Palo Alto Networks Guide de l administrateur Panorama. Panorama 5.1

Transcription

1 Palo Alto Networks Guide de l administrateur Panorama Panorama 5.1

2 Coordonnées de contact Siège social : Palo Alto Networks 3300 Olcott Street Santa Clara, CA À propos de ce guide Ce guide explique comment installer et utiliser Panorama pour la gestion centralisée ; il est destiné aux administrateurs qui souhaitent bénéficier d une trame de base pour installer rapidement l appareil Panorama virtuel ou l appareil M-100 pour l administration centralisée des pare-feu Palo Alto Networks. Si vous êtes équipé d un appareil M-100, ce guide vous concerne une fois que vous avez procédé au montage en baie de votre appareil M-100. Pour plus d informations, reportez-vous aux sources qui suivent : Guide de l administrateur de Palo Alto Network : donne des instructions sur la configuration des fonctions sur le pare-feu. Le guide de l administrateur de Palo Alto vous assistera avec éléments de Panorama similaires à ceux des pare-feu et qui ne sont pas abordés dans ce guide. : permet d accéder à la base de connaissances, à un ensemble de documentation complets à des forums de discussion et à des vidéos. : permet de contacter le support technique pour avoir des informations sur les programmes d assistance ou pour gérer votre compte ou vos périphériques. Pour nous communiquer vos remarques sur la documentation, écrivez-nous à l adresse : [email protected]. Palo Alto Networks, Inc Palo Alto Networks. Tous droits réservés. Palo Alto Networks, PAN-OS et Panorama sont des marques commerciales de Palo Alto Networks, Inc. Toutes les autres marques commerciales sont la propriété de leurs détenteurs respectifs. Réf B ii

3 Table des matières Table des matières Présentation de Panorama À propos de Panorama Plates-formes Panorama À propos de la configuration et de la gestion de déploiement centralisée Changement de contexte : Périphérique ou Panorama Modèles Groupes de périphériques À propos de la journalisation et de la création de rapports centralisées Options de journalisation Collecteurs gérés et groupes de collecteurs Utilisation de collecteurs de journaux dans un groupe de collecteurs Création centralisée de rapports À propos du contrôle d accès basé sur les rôles Rôles administrateur Profils et séquences d authentification Domaines d accès Authentification des administrateurs Déploiement Panorama recommandé Panorama pour la gestion et la création centralisées de rapports Panorama dans une architecture de collecte de journaux distribuée Planification de votre déploiement Déploiement de Panorama : Liste de contrôle des tâches Configurer Panorama Configurer l appareil virtuel Panorama Configuration requise Installer Panorama sur le serveur ESX(i) Exécuter la configuration initiale Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama Configurer l appareil virtuel M Exécution de la configuration initiale Configurer l appareil M-100 en mode Collecteur de journaux Accroître la capacité de stockage de l appareil M Migrer d un appareil virtuel Panorama vers un appareil M Configuration requise Éléments à prendre en compte pour la planification Effectuer la migration Reprendre la gestion des périphériques Installer les licences Enregistrer Panorama Activer/Récupérer les licences Guide de l'administrateur Panorama iii

4 Table des matières Installez les mises à jour de contenu et le logiciel Panorama Naviguez dans l interface utilisateur Panorama Naviguer dans l interface Web Se connecter à l interface Web Se connecter à l interface de ligne de commande Configurer un accès administratif Créer un compte d administrateur Définir des domaines d accès Créer un profil d authentification Définir une séquence d authentification Configurer l authentification administrative Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Ajouter les périphériques gérés Créer des groupes de périphériques Créer des modèles Configurer les pare-feu pour transmettre les journaux à Panorama Valider les modifications sur Panorama Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut Utiliser Panorama pour configurer les périphériques gérés : Un exemple Activer la journalisation Déployer les mises à jour logicielles et gérer les licences Remplacer un périphérique géré par un nouveau périphérique Avant de commencer Restaurer la configuration sur le nouveau périphérique Transition d un périphérique vers une gestion centralisée Surveiller l activité réseau Utiliser Panorama pour la visibilité Surveiller le réseau avec ACC et Portée d application Analyse des données de journaux Générer des rapports Cas pratique : Surveiller des applications en utilisant Panorama Cas pratique : Utiliser Panorama pour remédier à un incident Haute disponibilité Panorama Présentation de la haute disponibilité Déclencheurs de basculement Remarques sur la journalisation en HD Priorité et basculement Quels sont les paramètres qui ne sont pas synchronisés entre les homologues HD? Configurer une paire haute disponibilité Panorama Définir la haute disponibilité sur Panorama Contrôler le basculement Commuter la priorité pour reprendre la journalisation NFS Mettre à niveau Panorama en haute disponibilité iv Guide de l'administrateur Panorama

5 Table des matières Gérer Panorama Gestion des sauvegardes de configuration Programmer l exportation de fichiers de configuration Gestion des sauvegardes de configuration de Panorama Configurer le nombre de sauvegardes stockées sur Panorama Charger une sauvegarde de configuration sur un périphérique géré Comparer les modifications de configuration Restreindre l accès aux modifications de configuration Types de verrous Emplacements où placer un verrou Placer un verrou Afficher les détenteurs de verrous actuels Activer l acquisition automatique du verrou de validation Supprimer un verrou Ajouter des logos personnalisés Afficher l historique des tâches Réaffecter le quota de stockage de journaux Surveiller Panorama Configuration des alertes par message électronique Configurer un accès SNMP Redémarrer ou fermer Panorama Générer des fichiers de diagnostic Configurer les profils et la complexité de mot de passe Remplacer le disque virtuel sur un appareil virtuel Panorama Dépannage Pourquoi la validation de modèle échoue-t-elle? Pourquoi Panorama exécute-t-il un contrôle d intégrité de système de fichiers? Existe t-il une connexion distincte pour la transmission des journaux vers Panorama? Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs indique-t-elle 0 Mo? Pourquoi Panorama est-il à l état suspendu? Où puis-je voir l état de la progression de la tâche? Guide de l'administrateur Panorama v

6 Table des matières vi Guide de l'administrateur Panorama

7 1 Présentation de Panorama Panorama offre la gestion centralisée et une visibilité complète de plusieurs pare-feu de nouvelle génération Palo Alto Networks. Il vous permet de superviser toutes les applications, les utilisateurs et le contenu présents sur le réseau depuis un emplacement unique, puis utilise les informations obtenues pour créer des politiques de mise en œuvre d applications permettant de protéger et de contrôler l ensemble du réseau. L utilisation de Panorama pour la gestion centralisée des politiques et des périphériques accroît l efficacité opérationnelle de la gestion et de l entretien d un réseau distribué de pare-feu. Les sections qui suivent décrivent Panorama et fournissent des instructions permettant de planifier le déploiement de Panorama : À propos de Panorama Plates-formes Panorama À propos de la configuration et de la gestion de déploiement centralisée À propos de la journalisation et de la création de rapports centralisées À propos du contrôle d accès basé sur les rôles Déploiement Panorama recommandé Planification de votre déploiement Déploiement de Panorama : Liste de contrôle des tâches Guide de l'administrateur Panorama 1

8 À propos de Panorama Présentation de Panorama À propos de Panorama Panorama permet la gestion centralisée des pare-feu Palo Alto Networks de nouvelle génération, comme le montre l illustration suivante : Panorama vous permet de configurer, gérer et surveiller efficacement vos pare-feu Palo Alto Networks, grâce à une surveillance centralisée avec contrôle local, comme indiqué. Les trois domaines dans lesquels Panorama représente un progrès sont : la configuration et le déploiement centralisés : pour simplifier la gestion centralisée et le déploiement rapide des pare-feu sur votre réseau, utilisez Panorama pour préparer les pare-feu au déploiement. Vous pouvez regrouper les périphériques en groupes, créer des modèles permettant d appliquer une configuration de réseau et de périphérique de base, puis utiliser ces groupes de périphériques pour administrer des politiques globales partagées et locales. Reportez-vous à la section À propos de la configuration et de la gestion de déploiement centralisée. journalisation agrégée avec surveillance centrale de l analyse et des rapports : collecte des informations sur les activités de l ensemble des pare-feu gérés sur le réseau et analyse, enquête et rapport centralisés sur les données. Cette vue complète du trafic réseau, de l activité utilisateur et des risques associés vous permet de répondre à des menaces potentielles grâce à un ensemble étendu de politiques permettant de mettre en œuvre en toute sécurité les applications sur votre réseau. Reportez-vous à la section À propos de la journalisation et de la création de rapports centralisées. Administration distribuée : vous permet de déléguer ou de restreindre l accès aux configurations et politiques de périphériques globales et locales. Reportez-vous à la section À propos du contrôle d accès basé sur les rôles pour déléguer les niveaux d accès appropriés dans le cadre d une administration distribuée. Panorama est disponible sur deux plates-formes : en tant qu appareil virtuel et en tant qu appareil matériel dédié. Pour plus d informations, reportez-vous à la section Plates-formes Panorama. 2 Guide de l'administrateur Panorama

9 Présentation de Panorama Plates-formes Panorama Plates-formes Panorama Panorama est disponible sur deux plates-formes qui prennent en charge chacune des licences de gestion de périphériques permettant de gérer jusqu à 25 périphériques, jusqu à 100 périphériques ou périphériques. Appareil virtuel Panorama : l appareil virtuel Panorama est installé sur un serveur VMware. Il est simple à installer et facilite la consolidation de serveur sur des sites ayant besoin d un appareil de gestion virtuel. Il prend également en charge l intégration à NFS (Système de fichiers réseau) pour accroître les fonctionnalités de stockage et de conservation des journaux (> 2 To). L appareil virtuel Panorama est mieux adapté aux environnements réunissant moins de 10 pare-feu, avec des vitesses de journalisation inférieures à journaux/secondes. Appareil M-100 : appareil matériel dédié destiné à des déploiements à grande échelle. Dans les environnements avec des exigences élevées en matière de taux de journalisation et de conservation des journaux, cette plate-forme permet de faire évoluer votre infrastructure de collecte des journaux. L appareil prend en charge la mise en copie miroir de RAID 1 pour la protection contre les défaillances de disque, et la configuration par défaut est fournie avec deux lecteurs de 1 To, des paires RAID supplémentaires. L appareil M-100 peut prendre en charge jusqu à 4 To de stockage de journaux. L appareil M-100 permet la séparation de la fonction de gestion centralisée de celle de la collecte des journaux, en prenant en charge les modes de déploiement suivants : Mode Panorama : L appareil exécute à la fois les fonctions de gestion centralisée et celle de la collecte de journaux. Il s agit du mode par défaut. Mode collecteur de journaux : L appareil fonctionne comme un collecteur de journaux dédié pouvant être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Lorsqu il est déployé en mode Collecteur de journaux, l appareil n est pas équipé d une interface Web. L accès administratif se fait par l interface de ligne de commande (CLI) uniquement. Le choix de la plate-forme est fonction de vos besoins en matière d appareil virtuel, du nombre de pare-feu Palo Alto Networks que vous prévoyez de gérer et vos exigences de collecte des journaux comme indiqué dans le tableau suivant : Considérations VMware M-100 Appareil virtuel Panorama Mode Panorama Architecture de journaux distribuée avec collecteurs de journaux dédiés. Nombre de périphériques gérés 10 pare-feu ou moins Jusqu à 100 pare-feu Jusqu à pare-feu Taux de collecte de journaux < journaux/ seconde < journaux/seconde > journaux/seconde (Maximum de journaux/seconde par collecteur) Guide de l'administrateur Panorama 3

10 À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée Panorama utilise les groupes de périphériques et les modèles pour rassembler les périphériques nécessitent une configuration similaire en ensembles plus petits et plus logiques. Tous les éléments de configuration, politiques et objets présents sur les pare-feu peuvent être gérés de façon centralisée sur Panorama à l aide de groupes de périphériques et de modèles. En plus de gérer la configuration et les politiques, Panorama vous permet de gérer des licences, les logiciels et les mises à jour de contenu associées de manière centralisée : clients SSL-VPN, agents GlobalProtect, mises à jour de contenus dynamiques (applications, menaces, WildFire et antivirus). Changement de contexte : Périphérique ou Panorama L interface Web Panorama vous permet de passer d une vue centrée sur Panorama à une vue centrée sur un périphérique en utilisant un changement de contexte. Vous pouvez choisir de gérer le périphérique de façon centralisée avec Panorama, puis passer au contexte d un périphérique géré spécifique en utilisant l interface utilisateur de ce dernier. La similitude existant entre l interface utilisateur des pare-feu gérés et celle de Panorama vous permet de passer facilement d une interface à l autre pour administrer et surveiller des périphériques en fonction des besoins. Si vous avez configuré des domaines d accès pour restreindre l accès administratif à des périphériques gérés spécifiques, l interface utilisateur n affiche que les périphériques/fonctions pour lesquels l administrateur connecté possède des autorisations. Modèles Les modèles sont utilisés pour configurer les paramètres dont les pare-feu gérés ont besoin pour fonctionner sur le réseau. Ils vous permettent de définir une base de configuration commune en utilisant les onglets Réseau et Périphérique sur Panorama. Par exemple, la configuration d interface et de zone, les profils de serveur pour l accès à la journalisation et à SNMP, les profils utilisateur pour contrôler l accès aux zones et les passerelles IKE peuvent tous être gérés à l aide de modèles. Lorsque vous regroupez des périphériques pour définir des paramètres de modèle, pensez à regrouper les périphériques du même modèle matériel, et demandant un accès à des ressources réseau similaires telles que les passerelles et les serveurs syslog. Avec les modèles, vous pouvez soit appliquer une configuration de base commune pour un groupe de périphériques, puis configurer le reste des paramètres manuellement sur le périphérique, soit appliquer une configuration de base commune plus large, et écraser les paramètres de modèle sur le périphérique pour les adapter aux modifications spécifiques au périphérique. Lorsque vous écrasez un paramètre sur le périphérique, il est enregistré dans la configuration locale du périphérique et n est plus géré par le modèle Panorama. Vous pouvez cependant utiliser Panorama pour forcer la configuration de modèle sur le périphérique ou restaurer les paramètres de modèle sur le périphérique. Par exemple, vous pouvez définir un serveur NTP commun sur le modèle, mais écraser la configuration de serveur NTP sur le périphérique pour l adapter au fuseau horaire local du périphérique. Si vous décidez de restaurer les paramètres du modèle, vous pouvez facilement annuler ou revenir aux modifications locales mises en œuvre sur le périphérique. Les modèles ne peuvent pas être utilisés pour la définition d une modification d état opérationnel telle que le mode FIPS ou pour activer le mode multi-vsys sur les pare-feu. Pour plus d informations, reportez-vous à la section Pourquoi ne peut-on pas utiliser les modèles?. 4 Guide de l'administrateur Panorama

