Tras montar nuestro laboratorio de Fortinet , vamos a ver como montar nuestro laboratorio de Palo Alto, en su "nueva" versión mayor 10, dando acceso a los usuarios a través del propio FW. A lo largo del laboratorio podremos ver el proceso end to end y configuraremos nuestro laboratorio en su totalidad con el fin de poder disponer de una maqueta real.

Uno de los inconvenientes que tendremos en nuestro laboratorio, es que, sin una licencia de Palo Alto, no podremos ver el tráfico utilizando la función de monitor, ni tampoco dispondremos de actualizaciones dinámicas, pero di que podremos disponer de la configuraciones básicas de los equipos.

El principal objetivo del laboratorio, será la integración del Firewall de Palo Alto en GNS3 y la configuración del interfaz de management. Una vez con acceso a los propios equipos, accederemos a la GUI del firewall, conectaremos el enlace de Internet y configuraremos la red externa.

Instalación de Palo Alto

Para obtener la imagen de Palo alto, debemos tener un acuerdo de servicio. Podemos obtener la imagen de Palo alto ( .qcow2 ) desde la web de soporte del propio fabricante. Si no disponéis de acceso, siempre podréis buscar por internet.

Si no queremos una versión concreta, podremos instalar los appliances de Palo Alto de la propia pagina de GNS3, disponiendo de la opción de la version 10.0 como última. No es una versión recomendada para poner en producción, pero si que nos servirá para poder ver las principales diferencias respecto a la versión 9.

Para los que no dispongais de soporte Palo Alto, os dejo una imagen ( No se lo que durará ) de PAN OS 10.0.4 en extensión .qcow2 lista para importar como veremos a continuación:

Importación de Imagen en GNS3

Como ya vimos, crearemos una nueva versión ( ya que disponemos de la 10.0.4 ) , si no, importaríamos en la versión correspondiente el archivo, selecionamos el archivo en extensión ( .qcow2 ) y GNS3 empezara a importar la maquina virtual.

Importar imagen en GNS3 con ( .qcow2 )

En este laboratorio, la diferencia con respecto al anterior, es que me he visto obligado a empezar a usar Hyper-V , aunque he de decir que esta "obligación" , me esta pareciendo de lo más satisfactoria. Os indico esto, por que aunque os trasladé y traslado que soy un enamorado de VMware, veréis las capturas de Hyper-V , ya que el procesador, no me deja virtualizar correctamente en VMware 😥, y en este caso, la maquina de Palo Alto, nos va a requerir un mínimo de 4Gb de Memoria.

Una vez importada la maquina, veremos que ya la tenemos disponible para trasladar a nuestro espacio de trabajo.

Palo Alto listo para instalar en GNS3

Donde dispondremos de ella , en el apartado de Firewalls, junto con la importación del Fortigate del laboratorio GNS3 anterior una vez añadamos el template en la parte inferior:

Máquina disponible Palo Alto en GNS3

Cambio de interfaz de red en Palo Alto

Por defecto, el firewall de Palo se instala con el tipo de interfaz como E/S de red virtualizada. Por lo que tendremos que cambiarlo, como paso previo a empezar con nuestro laboratorio. Si no lo cambiamos, sólo podremos utilizar la parte de gestión, y no cualquier otra interfaz de zona de nuestro Firewall.

Para cambiar el tipo de interfaz de red, hacemos clic con el botón derecho del ratón en el dispositivo Palo Alto que acabamos de instalar y luego clic en la pestaña Red, donde deberíamos ver que está seleccionada por defecto como E/S de red virtualizada. Hacemos clic en la lista desplegable y elegimos Intel Gigabit Ethernet (e1000).

Cambio adaptador de red Palo Alto GNS3
Cambio a adaptador e1000 Palo Alto

Ampliando capacidad en equipo Palo Alto

El cortafuegos de Palo Alto funcionaría muy bien, con una CPU. Sin embargo, para obtener un buen rendimiento, es necesario cambiar la CPU a dos. Y podremos hacerlo casi de la misma forma que el cambio de adaptador.
En la misma ventana de configuración de la VM, hacemos clic en Configuración general, donde podremos cambiar el valor de la CPU a dos o más. ( Con dos sobraría , aunque dependerá del propio laboratorio en si que montemos ).

Ampliación de cores en Palo Alto

Iniciar sesión en Palo Alto por CLI.

Una vez tenemos instalado nuestro firewall, procederemos a iniciar la configuración de red propia de nuestro laboratorio.

