Geschätzte Dauer: 30–60 Minuten
Eigentümer der betriebsbereiten Komponente: PNET
2.4.1. Switch-Konfiguration
2.4.1.1. Switch-Konfigurationen anwenden
Stellen Sie mit Minicom eine Verbindung zur seriellen Konsole jedes Switches her.
Weitere Informationen finden Sie unter Mit Minicom auf serielle Konsolen zugreifen.
Kopieren Sie den Inhalt der Konfigurationsdatei aus den Dateien base und acl und fügen Sie ihn wie folgt in die Switches ein:
| Konfigurationsdatei(en) | Gerät | Funktion |
|---|---|---|
| occoresw101.base | occoresw101 | Vollständige Basiskonfiguration |
| occoresw101.acl | occoresw101 | Erstellung und Durchsetzung von Traffic-ACLs |
| occoresw102.base | occoresw102 | Vollständige Basiskonfiguration |
| occoresw102.acl | occoresw102 | Erstellung und Durchsetzung von Traffic-ACLs |
| ocsw101.base | ocsw101 | Vollständige Basiskonfiguration |
| ocsw101.acl | ocsw101 | Erstellung und Durchsetzung von Traffic-ACLs |
| ocsw102.base | ocsw102 | Vollständige Basiskonfiguration |
| ocsw102.acl | ocsw102 | Erstellung und Durchsetzung von Traffic-ACLs |
Nachdem die Konfigurationen angewendet wurden, muss in der Datei ein copy
running-config startup-config ausgeführt werden. Achten Sie darauf, dass dies erfolgreich geschieht, da der Schalter sonst seine Konfiguration bei einem Neustart verliert.
Wenn das Feld simplify-configs über die Befehlszeile aktiviert ist, werden die Konfigurationen acl und base in derselben Datei generiert.
Bei OI-Bereitstellungen (Operations Suite Infrastructure) mit mehreren Standorten muss jeder Standort auf dieselbe Weise konfiguriert werden.
Die für jede Website generierten Konfigurationsdateien können anhand der InstanceID identifiziert werden, die den Segmenten jeder Website zugewiesen sind.
Alle generierten Dateien haben ein Präfix im folgenden Format:
<segment_type><device_type><InstanceID><device_id>.
Ein Beispiel für Konfigurationsdateien, die für eine OI-Bereitstellung mit mehreren Standorten generiert wurden, finden Sie in Anhang A.
2.4.2. Firewallkonfiguration
Die Firewalls waren zuvor für den FIP-CC-Modus konfiguriert. Bevor Sie die Konfigurationen anwenden können, müssen Sie auf die GUI zugreifen.
2.4.2.1. Logging in der Firewall nach der Aktivierung von FIPS-CC
Die Firewall wird mit der IP-Adresse 192.168.1.1/24 auf der Verwaltungsschnittstelle angezeigt. Sie müssen eine Verbindung zur IP-Adresse von 192.168.1.1 herstellen.
Konfigurieren Sie zum Herstellen der Verbindung eine Schnittstelle auf dem Systemcontroller mit einer IP-Adresse von 192.168.1.10/24 und schließen Sie ein Ethernetkabel an die Verwaltungsschnittstelle an.
Stellen Sie mit den neuen Anmeldedaten admin/paloalto oder admin/admin eine SSH-Verbindung zur Firewall her, um sich zu authentifizieren:
ssh admin@192.168.1.1
2.4.2.2. GUI-Zugriff konfigurieren
Führen Sie in der Verwaltungs-CLI jeder Firewall die folgenden Befehle aus:
Sie können die folgenden Variablen aus der ocinfo.opscenter.local-Datei abrufen, die von occonfigtool ausgegeben wird.
configure
set deviceconfig system type static
set deviceconfig system ip-address IP_ADDRESS netmask SUBNET_MASK default-gateway DEFAULT_GATEWAY dns-setting servers primary PRIMARY_DNS_SERVER
commit
Der folgende Fehler kann nach dem Commit auftreten. Warten Sie in diesem Fall zwei bis fünf Minuten und versuchen Sie es noch einmal:
Server error: Commit job was not queued since auto-commit not yet finished successfully. Please use "commit force" to schedule commit job
[edit]
Jetzt können Sie auf die Firewall-GUI zugreifen.
2.4.2.3. Lizenz anwenden
- Rufen Sie in der Benutzeroberfläche Device > Licenses auf und wählen Sie Manually upload license key aus.