11 Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée Groupes de périphériques Pour utiliser Panorama efficacement, vous devez regrouper les pare-feu sur votre réseau en unités logiques nommées groupes de périphériques. Un groupe de périphériques permet un regroupement en fonction de la segmentation réseau, de l emplacement géographique, ou des besoins pour mettre en œuvre des configurations de politique similaires. Un groupe de périphériques peut inclure des pare-feu physiques, des pare-feu virtuels et/ou un système virtuel. Par défaut, tous les périphériques gérés appartiennent au groupe de périphériques gérés sur Panorama. Les groupes de périphériques permettent la gestion centralisée des politiques et des objets par le biais des onglets Politiques et Objets de Panorama. Les objets sont des éléments de configuration référencés dans les politiques. Parmi les objets que les politiques de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de sécurité, les utilisateurs, les services et les applications. Avec des groupes de périphériques, vous pouvez créer des objets partagés ou des objets spécifiques au groupe, puis utiliser ces objets pour créer une hiérarchie de règles (et des bases de règle) pour contrôler la façon dont les trafics entrants et sortants sont gérés par les pare-feu gérés. Par exemple, une politique d utilisation acceptable d entreprise pourrait être définie en tant qu ensemble de politiques partagées. Ensuite, pour permettre aux seuls bureaux régionaux d accéder au trafic poste-à-poste, vous pouvez créer une règle de sécurité en tant que politique partagée et la cibler sur les bureaux régionaux, ou en faire une règle de groupe de périphériques appliquée aux bureaux régionaux. Reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple. À propos des politiques Les groupes de périphériques permettent de mettre en œuvre une approche en couche pour gérer les politiques au sein d un réseau de pare-feu gérés. L approche en couche permet le déploiement centralisé de politiques d entreprise, sous forme de politiques partagées, conjointement avec des politiques spécifiques de groupe de périphériques et des politiques gérées en local sur le périphérique. Les politiques partagées et les politiques spécifiques de groupe vous permettent de créer des règles avant et des règles après afin de gérer toutes les bases de règles depuis un emplacement central : sécurité, NAT, qualité de service (QoS), transfert basé sur une politique (PBF), décryptage, contrôle prioritaire sur l application, portail captif, déni de service et politiques de protection DoS. Règles avant : règles ajoutées au début de la liste des règles et évaluées en premier. Vous pouvez utiliser des règles avant pour mettre en œuvre la politique d utilisation acceptable au niveau de l organisation, par exemple, pour bloquer l accès à des catégories d URL particulières ou autoriser le trafic DNS à tous les utilisateurs. Les règles avant peuvent être de deux types : Les règles avant partagées, partagées entre tous les périphériques gérés et groupes de périphériques, et les règles avant de groupe de périphériques, spécifiques à un groupe de périphériques. Règles après : règles ajoutées en fin de liste des règles et évaluées après les règles avant et les règles définies localement sur le périphérique. Les règles après incluent en général des règles servant à refuser l accès au trafic en fonction des App-ID, des User-ID ou du Service. À l instar des règles avant, les règles après sont de deux types : Les règles après partagées, qui sont partagées entre tous les périphériques gérés et groupes de périphériques, et les règles après de groupe de périphériques ne s appliquant qu à un groupe de périphériques. Guide de l'administrateur Panorama 5

12 À propos de la configuration et de la gestion de déploiement centralisée Présentation de Panorama L ordre d évaluation des règles est le suivant : Lorsque le trafic correspond à une règle de politique, l action définie est déclenchée, et toutes les politiques suivantes sont ignorées. Cette capacité à disposer les politiques en couches crée une hiérarchie de règles. Les politiques locales sont placées entre les règles avant et les règles après, et peuvent être modifiées par le passage au contexte de pare-feu, ou l accès au périphérique en localement. Cette cascade de règles est marquée visuellement pour chaque groupe de périphériques (et périphérique géré), et offre la possibilité d analyser un grand nombre de règles. Règles avant Règles locales sur le périphérique Règles après Les règles avant et les règles après appliquées à partir de Panorama peuvent être affichées sur les pare-feu gérés, mais elles ne peuvent être modifiées que sur Panorama. Les règles de périphérique local peuvent être modifiées soit par l administrateur local, soit par l administrateur Panorama ayant basculé sur un contexte de pare-feu local. 6 Guide de l'administrateur Panorama

13 Présentation de Panorama À propos de la configuration et de la gestion de déploiement centralisée À propos des objets Les objets sont des éléments de configuration référencés dans les politiques. Parmi les objets que les politiques de pare-feu utilisent, il y a : les adresses IP, les catégories URL, les profils de sécurité, les utilisateurs, les services et les applications. Comme les objets peuvent être réutilisés d une politique à l autre, la création d objets partagés ou d objets de groupe de périphériques réduit la duplication de ces éléments de configuration. Par exemple, la création d objets adresse partagés et de groupes d adresses ou d objets de service partagés et de groupes de services vous permet de créer une instance de l objet et de le référencer dans une base de règles afin de gérer les pare-feu sur plusieurs groupes de périphériques. Comme les objets partagés sont définis une seule fois, mais utilisés à plusieurs reprises, ils réduisent les frais administratifs nécessaires, garantissent cohérence et précision partout où l objet partagé est utilisé. Les objets partagés et les objets de groupe de périphériques peuvent être utilisés dans les règles avant, les règles après et les règles localement définies sur un périphérique. Lorsque vous créez un objet sur Panorama, vous pouvez configurer son comportement des façons suivantes : L objet de groupe de périphériques a la priorité sur un objet partagé lorsque deux objets portent le même nom. Par défaut, l objet partagé est prioritaire. Ce comportement garantit qu un objet partagé a toujours la priorité sur un objet de groupe de périphériques portant le même nom. Cependant, si un périphérique est doté d un objet local portant le même nom qu un objet de groupe de périphériques transmis depuis Panorama, un échec de validation se produira. Tous les objets partagés et groupes d objets définis sur Panorama sont appliqués aux périphériques gérés. Par défaut, tous les objets (ceux qui sont référencés ou non référencés dans les politiques) sont appliqués aux périphériques gérés. Guide de l'administrateur Panorama 7

14 À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Panorama permet d agréger les données de tous les pare-feu gérés, offrant ainsi la visibilité sur tout le trafic du réseau. Il fournit également une piste d audit pour toutes les modifications de politique et de configuration apportées aux périphériques gérés. Le Centre de commande de l application (ACC) sur Panorama présente un volet unique pour des rapports unifiés sur tous les pare-feu. Il vous permet d analyser, d enquêter et de faire des rapports sur le trafic réseau et les incidents de sécurité de façon centralisée. Sur Panorama, vous pouvez afficher des journaux et générer des rapports à partir de journaux transmis à Panorama ou aux collecteurs de journaux gérés s ils sont configurés, ou vous pouvez interroger directement les périphériques gérés. Par exemple, vous pouvez générer des rapports sur le trafic, la menace et/ou l activité utilisateur dans le réseau géré en fonction des journaux stockés sur Panorama (dans les collecteurs de journaux gérés) ou en accédant aux journaux stockés en local sur les périphériques gérés. Si vous choisissez de ne pas configurer les pare-feu gérés pour transmettre des journaux à Panorama, vous pouvez planifier des rapports à exécuter sur chaque pare-feu et transmettre les résultats à Panorama pour obtenir une vue combinée de l activité utilisateur et du trafic réseau. Bien que cette vue ne fournisse pas un examen approfondi granulaire des données et des activités spécifiques, elle offre une approche de rapport unifiée. Options de journalisation L appareil virtuel Panorama et l appareil M-100 peuvent tous les deux effectuer la collecte de journaux transmis à partir des périphériques gérés. Les options de journalisation varient sur chaque plate-forme. Sur un appareil virtuel Panorama, il existe trois options de journalisation : utiliser l espace de stockage interne de 10 Go alloué à la journalisation aussitôt que vous aurez installé l appareil virtuel, ajouter un disque virtuel pouvant prendre en charge jusqu à 2 To de stockage, ou monter un magasin de données de système de fichier réseau (NFS) où vous pouvez déterminer la capacité de stockage affectée à la journalisation. Sur l appareil M-100, la configuration de distribution par défaut inclut des disques d 1 To dans une paire RAID, qui peuvent évoluer une capacité de stockage RAID de 4 To. Lorsque l appareil M-100 est en mode Panorama, vous pouvez activer les disques RAID et les utiliser en tant que collecteur de journaux par défaut. Lorsque l appareil M-100 est en mode Collecteur de journaux, vous devez utiliser Panorama pour affecter les périphériques à (aux) appareil(s) collecteurs de journaux. Dans un déploiement comprenant plusieurs appareils collecteurs de journaux, Panorama interroge tous les collecteurs de journaux gérés pour générer une vue agrégée de rapports de trafic et de cohésion. Pour faciliter l évolution, commencez par un seul Panorama et ajoutez progressivement des collecteurs de journaux dédiés au fur et à mesure que vos besoins augmentent. 8 Guide de l'administrateur Panorama

15 Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Collecteurs gérés et groupes de collecteurs Un collecteur de journaux est un appareil M-100 configuré pour fonctionner en mode Journal et en mode de collecteurs. Il s agit d un appareil collecteur de journaux dédié configuré et géré par Panorama, et donc appelé Collecteur géré. Il peut être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Lorsqu il est ajouté en tant que collecteur géré et connecté à Panorama, le collecteur de journaux peut être administré par le biais de l interface Web Panorama. Autrement, l accès administratif au collecteur de journaux est disponible uniquement via l interface de ligne de commande utilisant le compte utilisateur administrateur par défaut (admin). Les comptes d utilisateur administrateur supplémentaires ne sont pas pris en charge. Un groupe de collecteurs se compose d un ou de plusieurs appareils M-100 qui fonctionnent comme une unité logique de collecte de journaux unique, et les journaux sont uniformément répartis entre l ensemble des disques d un collecteur de journaux et tous les membres du groupe de collecteurs. En déployant les journaux uniformément sur les disques et les collecteurs de journaux, l utilisation de l espace de stockage disponible est optimisée. Chaque système Panorama peut gérer jusqu à 16 groupes de collecteurs. Pour gérer un collecteur de journaux, vous devez l ajouter à un groupe de collecteurs. Bien que le groupe de collecteurs puisse contenir plusieurs collecteurs de journaux, Palo Alto Networks conseille de ne placer qu un collecteur de journaux dans un groupe de collecteurs, à moins que ce dernier ne nécessite plus de 4 To de stockage. La configuration de groupe de collecteurs indique les pare-feu gérés qui peuvent envoyer des journaux aux collecteurs de journaux du groupe. Une fois les collecteurs de journaux configurés et les pare-feu en mesure de transférer les journaux, chaque périphérique transmet ses journaux au collecteur de journaux affectés. Si vous utilisez Panorama pour gérer des pare-feu exécutant à la fois PAN-OS version 5.0 et une version PAN-OS antérieure à 5.0: - Seuls les périphériques exécutant PAN-OS v5.0 peuvent envoyer des journaux à un collecteur de journaux dédié (un appareil M-100 configuré en mode Collecteur de journaux). - Les périphériques exécutant des versions PAN-OS antérieures à 5.0a ne peuvent envoyer des journaux qu à un appareil virtuel Panorama ou à un appareil M-100 en mode Panorama. Les collecteurs gérés ou les groupes de collecteurs sont intégrés à l architecture de collecte de journaux distribuée sur Panorama. L architecture de collecte de données distribuée offre l évolutivité et l ajout progressif de collecteurs de données dédiés au fur et à mesure que vos besoins augmentent. L appareil M-100 en mode Panorama peut se connecter à son propre groupe de collecteurs par défaut et peut être étendu à une architecture de collecte de journaux distribuée qui inclut des appareils M-100 en mode collecteur de journaux. Utilisation de collecteurs de journaux dans un groupe de collecteurs Bien que Palo Alto Networks recommande de ne mettre qu un collecteur de journaux dans un groupe de collecteurs, si vous avez besoin d une capacité de plus de 4 To d espace de stockage dans un groupe de collecteurs, il se peut que vous deviez ajouter plusieurs collecteurs de journaux au groupe de collecteurs. Dans les cas qui suivent, un groupe de collecteurs peut avoir besoin de plusieurs collecteurs de journaux : Un seul pare-feu génère plus de 4 To de journaux. Par exemple, si un pare-feu géré génère 12 To de journaux, vous aurez besoin d au moins trois collecteurs de journaux dans le groupe de collecteurs. Un groupe de pare-feu qui transmet des journaux vers un groupe de collecteurs et les exigences de capacité dépassent 4 To de stockage. Guide de l'administrateur Panorama 9

16 À propos de la journalisation et de la création de rapports centralisées Présentation de Panorama Si un groupe de collecteurs contient plusieurs collecteurs de journaux, l espace de stockage disponible est utilisé en tant qu unité logique, et les journaux sont uniformément distribués entre tous les collecteurs de journaux dans le groupe de collecteurs. La distribution de journaux est basée sur la capacité des collecteurs de journaux (comprise entre 1 To à 4 To, en fonction du nombre de paires de disques) et un algorithme de hachage qui détermine de façon dynamique le collecteur de journaux propriétaire des journaux et écrit sur le disque. Bien que Panorama utilise une liste de préférences pour établir les priorités de la liste des collecteurs de journaux auxquels un pare-feu géré peut transférer les journaux, ces derniers peuvent ne pas être écrits sur le premier collecteur de journaux spécifié dans la liste des préférences. Par exemple, regardez la liste de préférences qui suit : Pare-feu géré Pare-feu1 Pare-feu2 Liste de préférence de transfert de journaux définie sur un groupe de collecteurs L1,L2,L3 L4,L5,L6 En utilisant cette liste, Pare-feu1 transmet les journaux vers L1, son collecteur de journaux principal, mais l algorithme de hachage peut décider que les journaux seront écrits sur L2. Si L2 devient inaccessible, ou en cas de panne de châssis, Pare-feu1 ne sera pas affecté, car il sera toujours en mesure de se connecter à L1, son connecteur de journaux principal. Si un seul un collecteur de journaux est configuré dans un groupe de collecteurs et tombe en panne, le pare-feu stocke les journaux sur son disque dur SSD (l espace de stockage disponible varie en fonction du modèle de matériel) et reprend le transfert des journaux vers le collecteur de journaux là où il s est arrêté au moment de la panne dès que la connectivité est restaurée. 10 Guide de l'administrateur Panorama

