13. Bootstrap del firewall

Tempo stimato per completare il corso: 60 minuti

Proprietario del componente azionabile: FW

Profilo delle competenze: ingegnere del deployment

Questa pagina fornisce istruzioni per l'installazione e la configurazione dei firewall Palo Alto Networks (PANW). Google Distributed Cloud (GDC) air-gapped offre due firewall PANW: il firewall Intrusion Detection and Prevention System (IDPS) e il firewall perimetrale.

13.1. Accedere ai firewall

13.1.1. Console di accesso

  1. Collega un cavo seriale dal computer alla porta della console e connettiti al firewall utilizzando il software di emulazione terminale (9600-8-N-1).

  2. Attendi 10-15 minuti per consentire il completamento della sequenza di avvio. Quando il firewall è pronto, il prompt cambia e mostra il nome del firewall, ad esempio PA-5260 login per il firewall IDPS e PA-850 login per il firewall perimetrale.

  3. Le credenziali predefinite di nome utente e password sono admin/admin oppure admin/paloalto in modalità FIPS.

13.1.2. GUI/CLI

  1. Collega un cavo Ethernet RJ-45 dal computer alla porta di gestione del firewall.

  2. Imposta l'indirizzo IP del computer su 192.168.1.2/24.

  3. Per accedere all'interfaccia di gestione del firewall, vai all'indirizzo https://192.168.1.1.

  4. Le credenziali predefinite di nome utente e password sono admin/admin oppure admin/paloalto in modalità FIPS.

13.2. Verifica dell'hardware

  1. Verifica che le parti ricevute corrispondano a quelle acquistate per tipo e numero di articoli.

  2. In caso di discrepanze, invia una richiesta di assistenza seguendo la procedura descritta in SUP-P0007.

  3. Per verificare che le ottiche connesse siano corrette, segui le istruzioni riportate in Configura il firewall Palo Alto Network.

  4. Assicurati che Alarm sia impostato su Off o False per ogni componente:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    La procedura restituisce un output vuoto.

    show system environmentals

    Tutte le sveglie devono essere impostate su False.

  5. Controlla le spie sul firewall:

    1. Pannello frontale: i seguenti LED devono essere verdi:
      1. PWR (alimentazione)
      2. STS (stato)
      3. TMP (temperatura)
      4. ALM (allarme), il LED di allarme in THN è spento.
      5. FANS (fan)
      6. PWR1 e PWR2 (alimentazione)

  6. Visualizza il numero di serie del firewall.

    Per i firewall PA-850 e PA-5260, utilizza il seguente comando show per visualizzare il numero di serie dalle informazioni di sistema:

    show system info | match serial

    Vedi un output simile al seguente:

    serial: 0123456789

    Di seguito è riportato un esempio di output del file YAML del firewall.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Ripristino dati di fabbrica

  1. Per attivare la modalità di manutenzione dalla console:

    debug system maintenance-mode

    L'output è simile al seguente:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Inserisci y per continuare.

    Strumento di recupero della manutenzione

  3. Vai a Ripristina dati di fabbrica e selezionalo:

    Ripristino dei dati di fabbrica dello strumento di recupero della manutenzione

  4. Vai a Ripristina dati di fabbrica e selezionalo di nuovo:

    Ripetere il ripristino dei dati di fabbrica dello strumento di recupero della manutenzione

  5. Seleziona Riavvia:

    Riavvio dello strumento di recupero della manutenzione

13.4. Attivare la modalità FIPS

Se è necessario attivare la modalità FIPS, devi eseguire i seguenti passaggi. Come indicato nella sezione Accedere ai firewall, al primo accesso, devi inserire una nuova password amministratore. Devi utilizzare questa password durante la configurazione FIPS. Una volta completato correttamente il processo, la password del firewall verrà reimpostata sulla password FIPS predefinita.

  1. Connettiti al firewall utilizzando la console e attendi il prompt finale PA-5260 login:.

  2. Utilizza il nome utente e la password predefiniti: admin/admin.

  3. Segui le istruzioni sullo schermo per inserire una nuova password amministratore dal foglio di lavoro delle password del dispositivo di rete.