- Suchen Sie nach der Lizenzdatei. Achten Sie darauf, dass die Lizenzdatei mit der Seriennummer des Geräts übereinstimmt.
- Nachdem die Lizenz angewendet wurde, werden auf der Seite das Ausstellungsdatum, das Ablaufdatum und eine Beschreibung der Lizenz angezeigt:
Die Lizenzdatei hat normalerweise das Format <serial-number>-support.key.
2.4.2.4. XML-Konfigurationsdatei importieren
Die folgenden XML-Dateien sollten auf die entsprechenden Geräte angewendet werden.
| Konfigurationsdatei(en) | Gerät | Funktion |
|---|---|---|
| occorefw101.base | occorefw101 | Vollständige Basiskonfiguration |
| occorefw102.base | occorefw102 | Vollständige Basiskonfiguration |
In der Firewall-GUI:
- Gehen Sie zu Gerät > Einrichtung > Vorgänge und wählen Sie Snapshot der benannten Konfiguration importieren aus.
- Klicken Sie auf Durchsuchen.
- Wählen Sie die Zielkonfigurationsdatei aus, z. B.
occorefw01.base.opscenter.local.xml, und klicken Sie auf OK. - Sie werden benachrichtigt, dass die Datei gespeichert wurde.
- Wählen Sie Snapshot der benannten Konfiguration laden aus.
- Wählen Sie in der Liste Name die Datei aus, die Sie gerade importiert haben, und klicken Sie auf OK.
- Sie werden benachrichtigt, dass die Konfiguration geladen wird.
- Führen Sie einen vollständigen Commit aus, indem Sie Commit und dann Commit: All Changes (Commit: Alle Änderungen) auswählen. In einer Fortschrittsanzeige wird der Status angezeigt.
2.4.2.5. Break-Glass-Administratornutzer aktivieren
Wenn eine neue Firewall eingerichtet wird, wird der für Nicht-Standardnutzer (alle außer admin) generierte Passwort-Hash standardmäßig ungültig.Sie müssen das Passwort für den Nutzer breakglass-admin manuell festlegen, nachdem die Firewall ausgeführt wird. Führen Sie die Schritte für beide oc-core-Firewalls aus.
Führen Sie die folgenden Befehle über die CLI aus:
configure set mgt-config users breakglass-admin password Enter password : Confirm password : commitWenn Sie nach dem Eingabepasswort gefragt werden, geben Sie ein beliebiges temporäres Passwort ein. Sie können das temporäre Passwort später ändern.
Beenden Sie die CLI und stellen Sie eine SSH-Verbindung zur Firewall wieder her.
Geben Sie bei Aufforderung das temporäre Passwort als altes Passwort und das
breakglass-admin-Passwort aus der OI-Informationsdatei als neues Passwort ein.Die Prompts sehen in etwa so aus:
Enter old password : Enter new password : Confirm password : Password changed
2.4.3. Datei mit Organisationsidentifikationsinformationen
Eine Datei mit dem Namen ocinfo.common.<domain-name>.txt wird zusammen mit anderen Konfigurationsdateien erstellt.
Diese Datei wird für jede Website erstellt und enthält die folgenden Informationen:
- Details zum OC CORE-Netzwerk
- Details zum OC-Netzwerk
- Verwaltungs-IP-Adressen für jeden Knoten, die von
occonfigtoolneu generiert werden. - Neue Nutzeranmeldedaten für jeden Wechsel
Anhand der Informationen in dieser Datei können Sie sich anmelden und alle OI-Netzwerkgeräte verwalten, sobald sie bereitgestellt und eingesetzt wurden.
