13. Bootstrap del firewall

Tiempo estimado para completar la actividad: 60 minutos

Propietario del componente operable: FW

Perfil de habilidad: ingeniero de implementación

En esta página, se proporcionan instrucciones para instalar y configurar los firewalls de Palo Alto Networks (PANW). Google Distributed Cloud (GDC) con aislamiento físico ofrece dos firewalls de PANW: el firewall del sistema de detección y prevención de intrusiones (IDPS) y el firewall perimetral.

13.1. Accede a los firewalls

13.1.1. Accede a la consola

  1. Conecta un cable en serie de la computadora al puerto de la consola y conéctate al firewall con el software de emulación de terminal (9600-8-N-1).

  2. Espera entre 10 y 15 minutos para que se complete la secuencia de inicio. Cuando el firewall esté listo, el mensaje cambiará al nombre del firewall, como PA-5260 login para el firewall de IDPS y PA-850 login para el firewall perimetral.

  3. Las credenciales predeterminadas de nombre de usuario y contraseña son admin/admin o admin/paloalto en el modo FIPS.

13.1.2. GUI/CLI

  1. Conecta un cable Ethernet RJ-45 de tu computadora al puerto de administración del firewall.

  2. Establece la dirección IP de tu computadora en 192.168.1.2/24.

  3. Para acceder a la interfaz de administración del firewall, ve a https://192.168.1.1.

  4. Las credenciales predeterminadas de nombre de usuario y contraseña son admin/admin o admin/paloalto en el modo FIPS.

13.2. Verifica el hardware

  1. Comprueba que las piezas recibidas correspondan a lo que se compró en tipo y cantidad de artículos.

  2. En caso de discrepancias, envía un caso de asistencia siguiendo SUP-P0007.

  3. Para verificar que las ópticas conectadas sean correctas, sigue las instrucciones en Configura el firewall de Palo Alto Networks.

  4. Asegúrate de que Alarm esté configurado como Off o False para cada componente:

    show system state | match "alarm': On"
show system state | match "alarm': T"

    El proceso devuelve un resultado vacío.

    show system environmentals

    Todas las alarmas deben establecerse en False.

  5. Revisa las luces del firewall:

    1. Panel frontal: Las siguientes luces LED deben ser de color verde:
      1. PWR (alimentación)
      2. STS (estado)
      3. TMP (temperatura)
      4. ALM (alarma), la luz LED de alarma de la THN está apagada.
      5. FANS (fans)
      6. PWR1 y PWR2 (alimentación)

  6. Consulta el número de serie del firewall.

    En el caso de los firewalls PA-850 y PA-5260, usa el siguiente comando show para ver el número de serie en la información del sistema:

    show system info | match serial

    Verás un resultado similar al siguiente:

    serial: 0123456789

    A continuación, se muestra un ejemplo del resultado del archivo YAML del firewall.

    hardware:
    model: Palo Alto 5260
    serialNumber: "0123456789"
    vendor: Palo Alto

13.3. Restablecimiento de la configuración de fábrica

  1. Ingresa al modo de mantenimiento desde la consola:

    debug system maintenance-mode

    El resultado es similar a este:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Broadcast message from root (Tue Mar 15 11:07:31 2022):

The system is going down for reboot NOW!

  2. Ingresa y para continuar.

    Herramienta de recuperación de mantenimiento

  3. Navega hasta Restablecer configuración de fábrica y selecciónalo:

    Restablecimiento de la configuración de fábrica con la herramienta de recuperación de mantenimiento

  4. Vuelve a navegar a Restablecer configuración de fábrica y selecciónalo:

    Repite el restablecimiento de la configuración de fábrica con la herramienta de recuperación de mantenimiento

  5. Selecciona Reiniciar:

    Reinicio de la herramienta de recuperación de mantenimiento

13.4. Cómo habilitar el modo FIPS

Si necesitas habilitar el modo FIPS, debes seguir estos pasos. Como se mencionó en la sección Accede a los firewalls, cuando accedas por primera vez, debes ingresar una nueva contraseña de administrador. Debes usar esta contraseña durante la configuración del FIPS. Una vez que el proceso se complete correctamente, la contraseña del firewall se restablecerá a la contraseña predeterminada de FIPS.

