CẤU HÌNH THEO KIỂU CLIENTLESS VPN Bài viết hôm nay, chúng ta sẽ cấu hình Clientless VPN trên thiết bị NGFW của Palo Alto Network. Nghe đến Clientless VPN có thể thấy rằng bạn không cần cài đặt thêm bất kỳ phần mềm nào vào hệ thống. Bạn chỉ cần đăng nhập vào web. Khi bạn xác thực xong, bạn có thể truy cập một số ứng dụng được cấu hình dành cho bạn. MÔ HÌNH – CẤU HÌNH GLOBALPROTECT CLIENTLESS VPN TRONG PALO ALTO FIREWALL - Mô hình mạng thử nghiệm dưới đây đã được cấu hình hai Zone bảo mật (vd. LAN và INTERNET). Một Web Server Test (ip: 192.168.1.10/32) được đặt trong lớp mạng LAN có subnet 192.168.1.0/24. Domain name của Websvr là "ABCtest.com". Các bước để cấu hình Clientless VPN trong Palo Alto Firewall - Để cấu hình được Clientless VPN thì trước tiên Palo Alto GlobalProtect VPN cần phải được cấu hình trước, rồi sau đó cần cấu hình thêm Clientless VPN. Trong Clientless VPN, Palo Alto Firewall hoạt động như một 'reverse proxy', do đó bạn chỉ có thể truy cập vào Web Application/Server. Bước 1/13: Tạo Self Sign Certificate: - Để cấu hình GlobalProtect VPN, bạn phải cần một root CA cert còn hạn. Vì vậy, bạn có thể tạo ra một cert riêng trên thiết bị Firewall, hoặc cũng có thể sử dụng cert được ký bởi một đơn vị xác thực CA bất kỳ. Để tự tạo một cert, trên giao diện GUI của Palo Alto vào theo đường dẫn Device >> Certificate Management >> Certificates >> Device Certificates >> Generate. Bây giờ, chỉ cần điền thông tin vào Certificate như hình dưới. Đảm bảo Common Name của bạn nên giống với interface IP mà bạn đang cấu hình GlobalProtect. Như ví dụ ở đây sẽ là '1.1.1.1'. Bước 2/13: Tạo SSL/TLS Service Profile: - Bây giờ, bạn cần phải tạo một SSL/TLS profile dùng để sử dụng cho cấu hình cổng portal. Vào theo đường dẫn Device >> Certificate Management >> SSL/TLS Service Profile >> Add. Chọn certificate bạn đã tạo và phiên bản thấp nhất + cao nhất cho TLS. Bước 3/13: Tạo thêm Local Users dành cho GP Clientless VPN : - GlobalProtect VPN cần phải được xác thực trong quá trình kết nối VPN. Nếu LDAP đang chạy trong môi trường mạng của mình, bạn có thể tích hợp vào GlobalProtect VPN cùng với LDAP Server. Hiện tại ở đây, mình đang tạo một local user. Đi vào đường dẫn Device >> Local User Database >> Users và click Add. Bước 4/13: Tạo Authentication Profile dành cho Clientless VPN - Đến bước này, bạn cần tạo một profile để xác thực dành cho các User của Clientless VPN Users. Đi đến Device >> Authentication Profile và click Add. Vào trong bảng Advanced, và thêm các user vào danh sách Allow List. Thực hiện theo các bước như bên dưới vào tạo một Authentication profile. Bước 5/13: Tạo Zone cho GlobalProtect - Giống với IPSec VPN, trong GlobalProtect VPN, bạn cần tạo một Zone cho Tunnel interface này. Mặc dù bạn có thể chọn một trong các zone đã có (vd: LAN), nhưng vì lý do bảo mật nên bạn hay tạo một Zone mới để bạn có quyền kiếm soát chi tiết cho lưu lượng GlobalProtect. Để tạo được Security Zone, vào trong Network >> Zones >> Add. * Lưu ý: Chắc chắn Zone Type nên là "Layer3" và chọn "Enable User