2019-11-01 18:16 (Ultima actualización: 2023-04-11 09:04)
Palo Alto NGN Firewalls - Configuración initial por WebUI
Como muchos otros proveedores, los cortafuegos NGN de Palo Alto pueden configurarse mediante CLI o mediante WebUI. Y para la primera instalación de hardware, puede elegir entre utilizar el puerto fuera de banda integrado o un puerto de consola serie como Cisco. Considera este puerto exactamente como un puerto de consola Cisco, por defecto es 9600-N-1 y necesitarás un cable rollover estándar para obtener la señalización. El puerto fuera de banda está etiquetado como MGMT y es el recomendado para mantener como interfaz de gestión del dispositivo.
Continuaremos este post asumiendo y usando el puerto MGMT, que ya dijimos es el recomendado. Además, PA NGN utiliza este puerto para conectarse a Palo Alto Cloud y recuperar información sobre licencias, actualizaciones de firmas y amenazas, etc. Esto significa que el puerto MGMT tiene que tener la configuración DNS adecuada y tiene que poder llegar a Internet.
La primera vez que nos conectemos a él, utilizando un cable RJ45 directo, nos permitirá acceder a la WebUI utilizando los valores predeterminados que vemos a continuación:
MGMT IP address: 192.168.1.1/24
Username: admin
Password: admin
Una vez configurado el ordenador en el mismo rango de direcciones y conectado al cortafuegos, comprobamos que la conectividad funciona bien:
Y encendemos nuestro navegador apuntando a la dirección del firewall para entrar en la WebUI.
Por supuesto, se nos informará mediante una ventana emergente de que los valores predeterminados no son seguros y se nos animará a cambiarlos antes de que el dispositivo entre en funcionamiento en una red de producción.
Esta captura de pantalla muestra el mensaje:
Configuración inicial
Esta es la lista de cosas recomendadas para configurar o cambiar como parte de la configuración inicial en nuestra PA NGN.
- Modificar las credenciales de autenticación por defecto
- Configurar una dirección IP MGMT válida, puerta de enlace, DNS y servicios de gestión, como HTTPS, SSH, ICMP…
- Configurar los ajustes NTP
- Registrar el dispositivo y activarlo en Palo Alto Cloud
Modificar las credenciales por defecto
Una vez que iniciamos sesión en la WebUI tenemos que ir a Device > Administrators > admin
Y a partir de ahí, como en cualquier otro sistema, tecleamos la contraseña antigua -por defecto- y la nueva dos veces. Luego OK.
Configurar una IP de gestión
Ahora que tenemos conectividad y hemos asegurado nuestro inicio de sesión correctamente es el momento de configurar una dirección IP que se ajuste a nuestro esquema de red de gestión de dispositivos de red.
Vamos a Device > Setup > Interfaces y Management.
Veremos un popup donde podemos rellenar nuestra información, incluyendo la configuración TCP/IP , detalles físicos y qué servicios queremos habilitar como métodos de gestión. También veremos una sección para añadir direcciones IP permitidas para la gestión. Esto significa que estos serán los únicos dispositivos permitidos para conectarse al puerto MGMT utilizando los servicios que configuremos.
Tenemos que Comprometer nuestros cambios en la configuración del Firewall. Ten en cuenta que perderemos conectividad en este punto, considera que cambiar la dirección IP del Firewall probablemente nos bloqueará la accesibilidad, así que tendremos que afinar y volver a conectarnos usando una dirección en el mismo rango en el que está ahora el Firewall.
Configurar DNS y NTP
Asumimos que hemos terminado todos los pasos anteriores en este post. Es hora de configurar NTP y DNS y conseguir este bebé conectado a Internet y listo para ser registrado, activado y actualizado.
Vamos a Device > Configuration > Services. Hacemos click en el engranaje para que aparezca nuestro popup y rellenamos nuestra información.
Commit y listo.
Registrar y activar
Vamos a Dashboard > Widgets > System > General Information. Aquí tenemos que crear nuestra cuenta de soporte con Palo Alto Support.
Vamos a https://support.paloaltonetworks.com y proceder a registrar nuestro Firewall. Se nos pedirá el SO#, el Customer ID, el SN del dispositivo y el código de autorización dado por su PA Authorized Partner.
Activamos nuestra licencia en Device > License and Activate feature using authorization code. Después de rellenar, haga clic en OK. A continuación, podemos comprobar si la licencia se ha activado correctamente.
Los próximos posts nos traerán más información y tutoriales para estos bebés.