17 Présentation de Panorama À propos de la journalisation et de la création de rapports centralisées Avec plusieurs collecteurs de journaux dans un groupe de collecteurs, le pare-feu ne met pas les journaux en mémoire tampon sur un espace de stockage local lorsqu il est en mesure de se connecter à son collecteur de journaux principal. Donc, le pare-feu1 continue d envoyer des journaux à L1. Comme L2 n est pas disponible, le collecteur de journaux L1 met en mémoire tampon les journaux sur son disque dur, qui dispose d un espace de journalisation de 10 Go. Si L2 reste indisponible et si les journaux en attente de L2 ont un volume supérieur à 10 Go, L1 écrase les entrées de journal les plus anciennes pour pouvoir poursuivre la journalisation. Dans ce cas, vous risquez de perdre les journaux. Toutefois, si vous utilisez plusieurs collecteurs de journaux, assurez-vous d avoir une OSS (On-Site-Spare - unité de remplacement sur site) ou une unité de veille à froid permettant un remplacement rapide en cas de panne de collecteur de journaux. Création centralisée de rapports Panorama agrège les journaux de tous les périphériques gérés et permet de créer des rapports sur les données obtenues et d avoir un aperçu de l utilisation de l application, de l activité utilisateur et des schémas de trafic dans l ensemble de l infrastructure réseau. Aussitôt que les pare-feu sont ajoutés à Panorama, l ACC peut afficher l ensemble du trafic circulant dans votre réseau. Lorsque la journalisation est activée, un clic sur une entrée de journal dans l ACC offre un accès direct à des détails granulaires sur l application. Pour générer des rapports, Panorama utilise deux sources : la base de données Panorama locale et les périphériques distants qu il gère. La base de données Panorama fait référence au stockage local sur Panorama affecté au stockage des journaux récapitulatifs et certains journaux détaillés. Si vous disposez d une architecture de collecte de données distribuée, la base de données Panorama inclut le stockage local sur Panorama et tous les collecteurs de journaux gérés. Panorama récapitule les informations (trafic, application, menaces) collectées auprès de tous les périphériques gérés à des intervalles de 15 minutes. L utilisation de la base de données Panorama locale permet des temps de réponse plus courts, cependant, si vous préférez ne pas transmettre les journaux à Panorama, ce dernier peut directement accéder au périphérique distant et exécuter des rapports sur les données stockées localement sur les périphériques gérés. Panorama offre plus de 40 rapports prédéfinis qui peuvent être utilisés tels quels en combinant les éléments d autres rapports pour générer des rapports personnalisés et des groupes de rapports pouvant être sauvegardés. Les rapports peuvent être générés sur demande, selon un schéma récurrent, et peuvent être planifiés pour être distribués par message électronique. Ces rapports fournissent des informations sur l utilisateur et le contexte afin que vous mettiez en relation les événements et les modèles d identification, les tendances et les domaines d intérêt éventuels. Avec l approche intégrée de la journalisation et de la création de rapports, l ACC permet d établir une corrélation des entrées issues de plusieurs journaux relatives au même événement. Guide de l'administrateur Panorama 11

18 À propos du contrôle d accès basé sur les rôles Présentation de Panorama À propos du contrôle d accès basé sur les rôles Le contrôle d accès basé sur les rôles vous permet de spécifier les privilèges et les responsabilités accordés à chaque utilisateur administrateur. Sur Panorama, vous pouvez définir des comptes administrateur avec des rôles, des profils ou des domaines d accès spécifiques pour réguler l accès à des fonctions spéciales de Panorama et aux périphériques gérés. Ces options vous permettent de limiter l accès administratif aux seuls périphériques et zones de gestion de l interface dont chaque administrateur a besoin pour faire son travail. Par défaut, chaque serveur Panorama est livré configuré avec un compte administrateur par défaut (admin) qui offre un accès en lecture et en écriture (également connu sous le nom d accès de super utilisateur). Dans le cadre des meilleures pratiques, créez un compte administrateur pour chaque personne ayant besoin d un accès aux fonctions d administration et de création de rapport sur Panorama. Vous êtes ainsi mieux protégé contre les configurations (ou les modifications) non autorisées et propose la journalisation des opérations de chaque administrateur individuel. Pour chaque utilisateur administrateur, vous pouvez également définir un profil d authentification déterminant la façon dont les informations d identification sont vérifiées. Pour appliquer un accès administratif plus granulaire, utilisez des domaines d accès afin de restreindre l accès administratif à un périphérique, un groupe de périphériques ou un modèle particulier. Rôles administrateur Le mode que vous utilisez pour configurer les comptes administrateur dépend des exigences de sécurité au sein de votre organisation, en fonction des services d authentification existants ou du nombre de rôles administratifs requis. Un rôle définit le type d accès au système dont dispose l administrateur associé. Il existe deux types de rôles : Rôles dynamiques : rôles intégrés qui offrent l accès à Panorama et aux périphériques gérés : Super utilisateur (accès complet), super utilisateur (lecture seule) et administrateur Panorama. L administrateur Panorama ne peut pas effectuer les opérations suivantes : Créer, modifier ou supprimer des administrateurs Créer, modifier ou supprimer des rôles admin ou des domaines d accès Exporter, valider, rétablir, sauvegarder, charger ou importer la configuration depuis l onglet Périphérique > Configurer Configurer la fonctionnalité Exportation programmée des configurations sur l onglet Panorama. Grâce aux rôles dynamiques, il n y a pas besoin de mettre à jour les définitions de rôle, car de nouvelles fonctions sont ajoutées suite à la mise à jour automatique des rôles. Profils de rôle admin : créez vos propres définitions de rôle afin de fournir un contrôle d accès plus granulaire aux différentes zones fonctionnelles de l interface Web, d interface de ligne de commande et/ou d API XML. Les deux profils de rôle administrateur disponibles sont : Panorama, et groupe de périphériques et modèle. Vous pouvez créer pour votre personnel un profil de rôle admin offrant l accès à des groupes de périphériques et/ou à des modèles, afin qu il ait accès au périphérique et aux zones de configuration réseau de l interface Web et un profil distinct pour vos administrateurs de la sécurité qui permet l accès à la définition de la politique de sécurité, aux journaux et aux rapports sur Panorama. Gardez à l esprit qu avec un profil de rôle admin, vous devez mettre à jour les profils pour affecter de façon explicite les privilèges correspondant à de nouveaux composants/fonctions ajoutés au produit. Par défaut, l accès à tous les nouveaux composants et fonctions est désactivé. Consultez la section Configurer un accès administratif pour créer des rôles d administrateur. 12 Guide de l'administrateur Panorama

19 Présentation de Panorama À propos du contrôle d accès basé sur les rôles Profils et séquences d authentification Parmi ses autres utilisations, un profil d authentification définit la façon dont un utilisateur administrateur est authentifié auprès de Panorama après la connexion. Si vous créez un compte utilisateur local sur Panorama, vous pouvez authentifier l utilisateur auprès de la base de données locale, ou utiliser un serveur RADIUS, LDAP ou kerberos pour l authentification. Si vous ne souhaitez pas créer de compte utilisateur local, et voulez gérer à la fois l administration et l authentification de compte à l aide d un mécanisme d authentification externe, vous devez utiliser RADIUS. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. Pour vous authentifier auprès de sources d authentification multiples (local, RADIUS, LDAP et/ou Kerberos) définissez une séquence d authentification. Une séquence d authentification est une liste classée de profils d authentification à laquelle l utilisateur administrateur est comparé. Panorama effectue un contrôle par rapport à la base de données locale dans un premier temps, puis par rapport à chaque profil en la suite, jusqu à ce que l utilisateur ait été authentifié avec succès. L utilisateur se voit refuser l accès par Panorama seulement une fois que l authentification de tous les profils définis dans la séquence d authentification a échoué. Pour créer des profils et des séquences d authentification, reportez-vous aux sections Créer un profil d authentification et Définir une séquence d authentification. Domaines d accès Un domaine d accès définit les fonctions et les autorisations octroyées à un utilisateur administrateur, permettant le contrôle granulaire de la possibilité de l utilisateur administrateur de changer de contexte et d accéder aux fonctions de l interface utilisateur du pare-feu géré. Les domaines d accès peuvent également limiter l accès à un sous ensemble de groupes de périphériques et/ou modèles créés sur Panorama et donc, restreindre la capacité de l utilisateur à configurer et gérer les périphériques. Le domaine d accès est lié aux attributs spécifiques au fournisseur (VSA) RADIUS et n est pris en charge que si un serveur RADIUS est utilisé pour l authentification de l administrateur. Si vous n utilisez pas RADIUS, les paramètres de domaine d accès sont ignorés. Pour plus d informations sur la définition d un domaine d accès, reportez-vous à la section Définir des domaines d accès. Authentification des administrateurs Il existe quatre façons d authentifier les utilisateurs administrateurs : Compte d administrateur local avec authentification locale : les informations d identification du compte d administrateur et les méthodes d authentification se trouvent en local sur le pare-feu. Pour sécuriser davantage le compte d administrateur local, créez un profil de mot de passe définissant une période de validité pour les mots de passe et/ou des paramètres de complexité de mot de passe au niveau du périphérique. Pour plus d informations, reportez-vous à la section Créer un compte d administrateur. Guide de l'administrateur Panorama 13

20 À propos du contrôle d accès basé sur les rôles Présentation de Panorama Comptes d administrateur locaux avec certificat ou authentification basée sur une clé SSH : avec cette option, les comptes administratifs sont en local sur le pare-feu, mais l authentification est basée sur des clés SSH (pour l accès à l interface de ligne de commande) ou des certificats client/cartes d accès communs (pour l interface Web). Pour plus de détails sur la manière de configurer ce type d accès administratif, consultez les sections Activer l authentification basée sur certificat pour l interface Web et Activer l authentification basée sur clé SSH pour l interface de ligne de commande. Compte d administrateur local avec authentification externe : les comptes d administrateur sont gérés sur le pare-feu local, mais les fonctions d authentification sont prises en charge par un service LDAP, Kerberos ou RADIUS. Pour configurer ce type de compte, vous devez d abord créer un profil d authentification définissant l accès au service d authentification externe, puis créer un compte pour chaque administrateur qui fait référence au profil. Pour plus d informations, reportez-vous à la section «Configuration de profils d authentification» du Chapitre 3 du Guide de l administrateur de Palo Alto Networks. Compte d administrateur et d authentification externes : l administration et l authentification de compte sont gérés par un serveur RADIUS externe. Pour utiliser cette option, vous devez définir sur votre serveur RADIUS des attributs VSA correspondant au rôle admin. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. Pour plus de détails sur la façon de configurer ce type d accès administratif, reportez-vous à l article Attributs spécifiques au fournisseur (VSA) RADIUS. 14 Guide de l'administrateur Panorama

21 Présentation de Panorama Déploiement Panorama recommandé Déploiement Panorama recommandé Un déploiement Panorama est composé du serveur de gestion Panorama équipé d une interface basée sur explorateur, (facultatif) de collecteurs de journaux et des pare-feu Palo Alto Networks à gérer. Les déploiements Panorama sont : Panorama pour la gestion et la création centralisées de rapports Panorama dans une architecture de collecte de journaux distribuée Panorama pour la gestion et la création centralisées de rapports Le schéma qui suit montre comment l appareil virtuel Panorama ou l appareil M-100 peut être déployé dans une configuration redondante pour offrir les avantages suivants : Une gestion centralisée : gestion de politique et de périphériques centralisée qui permet un déploiement rapide et la gestion de jusqu à pare-feu. Visibilité : journalisation et création de rapports centralisées pour analyser et élaborer des rapports sur le trafic et les menaces potentielles générés par utilisateur. Contrôle d accès basé sur le rôle : niveaux de contrôle administratif adaptés au niveau du périphérique ou globaux pour l administration et la gestion. Guide de l'administrateur Panorama 15

22 Déploiement Panorama recommandé Présentation de Panorama Panorama dans une architecture de collecte de journaux distribuée Le système Panorama basé sur le matériel (l appareil M-100) peut être déployé soit en tant que serveur de gestion Panorama exécutant les fonctions de gestion et de collecte des données, soit en tant que collecteur de journaux dédié fournissant une solution de collecte de journaux complète pour les pare-feu de votre réseau. L utilisation de l appareil M-100 en tant que collecteur de journaux autorise davantage qu un environnement solide, où le processus de collecte de journaux est chargé sur un appareil dédié. L utilisation d un appareil dédié dans une architecture de collecte de données distribuée (DLC) fournit la redondance, une évolutivité améliorée et une capacité de stockage de journaux à plus long terme. L architecture DLC, le serveur de gestion Panorama (appareil virtuel Panorama ou M-100 en mode Panorama) gèrent les pare-feu et les collecteurs de journaux. Lorsque vous utilisez Panorama, les pare-feu sont configurés pour envoyer des journaux à un ou plusieurs collecteurs de données. Panorama peut ensuite être utilisé pour interroger les collecteurs de journaux et fournit une vue agrégée du trafic réseau. Dans une configuration DLC, les journaux stockés sur les collecteurs de journaux sont accessibles pour les homologues Panorama principal et secondaire dans une paire haute disponibilité (HD). Dans la topologie qui suit, les homologues Panorama en mode haute disponibilité gèrent le déploiement et la configuration des pare-feu exécutant PAN-OS 4.x RY 5.x. Cette solution offre les avantages suivants : Elle permet de meilleures performances des fonctions de gestion sur Panorama Elle fournit volume de stockage de journaux très élevé sur un appareil matériel dédié. Elle offre une visibilité horizontale et la redondance avec un stockage RAID 1 16 Guide de l'administrateur Panorama