Identification". Bước 6/13: Tạo Tunnel Interface cho Clientless GlobalProtect - Cũng như Zone, bạn cần tạo một Tunnel Interface riêng cho GlobalProtect VPN. Vào trong Network >> Interfaces >> Tunnel >> Add, để tạo một tunnel interface. Cùng với đó, bạn phải chọn Security Zone là zone bạn đã tạo ở bước 5. Bạn có thể gắn một Management Profile vào tunnel interface khi bạn có nhu cầu. Thông qua đó, bạn không cần cấp địa chỉ IP cho interface này. Bước 7/13: Cấu hình GlobalProtect Portal Configuration - Bước này sẽ bắt đầu cấu hình cho GlobalProtect. Đi đến GlobalProtect >> Portals >> Add. Vào trong phần General và nhập vào tên cho GloablProtect Portal Configuration này. Bên dưới Network Settings, chọn Interface mà bạn muốn chấp nhận các yêu cầu từ GlobalProtect client. - Vào tab Authentication, và chọn profile đã tạo ở Bước 2 trong mục SSL/TLS Service Profile. Trong bảng Client Authentication, click '+ADD'. Tại đây, bạn cần đặt một tài khoản cho Client Authenticateion và chọn OS mà bạn muốn chạy GlobalProtect. Ngoài ra, hãy chọn Authentication Profile đã được tạo ở một trong các bước ở trên. - Bây giờ, vào tiếp phần Agent, và chọn Trusted Root CA (đã tạo ở Bước 1), và tick chọn “Install in Local Root Certificate Store”. Sau đó click Add trong bảng Agent. Đặt tên cho Agent này. - Vào tiếp phần User/User Group và chọn OS cùng các User/User Group mà bạn có trong môi trường mạng. Trong ví dụ này, mình đang chọn là ANY, ANY. - Vào mục External, và click '+Add' dưới phần External Gateway. Nhập tên cho External Gateway mới và cung cấp IP, Source Region và Priority, click OK. Lưu ý: Cấu hình này chỉ cần phải làm nếu bạn cần cấu hình các GlobalProtect agent user. Bước 8/13: Cấu hình GlobalProtect Gateway - Sau khi đã có cấu hình GlobalProtect portal rồi, chung ta cần cấu hình thêm GlobalProtect Gateway Configuration. Vào trong Network >> GlobalProtect >> Gateways và click Add. Nhập vào tên của Gateway và trong phần Network Settings, chọn interface bạn muốn nhận các yêu cầu từ GlobalProtect. Lưu ý: Cấu hình này không cần thiết nếu bạn chỉ muốn cấu hình Clientless VPN. Tuy nhiên, nếu bạn có kế hoạch cấu hình song song cả GlobalProtect Client và Clientless VPN thì sẽ cần đến nó. - Vào mục Authentication, chọn SSL/TLS service profile và click +Add để thêm một profile Client Authentication. Ở đây, bạn cần chọn Name, OS và Authentication Profile. - Trong mục Agent, chọn Tunnel Mode, và chọn tunnel interface mà bạn đã tạo ở bước trên. - Mục Client Settings, click Add. Chỉ cần đặt cho nó một cái tên ở đây. - Bây giờ vào trong mục IP Pools và cho nó một IP subnet / IP range dùng để cấp IP khi client xác thực thành công tới Gateway Authentication. - Mục Split Tunnel, và chọn Include toàn bộ mạng mà bạn muốn cho remote client truy cập vào. Dành cho tất cả các route, bạn cần cho một mang 0.0.0.0/0. Trong bài viết này, mìn chỉ cấu hình mang LAN là 10.10.10.0/24. Bước 9/13: Cấu hình Security Policy cho GlobalProtect - Nếu bạn đã tạo một Zone mới cho GlobalProtect Tunnel Interface, sau đó bạn phải tạo các Security