  1. Conéctate al firewall con la consola y espera el mensaje final de PA-5260 login:.

  2. Usa el nombre de usuario y la contraseña predeterminados: admin/admin.

  3. Sigue la instrucción en pantalla para ingresar una nueva contraseña de administrador desde la hoja de cálculo de contraseñas del dispositivo de red.

  4. Habilita el modo de mantenimiento con el siguiente comando:

    admin@PA-5260> debug system maintenance-mode

    El resultado es similar a este:

    Executing this command will disconnect the current session and reboot the system into maintenance mode. Do you want to continue? (y or n)

Tue Mar 15 11:29:31 PDT 2022: Stopping PAN Software

  5. Selecciona Set FIPS-CC Mode:

    Cómo establecer el modo FIPS-CC

  6. Navega hasta Enable FIPS-CC Mode y selecciónalo:

    Habilita el modo FIPS-CC

  7. Asegúrate de que el proceso se complete correctamente:

    Proceso del modo FIPS-CC

  8. Navega hasta Reboot y selecciónalo:

    Reinicio tras restablecer la configuración de fábrica

  9. Después de cambiar al modo FIPS-CC, verás el siguiente estado: FIPS-CC mode enabled successfully.

    Se habilitó correctamente el modo FIPS-CC

Los siguientes cambios ya están vigentes:

  • FIPS-CC se muestra en todo momento en la barra de estado del pie de página de la interfaz web.

  • Las credenciales de acceso de administrador predeterminadas ahora son admin/paloalto.

Después de que el sistema realiza una autocomprobación de FIPS y se configura FIPS, no hay forma de salir del modo de mantenimiento de depuración del sistema porque no hay conexión disponible a través de la consola en serie. Como operador, debes quitar el cable de la consola en serie o desconectarte de la consola en serie del firewall.

13.5. Inicializa los firewalls de PANW con la configuración básica de la red de administración

En este paso, se inicializan los firewalls de PANW aplicando la configuración de red esencial que habilita la conectividad a la red de administración.

13.5.1. Verifica las configuraciones

El equipo de Operaciones de hardware del GDC y el equipo del IDPS deben finalizar los archivos en el directorio cellcfg para especificar la información de configuración de la implementación.

En esta sección, se explica cómo iniciar los firewalls de PANW para la red y el acceso básicos de administración.

13.5.2. Configura la red de administración básica

  1. En el servidor de arranque, ejecuta el siguiente comando:

    gdcloud system firewall mgmt-setup --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Reemplaza PATH_TO_CELLCFG_DIRECTORY por la ruta de acceso al directorio en el que se almacena cellcfg.

    Reemplaza FIREWALL_TYPE por uno de los siguientes valores:

    • idps: Es el firewall de IDPS.
    • perimeter: Es el firewall de perímetro.

    Este comando realiza las siguientes acciones:

    • Establece la configuración relacionada con el dispositivo.
    • Establece el nombre de host.
    • Establece la dirección IP de administración.
    • Verifica la conectividad de la dirección IP de administración.

    Este comando tarda alrededor de 15 minutos en ejecutarse. Debes ejecutar los comandos gdcloud system firewall mgmt-setup para los firewalls de IDPS y de perímetro de forma individual, y no debes ejecutarlos de forma simultánea.

  2. Ejecuta el comando dos veces: una vez para el tipo de firewall como idps y otra vez para el tipo de firewall como perimeter.

13.6. Actualiza PAN-OS

  1. En el servidor de arranque, ejecuta el siguiente comando gdcloud:

    gdcloud system firewall bootstrap-upgrade --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Reemplaza PATH_TO_CELLCFG_DIRECTORY por la ruta de acceso al directorio en el que se almacena cellcfg.

    Reemplaza FIREWALL_TYPE por idps para el firewall de IDPS o perimeter para el firewall perimetral.

    Este comando realiza las siguientes acciones:

    • Comprueba si la versión actual del SO de PAN coincide con la versión de destino. Si son iguales, no se requiere ninguna actualización. De lo contrario, continúa con la actualización de la imagen de SO del PAN.
    • Si necesitas actualizar la imagen de SO de PAN, verifica la versión actual de la actualización de contenido con la versión de destino. Actualiza la actualización de contenido si la versión actual es anterior a la versión de destino.

  2. Ejecuta el comando gdcloud system firewall bootstrap-upgrade dos veces: una vez para el tipo de firewall como idps y otra vez para el tipo de firewall como perimeter. El comando tarda aproximadamente 30 minutos en completarse para los firewalls de IDPS y 1 hora para los firewalls perimetrales. Puedes ejecutar los comandos de forma simultánea.

  3. Verifica la versión actual de PAN-OS. En la versión 1.14.3 y posteriores de GDC, la versión de PAN-OS debe ser 10.2.13.

    show system info | match sw-version

13.7. Completa el arranque

  1. En el servidor de arranque, ejecuta el siguiente comando:

    gdcloud system firewall install --config PATH_TO_CELLCFG_DIRECTORY --firewall-type=FIREWALL_TYPE

    Reemplaza PATH_TO_CELLCFG_DIRECTORY por la ruta de acceso al directorio en el que se almacena cellcfg.

    Reemplaza FIREWALL_TYPE por idps para el firewall de IDPS o perimeter para el firewall perimetral.

    Este comando realiza las siguientes acciones:

    • Instala la licencia.
    • Actualiza la firma de contenido.
    • Intercambio de claves de alta disponibilidad (HA) y habilitación de multi-vsys.
    • Crea el secreto de la clave raíz.
    • Inicializa la configuración del firewall.

  2. Ejecuta el comando dos veces: una vez para el tipo de firewall como idps y otra vez para el tipo de firewall como perimeter. El comando tarda entre 20 y 25 minutos en completarse. Puedes ejecutar los comandos de gdcloud system firewall install de forma simultánea.

13.8. Verifique la configuración

Para verificar que inicializaste los firewalls de PANW, sigue estos pasos:

  1. Navega a la URL https://MANAGEMENT_IP_ADDRESS. Reemplaza MANAGEMENT_IP_ADDRESS por la administración de dispositivos de firewall.
  2. Accede al portal web ingresando el nombre de usuario y la contraseña definidos en tu archivo cell.yaml.

  3. En el menú de navegación, haz clic en Panel. Selecciona Widgets -> System -> Interfaces y High Availability.

    Panel de HA del firewall de PANW

  4. Examina los siguientes elementos para verificar que el proceso de arranque se haya realizado correctamente:

    • En el caso de los firewalls de IDPS (PA-5260) que están en modo activo-activo, se espera que tanto el firewall principal como el secundario tengan el mismo estado:

      • Comprueba si los siguientes números de la sección Interfaces se muestran en verde:

        • 5, 6, 7, 8, 21, 22, 23, 24

      • Verifica que todos los viñetas de la sección Alta disponibilidad se muestren en verde. Ten en cuenta que puedes esperar que la sección Running Config muestre un color rojo o amarillo, y diga not synchronized.

      Interfaces de alta disponibilidad del firewall IDPS de PANW

    • En el caso de los firewalls perimetrales (PA-850) que se encuentran en modo activo/pasivo, se espera que los firewalls activos y pasivos tengan un estado diferente:

      • Para el firewall activo, haz lo siguiente:

        • Consulta la sección Alta disponibilidad:

          • Comprueba si Local muestra Activo y está en verde, mientras que Peer está en Pasivo y en amarillo.
          • Espera que la sección Running Config se muestre en rojo o amarillo, y diga not synchronized.
          • Verifica si todos los demás viñetas de la sección Alta disponibilidad se muestran en verde.

        • Comprueba si los siguientes números de la sección Interfaces se muestran en verde:

          • 9 y 10

        PANW Perimeter firewall HA active

      • Para el firewall pasivo:

        • Consulta la sección Alta disponibilidad:

          • Comprueba si Local muestra Pasivo y amarillo, mientras que Peer muestra Activo y verde.
          • Espera que la sección Running Config se muestre en rojo o amarillo, y diga not synchronized.
          • Verifica si todos los demás viñetas de la sección Alta disponibilidad se muestran en verde.

        • Comprueba si los siguientes números de la sección Interfaces se muestran en rojo:

          • 9 y 10

        Firewall de perímetro pasivo de PANW con alta disponibilidad

  5. En la pestaña Red, navega a Zonas.

    Confirma que el prefijo del nombre de la zona de seguridad en la columna Nombre coincida con el identificador del sistema virtual en la columna Ubicación.

    Por ejemplo, en la siguiente imagen, se muestra que vsys1-gpc en la columna Nombre coincide correctamente con root (vsys1) en la columna Ubicación:

    Interfaz de usuario del firewall de PANW con nombre virtual y prefijo de zona de seguridad coherentes

13.9. Posibles problemas

13.9.1. No se aprovisionaron los secretos del firewall

Cuando inicialices el firewall en las siguientes secciones, es posible que recibas registros similares a los siguientes:

I0727 20:45:46.460753 3011336 common.go:129] Bootstrapper IP: 10.248.0.70
            E0727 20:45:46.460800 3011336 reset.go:42] failed to initialize the firewall configuration: found one or more firewalls with duplicate usernames, missing firewall account types (readonly, admin, breakglass) or invalid passwords (may not be TO-BE-FILLED): (Firewall: zo-aa-fw01, Duplicate user names: [admin], Missing account types: [], Accounts with invalid passwords: [], Missing user with name `admin`: false)

Si recibes estos registros, significa que no configuraste correctamente los secretos del firewall. Debes actualizar los secretos para asegurarte de que, para cada firewall que se enumere, sigas los lineamientos:

  • No hay nombres de usuario duplicados.
  • Debes tener una cuenta para cada tipo: readonly, admin y breakglass.
  • Ninguna cuenta puede usar el valor predeterminado TO-BE-FILLED.
  • Una cuenta de tipo admin debe tener el nombre de usuario admin.

Mitigación

Para tener configuraciones actualizadas, completa las credenciales en los archivos de Secrets como se describe en 14.6.1 Verifica las configuraciones.

Si ya se puede acceder a los firewalls, ejecutar los pasos en 14.6.2 Configura la red de administración básica no actualiza los secretos en el clúster de KIND. Debes actualizar manualmente los secretos con las contraseñas correctas usando la CLI de kubectl.

13.9.2. Errores de validación del número de serie del firewall

Si no coincide el número de serie del firewall en los archivos cellcfg y el dispositivo de firewall, es posible que veas errores como los siguientes:

043213 bootstrap.go:149] found one of more firewall serial number validation errors: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845 Error: found one or more perimeter firewall serial number validation errors: serial number check error for FirewallNode zp-ab-ocfw01: serial number mismatch. Expected serial number: 011901063228, but firewall device has: 012501009845

Si recibes estos registros, debes actualizar los números de serie del firewall en el archivo cellcfg.

Mitigación

Sigue las instrucciones que se indican en el artículo 14.2. Verifica el hardware para confirmar el número de serie del firewall y actualizar el archivo YAML.

13.9.3. El firewall no puede iniciarse o no se encuentra ninguna imagen en el menú de restablecimiento de la configuración de fábrica (modo de recuperación)

Si el dispositivo de firewall de Palo Alto Networks no puede iniciarse o no tiene una imagen disponible en el menú de restablecimiento de la configuración de fábrica al que se puede acceder desde Modo de mantenimiento>Restablecer la configuración de fábrica, sigue estas instrucciones.