23 Présentation de Panorama Planification de votre déploiement Planification de votre déploiement Vérifiez les versions PAN-OS des pare-feu à gérer. Pour gérer les pare-feu, Panorama doit exécuter la même version majeure ou une version ultérieure que les pare-feu qu il doit gérer. Par exemple, l appareil Panorama 4.0 ne peut pas exécuter des appareils exécutant PAN-OS 5.0. Prévoyez d utiliser la base de données de filtrage URL (BrightCloud ou PAN-DB) sur tous les pare-feu gérés. Si certains pare-feu utilisent la base de données BrightCloud, et d autres, PAN-DB, Panorama ne peut gérer que des politiques de sécurité d une base de données de filtrage URL. Les règles de filtrage d URL pour l autre base de données doivent être gérées en local sur les pare-feu qui utilisent cette base de données. Prévoyez d utiliser Panorama dans une configuration haute disponibilité. Configurez-le en tant que paire haute disponibilité actif/passif. Reportez-vous à la section Haute disponibilité Panorama. Estimez la capacité de stockage de journaux de votre réseau. Pour adapter la capacité de stockage de journaux à vos besoins de sécurité et de conformité, vous devez prendre en compte un certain nombre de facteurs tels que la topologie du réseau, le nombre de pare-feu envoyant des journaux, le type de trafic réseau par exemple, les URL et les journaux de menaces par rapport aux journaux de trafic, la vitesse à laquelle les journaux sont générés et le nombre de jours pendant lesquels il faut les conserver sur Panorama. Pour plus de détails, consultez l article : Suggestions de journalisation Panorama. Pour obtenir des rapports significatifs sur l activité réseau, planifiez une solution de journalisation : Avez-vous besoin de transmettre des journaux vers un serveur syslog, en plus de Panorama? Si vous avez besoin d une solution de stockage à long terme, disposez-vous d une solution SIEM (Gestion des informations et des événements de sécurité), comme Splunk ou ArcSight, pour transmettre les journaux? Avez-vous besoin de redondance en matière de journalisation? Avec des appareils virtuels Panorama en HD, chaque homologue peut se connecter à son disque virtuel. Les périphériques gérés peuvent envoyer les journaux aux deux homologues de la paire HD. Cette option fournit la redondance de journalisation et est mieux adaptée à la prise en charge de jusqu à 2 To de capacité de stockage des journaux. Vous connectez-vous à un NFS? La prise en charge de NFS est fournie uniquement sur l appareil virtuel Panorama. Envisagez d utiliser NFS si vous avez besoin de plus de 2 To de capacité de stockage. Si vous utilisez NFS, notez que les périphériques gérés ne peuvent envoyer des journaux qu à l homologue principal de la paire HD et seul le principal actif Panorama est monté sur le NFS et peut écrire dessus. Déterminez l approche de gestion. Prévoyez-vous d utiliser Panorama pour configurer et gérer les politiques de façon centralisée, pour administrer le logiciel, le contenu et les mises à jour de licence de façon centralisée, et/ou centraliser la journalisation et la création du rapport dans les périphériques gérés sur le réseau. Si vous avez déjà déployé et configuré les pare-feu Palo Alto Networks sur votre réseau, déterminez si vous devez assurer la transition des périphériques pour une gestion centralisée. Ce processus requiert une migration de toutes les configurations et politiques depuis vos pare-feu sur Panorama, reportez-vous à la section Transition d un périphérique vers une gestion centralisée. Déterminez quels privilèges administratifs, rôles et autorisations sont requis pour permettre l accès aux pare-feu gérés et à Panorama. Reportez-vous à la section Configurer un accès administratif. Guide de l'administrateur Panorama 17

24 Planification de votre déploiement Présentation de Panorama Planifiez les groupes de périphériques requis. Pour ce faire, déterminez comment grouper les périphériques en fonction de l utilisation du périphérique, de la politique de sécurité, de la localisation géographique ou de la segmentation réseau. Par exemple, regroupez les périphériques par fonction : ceux qui prennent en charge les besoins organisationnels des partenaires ou des groupes fonctionnels de R&D, ou regroupez des périphériques qui exécutent la même fonction, comme les périphériques de passerelle, les périphériques de succursale ou les services de centre de données. Reportez-vous à la section Groupes de périphériques. Planifiez une stratégie en couches pour administrer les politiques. Réfléchissez à la façon dont les politiques doivent être héritées et évaluées, et à la façon de mettre en œuvre au mieux les règles partagées, les règles de groupe de périphériques, et les règles spécifiques pour répondre à vos besoins réseau. Pour la gestion de la visibilité et de la politique de gestion, envisagez d utiliser Panorama pour administrer les politiques, même si vous souhaitez créer des exceptions spécifiques du périphérique pour les politiques partagées/de groupe de périphériques. Pour appliquer une règle à un sous-ensemble de périphériques dans un groupe de périphériques, vous pouvez cibler la ou les règle(s) sur des périphériques spécifiques. Reportez-vous à la section Politiques ciblées sur un sous-ensemble de périphériques. Choisissez de créer des groupes de périphériques plus petits en fonction de leurs similitudes ou de créer des groupes de périphériques plus importants pour une évolution plus facile. Reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple. Programmez l organisation de vos périphériques pour déterminer la façon dont les paramètres de configuration (avec des modèles) sont hérités et appliqués. Par exemple, réfléchissez à la façon d affecter des périphériques en fonction de leurs plates-formes matérielles, de leur proximité géographique et des besoins en configuration similaires pour les fuseaux horaires, le serveur DNS et les paramètres d interface. Reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple. 18 Guide de l'administrateur Panorama

25 Présentation de Panorama Déploiement de Panorama : Liste de contrôle des tâches Déploiement de Panorama : Liste de contrôle des tâches La liste de tâches qui suit récapitule les étapes à exécuter pour démarrer avec Panorama : Étape 1. (Appareil M-100 uniquement) Montez l appareil dans une baie. Reportez-vous au Guide de référence du matériel M-100. Étape 2 Effectuez la configuration initiale pour activer l accès réseau à Panorama. Consultez les sections Configurer l appareil virtuel Panorama ou Configurer l appareil virtuel M-100. Étape 3 Installer les licences. Étape 4 Installez les mises à jour de contenu et le logiciel Panorama. Étape 5 Ajouter les périphériques gérés Étape 6 Créer des groupes de périphériques et Créer des modèles. Étape 7 (Facultatif) Activez la collecte de journaux vers un collecteur de journaux dédié. Reportez-vous à la section Activer la journalisation. Étape 8 Surveillez l activité réseau en utilisant les outils d affichage et de création de rapports sur Panorama. Consultez les sections Surveiller le réseau avec ACC et Portée d application et Générer des rapports. Étape 9 Installez Panorama avec une configuration haute disponibilité. Reportez-vous à la section Haute disponibilité Panorama. Pour avoir un exemple de cas pratique, savoir comment commencer à utiliser Panorama pour une gestion centralisée, consultez le flux de travail dans Utiliser Panorama pour configurer les périphériques gérés : Un exemple. Guide de l'administrateur Panorama 19

26 Déploiement de Panorama : Liste de contrôle des tâches Présentation de Panorama 20 Guide de l'administrateur Panorama

27 2 Configurer Panorama Pour la création de rapports et une gestion de politique cohésive sur tous les pare-feu de votre réseau, Panorama peut être déployé en tant qu appareil virtuel ou qu appareil matériel (l appareil M-100). Les rubriques qui suivent décrivent comment configurer Panorama sur votre réseau : Configurer l appareil virtuel Panorama Configurer l appareil virtuel M-100 Migrer d un appareil virtuel Panorama vers un appareil M-100 Naviguez dans l interface utilisateur Panorama Configurer un accès administratif Guide de l'administrateur Panorama 21

28 Configurer l appareil virtuel Panorama Configurer Panorama Configurer l appareil virtuel Panorama L appareil virtuel Panorama réunit les fonctions de gestion et de journalisation de Panorama en un seul appareil virtuel. Cette solution utilise une infrastructure VMware existante pour déployer facilement et administrer et de façon centralisée les pare-feu Palo Alto Networks sur votre réseau, comme indiqué dans les sections suivantes : Configuration requise Installer Panorama sur le serveur ESX(i) Exécuter la configuration initiale Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama L appareil virtuel Panorama ne peut pas être utilisé comme collecteur de journaux dédié. Seul un appareil M-100 en mode Collecteur de journaux offre des fonctionnalités de collecte de journaux dédiés. Vous pouvez cependant gérer un collecteur de journaux en utilisant l appareil virtuel Panorama. Reportez-vous à la section Configurer l appareil virtuel M-100 pour plus de détails. Configuration requise Pour configurer efficacement un appareil virtuel Panorama, vérifiez que votre serveur répond aux exigences suivantes avant de commencer : Configuration système minimale requise Pour Panorama version 5.1 Panorama version 5.1 est une machine virtuelle libre KVM 64 bits VMware ESX(i) 4.1 ou version ultérieure Une unité centrale à quatre cœurs (2 GHz), utilisez 3 GHz si vous disposez de 10 pare-feu ou plus. RAM de 4 Go, 16 Go recommandés si vous disposez de 10 pare-feu ou plus. Espace disque de 40 Go L ajout d espace disque supplémentaire n augmente pas la capacité de stockage des journaux disponible sur Panorama. Pour augmenter cette capacité, vous devez ajouter un disque virtuel ou configurer l accès à un magasin de données NFS. Consultez la section Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama. Un ordinateur client avec l un des éléments suivants : Client VMware vsphere ou client VMware Infrastructure compatible avec votre serveur ESX(i) Pour Panorama version 5.0 ou ultérieure Panorama version 5.0 ou ultérieure est une machine virtuelle libre KVM 32 bits VMware ESX(i) 3.5 ou version ultérieure Processeur de 2 GHz ; utilisez un processeur quatre-cœurs pour obtenir des performances optimales et des taux de journalisation élevés 2 Go de RAM 4 Go recommandés si vous disposez de 20 pare-feux ou plus 40 Go d espace disque L ajout d espace disque supplémentaire n augmente pas la capacité de stockage des journaux disponible sur Panorama. Pour augmenter cette capacité, vous devez ajouter un disque virtuel ou configurer l accès à un magasin de données NFS. Consultez la section Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama. Un ordinateur client avec l un des éléments suivants : Client VMware vsphere ou client VMware Infrastructure compatible avec votre serveur ESX(i) 22 Guide de l'administrateur Panorama

29 Configurer Panorama Configurer l appareil virtuel Panorama Les concepts et la terminologie VMware ne sont pas abordés dans le présent document. Ce guide suppose que vous êtes familiarisé avec la suite de produits VMware requise pour créer un appareil virtuel. Enregistrez le numéro de série Panorama sur le site de support, à l adresse Le numéro de série vous est envoyé par messagerie électronique. Une fois le numéro de série enregistré sur le site de support, vous obtenez l accès sur la page de téléchargement de logiciel Panorama. Installer Panorama sur le serveur ESX(i) Utilisez ces instructions pour installer un nouvel appareil virtuel Panorama. Si vous mettez à niveau votre appareil virtuel Panorama existant, passez à la section Installez les mises à jour de contenu et le logiciel Panorama. CRÉER LE PANORAMA VIRTUEL Étape 1. Téléchargez et extrayez le fichier image de base Panorama sur le serveur sur lequel vous souhaitez installer Panorama. L installation de l appareil virtuel utilise le fichier modèle Open Virtual Machine Format (OVF) inclus dans l image de base. Étape 2 Accédez au serveur ESX(i). Étape 3 Installez Panorama. Avec Panorama 5.1, l appareil virtuel Panorama est installé en tant que machine virtuelle 64 bits. 1. Accédez à et téléchargez le fichier zip Fichier image de base. 2. Décompressez le fichier zip d image de base Panorama, et extrayez le fichier panorama-esx.ovf. Ce fichier modèle.ovf est requis pour l installation de Panorama. Lancez le client VMware vsphere et connectez-le au serveur VMware. 1. Sélectionnez Fichier > Déployer le modèle OVF. 2. Parcourez l arborescence pour sélectionner le fichier panorama-esx.ovf à partir de l image de base Panorama que vous venez de dézipper, puis cliquez sur Suivant. 3. Vérifiez que le nom et la description du produit correspondent bien à la version téléchargée, puis cliquez sur Suivant. 4. Saisissez un nom descriptif pour l appareil virtuel Panorama, puis cliquez sur Suivant. 5. Sélectionnez un emplacement de magasin de données sur lequel installer l image du Panorama, puis cliquez sur Suivant. L ajout d espace disque supplémentaire n augmente pas la capacité de stockage des journaux disponible sur Panorama. Pour augmenter cette capacité, vous devez ajouter un disque virtuel ou configurer l accès à un magasin de données NFS. Consultez la section Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama. 6. Sélectionnez Thick Provision Lazy Zeroed comme format de disque, puis cliquez sur Suivant. 7. Spécifiez les réseaux de la liste qui seront utilisés par l appareil virtuel Panorama. 8. Confirmez les options sélectionnées, puis cliquez sur Terminer pour entamer le processus d installation. Guide de l'administrateur Panorama 23

30 Configurer l appareil virtuel Panorama Configurer Panorama CRÉER LE PANORAMA VIRTUEL 9. Lorsque l installation se termine, sélectionnez l appareil virtuel Panorama, puis cliquez sur Edit Settings... (Modifier les paramètres) pour définir les paramètres suivants : a. Vérifiez que vous avez alloué la quantité de mémoire appropriée. Panorama 5.1 : au moins 4 Go Panorama 5.0 ou version ultérieure : 2 à 4 Go b. Sélectionnez le système d exploitation invité approprié. Panorama 5.1 : Linux en tant que Système d exploitation invité et Autre Linux (64 bits) en regard de Version. Panorama 5.0 ou version ultérieure : Linux en tant que Système d exploitation invité et Autre Linux (32 bits) en regard de Version. c. Choisissez le contrôleur SCSI. Panorama 5.1 : LSI Logic Parallel en regard de Contrôleur SCSI. Panorama 5.0 ou version ultérieure : Bus Logic Parallel en regard de Contrôleur SCSI. Étape 4 Mettez l appareil virtuel Panorama sous tension. Cliquez sur le bouton Démarrer. Lorsque l appareil virtuel Panorama démarre, la procédure d installation est terminée. Poursuivez avec Exécuter la configuration initiale. Exécuter la configuration initiale Utilisez la console d appareil virtuel Panorama sur le serveur ESX(i) pour configurer l accès réseau Panorama. Pour compléter la configuration initiale, vous devez d abord configurer l interface de gestion, accéder à l interface Web Panorama et ajouter le numéro de série de l appareil virtuel, puis définir un fuseau horaire pour l appareil virtuel Panorama. Pour la création de rapports unifiés, envisagez d utiliser GMT ou UTC comme fuseau horaire pour tous les services gérés et Panorama. CONFIGURER L INTERFACE DE GESTION Étape 1. Contactez votre administrateur réseau pour obtenir les informations requises. Étape 2 Accédez à la console de l appareil virtuel Panorama. Adresse IP du port MGT Masque réseau Passerelle par défaut Adresse IP de serveur DNS 1. Sélectionnez l onglet Console sur le serveur ESX(i) pour le Panorama virtuel. Appuyez sur Entrée pour accéder à l écran de connexion. 2. Saisissez le nom d utilisateur/mot de passe (admin/admin) par défaut pour vous connecter. 3. Saisissez configure pour passer en mode configuration. 24 Guide de l'administrateur Panorama

31 Configurer Panorama Configurer l appareil virtuel Panorama CONFIGURER L INTERFACE DE GESTION Étape 3 Configurez les paramètres d accès réseau pour l interface de gestion. L interface de gestion est utilisée pour la gestion du trafic, la synchronisation de connectivité HD, la collecte de journaux et pour la communication avec les appareils collecteurs de journaux. Étape 4 Validez vos modifications et quittez le mode Configuration. Étape 5 Vérifiez l accès réseau aux services externes nécessaire à la gestion de pare-feu, notamment au serveur de mise à jour Palo Alto Networks. Saisissez la commande suivante : set deviceconfig system ip-address <IP Panorama> netmask <masque réseau> default-gateway <IP de passerelle> dns-setting servers primary <IP-DNS> où <IP Panorama> est l adresse IP que vous voulez affecter à l interface de gestion de Panorama, <masque réseau> est le masque de sous-réseau, <IP de passerelle> est l adresse IP de la passerelle réseau et <IP DNS> est l adresse IP du serveur DNS. Saisissez commit. Saisissez exit. Pour vérifier que Panorama a un accès réseau externe, utilisez l utilitaire ping. Vérifiez la connectivité avec la passerelle par défaut, avec le serveur DNS et avec le serveur de mise à jour Palo Alto Networks, comme indiqué dans l exemple qui suit : admin@panorama-corp> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from : icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from : icmp_seq=1 ttl=243 time=79.5 ms Remarque Une fois la connectivité vérifiée, appuyez sur les touches Ctrl+C pour arrêter les commandes ping. AJOUTER UN NUMÉRO DE SÉRIE ET UN FUSEAU HORAIRE Étape 1. Connectez-vous à l interface Web Panorama. Étape 2 (Facultatif) Modifiez les paramètres d interface de gestion. Grâce à une connexion sécurisée fournie par un navigateur Internet (https), connectez-vous en utilisant l adresse IP et le mot de passe que vous avez affectés à l interface de gestion ( IP>). 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez sur l icône Modifier dans la section Paramètres d interface de gestion à l écran. 2. Sélectionnez les services de gestion à autoriser sur l interface. Par exemple, pour activer l accès SSH, sélectionnez SSH. Dans le cadre des meilleures pratiques, assurez-vous que Telnet et HTTP ne sont pas sélectionnés, car ces services utilisent du texte brut et ne sont pas aussi sécurisés que les autres services. 3. Cliquez sur OK. Cliquez sur Valider, sélectionnez Panorama en tant que Type et cliquez sur OK. Guide de l'administrateur Panorama 25

32 Configurer l appareil virtuel Panorama Configurer Panorama AJOUTER UN NUMÉRO DE SÉRIE ET UN FUSEAU HORAIRE (SUITE) Étape 3 Ajoutez le numéro de série Panorama. Le numéro de série vous est envoyé avec le message électronique d exécution de la commande. Étape 4 Configurez le fuseau horaire, puis les paramètres généraux de pare-feu. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez sur l icône Modifier dans la section Paramètres généraux de l écran. 2. Saisissez le Numéro de série. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez sur l icône Modifier dans la section Paramètres généraux de l écran. 2. Réglez l horloge sur Panorama et les pare-feu gérés pour utiliser même fuseau horaire, par exemple, GMT ou UTC. Les horodatages sont enregistrés lorsque les journaux sont reçus sur Panorama, et lorsqu ils sont générés sur les pare-feu. Le réglage des fuseaux horaires sur Panorama et des périphériques gérés garantit que les horodatages sont synchronisés, et la procédure d interrogation de journaux et de génération de rapport sur Panorama est harmonisée. 3. Saisissez un Nom d hôte pour le serveur et entrez le nom de Domaine du réseau. Le nom de domaine est un simple intitulé; il ne sera pas utilisé pour y accéder. 4. Saisissez la Latitude et la Longitude pour définir un emplacement convenable du serveur sur la carte du Monde. 5. Cliquez sur OK. Étape 5 Changez le mot de passe administrateur par défaut. Remarque Pour garantir la sécurité de l interface de gestion, mettez en œuvre une option de Complexité minimale des mots de passe et définissez un intervalle obligeant les administrateurs à modifier leur mot de passe. Étape 6 Enregistrez les modifications de configuration. 1. Cliquez sur le lien admin dans le coin inférieur gauche de la console de gestion. Une boîte de dialogue permettant de changer de mot de passe s affiche. 2. Saisissez l ancien mot de passe, puis le nouveau dans les champs prévus à cet effet et enregistrez le nouveau mot de passe dans un endroit sûr. 3. Cliquez sur OK. Cliquez sur Valider, sélectionnez Panorama en tant que Type et cliquez sur OK. 26 Guide de l'administrateur Panorama

33 Configurer Panorama Configurer l appareil virtuel Panorama Augmenter la capacité de stockage de journaux sur l appareil virtuel Panorama Par défaut, l appareil virtuel Panorama est configuré avec une partition de disque unique pour toutes les données et ~10 GB de cet espace sont affectés au stockage de journaux Consultez l article Suggestions en matière de journalisation de Panorama pour estimer la capacité de stockage de journaux correspondant à vos exigences, puis utilisez l une des options qui suivent pour accroître la capacité de stockage de journaux sur l appareil virtuel Panorama : Ajouter un disque virtuel sur votre serveur ESX(i) pour étendre le stockage jusqu à un maximum de 2 To. Magasin de données Configurer l accès à un magasin de données NFS (NFS). Utilisez cette option si vous avez besoin de plus de 2 To de capacité de stockage. Ajouter un disque virtuel L appareil virtuel Panorama par défaut installe un disque virtuel d une taille de 34 Go, dont 10,89 Go sont utilisés pour la journalisation. Pour permettre plus de ~10 Go de stockage, utilisez les procédures suivantes pour créer un disque virtuel capable de prendre en charge jusqu à 2 To de capacité de stockage. L appareil virtuel Panorama peut utiliser un seul disque virtuel. Lorsqu il est configuré pour utiliser un disque virtuel, l appareil virtuel n utilise pas la capacité de stockage interne de 10 Go pour la journalisation. Il perd donc la connectivité au disque virtuel et des journaux peuvent se perdre pendant la panne. Pour permettre la redondance, utilisez le disque virtuel dans une configuration RAID. RAID10 offre les meilleures performances d écriture pour des applications avec des besoins de journalisation importants. AJOUTER UN DISQUE VIRTUEL Étape 1. Mettez l appareil virtuel Panorama hors tension. Guide de l'administrateur Panorama 27

34 Configurer l appareil virtuel Panorama Configurer Panorama AJOUTER UN DISQUE VIRTUEL Étape 2 Sur le serveur ESX(i), ajoutez le disque virtuel à l appareil virtuel Panorama. 1. Sélectionnez l appareil virtuel Panorama sur le serveur ESX(i). 2. Cliquez sur Modifier les paramètres. 3. Cliquez sur Ajouter pour lancer l assistant Ajout de matériel, et sélectionnez les options suivantes lorsque vous y êtes invité : a. Sélectionnez Disque dur comme type de matériel. b. Sélectionnez Créer un disque virtuel. c. Sélectionnez SCSI en tant que type de disque virtuel. d. Sélectionnez le format de disque «Thick provisioning». e. Dans le champ d emplacement, sélectionnez Store with the virtual machine option (Enregistrer avec l option de machine virtuelle). Remarque Le magasin de données n a pas à résider sur le serveur ESX(i). f. Vérifiez que la configuration est correcte, puis cliquez sur Terminer pour quitter l assistant. Le nouveau disque est ajouté à la liste des périphériques de l appareil virtuel. Étape 3 Mettez l appareil virtuel Panorama sous tension. Lorsqu il est mis sous tension, le disque virtuel est initialisé pour la première utilisation. La durée du processus d initialisation varie en fonction de la taille du nouveau disque virtuel. Lorsque le disque virtuel est initialisé et prêt, tous les journaux existants dans le stockage interne sont déplacés vers le nouveau disque virtuel. Toutes les nouvelles entrées seront maintenant écrites sur le disque virtuel. Étape 4 Vérifiez la taille du disque virtuel. 1. Sélectionnez Panorama > Configuration > Opérations. 2. Dans la section Paramètres de journalisation et création de rapport, vérifiez que la capacité de capacité de Stockage de journal affiche correctement la nouvelle capacité de disque. 28 Guide de l'administrateur Panorama

35 Configurer Panorama Configurer l appareil virtuel Panorama Configurer l accès à un magasin de données NFS Le montage de l appareil virtuel Panorama sur un magasin de données NFS offre la possibilité d écrire dans les journaux d un emplacement centralisé, et offre la souplesse nécessaire à l extension de la capacité de stockage de journaux au-delà de 2 To. Avant de configurer un magasin de données NFS dans une configuration HD Panorama, reportez-vous à la section Remarques sur la journalisation en HD. MONTER UN MAGASIN DE DONNÉES NFS Étape 1. Configurer l accès au magasin de données. Étape 2 Redémarrez l appareil virtuel Panorama. Jusqu au redémarrage, les journaux seront inscrits dans le disque de stockage local sur l appareil virtuel Panorama. 1. Sélectionnez Panorama > Configuration > Opérations. 2. Cliquez sur le lien Paramétrage de la partition de stockage dans la section Divers. 3. Sélectionnez NFS V3. 4. Saisissez l adresse IP du Serveur NFS. 5. Saisissez l emplacement/chemin pour stocker les fichiers journaux dans le champ Répertoire des journaux. Par exemple, export/panorama. 6. Sélectionnez le protocole (TCP ou UDP), puis saisissez le Port pour accéder au serveur NFS. Remarque Pour utiliser NFS sur TCP, le serveur NFS doit le prendre en charge. Les ports NFS communs portent le nom de UDP/TCP 111 pour RPC et UDP/TCP 2049 pour NFS. 7. Pour une performance NFS optimale, dans les champs Read Size et Write Size, spécifiez la taille maximale des blocs de données que le client et le serveur échangent entre eux. La définition d un volume de lecture/écriture, optimise le volume de données et la vitesse de transfert de données entre Panorama et le magasin de données NFS. 8. Sélectionnez Partition de journalisation test pour vérifier que Panorama est en mesure d accéder à l adresse IP du serveur NFS et l emplacement de répertoire spécifié ci-dessus. 9. (Facultatif) Sélectionnez l option Copier lors de la configuration. Ce paramètre copie les journaux existants stockés sur Panorama dans le volume NFS. Si vous disposez de nombreux journaux existants, l activation de la copie lors de la configuration peut lancer le transfert d un important volume de données. 10. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications. Pour commencer à écrire les journaux dans le magasin de données NFS, redémarrez le Panorama virtuel. 1. Sélectionnez Panorama > Configuration > Opérations. 2. Dans la section Opérations périphérique, sélectionnez Redémarrer Panorama. Guide de l'administrateur Panorama 29

36 Configurer l appareil virtuel Panorama Configurer Panorama Déterminer le taux de journalisation sur le pare-feu Palo Alto Networks Utilisez ces instructions à des moments différents de la journée afin d être au plus près du taux de génération de journal normal et de pointe sur chaque pare-feu. Pour estimer de manière précise le volume de stockage nécessaire pour les journaux sur votre réseau, en plus du taux de journalisation sur le pare-feu, vous devez prendre en compte plusieurs autres facteurs. Pour plus de détails, consultez l article : Suggestions de journalisation Panorama. AFFICHER LE TAUX DE GÉNÉRATION DE JOURNAL Étape 1. Accédez à l interface de ligne de commande sur chaque pare-feu Palo Alto Networks. Étape 2 Afficher le taux de génération de journal actuel. Reportez-vous à Se connecter à l interface de ligne de commande. La procédure d accès à l interface par ligne de commande sur le pare-feu est la même que celle de Panorama. Saisissez la commande d interface de ligne de commande pour évaluer le taux de journalisation sur le pare-feu : debug log-receiver statistics Logging statistics Log incoming rate: 246/sec Log written rate: 246/sec Où aller ensuite? Maintenant que la configuration initiale est terminée, continuez avec les sections suivantes pour d autres instructions de configuration : Installer les licences Installez les mises à jour de contenu et le logiciel Panorama Naviguez dans l interface utilisateur Panorama Configurer un accès administratif Gérer vos pare-feu 30 Guide de l'administrateur Panorama

37 Configurer Panorama Configurer l appareil virtuel M-100 Configurer l appareil virtuel M-100 L appareil de gestion M-100 est une plate-forme haute matérielle haute performance qui peut être déployée en deux modes : Mode Panorama : L appareil exécute les fonctions de gestion centralisée et de collecte de journaux. Il s agit du mode par défaut. Mode collecteur de journaux : L appareil fonctionne comme un collecteur de journaux dédié pouvant être géré soit par un appareil M-100 en mode Panorama, soit par un appareil virtuel Panorama. Si les volumes de données de journaux transmis depuis plusieurs pare-feu sont importants, l appareil M-100 en mode Collecteurs de journaux offre une évolutivité et des performances supérieures. Lorsqu il est déployé en mode Collecteur de journaux, l appareil n est pas équipé d une interface Web. L accès administratif se fait par l interface de ligne de commande uniquement. Utilisez le flux de travail qui suit pour configurer l appareil M-100 : Appareil M-100 en mode Panorama Étape 1. Montez l appareil M-100 dans une baie. Pour consulter les instructions, reportez-vous au manuel Guide de référence du matériel M-100. Étape 2 Exécuter la configuration initiale Étape 3 Activer/Récupérer les licences Étape 4 Installez les mises à jour de contenu et le logiciel Panorama Étape 5 (Facultatif) Accroître la capacité de stockage de l appareil M-100 Étape 6 Configurer un accès administratif Étape 7 Gérer vos pare-feu Étape 8 Activer la journalisation Appareil M-100 en mode Collecteur de journaux Étape 1. Montez l appareil M-100 dans une baie. Pour consulter les instructions, reportez-vous au manuel Guide de référence du matériel M-100. Étape 2 Exécuter la configuration initiale Étape 3 Activer/Récupérer les licences Étape 4 Installez les mises à jour de contenu et le logiciel Panorama Étape 5 (Facultatif) Accroître la capacité de stockage de l appareil M-100 Étape 6 Configurer l appareil M-100 en mode Collecteur de journaux Étape 7 Activer la journalisation Guide de l'administrateur Panorama 31

