu.

  2. Définissez l'adresse IP de votre ordinateur sur 192.168.1.2/24.

  3. Pour accéder à l'interface de gestion du pare-feu, accédez à https://192.168.1.1.

  4. Les identifiants par défaut (nom d'utilisateur et mot de passe) sont admin/admin ou admin/paloalto en mode FIPS.

13.2. Valider le matériel

  1. Vérifiez que les pièces reçues correspondent à celles qui ont été achetées en termes de type et de nombre d'articles.

  2. En cas d'incohérence, envoyez une demande d'assistance en suivant SUP-P0007.

  3. Pour vérifier que les modules optiques connectés sont corrects, suivez les instructions de la section Configurer le pare-feu Palo Alto Networks.

  4. Assurez-vous que Alarm est défini sur Off ou False pour chaque composant :

    show system state | match "alarm': On"
show system state | match "alarm': T"

    Le processus renvoie une sortie vide.

    show system environmentals

    Toutes les alarmes doivent être réglées sur False.

  5. Vérifiez les voyants du pare-feu :

    1. Sur le panneau avant, les voyants suivants doivent être verts :
      1. PWR (alimentation)
      2. STS (état)
      3. TMP (température)
      4. ALM (alarme), la LED d'alarme du THN est éteinte.
      5. FANS (fans)
      6. PWR1 et PWR2 (alimentation)

  6. Affichez le numéro de série du pare-feu.

    Pour les pare-feu PA-850 et PA-5260, utilisez la commande show suivante pour afficher le numéro de série dans les informations système :

    show system info | match serial

    Vous obtenez un résultat semblable à celui-ci :

    serial: 0123456789

    Voici un exemple de résultat du fichier YAML du pare-feu.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Rétablir la configuration d'usine

  1. Passez en mode maintenance depuis la console :

    debug system maintenance-mode

    Le résultat ressemble à ce qui suit :

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Saisissez y pour continuer.

    Outil de récupération de la maintenance

  3. Accédez à Rétablir la configuration d'usine et sélectionnez cette option :

    Rétablir la configuration d'usine avec l'outil de récupération et de maintenance

  4. Accédez à Rétablir la configuration d'usine et sélectionnez cette option à nouveau :

    Répéter le rétablissement de la configuration d'usine avec l'outil de récupération et de maintenance

  5. Sélectionnez Redémarrer :

    Redémarrage de l'outil de récupération pour la maintenance

13.4. Activer le mode FIPS

Si vous devez activer le mode FIPS, procédez comme suit. Comme indiqué dans la section Accéder aux pare-feu, vous devez saisir un nouveau mot de passe administrateur lors de votre première connexion. Vous devez utiliser ce mot de passe lors de la configuration FIPS. Une fois le processus terminé, le mot de passe du pare-feu est réinitialisé sur le mot de passe FIPS par défaut.

  1. Connectez-vous au pare-feu à l'aide de la console et attendez l'invite PA-5260 login: finale.

  2. Utilisez le nom d'utilisateur et le mot de passe par défaut : admin/admin.

  3. Suivez l'invite à l'écran pour saisir un nouveau mot de passe administrateur à partir de la feuille de calcul des mots de passe des appareils réseau.

  4. Activez le mode maintenance à l'aide de la commande suivante :

    admin@PA-5260> debug system maintenance-mode

    Le résultat ressemble à ce qui suit :

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Sélectionnez Définir le mode FIPS-CC :

    Définir le mode FIPS-CC

  6. Accédez à Activer le mode FIPS-CC et sélectionnez-le :

    Activer le mode FIPS-CC

  7. Assurez-vous que le processus se termine correctement :

    Processus du mode FIPS-CC

  8. Accédez à Redémarrer et sélectionnez cette option :

    Redémarrage après rétablissement de la configuration d'usine

  9. Une fois que vous êtes passé en mode FIPS-CC, l'état suivant s'affiche : FIPS-CC mode enabled successfully.

    Mode FIPS-CC activé

Les modifications suivantes sont désormais en vigueur :

  • FIPS-CC s'affiche en permanence dans la barre d'état au bas de l'interface Web.

  • Les identifiants de connexion de l'administrateur par défaut sont désormais admin/paloalto.