  4. Attiva la modalità di manutenzione con il seguente comando:

    admin@PA-5260> debug system maintenance-mode

    L'output è simile al seguente:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Seleziona Imposta modalità FIPS-CC:

    Impostare la modalità FIPS-CC

  6. Vai a Abilita modalità FIPS-CC e selezionala:

    Attivare la modalità FIPS-CC

  7. Assicurati che la procedura venga completata correttamente:

    Procedura della modalità FIPS-CC

  8. Vai a Riavvia e seleziona questa opzione:

    Riavvio del ripristino dei dati di fabbrica

  9. Dopo aver attivato la modalità FIPS-CC, viene visualizzato il seguente stato: FIPS-CC mode enabled successfully.

    Modalità FIPS-CC attivata correttamente

Sono ora in vigore le seguenti modifiche:

  • FIPS-CC viene visualizzato in qualsiasi momento nella barra di stato nel piè di pagina dell'interfaccia web.

  • Le credenziali di accesso dell'amministratore predefinite sono ora admin/paloalto.

Dopo che il sistema esegue un autotest FIPS e FIPS è impostato, non è possibile uscire dalla modalità di manutenzione di debug del sistema perché non è disponibile alcuna connessione tramite la console seriale. In qualità di operatore, devi rimuovere il cavo della console seriale o disconnetterti dalla console seriale del firewall.

13.5. Esegui il bootstrap dei firewall PANW con la configurazione di base della rete di gestione

Questo passaggio prevede l'inizializzazione dei firewall PANW applicando le impostazioni di rete essenziali che consentono la connettività alla rete di gestione.

13.5.1. Controlla le configurazioni

Il team GDC Hardware Operations e il team IDPS devono finalizzare i file nella directory cellcfg per specificare le informazioni di configurazione per l'implementazione.

Questa sezione illustra l'avvio dei firewall PANW per la rete di gestione e l'accesso di base.

13.5.2. Configura la rete di gestione di base

  1. Sul server bootstrap, esegui:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sostituisci PATH_TO_CELLCFG_DIRECTORY con il percorso della directory in cui è archiviato cellcfg.

    Sostituisci FIREWALL_TYPE con una delle seguenti opzioni:

    • idps: il firewall IDPS.
    • perimeter: il firewall perimetrale.

    Questo comando esegue le seguenti azioni:

    • Imposta le configurazioni relative al dispositivo.
    • Imposta il nome host.
    • Imposta l'indirizzo IP di gestione.
    • Verifica la connettività dell'indirizzo IP di gestione.

    L'esecuzione di questo comando richiede circa 15 minuti. Devi eseguire i comandi gdcloud system firewall mgmt-setup per IDPS e firewall perimetrali singolarmente e non devi eseguirli contemporaneamente.

  2. Esegui il comando due volte: una volta per il tipo di firewall idps e di nuovo per il tipo di firewall perimeter.

13.6. Esegui l'upgrade di PAN-OS

  1. Sul server di bootstrap, esegui questo comando gdcloud:

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sostituisci PATH_TO_CELLCFG_DIRECTORY con il percorso della directory in cui è memorizzato cellcfg.

    Sostituisci FIREWALL_TYPE con idps per il firewall IDPS o perimeter per il firewall perimetrale.

    Questo comando esegue le seguenti azioni:

    • Controlla se la versione attuale di PAN OS corrisponde alla versione di destinazione. Se sono uguali, non è necessario alcun upgrade. In caso contrario, procedi con l'upgrade dell'immagine del sistema operativo PAN.
    • Se devi eseguire l'upgrade dell'immagine PAN OS, verifica la versione attuale dell'aggiornamento dei contenuti rispetto alla versione di destinazione. Esegui l'upgrade dell'aggiornamento dei contenuti se la versione attuale è precedente a quella di destinazione.

  2. Esegui il comando gdcloud system firewall bootstrap-upgrade due volte: una volta per il tipo di firewall come idps e di nuovo per il tipo di firewall come perimeter. Il comando richiede circa 30 minuti per il completamento dei firewall IDPS e 1 ora per il completamento dei firewall perimetrali. Puoi eseguire i comandi contemporaneamente.

  3. Verifica la versione attuale di PAN-OS. Nella versione 1.14.3 o successive di GDC, la versione di PAN-OS deve essere 10.2.13.

    show system info | match sw-version

13.7. Completare il bootstrap

  1. Sul server bootstrap, esegui:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Sostituisci PATH_TO_CELLCFG_DIRECTORY con il percorso della directory in cui è archiviato cellcfg.