38 Configurer l appareil virtuel M-100 Configurer Panorama Exécution de la configuration initiale Par défaut, Panorama a pour adresse IP et pour nom d utilisateur/mot de passe admin/admin. Pour des raisons de sécurité, vous devez modifier ces paramètres avant de passer aux autres tâches de configuration. Vous devez effectuer les tâches de configuration initiales soit à partir de l interface MGT, soit en utilisant la connexion de port série directe sur le port de console sur l appareil M-100. CONFIGURER L INTERFACE DE GESTION Étape 1. Contactez votre administrateur réseau pour obtenir les informations requises. Étape 2 Connectez votre ordinateur à l appareil M-100. Étape 3 Lorsque vous y êtes invité, connectez-vous à l appareil. Étape 4 Configurez les paramètres d accès réseau pour l interface MGT. L interface de gestion est utilisée pour gérer le trafic, la synchronisation de connectivité HD, la collecte de journaux et la communication avec les appareils collecteurs de journaux. Adresse IP du port MGT Masque réseau Passerelle par défaut Adresse du serveur DNS Vous pouvez procéder d une des façons suivantes : Rattachez un câble série à l ordinateur et au port de console de l appareil M-100, puis connectez-vous en utilisant un logiciel d émulation ( N-1). Connectez un câble RJ-45 d un ordinateur sur le port de console MGT de l appareil M-100. Depuis un navigateur, accédez à Notez que cette opération peut exiger le remplacement de l adresse IP de l ordinateur par une adresse réseau comme , afin d accéder à cette URL. Connectez-vous en utilisant le nom d utilisateur et le mot de passe par défaut (admin/admin). L appareil commence son initialisation. 1. Sélectionnez Panorama > Configuration, puis cliquez sur l icône Modifier dans la section Paramètres d Interface de gestion à l écran. 2. Saisissez l adresse IP, le masque réseau, et la passerelle par défaut. 3. (Facultatif) Sélectionnez les services de gestion pour être autorisé à accéder à l interface. Par exemple, activez SSH. Dans le cadre des meilleures pratiques, assurez-vous que Telnet et HTTP ne sont pas sélectionnés, car ces services utilisent du texte brut et ne sont pas aussi sécurisés que les autres services. 4. Cliquez sur OK. Cliquez sur Valider, sélectionnez Panorama en tant que Type de validation, puis cliquez sur OK. 32 Guide de l'administrateur Panorama

39 Configurer Panorama Configurer l appareil virtuel M-100 CONFIGURER L INTERFACE DE GESTION (SUITE) Étape 5 Configurez le nom d hôte, le fuseau horaire et les paramètres généraux. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez sur l icône Modifier dans la section Paramètres généraux de l écran. 2. Réglez l horloge sur Panorama et les pare-feu gérés pour qu ils utilisent le même Fuseau horaire, par exemple, GMT et UTC. La définition du même fuseau horaire sur le Panorama et les périphériques gérés garantit que l horodatage des journaux est synchronisé. Les horodatages sont enregistrés à la réception des journaux sur Panorama, et lors de leur génération sur les pare-feu. Le réglage des fuseaux horaires sur Panorama et des périphériques gérés garantit que les horodatages sont synchronisés, et la procédure d interrogation de journaux et de génération de rapport sur Panorama est harmonisée. 3. Saisissez un Nom d hôte pour le serveur Ce nom d hôte sera utilisé comme nom/étiquette à l affichage pour l appareil. Par exemple, il s agit du nom qui s affiche à l invite d interface de ligne de commande, et le nom affiché dans le champ Nom de collecteur lorsque vous ajoutez l appareil en tant que collecteur géré sur l onglet Panorama > Collecteurs gérés. 4. Saisissez le nom de Domaine de votre réseau. Le nom de domaine est un simple intitulé; il ne sera pas utilisé pour y accéder. 5. (Facultatif) Saisissez la Latitude et la Longitude pour activer un emplacement convenable du serveur sur la carte du Monde. Les valeurs de latitude et de longitude seront utilisées dans la Portée application > Cartes de trafic et Portée application > Cartes de menaces. 6. Cliquez sur OK. Étape 6 Changez le mot de passe administrateur par défaut. Remarque Pour garantir la sécurité de l interface de gestion, mettez en œuvre l option Complexité minimale des mots de passe et définissez l intervalle après lequel les administrateurs devront modifier leur mot de passe. 1. Cliquez sur le lien admin dans le coin inférieur gauche de la console de gestion. Une boîte de dialogue permettant de changer de mot de passe s affiche. 2. Saisissez l ancien mot de passe, et le nouveau mot de passe dans les champs appropriés et conservez le nouveau mot de passe dans un endroit sûr. Cliquez sur OK. 3. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Guide de l'administrateur Panorama 33

40 Configurer l appareil virtuel M-100 Configurer Panorama CONFIGURER L INTERFACE DE GESTION (SUITE) Étape 7 Vérifiez l accès réseau aux services externes requis pour la gestion de pare-feu, par exemple, le serveur de mise à jour Palo Alto Networks. Pour vérifier que Panorama a un accès réseau externe, utilisez l utilitaire ping. Vérifiez la connectivité à la passerelle par défaut, au serveur DNS et au serveur de mise à jour Palo Alto Networks, comme indiqué dans l exemple qui suit : admin@panorama-corp> ping host updates.paloaltonetworks.com PING updates.paloaltonetworks.com ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=243 time=40.5 ms 64 bytes from : icmp_seq=1 ttl=243 time=53.6 ms 64 bytes from : icmp_seq=1 ttl=243 time=79.5 ms Remarque Une fois la connectivité vérifiée, appuyez sur les touches Ctrl+C pour mettre fin aux commandes ping. Continuez avec Installer les licences etinstallez les mises à jour de contenu et le logiciel Panorama, que vous prévoyiez d utiliser l appareil M-100 en mode Panorama ou en mode Collecteur de journaux. Configurer l appareil M-100 en mode Collecteur de journaux Lorsqu on utilise l appareil M-100 comme Collecteur de journaux, la tâche de traitement des journaux est exécutée sur un appareil dédié. Utilisez les instructions de cette section pour faire passer l appareil M-100 du mode Panorama au mode Collecteur de journaux pour le déployer en tant que collecteur de journaux dédié. Assurez-vous que l appareil Panorama qui gèrera les pare-feu et le collecteur de journaux sont déjà configurés. En mode Collecteur de journaux, l appareil M-100 ne prend pas en charge l interface Web pour les tâches de configuration ; seul l accès SSH est pris en charge. Donc, avant de changer le mode sur l appareil M-100, Exécution de la configuration initiale et utilisez l interface Web en mode Panorama pour Activer/Récupérer les licences. Pour envoyer les journaux à un appareil M-100 en mode collecteur de journaux, les pare-feu Palo Alto Networks doivent exécuter PAN-OS v5.0 ou versions ultérieures. Les pare-feu Palo Alto Networks exécutant des versions de PAN-OS antérieures à la version 5.0 ne peuvent pas envoyer de journaux à un appareil M-100 en mode Panorama ou vers un appareil virtuel Panorama. 34 Guide de l'administrateur Panorama

41 Configurer Panorama Configurer l appareil virtuel M-100 PASSEZ DU MODE PANORAMA AU MODE COLLECTEUR DE JOURNAUX Étape 1. Accédez à l interface de ligne de commande (CLI) sur l appareil M-100. Étape 2 Lorsque vous y êtes invité, connectez-vous à l appareil. Étape 3 Passez du mode Panorama au mode Collecteur de journaux. Étape 4 Vérifiez que l appareil est en mode Collecteur de journaux. Étape 5 Spécifiez l adresse IP de l appareil Panorama qui gère le collecteur de journaux. Connectez-vous à l appareil M-100 d une des façons suivantes : Connectez le câble série de l ordinateur sur le port de console de l appareil M-100. Connectez-vous ensuite en utilisant un logiciel d émulation de terminal ( N-1). Utilisez un logiciel d émulation de terminal tel que PuTTY pour ouvrir une session SSH à l adresse IP affectée à l appareil M-100 pendant la configuration initiale. Utilisez le compte admin par défaut et le mot de passe affecté pendant la configuration nationale. 1. Pour passer en mode collecteur de journaux, saisissez la commande qui suit : requerrait system logger-mode logger 2. Saisissez Yes pour confirmer la modification en mode de collecteur de journaux. L appareil redémarre. 1. Reconnectez-vous à l interface de ligne de commande sur l appareil M Saisissez la commande suivante : show system info match logger_mode La réponse imprimée à l écran se présente comme suit : logger_mode: True Si la valeur False s affiche, l appareil M-100 est toujours en mode Panorama. Saisissez la commande suivante dans l interface de ligne de commande (CLI) : configure set panorama-server <ip_address> commit Maintenant que vous avez réussi à configurer votre appareil M-100, pour obtenir d autres instructions sur l affectation d un collecteur de journaux à un pare-feu, la définition des groupes de collecteur et la gestion de collecteur de journaux en utilisant Panorama, reportez-vous à la section Activer la journalisation. Guide de l'administrateur Panorama 35

42 Configurer l appareil virtuel M-100 Configurer Panorama Accroître la capacité de stockage de l appareil M-100 L appareil M-100 est livré avec deux disques dans une configuration RAID1. Chaque appareil M-100 permet l ajout de jusqu à trois paires de disques supplémentaires en RAID1, chacun d une capacité d 1 To, pour atteindre une capacité maximale de 4 To de stockage RAID. Si l on ajoute des paires de disques à un appareil M-100 déjà déployé, il n y a pas à mettre le système hors ligne pour accroître leur capacité de stockage. Lorsque la ou les paires de disques supplémentaires deviennent disponibles, l appareil M-100 redistribue les journaux entre les paires de disques disponibles. Le processus de redistribution de journaux s exécute en arrière-plan et n a pas d influence sur la disponibilité ou la durée active de l appareil M-100. CONFIGURER LES DISQUES DANS UNE PAIRE RAID Étape 1. Installez les nouveaux disques dans les baies de lecteur appropriées. Étape 2 Accédez à l interface de ligne de commande (CLI) sur l appareil M-100. Étape 3 Lorsque vous y êtes invité, connectez-vous à l appareil. Assurez-vous d ajouter les lecteurs de façon séquentielle dans la baie de disque ouverte suivante. Par exemple, ajoutez B1/B2 avant C1/C2. Pour plus d informations sur l ajout de lecteurs physiques, reportez-vous au Guide de référence du matériel M-100. Vous pouvez procéder d une des façons suivantes : Attachez un câble série de l ordinateur au port de console et connectez l appareil M-100 à l aide d un logiciel d émulation ( N-1). Utilisez un logiciel d émulation de terminal tel que PuTTY pour ouvrir une session SSH à l adresse IP de l appareil M-100. Utilisez le compte admin et le mot de passe affecté par défaut. 36 Guide de l'administrateur Panorama

43 Configurer Panorama Configurer l appareil virtuel M-100 CONFIGURER LES DISQUES DANS UNE PAIRE RAID (SUITE) Étape 4 Configurez chaque paire de disques supplémentaire dans une configuration RAID. Remarque Le temps nécessaire à faire une copie miroir des données du lecteur peut varier de plusieurs minutes à quelques heures, en fonction de la quantité de données présentes sur le lecteur. Étape 5 Rendez la paire de disques disponible à la journalisation. Pour activer les paires de disques pour la journalisation, cet appareil doit avoir été ajouté en tant que collecteur géré sur Panorama. Si c est déjà fait, reportez-vous à la section Ajouter un collecteur de journaux à Panorama. Cet exemple utilise les lecteurs des baies de lecteurs B1 et B2. 1. Saisissez les commandes suivantes et confirmez la demande à l invite : request system raid add B1 request system raid add B2 2. Pour surveiller la progression de la configuration RAID, saisissez la commande suivante : show system raid detail Une fois le RAID défini, la réponse suivante s affiche : Disk Pair A Available Status clean Disk id A1 Present model : ST NS size : MB status : active sync Disk id A2 Present model : ST NS size : MB status : active sync Disk Pair B Available Status clean Disk id B1 Present model : ST NS size : MB status : active sync Disk id B2 Present model : ST NS size : MB status : active sync 1. Accédez au serveur de gestion Panorama qui gère ce collecteur de journaux (s il s agit d un autre appareil). 2. Sur l onglet Panorama > Collecteurs gérés, sélectionnez le collecteur de journaux et suivez les instructions de l Étape 6 dans Ajouter un collecteur de journaux à Panorama. Étape 6 Enregistrez les modifications de configuration. Cliquez sur Valider Sélectionnez Panorama en tant que Type de validation, puis cliquez sur OK. Pour plus d instructions sur l ajout d un collecteur de journaux en tant que collecteur géré sur Panorama, la définition de groupes de collecteurs, l affectation d un collecteur de journaux à un pare-feu, reportez-vous à la section Activer la journalisation. Guide de l'administrateur Panorama 37

44 Migrer d un appareil virtuel Panorama vers un appareil M-100 Configurer Panorama Migrer d un appareil virtuel Panorama vers un appareil M-100 Sur un appareil virtuel Panorama qui gère 10 périphériques ou plus, et dont le taux de journalisation est de plus de journaux par seconde, la migration vers l appareil M-100 offre un temps de réponse amélioré sur l interface Web et une exécution plus rapide des rapports. L appareil M-100 fournit également jusqu à 4 To de stockage RAID; Utilisez les instructions présentes dans cette section pour migrer la configuration de l appareil virtuel Panorama vers un appareil M-100. Configuration requise Éléments à prendre en compte pour la planification Effectuer la migration Reprendre la gestion des périphériques Configuration requise Pour poursuivre la migration de votre abonnement en cours, vous devez : avoir acheté un appareil M-100 avoir obtenu une mise à niveau de migration et acheté un nouvel abonnement incluant le logiciel et la prise en charge du matériel. Pour traiter la mise à niveau de migration, vous devez contacter votre représentant commercial avec les informations suivantes : le numéro de série du Panorama virtuel que vous projetez de supprimer. les termes de support de l appareil M-100 et le code d autorisation que vous avez reçu lorsque vous avez acheté l appareil. la date d effet de la migration Palo Alto Networks appliquera automatiquement les codes d autorisation associés au numéro de série de votre appareil de contrôle, arrêtera progressivement la prise en charge du Panorama virtuel, et déclenchera la prise en charge pour votre appareil M-100 à la date d effet choisie. À partir de la date d effet, vous aurez un délai limité pour compléter la procédure de migration. À la fin de la période, la prise en charge de l appareil virtuel Panorama sera terminée, et vous ne serez plus en mesure de recevoir des mises à jour de logiciel ou de menaces. Reportez-vous à cet article pour connaître les détails du processus de migration de licence. 38 Guide de l'administrateur Panorama