Une fois que le système a effectué un auto-test FIPS et que FIPS est défini, il n'est plus possible de quitter le mode de maintenance de débogage du système, car aucune connexion n'est disponible via la console série. En tant qu'opérateur, vous devez retirer le câble de la console série ou vous déconnecter de la console série du pare-feu.

13.5. Amorcer les pare-feu PANW avec une configuration de base du réseau de gestion

Cette étape consiste à initialiser les pare-feu PANW en appliquant les paramètres réseau essentiels qui permettent la connectivité au réseau de gestion.

13.5.1. Vérifier les configurations

L'équipe GDC Hardware Operations et l'équipe IDPS doivent finaliser les fichiers du répertoire cellcfg pour spécifier les informations de configuration du déploiement.

Cette section explique comment amorcer les pare-feu PANW pour la gestion de base du réseau et de l'accès.

13.5.2. Configurer le réseau de gestion de base

  1. Sur le serveur d'amorçage, exécutez :

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Remplacez PATH_TO_CELLCFG_DIRECTORY par le chemin d'accès au répertoire dans lequel cellcfg est stocké.

    Remplacez FIREWALL_TYPE par l'une des valeurs suivantes :

    • idps : pare-feu IDPS.
    • perimeter : pare-feu de périmètre.

    Cette commande effectue les actions suivantes :

    • Définit les configurations liées à l'appareil.
    • Définit le nom d'hôte.
    • Définit l'adresse IP de gestion.
    • Vérifie la connectivité de l'adresse IP de gestion.

    L'exécution de cette commande prend environ 15 minutes. Vous devez exécuter les commandes gdcloud system firewall mgmt-setup pour les pare-feu IDPS et de périmètre individuellement, et non simultanément.

  2. Exécutez la commande deux fois : une fois pour le type de pare-feu idps et une autre fois pour le type de pare-feu perimeter.

13.6. Mettre à niveau PAN-OS

  1. Sur le serveur d'amorçage, exécutez la commande gdcloud suivante :

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Remplacez PATH_TO_CELLCFG_DIRECTORY par le chemin d'accès au répertoire dans lequel cellcfg est stocké.

    Remplacez FIREWALL_TYPE par idps pour le pare-feu IDPS ou perimeter pour le pare-feu de périmètre.

    Cette commande effectue les actions suivantes :

    • Vérifiez si la version actuelle de PAN-OS correspond à la version cible. Si c'est le cas, aucune mise à niveau n'est requise. Sinon, passez à la mise à niveau de l'image PAN-OS.
    • Si vous devez mettre à niveau l'image PAN-OS, comparez la version actuelle de la mise à jour du contenu à la version cible. Mettez à niveau la mise à jour du contenu si la version actuelle est antérieure à la version cible.

  2. Exécutez la commande gdcloud system firewall bootstrap-upgrade deux fois : une fois pour le type de pare-feu idps et une fois pour le type de pare-feu perimeter. L'exécution de la commande prend environ 30 minutes pour les pare-feu IDPS et une heure pour les pare-feu de périmètre. Vous pouvez exécuter les commandes simultanément.

  3. Vérifiez la version actuelle de PAN-OS. Dans la version 1.14.3+ de GDC, la version de PAN-OS doit être 10.2.13.

    show system info | match sw-version

13.7. Terminer l'amorçage

  1. Sur le serveur d'amorçage, exécutez :

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Remplacez PATH_TO_CELLCFG_DIRECTORY par le chemin d'accès au répertoire dans lequel cellcfg est stocké.

    Remplacez FIREWALL_TYPE par idps pour le pare-feu IDPS ou perimeter pour le pare-feu de périmètre.

    Cette commande effectue les actions suivantes :

    • Installe la licence.
    • Met à jour la signature du contenu.
    • Échange de clés de haute disponibilité (HA) et activation de multi-vsys.
    • Crée le secret de la clé racine.
    • Initialisez la configuration du pare-feu.

  2. Exécutez la commande deux fois : une fois pour le type de pare-feu idps et une autre fois pour le type de pare-feu perimeter. L'exécution de la commande prend environ 20 à 25 minutes. Vous pouvez exécuter les commandes gdcloud system firewall install simultanément.