    Sostituisci FIREWALL_TYPE con idps per il firewall IDPS o perimeter per il firewall perimetrale.

    Questo comando esegue le seguenti azioni:

    • Installa la licenza.
    • Aggiorna la firma dei contenuti.
    • Scambia la chiave di alta disponibilità (HA) e abilita multi-vsys.
    • Crea il secret della chiave radice.
    • Inizializza la configurazione del firewall.

  2. Esegui il comando due volte: una volta per il tipo di firewall idps e di nuovo per il tipo di firewall perimeter. Il completamento del comando richiede circa 20-25 minuti. Puoi eseguire i comandi gdcloud system firewall install contemporaneamente.

13.8. Verifica la configurazione

Per verificare di aver eseguito il bootstrap dei firewall PANW, segui questi passaggi:

  1. Vai all'URL https://MANAGEMENT_IP_ADDRESS. Sostituisci MANAGEMENT_IP_ADDRESS con la gestione del dispositivo firewall.
  2. Accedi al portale web inserendo il nome utente e la password definiti nel file cell.yaml.

  3. Fai clic su Dashboard nel menu di navigazione. Seleziona Widget -> Sistema -> Interfacce e Alta disponibilità.

    Dashboard HA firewall PANW

  4. Esamina i seguenti elementi per verificare che la procedura di bootstrap sia stata eseguita correttamente:

    • Per i firewall IDPS (PA-5260) in modalità attiva/attiva, prevedi che sia il firewall principale che quello secondario abbiano lo stesso stato:

      • Controlla se i seguenti numeri nella sezione Interfacce sono verdi:

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Controlla se tutti i punti elenco nella sezione Alta disponibilità sono verdi. Tieni presente che la sezione Running Config dovrebbe mostrare il colore rosso o giallo e indicare non sincronizzato.

      Interfacce HA firewall PANW IDPS

    • Per i firewall perimetrali (PA-850) in modalità attiva/passiva, prevedi che i firewall attivo e passivo abbiano uno stato diverso:

      • Per il firewall attivo:

        • Controlla la sezione Alta disponibilità:

          • Controlla che Locale mostri Attivo e verde, mentre Peer sia Passivo e giallo.
          • Nella sezione Running Config dovresti vedere il colore rosso o giallo e la dicitura non sincronizzato.
          • Controlla se tutti gli altri punti elenco nella sezione Alta disponibilità sono verdi.

        • Controlla se i seguenti numeri nella sezione Interfacce sono verdi:

          • 9, 10

        PANW Perimeter firewall HA active

      • Per il firewall passivo:

        • Controlla la sezione Alta disponibilità:

          • Controlla se Locale mostra Passivo e giallo, mentre Peer è Attivo e verde.
          • Nella sezione Running Config dovresti vedere il colore rosso o giallo e la dicitura non sincronizzato.
          • Controlla se tutti gli altri punti elenco nella sezione Alta disponibilità sono verdi.

        • Controlla se i seguenti numeri nella sezione Interfacce sono rossi:

          • 9, 10

        PANW Perimeter firewall HA passive

  5. Nella scheda Rete, vai a Zone.

    Verifica che il prefisso del nome della zona di sicurezza nella colonna Nome corrisponda all'identificatore del sistema virtuale nella colonna Posizione.

    Ad esempio, l'immagine seguente mostra che vsys1-gpc nella colonna Nome corrisponde correttamente a root (vsys1) nella colonna Posizione:

    Interfaccia utente del firewall PANW con nome virtuale e prefisso della zona di sicurezza coerenti

13.9. Potenziali problemi

13.9.1. Secret firewall non sottoposti a provisioning

Quando esegui il bootstrap del firewall nelle sezioni seguenti, puoi ricevere log simili a questi:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Se ricevi questi log, significa che non hai impostato correttamente i secret del firewall. Devi aggiornare i secret per assicurarti che, per ogni firewall elencato, tu segua le linee guida:

  • Nessun nome utente duplicato.
  • Devi avere un account per ogni tipo: readonly, admin e breakglass.
  • Nessun account può utilizzare il valore predefinito TO-BE-FILLED.
  • Un account di tipo admin deve avere il nome utente admin.

Mitigazione:

Per avere configurazioni aggiornate, inserisci le credenziali nei file dei segreti come descritto in 14.6.1 Controlla le configurazioni.

