Перед тем как приступить к настройке GlobalProtect, необходимо сгенерировать/импортировать SSL сертификат и создать SSL/TLS Service Profile. А так же необходим Authentication Profile, можно как создать локальную базу пользователей, так и использовать внешнюю. Пример использования OneLogin и AWS SSO. Security zone Прежде всего нужно создать зону безопасности для VPN интерфейса. Для этого переходим во вкладку …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect"
GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через AWS SSO. AWS Перед тем как добавить SAML IdP у вас должен быть уже настроен AWS Directory Service Для начала добавим приложение, для этого переходим "IAM Identity Center" -> "Application assignments" -> "Application" И …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — AWS SAML"
GlobalProtect поддерживает разные способы авторизации, в том числе и SAML 2.0 IdP. В данном примере показана настройка авторизации через OneLogin. OneLogin Для начала добавим приложение, для этого в админ интерфейсе OneLogin переходим "Applications" и кликаем "Add App" В строке поиска вводим "globalprotect" и кликаем на него В настройках задаем имя приложения и кликаем "Save" …
Продолжить читать "Palo Alto VM-Series Firewall: GlobalProtect — OneLogin SAML"
PAN-OS позволяет только генерировать самоподписные сертификаты или уже импортировать существующие. Чтобы использовать Let’s Encrypt сертификат, необходимо его запросить на другом устройстве и поэтому в качестве валидации можем использовать только DNS. В качестве DNS провайдера используется AWS Route53, для получения сертификата будем использовать Certbot, так же понадобится установленный и настроенный awscli Получение сертификата Устанавливаем необходимый софт …
Продолжить читать "Palo Alto VM-Series Firewall: Let’s Encrypt сертификат"
VM-Series Firewall SSH Для того чтобы использовать WebUI необходимо задать пароль администратора, это делается через SSH. После создания инстансов проходит минут 10-15 до того, как Firewall инициализируется и будет доступен по SSH Подключаемся к первому инстансу, SSH пользователь — "admin" И выполняем следующие команды Вводим пароль 2 раза и сохраняем изменения Тоже самое проделываем …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 2"
Для обеспечения высокой доступности Palo Alto VM-Series Firewall используется конфигурация active/passive. В которой активный фаервол постоянно синхронизирует свою конфигурацию и информацию об активных сессиях с аналогично настроенным пассивным фаерволом. Существует два варианта достижения HA в AWS: "Secondary IP Move" и "Dataplane Interface Move". Secondary IP Move При недоступности активного фаервола, пассивный переходит в роль …
Продолжить читать "Palo Alto VM-Series Firewall: AWS HA Multi AZ для GlobalProtect — Часть 1"
После апгрейда PIP на CentOS 6, где еще используется Python2.7, PIP на каждую команду падает с ошибкой. К примеру: Причина: PIP версии выше 20.3 не поддерживает Python2.7 Решение: Установить последнюю поддерживаемую версию
Чтобы извлечь путь к файлу или имя файла из полного пути можно использовать разные утилиты, как grep, sed, awk, etc. Если же это не список из файла или переменной, можно использовать find, но есть более простой способ: basename — возвращает имя файла dirname — возвращает путь к файлу Пример: Эти две утилиты входят …
Продолжить читать "Linux — Получить путь и имя файла из полного пути"
Для того, чтобы примонтировать S3 Bucket как файловую системой, необходимо установить s3fs Создадим директорию для монтирования: И добавим следующее в "/etc/fstab": Где: "artem-service-bucket:/upload/" — имя S3 корзины и директория, внутри корзины, которую нужно монтировать "url=https://s3.eu-central-1.amazonaws.com,endpoint=eu-central-1" — регион, в котором расположена S3 корзина "iam_role" — указываем, что будем использовать IAM Role для аутентификации …
Продолжить читать "S3 — Монтирование в Linux"
Необходимо извлечь логин и пароль от RDS, которые хранятся в AWS Secret Manager и использовать их значения в Terraform коде. Для этого можно воспользоваться следующей конструкцией: И использовать переменные: