LAB – ISE jako radius dla PaloAlto dla kont Admina

Po dłuższej przerwie wróciłem do integracji Cisco ISE 2.0 z Palo Alto Networks wykorzystując Radiusa z ISE jako punkt uwierzytelniania kont administracyjnych. Wiem, że zapewne większość autoryzacji kont administracyjnych opiera się o LDAP oraz AD. Natomiast ja jak zawszę muszę kombinować i komplikować scenariusze do labowania, ale dzięki takiemu podejściu jestem w stanie bardziej poznać oba systemy. Konfiguracja ISE przechodzimy do Policy –> Policy Elements –> Dictationaries wybieramy system –> …

Maj 10, 2016Maj 10, 2016Michał Iwańczuk Leave a comment

Palo – AD 2012 user maping

Poniżej opis jak podłączyć Palo do AD 2012 w celu pozyskania użytkowników do Autoryzacji SSH, WEB GUI. Kontroler domeny windows 2012r poziom AD 2012 AD01- 192.168.1.199 User- pa-admin-user domena- safekom.pl Konfiguracja Palo: Device –> Server Profiles –> LDAP Gdzie w servers podajemy namiary na kontrolery domeny, w mym przypadku jest to jeden serwer. Na chwilę obecną korzystam z LDAP bez SSL. W polu Domain wpisujemy nazwę NETBIOS domeny, w kolejnym polu wybieramy …

Wrzesień 20, 2015Wrzesień 20, 2015Michał Iwańczuk Leave a comment

LAB – IPSEC SRX <--> PALO

Dziś przyszedł czas na lab z wykorzystaniem urządzeń Juniper SRX oraz Palo Alto Networks. Skupię się w tym wpisie na skonfigurowaniu połączenia VPN Ipsec pomiędzy tymi urządzeniami. założenia: Faza 1 aes256 sha-1 pfs g2 3600s Faza 2 aes256 sha-1 pfs g2 3600s Palo SRX Sieci które będą podlegały szyfrowaniu 10.20.10.0/24 10.10.10.0/24 Palo SRX Interfejs z adresem tzw. publicznym 192.168.1.210/24 192.168.1.2/24 Konfiguracja SRX Faza1


set security ike proposal IKE-phase1-LAB02 authentication-method pre-shared-keys
set security ike proposal IKE-phase1-LAB02 dh-group group2
set security ike proposal IKE-phase1-LAB02 authentication-algorithm sha1
set security ike proposal IKE-phase1-LAB02 encryption-algorithm aes-256-cbc
set security ike proposal IKE-phase1-LAB02 lifetime-seconds 3600

set security ike policy ike-phase1-LAB02 mode main
set security ike policy ike-phase1-LAB02 proposals IKE-phase1-LAB02
set security ike policy ike-phase1-LAB02 pre-shared-key ascii-text Qwert678!


set security ike gateway gw-Palo-lab ike-policy ike-phase1-LAB02
set security ike gateway gw-Palo-lab address 192.168.1.210
set security ike gateway gw-Palo-lab external-interface fe-0/0/7
set security ike gateway gw-Palo-lab local-address 192.168.1.2

set security ike proposal IKE-phase1-LAB02 authentication-method pre-shared-keys

set security ike proposal IKE-phase1-LAB02 dh-group group2

set security ike proposal IKE-phase1-LAB02 authentication-algorithm sha1

set security ike proposal IKE-phase1-LAB02 encryption-algorithm aes-256-cbc

set security ike proposal IKE-phase1-LAB02 lifetime-seconds 3600

set security ike policy ike-phase1-LAB02 mode main

set security ike policy ike-phase1-LAB02 proposals IKE-phase1-LAB02

set security ike policy ike-phase1-LAB02 pre-shared-key ascii-text Qwert678!

set security ike gateway gw-Palo-lab ike-policy ike-phase1-LAB02

set security ike gateway gw-Palo-lab address 192.168.1.210

set security ike gateway gw-Palo-lab external-interface fe-0/0/7

set security ike gateway gw-Palo-lab local-address 192.168.1.2

Faza 2


set security ipsec proposal ipsec-phase2-lab02 protocol esp
set security ipsec proposal ipsec-phase2-lab02 authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec-phase2-lab02 encryption-algorithm aes-256-cbc


set security ipsec policy ipsec-phase2-lab02-polcy perfect-forward-secrecy keys group2
set security ipsec policy ipsec-phase2-lab02-polcy proposals ipsec-phase2-lab01


set security ipsec vpn ike-vpn-palo ike gateway gw-Palo-lab
set security ipsec vpn ike-vpn-palo ike proxy-identity local 10.10.10.0/24
set security ipsec vpn ike-vpn-palo ike proxy-identity remote 10.20.1.0/24
set security ipsec vpn ike-vpn-palo ike proxy-identity service any
set security ipsec vpn ike-vpn-palo ike ipsec-policy ipsec-phase2-lab01-polcy
set security ipsec vpn ike-vpn-palo establish-tunnels immediately

set security ipsec proposal ipsec-phase2-lab02 protocol esp

set security ipsec proposal ipsec-phase2-lab02 authentication-algorithm hmac-sha1-96

set security ipsec proposal ipsec-phase2-lab02 encryption-algorithm aes-256-cbc

set security ipsec policy ipsec-phase2-lab02-polcy perfect-forward-secrecy keys group2

set security ipsec policy ipsec-phase2-lab02-polcy proposals ipsec-phase2-lab01

set security ipsec vpn ike-vpn-palo ike gateway gw-Palo-lab

set security ipsec vpn ike-vpn-palo ike proxy-identity local 10.10.10.0/24

set security ipsec vpn ike-vpn-palo ike proxy-identity remote 10.20.1.0/24

set security ipsec vpn ike-vpn-palo ike proxy-identity service any

set security ipsec vpn ike-vpn-palo ike ipsec-policy ipsec-phase2-lab01-polcy

set security ipsec vpn ike-vpn-palo establish-tunnels immediately

Konfiguracja polityki vpn Dodanie …

Sierpień 30, 2015Październik 28, 2016Michał Iwańczuk Leave a comment

SafeKom Blog

Notatki konsultanta IT

PaloAlto

LAB – ISE jako radius dla PaloAlto dla kont Admina

Palo – AD 2012 user maping

LAB – IPSEC SRX <--> PALO