Se i firewall sono già raggiungibili, l'esecuzione dei passaggi descritti in 14.6.2 Configura la rete di gestione di base non aggiorna i secret nel cluster KIND. Devi aggiornare manualmente i segreti con le password corrette utilizzando la CLI kubectl.

13.9.2. Errori di convalida del numero di serie del firewall

Se il numero di serie del firewall nei file cellcfg non corrisponde a quello del dispositivo firewall, potresti visualizzare errori come i seguenti:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Se ricevi questi log, devi aggiornare i numeri di serie del firewall nel file cellcfg.

Mitigazione:

Segui le istruzioni riportate nella sezione 14.2. Verifica l'hardware per confermare il numero di serie del firewall e aggiorna il file YAML.

13.9.3. Il firewall non è in grado di avviarsi o non è stata trovata alcuna immagine dal menu di ripristino dei dati di fabbrica (Recovery mode)

Se l'appliance firewall Palo Alto Networks non è in grado di avviarsi o non ha un'immagine disponibile dal menu di ripristino dei dati di fabbrica accessibile dalla modalità di manutenzione>Ripristino dei dati di fabbrica, segui queste istruzioni.

Per verificare se la partizione è vuota:

  1. Riavvia il firewall scollegando solo i cavi dall'alimentatore. Non estrarre l'alimentatore.
    • Se hai estratto l'alimentatore, reinseriscilo senza il cavo di alimentazione. Poi, ricollega il cavo di alimentazione.
  2. Attiva la modalità di ripristino.
  3. Seleziona Immagine disco.
  4. Seleziona Opzioni avanzate e inserisci la password: MA1NT.
  5. Seleziona sysroot1 (X).
  6. Premi Invio su Stato.

  7. Controlla se lo stato di sysroot1 è EMPTY.

    Esempio di output:

Finestra del terminale PuTTy che mostra lo stato di sysroot1 come vuoto

Se lo stato della partizione sysroot1 è EMPTY, segui i passaggi di risoluzione completi .

Mitigazione

Per ripristinare l'appliance, utilizza la console per accedere alla modalità di manutenzione. Per accedere alla modalità di manutenzione avanzata Disk Image, devi conoscere la password MA1NT.

Risoluzione dei problemi

Se hai difficoltà a recuperare l'elettrodomestico, puoi provare a eseguire le seguenti operazioni:

  • Verifica di utilizzare la password corretta per accedere alla modalità di manutenzione.
  • Prova a utilizzare una porta della console diversa.
  • Contatta l'assistenza Palo Alto Networks per ricevere aiuto.

13.9.4. Le interfacce firewall non sono attive

Se una delle interfacce della verifica della configurazione che dovrebbe essere attiva è in realtà inattiva, il problema potrebbe essere causato da collegamenti errati dei cavi tra il dispositivo firewall e gli switch o da ottiche incompatibili.

Risoluzione dei problemi

  • Per verificare se le connessioni dei cavi fisici corrispondono a connections previsto da cell.yaml, esegui il comando CLI di convalida dal computer bootstrapper:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Controlla il log di convalida per la verifica della connessione e segui i suggerimenti di mitigazione riportati nel log.

      • Problema noto: un controllo non riesce a stabilire che la connessione all'appliance firewall dalla risorsa ManagementAggSwitch non corrisponde. L'output è simile al seguente:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Soluzione alternativa: ignora gli errori per le porte 11 e 12 del firewall perimetrale. Queste porte non sono attive fino all'installazione del cluster di amministrazione principale.

    • Per ulteriori dettagli sul comando CLI di convalida, vedi Controlli post-hardware.

  • Per verificare se vengono utilizzate ottiche incompatibili, segui le istruzioni riportate in Configurare il firewall Palo Alto Network.

13.9.5. Autorizzazione negata durante lo scambio di chiavi HA

Durante il passaggio 14.7 del bootstrap del firewall, la configurazione del cluster può non riuscire a causa dell'autorizzazione negata durante il salvataggio della chiave HA sul bootstrapper. A volte potresti vedere il comando bloccato in Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet e High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure

Risoluzione dei problemi:

  • Vedi l'esempio 8 di FW-R1002.

Controlla se la directory ubuntu sull'host (bootstrapper o jumphost) è di proprietà di root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

La soluzione è correggere la proprietà di /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Dopodiché, esegui nuovamente il comando.