Policy để cho phép lưu lượng từ tunnel interface. Mặc dù, nếu bạn đặt tunnel interface trong Trust hoặc Inside Security Zone, như ví dụ này, thì bạn không cần phải đặt các policy cho lưu lượng InteraZone nữa. Để tạo một Security Policy, vào Policy >> Security và click Add. Bước 10/13: Cấu hình DNS Proxy cho Internal Web Applications - Để cấu hình Clientless GlobalProtect VPN, chúng ta cần cấu hình DNS Proxy trên Firewall Palo Alto. Tại đây, DNS Proxy giúp chúng ta gán các Domain name của các Web Servers tới các địa chỉ IP. Để người dùng có thể dễ dàng truy cập vào các tài nguyên bên trong mạng nội bộ bằng cách sử dụng domain name của họ. Để cấu hình DNS Proxy, vào phần Network >> DNS Proxy và click +Add. Đảm bảo chọn Enable để bật lên. Đặt tên cho DNS Proxy này, trong phần Primary chọn DNS Server của bạn. Ở bảng Interface, click +Add và chọn tunnel interface bạn đã tạo cho các Clientless Gateway VPN. - Mục Static Entries, nhập ip-domain name ánh xạ tới. Như ví dụ dưới đây, mình đã ánh xạ tới domain ABCtest.com tới 192.168.1.10. Bước 11/13: Cấu hình Clientless Applications - Bây giờ, chúng ta cần cấu hình các ứng dụng trên Firewall Palo Alto, để user có thể truy cập vào chúng bằng cách sử dụng Clientless VPN. Vào trong Network >> GlobalProtect >> Clientless Apps và click Add. Chọn tên ứng dụng và URL. Trong ví dụ này, mình đặt Application Home URL là http:// ABCtest.com. Bạn cũng có thể để là ABCtest.com:80. Và thay đổi biểu tượng trong Application Icon. Bước 12/13: Cấu hình GlobalProtect Gateway để hỗ trợ Clientless VPN - Đây là bước cấu hình cuối cùng. Ở đây, bạn chỉ cần chọn Clientless VPN. Đi vào Network >> GlobalProtect >> Portal >> và click vào portal mà bạn đã tạo ở Bước 7. Vào trong mục Clientless VPN, trong phần General, tích chọn Clientless VPN để bật lên. Chọn Hostname, Security Zone, DNS Proxy, Login Lifetime, và Inactivity Timeout. Trong đó Hostname là địa chỉ IP của GlobalProtect portal và Security Zone là zone bạn đã tạo ở phần trên. - Bây giờ, vào phần Applications và Add. Chọn ứng dụng bạn muốn truy cập vào từ Clientless VPN. Trong ví dụ này, mình đã có Webserver và gán nó ào trong GP Portal. Bước 13/13: Kiểm tra cấu hình GlobalProtect Clientless VPN và Truy cập Webservers từ GlobalProtect Portal - Qua 12 bước cấu hình GlobalProtect VPN trên thiết bị tường lửa Palo Alto Firewall. Đến đây, chúng ta sẽ kiểm tra cấu hình của mình bằng cách truy cập tới GlobalProtect agent từ máy client. Bạn có thể đi tới GlobalProtect portal bằng cách truy cập vào địa chỉ IP public của firewall, như ví dụ ở đây là. https:/ /1.1.1.1. Hãy lưu ý: Bạn phải cài đặt Self-signed Certificate trên máy client, nếu không sẽ có cảnh báo xuất hiện. Mở URL của GlobalProtect Portal trong trình duyệt vd: https:// 1.1.1.1 và xác thực bằng tài khoản đã được tạo trên firewall. Palo Alto GlobalProtect Clientless Portal Web Server đã truy cập được bằng cách sử dụng Palo Alto Clientless VPN Đọc xem các Log đã ghi lại cho Palo Alto Clientless VPN - Trên firewall vào Traffic logs theo đường dẫn Monitor >> Traffic.