Para ello, arrastramos y soltamos el firewall en el área de trabajo ( Nuestro proyecto ), hacemos clic con el botón derecho en el firewall, y lo arrancamos haciendo clic en start:

Arrancar Palo alto GNS3

Haga doble clic en el dispositivo para abrir la consola, y en la consola de PaloAlto VM, introduzca el nombre de usuario como admin y la contraseña como admin.

Una vez encendida la máquina ( Nos saldrá un putty ), deberemos esperar un rato, ya que el arranque de la VM tardará entre 5 y 10 minutos.

Durante este tiempo, si intentamos iniciar la sesión en el Palo Alto, nos devolverá siempre "inicio de sesión incorrecto". (1)

Al estar utilizando una versión superior a la 9.0 de Palo Alto, cuando iniciemos sesión con las credenciales por defecto por primera vez, nos pedirá que cambiemos la contraseña de inmediato. (2)

Cambio de contraseña Palo Alto

NOTA: Tras poner la password he intentar configurar la IP, vi cierta inestabilidad en la versión 10.0.4 , por lo que decidí continuar el laboratorio instalando la versión 10.1.6. El proceso de instalación , es idéntico al trasladado anteriormente. No he conseguido encontrar una versión de la 10.1 en adelante por internet, pero seguro que estarán si insistimos en buscarla.

Palo Alto 10.1.6

Cambia la longitud del terminal de consola.

Es probable que una vez iniciado , cuando empecemos a trastear con la consola del Firewall Palo Alto, no nos muestre correctamente la salida. Para arreglar esto, necesitaremos cambiar la longitud del terminal en la pantalla del CLI. Hacemos doble clic en el CLI y ajustamos la altura y el ancho de la misma con los siguientes comandos:

Cambio tamaño CLI en Palo Alto

NOTA: Os dejo un consejo también. Al tratarse de un laboratorio y no existir problema en ello, os aconsejo que anotéis los usuarios, pass, ips ... será mucho más didáctico, y podremos pasar a quien consideremos el laboratorio montado.

set cli terminal height 500
set cli terminal width 500

Configurar interfaz de gestión en Palo Alto

Ya hemos podido acceder a la CLI, pero la mayoría de las configuraciones que realizamos son a traves de la GUI ( Interfaz gráfica ), así que para acceder a la GUI, tendremos que configurar la IP de la interfaz de gestión. Para configurar la dirección IP de management del Palo Alto, podemos utilizar el siguiente comando:

Configuración IP Palo Alto

Estamos usando la dirección IP 10.1.1.1. Que es parte de la misma subred que vamos a utilizar para el adaptador virtual.

configure
set deviceconfig system type static
set deviceconfig system ip-address 10.1.1.1 netmask 255.255.255.0
commit
exit

Podemos verificar la configuración de la dirección IP introduciendo el comando:

show interface management

Como podemos ver, ya tenemos configurada la dirección IP de gestión del firewall Palo Alto:

Show Interface Management Palo Alto

Accediendo a la GUI de Palo Alto

Como hemos indicado, la mayoría de las configuraciones , las realizaremos por la GUI. Para ello, tenemos múltiples opciones, bien yendo por el interfaz de alguna de las virtualizaciones que tengamos ( Interfaz de VMware / Virtual Box ), o también podemos instalar una plantilla webterm, que nos permita conectarnos directamente a la maquina, siendo la opción más sencilla y rápida .

Para ello, añadimos un template nuevo como ya vimos cuando instalamos nuestro Firewall Palo Alto:

Una vez dispongamos del Webterm , lo configuraremos con una IP estatica para poder acceder al Palo Alto, dando botón derecho en el , configuración de red, y quitando las almohadillas de comentarios, pondremos nuestra IP:

IP estatica en GNS3

NOTA: Conectaremos con el enlace ( último icono del lado izquierdo de GNS3 ), sobre la interfaz de management del Palo Alto. Una vez linkado, podremos acceder a los equipos ( recordar https:// )

Acceso GUI a PAlo Alto

Recordemos el orden:

  1. Añadir Webterm
  2. Linkar con el interfaz de Management de Palo Alto
  3. Cambiar la IP a estática del Webterm
  4. Ya podríamos acceder a los equipos

Configurando Palo Alto y GNS3 para acceder a Internet

Es poco probable que usemos una dirección con IP pública en GNS3 y enrutemos el tráfico. Al habilitar Internet en GNS3, obtendremos una dirección IP del rango de IP privado 192.168.137.0/24.