Para verificar si la partición está en blanco, haz lo siguiente:

  1. Para reiniciar el firewall, desconecta solo los cables de la fuente de alimentación. No saques la fuente de alimentación.
    • Si quitaste la fuente de alimentación, vuelve a insertarla sin el cable de alimentación. Luego, vuelve a conectar el cable de alimentación.
  2. Ingresa al modo de recuperación.
  3. Selecciona Imagen de disco.
  4. Selecciona Opciones avanzadas y, luego, ingresa la contraseña: MA1NT.
  5. Selecciona sysroot1 (X).
  6. Presiona Intro en Estado.

  7. Verifica si el Estado de sysroot1 es EMPTY.

    Ejemplo de resultado:

Ventana de terminal de PuTTY que muestra el estado de sysroot1 como vacío

Si el estado de la partición sysroot1 es EMPTY, sigue los pasos de resolución completos .

Mitigación

Para recuperar el dispositivo, usa la consola para ingresar al modo de mantenimiento. Deberás conocer la contraseña MA1NT para ingresar al modo de mantenimiento avanzado de Imagen de disco.

Solución de problemas

Si tienes problemas para recuperar tu electrodoméstico, puedes probar lo siguiente:

  • Comprueba que estés usando la contraseña correcta para ingresar al modo de mantenimiento.
  • Intenta usar otro puerto de la consola.
  • Comunícate con el equipo de asistencia de Palo Alto Networks para obtener ayuda.

13.9.4. Las interfaces de firewall no funcionan

Si alguna interfaz de Verify the setup que se espera que esté activa, pero en realidad no lo está, podría deberse a conexiones de cable incorrectas entre el dispositivo de firewall y los conmutadores o a ópticas incompatibles.

Solución de problemas

  • Para verificar si las conexiones de los cables físicos son las mismas que el connections esperado del cell.yaml, ejecuta el comando de la CLI de validación desde la máquina de arranque:

    • sudo <release dir>/gdcloud system check-config --config <path_to_cellcfg> --artifacts-directory <artifacts_folder> --scenario Firewall

    • Revisa el registro de validación para verificar la conexión y sigue las sugerencias de mitigación del registro.

      • Problema conocido: Falla una verificación que indica que no coincide la conexión al dispositivo de firewall desde el recurso ManagementAggSwitch. El resultado es similar al siguiente:

        connections from switch xx-aa-mgmtaggsw01 to firewall does not match cell config with unexpected diff (-switch +cell config):
+ xx-aa-mgmtaggsw01:Eth1/47<>xx-aa-ocfw01:Eth1/11

      • Solución alternativa: Ignora los errores de los puertos 11 y 12 del firewall perimetral. Estos puertos no funcionan hasta que se instala el clúster de administrador raíz.

    • Para obtener más detalles sobre el comando de la CLI de validación, consulta Verificaciones posteriores al hardware.

  • Para verificar si se usan ópticas incompatibles, sigue las instrucciones en Cómo configurar el firewall de Palo Alto Networks.

13.9.5. Se denegó el permiso durante el intercambio de claves de HA

Durante el paso 14.7 del arranque del firewall, la configuración del clúster puede fallar debido a que se deniega el permiso para guardar la clave de HA en el programa de arranque. A veces, es posible que veas que el comando se detiene en Error: failed to config-replace with err: firewall:ak-aa-ocfw01, hasn't completed its config-replace for hairpin information yet y High-availability ha1 encryption requires an import of the high-availability-key(Module: ha_agent) client ha_agent phase 1 failure.

Solución de problemas:

  • Consulta el caso de ejemplo 8 de FW-R1002.

Comprueba si el directorio de Ubuntu en el host (programa de arranque o host de salto) es propiedad de root:

```bash
$ ls -al
total 36
drwxr-xr-x  3 root root 4096 Mar 21 03:33 ./
drwxr-xr-x 22 root root 4096 Mar 23 01:12 ../
...
drwxr-xr-x 11 root root 4096 Apr 30 21:05 ubuntu/
```

La solución es corregir la propiedad de /home/ubuntu:

```bash
$ chown -R ubuntu: /home/ubuntu/
```

Después, vuelve a ejecutar el comando.