13.8. Valider la configuration

Pour vérifier que vous avez amorcé les pare-feu PANW, procédez comme suit :

  1. Accédez à l'URL https://MANAGEMENT_IP_ADDRESS. Remplacez MANAGEMENT_IP_ADDRESS par la gestion de votre dispositif de pare-feu.
  2. Connectez-vous au portail Web en saisissant le nom d'utilisateur et le mot de passe définis dans votre fichier cell.yaml.

  3. Cliquez sur Tableau de bord dans le menu de navigation. Sélectionnez Widgets > Système > Interfaces et Haute disponibilité.

    Tableau de bord HA du pare-feu PANW

  4. Examinez les éléments suivants pour vérifier que le processus d'amorçage a réussi :

    • Pour les pare-feu IDPS (PA-5260) en mode actif/actif, attendez-vous à ce que les pare-feu principal et secondaire aient le même état :

      • Vérifiez si les nombres suivants de la section Interfaces sont verts :

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Vérifiez que toutes les puces de la section Haute disponibilité sont vertes. Notez que la section Configuration en cours d'exécution devrait s'afficher en rouge ou en jaune, et indiquer non synchronisée.

      Interfaces HA du pare-feu PANW IDPS

    • Pour les pare-feu de périmètre (PA-850) en mode actif-passif, les pare-feu actifs et passifs devraient avoir un état différent :

      • Pour le pare-feu actif :

        • Consultez la section Haute disponibilité :

          • Vérifiez que Local est Actif et vert, tandis que Pair est Passif et jaune.
          • La section Running Config devrait s'afficher en rouge ou en jaune, et indiquer not synchronized (non synchronisé).
          • Vérifiez que toutes les autres puces de la section Haute disponibilité sont vertes.

        • Vérifiez si les nombres suivants de la section Interfaces sont verts :

          • 9, 10

        PANW Perimeter firewall HA active

      • Pour le pare-feu passif :

        • Consultez la section Haute disponibilité :

          • Vérifiez si Local affiche Passive et la couleur jaune, tandis que Pair affiche Active et la couleur verte.
          • La section Running Config devrait s'afficher en rouge ou en jaune, et indiquer not synchronized (non synchronisé).
          • Vérifiez que tous les autres points de la section Haute disponibilité sont verts.

        • Vérifiez si les nombres suivants de la section Interfaces sont rouges :

          • 9, 10

        PANW Perimeter firewall HA passive

  5. Dans l'onglet Réseau, accédez à Zones.

    Vérifiez que le préfixe du nom de la zone de sécurité dans la colonne Nom correspond à l'identifiant du système virtuel dans la colonne Emplacement.

    Par exemple, l'image suivante montre que vsys1-gpc dans la colonne Nom correspond correctement à root (vsys1) dans la colonne Emplacement :

    Interface utilisateur du pare-feu PANW avec un nom virtuel et un préfixe de zone de sécurité cohérents

13.9. Problèmes potentiels

13.9.1. Secrets de pare-feu non provisionnés

Lorsque vous amorcez le pare-feu dans les sections suivantes, vous pouvez recevoir des journaux semblables à ceux ci-dessous :

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Si vous recevez ces journaux, cela signifie que vous n'avez pas défini correctement les secrets du pare-feu. Vous devez mettre à jour les secrets pour vous assurer que, pour chaque pare-feu listé, vous respectez les consignes suivantes :

  • Aucun nom d'utilisateur en double.
  • Vous devez disposer d'un compte pour chaque type : readonly, admin et breakglass.
  • Aucun compte ne peut utiliser la valeur par défaut TO-BE-FILLED.
  • Un compte de type admin doit avoir le nom d'utilisateur admin.

Atténuation des risques :

Pour mettre à jour les configurations, renseignez les identifiants dans les fichiers secrets, comme décrit dans 14.6.1 Vérifier les configurations.

Si les pare-feu sont déjà accessibles, l'exécution des étapes décrites dans 14.6.2 Configurer le réseau de gestion de base ne met pas à jour les secrets dans le cluster KIND. Vous devez mettre à jour manuellement les secrets avec les mots de passe corrects à l'aide de la CLI kubectl.