Beispieldatei:
Total Instances: 1
Features enabled:
None
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
! Instance ID: 1
! Segments:
! - core
! - oc
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
OC Core Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OCCORE-SERVERS | vlan201 | 172.21.0.0/24 | 255.255.255.0 | 172.21.0.1 | OC-DATA |
| OCCORE-JUMPHOSTS | vlan202 | 172.21.2.0/27 | 255.255.255.224 | 172.21.2.1 | HW-INFRA |
| OCCORE-ILOS | vlan203 | 172.21.2.32/27 | 255.255.255.224 | 172.21.2.33 | HW-INFRA |
| OCCORE-NETADMIN | vlan206 | 172.21.2.64/28 | 255.255.255.240 | 172.21.2.65 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
OC Network:
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| Name | Vlan | Subnet | Mask | Gateway | VRF |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
| OC-WORKSTATIONS | vlan204 | 172.21.32.0/24 | 255.255.255.0 | 172.21.32.1 | OC-DATA |
| OC-NETADMIN | vlan205 | 172.21.36.0/28 | 255.255.255.240 | 172.21.36.1 | HW-INFRA |
+-------------------------+---------------------+---------------------+---------------------+---------------------+----------------------+
Management IPs:
+-------------------------+---------------------+
| Name | MGMT IP |
+-------------------------+---------------------+
| occoresw01 | 172.21.2.68 |
| occoresw01 | 172.21.2.69 |
| ocsw01 | 172.21.36.4 |
| ocsw02 | 172.21.36.5 |
| occorefw01 | 172.21.2.70 |
| occorefw02 | 172.21.2.71 |
+-------------------------+---------------------+
Perimeter Firewall Information:
OCCOREFW01
IP : 172.21.2.70
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.1
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.1
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.2
Backup Peer HA1 IP Address : 172.21.2.71
OCCOREFW02
IP : 172.21.2.71
MASK : 255.255.255.240
Gateway : 172.21.2.65
HA1 IP Address : 10.2.0.2
HA1 Mask : 255.255.255.252
HA2 IP Address : 10.3.0.2
HA2 Mask : 255.255.255.252
Peer HA1 IP Address : 10.2.0.1
Backup Peer HA1 IP Address : 172.21.2.70
+-------------------------+---------------------+---------------------+
| Name | Vlan | Zone |
+-------------------------+---------------------+---------------------+
| OCCORE-SERVERS | vlan201 | data ocit |
| OCCORE-JUMPHOSTS | vlan202 | mgmt ocit |
| OCCORE-ILOS | vlan203 | mgmt ocit |
| OCCORE-NETADMIN | vlan206 | mgmt ocit |
| OC-WORKSTATIONS | vlan204 | data ocit |
| OC-NETADMIN | vlan205 | mgmt ocit |
+-------------------------+---------------------+---------------------+
Credentials:
OC Core Switches:
occoresw01:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
occoresw02:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
OC Switches:
ocsw1:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
ocsw2:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
Perimeter Firewalls:
Username: admin
Password: admin123!
Username: breakglass-admin
Password: admin123!
Username: readonly-user
Password: admin123!
2.4.4. OI-Topologiedatei
Informationen zum Hinzufügen einer OI-Topologiedatei zu einer GDC-Zelle finden Sie unter OI-Topologiedatei hinzufügen. Im ersten Schritt der Umgebungserstellung generiert ocitconfigtool die Datei ocit-topology-exchange.yaml.
Über die Datei ocit-topology-exchange.yaml werden Informationen zur Topologie der Operations Suite Infrastructure (OI) an den GDC-Netzabgleich übergeben. In der Datei werden die CIDR-Adressen (Classless Inter-Domain Routing) und Diensthostadressen angegeben. Konkret wird mit der Datei die benutzerdefinierte Ressource OCITTopology mit den CIDRs für die folgenden virtuellen LANs erstellt:
serversocserversjumphostsiloworkstationssocworkstations
Diese Datei enthält auch Dienstadressen für Identitätsanbieter (IdP), SIEM (Security Information and Event Management) und Dienste für das Scannen von Sicherheitslücken.
Hier sehen Sie eine ocit-topology-exchange.yaml-Beispieldatei:
apiVersion: system.private.gdc.goog/v1alpha1
kind: OCITTopology
metadata:
name: ocit-topology-1
spec:
network:
servers:
cidrBlock: 172.21.0.0/24
services:
- type: DNS
addresses:
- 172.21.0.21
- 172.21.0.22
ports: []
- type: ADFS
addresses:
- 172.21.0.23
ports: []
- type: Nessus
addresses:
- 172.21.1.109
ports: []
- type: Splunk
addresses:
- 172.21.1.101
- 172.21.1.102
- 172.21.1.103
- 172.21.1.104
- 172.21.1.105
- 172.21.1.106
ports: []
jumphosts:
cidrBlock: 172.21.2.0/27
services: []
iLOs:
cidrBlock: 172.21.2.32/27
services: []
ocWorkstations:
cidrBlock: 172.21.32.0/24
services: []