45 Configurer Panorama Migrer d un appareil virtuel Panorama vers un appareil M-100 Éléments à prendre en compte pour la planification Prévoyez de procéder à la migration pendant une fenêtre de maintenance. Bien que les pare-feu puissent garder les journaux dans la mémoire tampon et les transmettre à Panorama une fois la connexion est rétablie, le fait d effectuer la migration pendant une fenêtre de maintenance limite les risques de perte de données pendant le délai de transition, entre le moment où l appareil virtuel Panorama s arrête et celui où l appareil M-100 prend le relais. Déterminez si vous devez garder l accès à l appareil virtuel Panorama une fois la migration terminée. Le format de journal de l appareil virtuel Panorama étant incompatible avec celui de l appareil M-100, les données de journaux existantes sont dans l impossibilité de migrer vers l appareil M-100. Alors, si vous souhaitez accéder aux anciens journaux, l appareil virtuel Panorama doit rester accessible. Vous devez décider si vous gardez la même adresse IP sur l appareil M-100 ou si vous en affectez une nouvelle. Palo Alto Networks conseille d utiliser la même adresse IP de gestion afin de ne pas avoir à reconfigurer chaque appareil géré pour qu il référence une nouvelle adresse IP. Si vous avez des exigences en matière de conformité des journaux, prévoyez de reconfigurer une nouvelle adresse IP sur l appareil virtuel Panorama afin de conserver l accès aux anciens journaux, pour pouvoir générer des rapports. Gardez une nouvelle adresse IP à portée de main pour pouvoir l utiliser lors de la configuration de connectivité vers l appareil M-100 pendant la configuration initiale. Si vous avez décidé de transférer l adresse IP affectée à l appareil virtuel Panorama, cette nouvelle adresse IP sera utilisée de façon provisoire. Lorsque vous restaurerez le fichier de configuration depuis l appareil virtuel Panorama sur l appareil M-100, cette nouvelle adresse IP sera remplacée. Guide de l'administrateur Panorama 39

46 Migrer d un appareil virtuel Panorama vers un appareil M-100 Configurer Panorama Effectuer la migration Pour migrer la configuration depuis VPA vers l appareil M-100, exécutez les tâches suivantes : EFFECTUER UNE MIGRATION DEPUIS L APPAREIL VIRTUEL PANORAMA Étape 1. Exécutez ces tâches sur l appareil virtuel Panorama. 1. Effectuer la mise à niveau vers la dernière version de Panorama. 2. Exportez la configuration en cours sur l appareil Panorama virtuel. 3. Éteignez la machine virtuelle ou modifiez l adresse IP. Reportez-vous à Installez les mises à jour de contenu et le logiciel Panorama. 1. Dans l onglet Panorama > Configuration > Opérations, à la section Gestion de configuration, sélectionnez Exporter l instantané de la configuration. 2. Sélectionnez la configuration active (running-config.xml), puis cliquez sur OK. Le fichier est téléchargé et enregistré sur la machine locale. 3. Renommez le fichier. Si vous prévoyez de réutiliser l adresse IP d interface MGT configurée sur l appareil virtuel Panorama sur l appareil M-100, vous avez le choix entre éteindre l appareil virtuel ou affecter une nouvelle adresse IP au port MGT de l appareil virtuel. Pour modifier l adresse IP, sur l onglet Panorama > Configuration, modifiez la section Paramètres de l interface de gestion, puis saisissez la nouvelle adresse IP. Étape 2 Exécutez ces tâches sur l appareil M Configurez un accès réseau. Reportez-vous à la section Exécution de la configuration initiale pour les instructions Prévoyez d affecter une nouvelle adresse IP provisoire pendant la configuration initiale de l appareil M-100, et de réutiliser l adresse IP jusque là affectée à l appareil virtuel Panorama. L adresse IP provisoire sera remplacée lorsque vous importerez la configuration, plus tard dans le processus. 2. Installez la même version de Panorama que celle qui est exécutée sur l appareil virtuel Panorama. 3. Enregistrez Panorama et récupérez la licence. Installez la version de Panorama que vous avez sélectionnée précédemment à l Étape 1. Pour plus d instructions sur l exécution de la mise à niveau, reportez-vous à la section Installez les mises à jour de contenu et le logiciel Panorama. Reportez-vous à la section Installer les licences. 40 Guide de l'administrateur Panorama

47 Configurer Panorama Migrer d un appareil virtuel Panorama vers un appareil M-100 EFFECTUER UNE MIGRATION DEPUIS L APPAREIL VIRTUEL PANORAMA (SUITE) 4. Importez et chargez le fichier de configuration. 5. Revoyez la configuration sur Panorama et modifiez-la. 1. Dans l onglet Panorama > Configuration > Opérations, à la section Gestion de configuration, sélectionnez Importer l instantané de la configuration Panorama. 2. Accédez au fichier running-config.xml (ou au fichier renommé), puis cliquez sur OK. 3. Sélectionnez le lien Charger l instantané de la configuration pour charger le fichier de configuration que vous venez d importer. Toute erreur survenant lors du chargement du fichier de configuration s affiche à l écran. 4. Si des erreurs surviennent, enregistrez-les sur le fichier en local. Examinez et résolvez chaque erreur afin d être certain que tous les composants de la configuration ont bien migré. 1. Si vous ne prévoyez pas de réutiliser les mêmes paramètres d accès réseau pour l interface MGT, modifiez les valeurs suivantes : a. Sélectionnez Panorama > Configuration, puis cliquez sur l icône Modifier dans la section de Paramètres d Interface de gestion à l écran. b. Saisissez l adresse IP, le masque réseau, et la passerelle par défaut. c. Confirmez que la liste d adresses IP figurant sur la liste des adresses IP autorisées est exacte. 2. Pour modifier le nom d hôte, modifiez la section Paramètres généraux fr l onglet Panorama > Configurer. 3. Confirmez que les paramètres d accès administratifs (administrateurs, rôles et domaines d accès) configurés sur l appareil sont exacts, sur l onglet Panorama > Administrateurs, Panorama > Rôles admin et l onglet Panorama > Domaines d accès. 6. Ajoutez le collecteur de journaux par défaut à l appareil M Enregistrez toutes vos modifications sur Panorama. Lors de l importation de la configuration depuis l appareil virtuel Panorama, le collecteur de journaux par défaut est supprimé de l appareil M-100. Pour ajouter le collecteur de journaux sur l appareil M-100, utilisez les instructions de la section Ajouter un collecteur de journaux à Panorama. Après avoir révisé les modifications de configuration, cliquez sur Valider. Sélectionnez Panorama en tant que Type de validation, puis cliquez sur OK. Guide de l'administrateur Panorama 41

48 Migrer d un appareil virtuel Panorama vers un appareil M-100 Configurer Panorama Reprendre la gestion des périphériques Pour reprendre la gestion centralisée, vous devez restaurer la connectivité des périphériques gérés. Effectuez cette tâche pendant une fenêtre de maintenance afin de réduire au maximum l arrêt du réseau. VÉRIFIEZ L ÉTAT DES PÉRIPHÉRIQUES GÉRÉS Étape 1. Connectez-vous à Panorama. Étape 2 Synchronisez la configuration de Panorama avec celle du périphérique géré. À l aide d une connexion sécurisée (https) depuis un navigateur Web, connectez-vous en utilisant l adresse IP et le mot de passe affectés pendant la configuration initiale ( IP>). 1. Sélectionnez Panorama > Périphériques gérés, et vérifiez que l état Connecté de chaque périphérique s affiche avec. L état des modèles et des groupes de périphériques s affiche comme. 2. Pour synchroniser les groupes de périphériques : a. Cliquez sur Valider et sélectionnez Groupe de périphériques en tant que Type de validation. b. Sélectionnez chaque groupe de périphériques et cliquez sur OK. 3. Pour synchroniser les modèles : a. Cliquez sur Valider, puis sélectionnez Panorama comme Type de validation. b. Cliquez sur Valider, puis sélectionnez Modèle comme Type de validation. Étape 3 Vérifiez que l état des périphériques, des modèles et de la politique partagée est sur Connecté(e) et Synchronisé(e). 42 Guide de l'administrateur Panorama

49 Configurer Panorama Installer les licences Installer les licences Avant de commencer à utiliser Panorama pour la gestion centralisée, la journalisation et la création de rapport, vous devez enregistrer Panorama et récupérer les licences. Chaque instance de Panorama requiert des licences valides qui vous autorisent à gérer les périphériques et à obtenir un support. La licence de gestion de périphérique met en œuvre le nombre maximal de périphériques pouvant être gérés par Panorama. La licence d assistance permet les mises à jour de logiciel Panorama et les mises à jour de contenu dynamique pour les dernières applications et signatures de menaces, parmi d autres mises à jour publiées par Palo Alto Networks. Pour acheter les licences, contactez les ingénieurs ou le revendeur Palo Alto Networks Systems. Après l obtention de la licence, accédez à Panorama > Licences pour effectuer les tâches suivantes en fonction de la façon dont vous recevez vos licences. : Récupérer les clés de licence depuis le serveur de licences : Utilisez cette option si la licence a été activée sur le portail d assistance. Activer la fonction à l aide du code d autorisation : Utilisez le code d autorisation pour activer une licence qui n a pas été activée sur le portail de support au préalable. Télécharger manuellement la clé de licence : Utilisez cette option si Panorama n a pas de connectivité avec le serveur de mise à jour de Palo Alto Networks. Dans ce cas, commencez par télécharger le fichier de clé de licence depuis le site de support vers un ordinateur connecté à Internet, puis téléchargez-le sur Panorama. Enregistrer Panorama Pour gérer les éléments que vous achetez à Palo Alto Networks, vous devez créer un compte et enregistrer les numéros de série avec le compte. S ENREGISTRER AUPRÈS DE PALO ALTO NETWORKS Étape 1. Connectez-vous à l interface Web Étape 2 Localisez votre numéro de série et copiez-le dans le Presse-papiers. Étape 3 Rendez-vous sur le site de support de PaloAltoNetworks. Avec une connexion sécurisée fournie par un navigateur Internet (https), connectez-vous en utilisant l adresse IP et le mot de passe que vous avez affectés à l interface de gestion ( IP>). Le numéro de série de l appareil M-100 s affiche sur le tableau de bord ; localisez le Numéro de série dans la section Informations générales de l écran. Pour l appareil virtuel Panorama, le numéro de série est inclus dans le message électronique d exécution de la commande. Dans un nouvel onglet ou une nouvelle fenêtre de navigateur, accédez à l adresse Guide de l'administrateur Panorama 43

50 Installer les licences Configurer Panorama S ENREGISTRER AUPRÈS DE PALO ALTO NETWORKS (SUITE) Étape 4 Enregistrez Panorama. La façon dont vous vous enregistrez dépend du fait que vous ayez déjà ou non une connexion au site de support. S il s agit du premier appareil Palo Alto Networks que vous enregistrez et si vous n avez pas encore de connexion, cliquez sur Enregistrer sur le côté droit de la page. Pour procéder à l enregistrement, fournissez votre adresse de messagerie et le numéro de série du Panorama (que vous pouvez copier-coller depuis votre presse-papiers). Lorsque vous y êtes invité, configurez un nom d utilisateur et un mot de passe pour accéder à la communauté de support de Palo Alto Networks. Si vous disposez déjà d un compte de support, connectez-vous, puis cliquez sur Mes périphériques. Faites défiler la section Enregistrer le périphérique en bas de l écran, et saisissez le numéro de série de Panorama (que vous pouvez coller depuis le presse-papiers), votre ville et votre code postal, puis cliquez sur Enregistrer le périphérique. Activer/Récupérer les licences Chaque appareil Panorama (qu il s agisse d un appareil virtuel ou matériel) nécessite une licence valide. Si vous vous servez d une licence d évaluation sur votre appareil virtuel Panorama et si vous souhaitez utiliser une licence Panorama que vous avez achetée. 1. Enregistrez le numéro de série Panorama sur le site de support Palo Alto Networks. Reportez-vous à l Étape 4 de la section Enregistrer Panorama. 2. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur l icône Modifier dans la section Paramètres généraux. 3. Saisissez le Numéro de série de l appareil virtuel Panorama et cliquez sur Valider pour valider vos modifications dans Panorama. La licence est automatiquement appliquée à Panorama. ACTIVER LA LICENCE Étape 1. Localisez les codes d autorisation du produit/de l abonnement que vous avez acheté. Lorsque vous avez passé votre commande, vous avez reçu un message électronique de la part du service client de Palo Alto Networks qui répertorie les codes d autorisation associés à l achat. Si vous ne trouvez pas ce message électronique, contactez le service clientèle pour obtenir vos codes avant de continuer. 44 Guide de l'administrateur Panorama

51 Configurer Panorama Installer les licences ACTIVER LA LICENCE (SUITE) Étape 2 Activez la licence. L appareil M-100 nécessite à la fois un abonnement au support et la licence de gestion de périphérique. L appareil virtuel Panorama ne nécessite qu un abonnement de support. La fonctionnalité de gestion de périphérique a été activée au moment où vous avez ajouté le numéro de série. Remarque Si le port de gestion de Panorama n est pas équipé d un accès Internet, téléchargez manuellement les fichiers de licence depuis le site d assistance, et téléchargez-le dans Panorama en utilisant l option Clé de licence téléchargée manuellement. 1. Pour activer votre abonnement d assistance, sélectionnez Panorama > Support. 2. Sélectionnez Activer la fonction à l aide du code d autorisation. Saisissez le code d autorisation, puis cliquez sur OK. 3. Vérifiez que la configuration de périphérique a été activée avec succès. 4. (Requis uniquement pour l appareil M-100) Dans l onglet Panorama > Licences, sélectionnez Activer la fonction à l aide du code d autorisation. 5. Lorsque vous y êtes invité, saisissez le code d autorisation d utilisation de Panorama, puis cliquez sur OK. 6. Vérifiez que la licence a bien été activée, et qu elle affiche le support du nombre de périphériques approprié. Par exemple : Étape 3 (Non requis si vous avez effectué l étape 2) Récupérez les clés de licence sur le serveur de licence. Remarque Pour l appareil virtuel Panorama, vous pouvez afficher la licence de gestion de périphérique uniquement sur le portail Support. Utilisez l option Récupérer les clés de licence auprès du serveur de licences si vous avez activé les clés de licence sur le portail Support. Sélectionnez Panorama > Support, et sélectionnez Récupérer les clés de licence auprès du serveur de licences. Guide de l'administrateur Panorama 45

