Haz rlayan : Mehmet Emin DO AN | Sistem Mühendisi
PALO ALTO FIREWALL HAZ LG LER
Palo Alto Firewall Mehmet Emin DO AN| 1
HAZA ER M NASIL SA LANIR ?
Default IP User Password
192.168.1.1 admin admin
Cihaz za seri/console port, SSH ve Web GUI üzerinden ba lanabiliriz.
Seri kablomuz mevcut ise default IP'yi kendi networkümüzdeki bir IP ile de tirerek gerek SSH gerekse Web Arayüzünden eri imi rahatl kla sa layabiliriz. E er seri kablonuz yok ise cihaz n management portuna ethernet kablosunu tak p di er ucunu kendi bilgisayar za takt ktan sonra LAN ayarlar cihaz n default IP networküne uygun konfigüre edersek 192.168.1.1 Ip adresi ile Web arayüzüne veya SSH ile ba lant kurabiliriz.
Palo Alto Firewall Mehmet Emin DO AN| 2
Cihaz n ilk Network Ayarlar nas l yap r ?
Yukar da anlat ld ekilde cihaza eri imi tamamlad ktan sonra:
CLI ile örnekteki gibi konfigüre edebilirsiniz :
admin@PA-500> configure
admin@PA-500# set deviceconfig system ip-address 10.30.11.1 netmask 255.255.255.0 default-gateway 10.30.11.254 dns-setting servers primary 172.16.20.230
admin@PA-500# commit Web Araüyüzü yoluyla :
Device > Setup > Management Interface Settings yolunu izleyip cihaz n ilk network ayarlar resimde görüldü ü gibi düzenleyebiliriz.
Palo Alto Firewall Mehmet Emin DO AN| 3
Default Admin ifresi De tirme Nas l Yap r?
Default kullan ad “admin” oldu undan bu kullan ad na sahip ifreyi de tirebilir veya yeni adminler olu turabiliriz. zlememiz gereken yol u
ekilde olmal :
Device > Administrator >admin t klad zda kar za a daki ekran gelecektir :
Burdan eski ifreyi (admin) yenisi ile de tirdikten sonra sa üst kö ede bulunan ( )butonu ile de iklikleri uygulay p, Logout olup tekrar giri yaparken yeni ifremizi kullanabiliriz.
Palo Alto Firewall Mehmet Emin DO AN| 4
CLI ile a daki ekilde ifremizi de tirebiliriz :
admin@PA-VM> configure
admin@PA-VM# set mgt-config users admin password
Enter password :
Confirm password :
[edit]
admin@PA-VM# commit
..99%...100%
Configuration committed successfully
Zaman (Time) ve Time Zone Ayarlar Nas l Yap r ?
CLI ile :
admin@PA-VM# set deviceconfig system timezone Asia/Istanbul
admin@PA-VM#exit
admin@PA-VM>set clock date 2015/05/22 time 12:10:43
admin@PA-VM>configure
admin@PA-VM# commit
Palo Alto Firewall Mehmet Emin DO AN| 5
Web Arayüzü ile :
Device > General Settings >
Unutulan Admin Parolas Nas l S rlan r ?
1. Seri kablo ile cihaz n console portuna ba lan p cihaz aç yoruz ba lant de erlerimiz (9600,8,n,1)
2. Boot i lemi s ras nda ekran n görüntüsü resimdeki gibi olacakt r:
Palo Alto Firewall Mehmet Emin DO AN| 6
3. Maint komutunu girip maintanence modu ba lat yoruz :
4. Maintanence mode’a girerken ekran resimdeki gibi görünür :
Palo Alto Firewall Mehmet Emin DO AN| 7
5. Continue deyip devam edince kar za ç kan ekranda “Running Config’i seçiyoruz”
6. Parolas hat rlad z bir config var ise onunla boot i lemini yap yoruz. E er bu i lem ba ar z oluyorsa Factory Reset yap lmal r.
Factory Reset Nas l Yap r ?
1. Seri Kablo ile ba lan p Maintenance mode’a giri yap yoruz.
2. Maintenanca mode ekran nda “Factory Reset” k sm seçiyoruz:
Palo Alto Firewall Mehmet Emin DO AN| 8
3. Gelen ekranda tekrar Factory Reset’i seçip Enter’a bas yoruz :
Palo Alto Firewall Mehmet Emin DO AN| 9
Packet Capture Nas l Yap r ?