13.9.2. Erreurs de validation du numéro de série du pare-feu

Si le numéro de série du pare-feu dans les fichiers cellcfg ne correspond pas à celui de l'appareil, des erreurs telles que les suivantes peuvent s'afficher :

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Si vous recevez ces journaux, vous devez mettre à jour les numéros de série du pare-feu dans le fichier cellcfg.

Atténuation des risques :

Suivez les instructions de la section 14.2. Vérifiez le matériel pour confirmer le numéro de série du pare-feu et mettre à jour le fichier YAML.

13.9.3. Le pare-feu ne parvient pas à démarrer ou aucune image n'est trouvée dans le menu de rétablissement de la configuration d'usine (mode Récupération)

Si votre appliance Palo Alto Networks Firewall ne parvient pas à démarrer ou ne dispose d'aucune image disponible dans le menu de réinitialisation d'usine accessible depuis Mode maintenance>Réinitialisation d'usine, suivez ces instructions.

Pour vérifier si la partition est vide :

  1. Redémarrez le pare-feu en débranchant uniquement les câbles de l'alimentation. Ne débranchez pas l'alimentation.
    • Si vous avez retiré le bloc d'alimentation, remettez-le en place sans câble d'alimentation. Rebranchez ensuite le câble d'alimentation.
  2. Passez en mode restauration.
  3. Sélectionnez Image disque.
  4. Sélectionnez Options avancées, puis saisissez le mot de passe : MA1NT.
  5. Sélectionnez sysroot1 (X).
  6. Appuyez sur Entrée sur État.

  7. Vérifiez si l'état de sysroot1 est EMPTY.

    Exemple de résultat :

Fenêtre de terminal PuTTy montrant l'état de sysroot1 comme vide

Si l'état de la partition sysroot1 est EMPTY, suivez cette procédure de résolution complète .

Atténuation

Pour récupérer votre appliance, utilisez la console pour passer en mode maintenance. Vous devrez connaître le mot de passe MA1NT pour accéder au mode maintenance avancé Image disque.

Dépannage

Si vous rencontrez des difficultés pour récupérer votre appareil, vous pouvez essayer les solutions suivantes :

  • Vérifiez que vous utilisez le bon mot de passe pour passer en mode maintenance.
  • Essayez d'utiliser un autre port de la console.
  • Contactez l'assistance Palo Alto Networks pour obtenir de l'aide.

13.9.4. Les interfaces de pare-feu sont hors service

Si une interface de la section Vérifier la configuration est censée être opérationnelle, mais ne l'est pas, cela peut être dû à des câbles mal branchés entre le pare-feu et les commutateurs, ou à des optiques incompatibles.

Dépannage

  • Pour vérifier si les connexions physiques des câbles sont identiques à celles attendues pour connections à partir de cell.yaml, exécutez la commande CLI de validation à partir de la machine du programme d'amorçage :

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Consultez le journal de validation pour vérifier la connexion et suivez les suggestions d'atténuation du journal.

      • Problème connu : une vérification échoue et indique que la connexion à l'appliance de pare-feu à partir de la ressource ManagementAggSwitch ne correspond pas. La sortie ressemble à ceci :

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Solution de contournement : ignorez les erreurs pour les ports 11 et 12 du pare-feu de périmètre. Ces ports sont inactifs jusqu'à l'installation du cluster d'administrateur racine.

    • Pour en savoir plus sur la commande CLI de validation, consultez Vérifications post-matériel.

  • Pour vérifier si des optiques incompatibles sont utilisées, suivez les instructions de la section Configurer le pare-feu Palo Alto Networks.

13.9.5. Autorisation refusée lors de l'échange de clés HA

Lors de l'étape 14.7 du démarrage du pare-feu, la configuration du cluster peut échouer en raison d'un refus d'autorisation lors de l'enregistrement de la clé HA sur le programme d'amorçage. Il peut arriver que la commande reste bloquée sur Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet et High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure.

Dépannage :

  • Consultez l'exemple de cas 8 FW-R1002.

Vérifiez si le répertoire Ubuntu sur l'hôte (bootstrapper ou jumphost) appartient à la racine :

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

La solution consiste à corriger la propriété de /home/ubuntu :

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Ensuite, réexécutez la commande.