Agregamos una nube a la topología del laboratorio. A la hora de agregarla, recibiremos un mensaje para elegir un servidor. Aquí debemos elegir nuestra máquina local como servidor y haremos clic en OK. Posteriormente podemos hacer clic derecho en la nube y configurar. Las ventanas de configuración de la nube nos mostrarán la lista de interfaces físicas que están presentes en la máquina.

En mi máquina, podemos ver tres interfaces Ethernet. Eliminaremos los tres y marcaremos la opción, que dice mostrar interfaces especiales de Ethernet, con el fin de no confundir con la configuraciones, y dado que podremos tener distintas ( Podrían aparecernos las de VMware / Virtualbox ) o en nuestro caso Hyper-V, según lo que vayamos a utilizar. Tendremos que tener en cuenta, que debemos usar un interfaz que COMPARTA, y por ello lo pongo en mayúsculas, el acceso a internet.

Que es exactamente compartir internet en el interfaz:

En mi caso, como estoy usando una conexión por cable para Internet, clic derecho sobre ella (Ethernet) y marqué la opción que dice Permitir que otros usuarios de la red se conecten a través de la conexión a Internet de esta computadora. Luego seleccionamos el interfaz en base a lo que usemos como indique antes, después clic en OK.

Solo estamos configurando la interfaz externa con una IP para probar si la asignación de IP de Internet funciona o no y si la máquina local puede compartir el acceso a Internet con Palo Alto, para ello:

  1. Abrimos la GUI web de Palo Alto.
  2. Vamos Network , y despues a Interfaces .
  3. Hacemos clic en ethernet 1/1. Aquí al gusto
  • Cambiamos el tipo de interfaz a Layer3 y elegimos el enrutador como predeterminado.
  • En la Zona de seguridad, hacemos clic en Nueva Zona, donde se abrirá la ventana emergente de creación de zona.

NOTA: En mi caso aparece la zona UNTRUSTED al tenerla creada

  • En la ventana de creación de zona, nombre la zona como UNTRUSTED y hacemos clic en OK.
Zona Untrusted Palo Alto
  • Una vez creada, hacemos clic en IPv4, y marcamos la opción dependiente del interfaz que eligiésemos, o bien con asignación de IP estática o bien Cliente DHCP y haciendo clic posteriormente en OK. En mi caso, opté por IP estática ( Para VMware / VirtualBox es más intuitivo que Hyper-V )
IP Salida a Internet en Palo Alto

Para ello, debemos crear un objeto de dirección, que en mi caso lo llame "SALIDA INTERNET".

Para hacernos un poco la vida más fácil. Durante la solución de problemas, es recomendable tener ICMP habilitado en las interfaces externas, para ello hacemos clic en la pestaña Advanced y clic en el menú desplegable Perfil de Administración, creando un nuevo perfil de gestión. Al igual que antes, tener en cuenta que yo ya tenia creado el perfil ( ALLOW PING ), y por ello me aparece.

Crear Perfil en Palo Alto

Al crear el perfil , podremos asignar un nombre al perfil y marcar la opción Ping, haciendo clic en OK.

Permitir Ping en Palo Alto

Cuando hagamos algunos cambios, para reflejar los mismos, debemos hacer un commit para confirmar, esto esta en la esquina superior derecha, pero os cuento una curiosidad que me volvía loco.

Si no disponemos de la resolución correcta en nuestra Webterm ( Configuración del mismo en GNS3 ), el GUI de Palo Alto no mostraba correctamente los botones, haciendo dificil el commit:

Error en commit en Palo Alto

Tras cambiar la resolución vemos como ya si que nos aparece:

Solución error boton Commit Palo Alto

Pudiendo publicar todos los cambios realizados:

Commit de todos los cambios realizados

Después de confirmar los cambios, debería poder ver la interfaz con el color verde que indica que la interfaz está conectada físicamente y está activa.

Conexión salida a Internet

Con este laboratorio, ya podriamos empezar a trastear , agregando nuevas redes , equipos, o todo aquello que queramos, con el fin de poder irnos familiarizando con la intefaz de Palo Alto, para aquellos que no la conozcan.

Iremos ampliando y vitaminando este laboratorio, a fin de ir familiarizando con el interfaz y las grandes capacidades que tenemos en los equipos de Palo Alto.

Disfrutad del fin de semana / vacaciones para quien las tenga ( Entre los que me incluyo ) , aunque elija hacer un post ahora que tengo más tiempo.