Packet Capture özelli i ile cihaz n herhangi bir baca na gelen ve
cihaz zdan ç kan paketleri sniff edebilir inceleyebiliriz. Palo Alto Firewall bize bunu Packet Capturing özelli i alt nda sunuyor.
Cihaz z üzerinde Packet Capture özelli inin ayarlar yapmak için u yollar izliyoruz:
1. Monitor > Packet Capture
2. Configure Filtering > Manage Filters sekmesini t kl yoruz
3. Maksimum 4 filtre ekleyece imiz bu ekranda örnek olarak baz de erler girdim. Ingress Interface diye bizden istenen cihaz n hangi
baca ndan ç kan datalar filtrelemek istiyoruz?
Source ile özel bir IP girebiliyoruz. Destination ile hedef IP’yi belirtiyoruz. Örnekteki konfigurasyon u anlama geliyor :
Palo Alto Firewall Mehmet Emin DO AN| 10
Benim 1/3 baca mdan ç p 192.168.13.41 IP’sine 443 portu ile ula an paketleri filtrele. Burda mant ksal ‘AND’ i lemi uyguland da belirtmekte fayda var.
4. Stage>Add sekmesini t kl yoruz. Bu seçenek ile neyi capture etmek istedi imizi belirtiyoruz.
Receive : Cihaz n dataplane’ine gelen paketler
Firewall : Receive paketinden sonra kurulan ilk session’dan ba lar içeride gerçekle en fonksiyonlar, kurallar, IPSEC paketleri..vb. ile alakal olaylar paketler
Transmit : Firewall evresinden (stage) sonra source’dan dönen paketleri yakalar.
Drop : Drop edilen (hata mesaj ile dönen) paketleri yakalar.
Terimlerimizi ö rendikten sonra stage nas l eklenir görelim. Receive,
Firewall, Transmit veya Drop hangi evreyi seçmek istiyorsak hepsi için ayr ayr ekleme i lemi yap yoruz
Palo Alto Firewall Mehmet Emin DO AN| 11
Bu i lemlerin ard ndan stage bölmesi resimdeki gibi görünür:
5. Bu i lemler tamamland ktan sonra Configure Capturing seçene inde bulunan Packet Capture switchini ON konumuna getiriyoruz ve packet capture i lemi ba yor.
Palo Alto Firewall Mehmet Emin DO AN| 12
6. Capture edilen .pcap uzant dosyalar resimde görünen “captured files” k sm ndan indirebiliriz.
CLI komutlar yla packet Capture i lemi de u ekilde yap r : Filter olu turma :
debug dataplane packet-diag set filter match source <IP adresi> destination
<IP adresi>
debug dataplane packet-diag set filter on debug dataplane packet-diag show setting
Stage(evre)leri tan mlama ve isim verme :
debug dataplane packet-diag set capture stage transmit file <verece iniz isim (Tx gibi)>
debug dataplane packet-diag set capture stage receive file <verece iniz isim (Rx gibi)>
debug dataplane packet-diag set capture stage firewall file <verece iniz isim (Fw gibi)>
Palo Alto Firewall Mehmet Emin DO AN| 13 debug dataplane packet-diag set capture stage drop file <verece iniz isim (drop gibi)>
Capture i lemini ba lat :
debug dataplane packet-diag set capture on
Config Yede i Nas l Al r ?
Cihaz n üzerinde çal rken yapt z bir konfigürasyonun yede ini almak ve gerekti i zaman onu tekrar yüklemek isteyebiliriz. Bu
konfigürasyonu export edip ba ka bir cihazda da kullanmak isteyebiliriz.
Gelin nas l yap yor s ralayarak görelim :
1. Device > Setup > Operations sekmelerine t klayal m. Kar za ç kan ekran resimdeki gibi olacakt r. Yede ini almak istedi imiz config dosyas na “Load Named Configuration Snapshot” k sm na t klayarak bir isim verip OK diyoruz.
Palo Alto Firewall Mehmet Emin DO AN| 14
2. Yede ini ald z config dosyas na daha sonra tekrar dönmek istiyorsak “Load Named Configuration Snapshot” k sm ndan ismini verdi imiz config dosyas seçip OK diyoruz.
3. Export ve import i lemlerini de ayn menüden yine ayn yollar izleyerek yapabilirsiniz.