52 Installez les mises à jour de contenu et le logiciel Panorama Configurer Panorama Installez les mises à jour de contenu et le logiciel Panorama Un abonnement d assistance active l image logicielle et les notes de version de Panorama. Pour bénéficier des dernières corrections et des améliorations de sécurité, il est judicieux de mettre à niveau vers la dernière mise à jour logicielle ou la version mise à jour recommandée par votre revendeur ou un ingénieur Palo Alto Networks Systems. Important : Panorama version 5.1 n est disponible que pour les systèmes d exploitation 64 bits. Avant la mise à niveau d un appareil virtuel Panorama vers la v5.1, assurez-vous que l hôte ESX(i) prend en charge un système d exploitation 64 bits et qu il répond aux exigences système minimales du système d exploitation 64 bits. Voir Configuration requise pour plus d informations. Si vous gérez les périphériques avec des abonnements supplémentaires, par exemple, Prévention des menaces ou WildFire, Panorama exige les mises à jour de contenu pour les applications et les bases de données de menaces. Votre abonnement vous permet d obtenir ces mises à jour. Les applications et les bases de données de menace sont référencées dans les configurations de politique et sont utilisées lors de la génération de rapports. Ces bases de données sont utilisées pour faire correspondre les identifiants enregistrés dans les journaux avec la menace, l URL ou les noms d application correspondants. Donc, pour éviter une non-correspondance, Palo Alto Networks vous recommande d installer les mêmes versions d applications et de bases de données de menaces sur Panorama, et sur le périphérique géré. EXÉCUTER LES MISES À JOUR DE VERSION DE CONTENU ET DE PANORAMA Étape 1. Lancez l interface Web Panorama et accédez aux pages de mises à jour dynamiques. Avant de mettre à jour le logiciel, installez les dernières mises à jour de contenu prises en charge dans la version. Étape 2 Vérifiez, téléchargez et installez les dernières mises à jour de base de données de contenus. Installez les mises à jour d application et de menaces avant d installer la mise à jour d antivirus. 1. Avec une connexion sécurisée fournie par un navigateur Internet (https), connectez-vous en utilisant l adresse IP et le mot de passe que vous avez affectés à l interface de gestion ( IP>). 2. Sélectionnez Panorama > Mises à jour dynamiques. 1. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne Action est Télécharger, une mise à jour est disponible. 2. Cliquez sur Télécharger pour obtenir la version souhaitée. 3. Cliquez sur le lien Installer dans la colonne Action. Lorsque l installation est terminée, une coche s affiche dans la colonne Actuellement installé. Étape 3 Recherchez les mises à jour logicielles. 1. Sélectionnez Panorama > Logiciel. 2. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne Action est Télécharger, une mise à jour est disponible. 46 Guide de l'administrateur Panorama

53 Configurer Panorama Installez les mises à jour de contenu et le logiciel Panorama EXÉCUTER LES MISES À JOUR DE VERSION DE CONTENU ET DE PANORAMA (SUITE) Étape 4 Téléchargez la mise à jour. Remarque Si Panorama ne dispose pas d un accès Internet depuis le port de gestion, vous pouvez télécharger la mise à jour logicielle de mise à jour logicielle à partir du Site de support de Palo Alto Networks. Vous pouvez ensuite la télécharger dans Panorama. Localisez la version vers laquelle vous souhaitez effectuer la mise à niveau, puis cliquez sur Téléchargez. Une fois le téléchargement terminé, la valeur se trouvant dans la colonne Action devient Installer. Étape 5 Installez la mise à jour. 1. Cliquez sur Installer. 2. Redémarrez Panorama : Si vous êtes invité à redémarrer, cliquez sur Oui. Étape 6 (Uniquement requis pour la mise à niveau des appareils Panorama virtuels vers Panorama version 5.1). Modifiez les paramètres d appareils virtuels Panorama. Important : Avant de mettre en marche un appareil virtuel Panorama sous v5.1, assurez-vous que l hôte ESX(i) prend en charge un système d exploitation 64 bits et qu il répond aux exigences système minimales du système d exploitation 64 bits. Reportez-vous à la section Configuration requise pour plus d informations. Si vous n êtes pas invité à redémarrer, sélectionnez Panorama > Configuration > Opérations et cliquez sur Redémarrer Panorama dans la section Opérations périphérique de l écran. Après le redémarrage de Panorama, exécutez les tâches suivantes : 1. Mettez l appareil virtuel hors tension. 2. Cliquez avec le bouton droit de la souris et sélectionnez Modifier les paramètres... pour modifier ces paramètres : a. Sur l onglet Options, modifiez le système d exploitation invité à partir de Other Linux (32-bit) à Other Linux (64-bit). b. Sur l onglet Matériel, modifiez le contrôleur SCSI de BusLogic Parallel vers LSI Logic Parallel. c. Sur l onglet Matériel, modifiez l affectation de mémoire à 4 Go minimum, 16 Go pour la gestion de 10 pare-feu ou plus. 3. Mettez l appareil virtuel Panorama sous tension. Pour poursuivre la gestion des pare-feu et activer la collecte de journaux, reportez-vous à Chapitre 3, Gérer les pare-feu et la collecte de journaux. Guide de l'administrateur Panorama 47

54 Naviguez dans l interface utilisateur Panorama Configurer Panorama Naviguez dans l interface utilisateur Panorama Panorama fournit trois interfaces utilisateur : une interface Web, une interface de ligne de commande (CLI) et l API de gestion REST. Interface Web : l interface web Panorama est conçue spécialement avec un aspect similaire à celui du pare-feu. Si vous êtes déjà familiarisé avec le pare-feu, vous serez en mesure de naviguer et de compléter les tâches administratives et de génération de rapports à partir de l interface Web Panorama avec une relative facilité. Cette interface graphique vous permet d accéder à Panorama à l aide de HTTPS et c est le meilleur moyen d effectuer des tâches administratives. Vous pouvez activer l accès HTTP Panorama, si la section Paramètres d interface de gestion de l onglet Panorama > Configuration > Gestion l exige. Consultez les sections Naviguer dans l interface Web et Se connecter à l interface Web. Interface de ligne de commande : l interface de ligne de commande est une interface simple, qui vous permet de saisir les commandes rapidement pour compléter une suite de tâches. L interface de ligne de commandes prend en charge deux modes de commande (opérationnel et configuration) et chaque mode a sa propre hiérarchie de commande et de déclarations. Lorsque vous vous familiarisez avec la structure d imbrication et la syntaxe de commandes, l interface de ligne de commande permet des heures de réponse et offre une efficacité administrative. Reportez-vous à la section Se connecter à l interface de ligne de commande. API de gestion REST : L API REST XML est fournie en tant que service Web mis en œuvre à l aide de demandes et de réponses HTTP/HTTPS. Elle vous permet de simplifier vos opérations et d intégrer des applications existantes et des référentiels développés en interne. Pour plus d informations sur la façon d utiliser l interface API Panorama, reportez-vous au document intitulé PAN-OS and Panorama XML-Based REST API. Pour accéder à la communauté en ligne pour le développement de scripts, visitez : Naviguer dans l interface Web Utilisez l interface Web Panorama pour configurer Panorama, gérer et surveiller les périphériques gérés et les collecteurs de journaux, et accéder à l interface Web de chaque périphérique grâce au contexte du périphérique. Reportez-vous à l aide en ligne de Panorama pour plus de détails sur les options de chaque onglet dans l interface web. L interface web Panorama inclut les onglets suivants : Onglet Sous-onglet Description Tableau de bord ACC Surveillance Affiche des informations générales sur les paramètres et le modèle d accès réseau Panorama. Cela inclut des widgets qui affichent des informations sur les applications, les journaux et les ressources et les paramètres système. Affiche les risques d ensemble et le niveau de menace sur le réseau, en fonction des informations rassemblées à partir des périphériques gérés. Fournit l accès aux journaux et aux rapports. 48 Guide de l'administrateur Panorama

55 Configurer Panorama Naviguez dans l interface utilisateur Panorama Onglet Sous-onglet Description (suite) Panorama Groupes de périphériques (Vous devez Créer des groupes de périphériques pour que l onglet s affiche.) Modèles (Vous devez Ajouter un nouveau modèle pour que l onglet s affiche.) Politiques Objets Réseau Périphérique Configure Panorama, gère les licences, définit la haute disponibilité, accède aux mises à jour logicielles et aux alertes de sécurité, gère les accès administratifs, les pare-feu et les collecteurs de journaux déployés. Crée des politiques centralisées et applique la configuration à plusieurs périphériques/groupes de périphériques. Définit les objets de politiques qui peuvent être référencés dans la politique partagée dans tous les périphériques/groupes de périphériques. Configure les paramètres réseau, tels que les profils réseau, qui peuvent être appliqués aux périphériques gérés. Configure les périphériques, tels que les profils de serveur et rôles admin, qui peuvent appliqués aux périphériques gérés. Se connecter à l interface Web SE CONNECTER À L INTERFACE WEB Étape 1. Connectez-vous à l interface Web Panorama Avec une connexion sécurisée fournie par un navigateur Internet (https), connectez-vous en utilisant l adresse IP et le mot de passe que vous avez affectés à l interface de gestion ( IP>). Étape 2 (Facultatif) Active l accès HTTP et SSH. 1. Sélectionnez Panorama > Configuration > Gestion, puis cliquez sur l icône Modifier dans la section Paramètres d interface de gestion à l écran. 2. Sélectionnez les services de gestion à autoriser sur l interface. Par exemple, sélectionnez HTTP et SSH. 3. Cliquez sur OK. Guide de l'administrateur Panorama 49

56 Naviguez dans l interface utilisateur Panorama Configurer Panorama Se connecter à l interface de ligne de commande Vous pouvez vous connecter à l interface de ligne de commande en utilisant une connexion de port série, ou via un accès à distance par le biais d un client SSH. SE CONNECTER À L INTERFACE DE LIGNE DE COMMANDE Utilisez SSH pour vous connecter à l interface de ligne de commande Remarque Les mêmes instructions s appliquent à l appareil M-100 en mode collecteur de journaux. 1. Assurez-vous que vous avez ce qui suit à disposition : Un ordinateur avec un accès au réseau Panorama Une adresse IP Panorama SSH est activé sur l interface de gestion. Pour activer l accès à SSH, consulter (Facultatif) Active l accès HTTP et SSH. 2. Pour accéder à l interface de ligne de commande en utilisant SSH : a. Saisissez l adresse IP Panorama dans le client SSH. b. Utilisez le port 22. c. Saisissez vos informations d accès administratif à l invite. Une fois connecté, l écran d interface de ligne de commande s affiche en mode opérationnel Par exemple : admin@abc_sydney> Pour activer l authentification basée sur une clé, reportez-vous à la section Activer l authentification basée sur clé SSH pour l interface de ligne de commande. Passez en mode de configuration. Accédez au mode configuration et saisissez la commande qui suit à l invite : admin@abc_sydney> configure L invite se change en admin@abc_sydney# Utilisez un port série pour vous connecter à l interface de ligne de commande Panorama. 1. Assurez-vous que vous avez ce qui suit à disposition : Un câble série pour modem relie Panorama à un ordinateur avec un port série DB-9. Un programme d émulation de terminal s exécutant sur l ordinateur 2. Utilisez les paramètres suivants dans le logiciel d émulation de terminal pour vous connecter bauds, 8 bits de données, 1 bit d arrêt, sans parité, sans contrôle de flux matériel. 3. Saisissez vos informations d accès administratif à l invite. 50 Guide de l'administrateur Panorama

57 Configurer Panorama Configurer un accès administratif Configurer un accès administratif Par défaut, Panorama inclut un compte administratif par défaut (admin), avec un accès en lecture/écriture à toutes les fonctionnalités de Panorama. Dans le cadre des meilleures pratiques, créez un compte administratif séparé pour chaque personne qui a besoin d accéder aux fonctions administratives ou de rapport de Panorama. Cela évite les configurations ou les modifications non autorisées et permet la journalisation des actions de chaque administrateur individuel. Panorama vous permet de définir et de restreindre l accès aussi largement ou de façon aussi détaillée que nécessaire, en fonction des exigences de sécurité au sein de votre organisation. Par exemple, vous pouvez décider qu un administrateur de centre de données peut avoir accès à toutes les configurations de périphérique et de réseau, alors qu un administrateur de sécurité aura le contrôle sur la définition de politique de sécurité, l afficheur de journaux, et d autres individus clés auront un accès limité à l interface de ligne de commande, à XML et aux API. Vous ne pouvez pas ajouter un compte administratif à un appareil M-100 en mode collecteur de journaux. Seul le compte utilisateur administrateur avec le nom d utilisateur par défaut admin est disponible. Les sections qui suivent décrivent les méthodes prises en charge pour configurer les comptes administratifs et les procédures de configuration d accès administrateur de base. Créer un compte d administrateur Définir des domaines d accès Définir une séquence d authentification Définir des domaines d accès Configurer l authentification administrative; pour plus d informations sur les différentes options disponibles pour authentifier les utilisateurs administrateurs, consultez Authentification des administrateurs. Créer un compte d administrateur Un utilisateur administrateur doit avoir un compte et se voir affecter à un rôle. Le rôle définit le type d accès a Panorama que détient l administrateur associé. Vous pouvez affecter l utilisateur administratif à un rôle dynamique intégré ou à un rôle personnalisé (Profil de rôle admin) que vous avez défini. Si vous prévoyez d utiliser les profils de rôles administratifs plutôt que des rôles dynamiques, créez des profils qui définissent le type d accès à accorder aux différentes sections de l interface Web, XML ou d API pour chaque administrateur affecté au rôle le cas échéant, Pour plus d informations sur les rôles, reportez-vous à la section Rôles administrateur. Pour chaque utilisateur administrateur, vous pouvez également définir la complexité minimale de mot de passe, un profil de mot de passe et utiliser le profil d authentification avec un service d authentification externe pour valider les informations d identification de l administrateur. Guide de l'administrateur Panorama 51

58 Configurer un accès administratif Configurer Panorama L exemple suivant indique comment créer un compte d administrateur local avec une authentification locale : CRÉER UN COMPTE ADMINISTRATIF LOCAL Étape 1. Créez un profil de rôle administrateur. Cette étape n est requise que si l on utilise les rôles personnalisés et non les rôles dynamiques intégrés disponibles sur Panorama. Exécutez les opérations ci-dessous pour chaque rôle que vous souhaitez créer : 1. Sélectionnez Panorama > Rôles admin, puis cliquez sur Ajouter. 2. Sélectionnez Panorama ou Groupe de périphériques et Modèle pour définir la portée des privilèges administratifs à affecter. Les privilèges d accès définis pour Panorama sont mis en œuvre lorsque l administrateur se connecte à Panorama ; le rôle Groupe de périphériques et modèle active l accès en lecture seule aux périphériques gérés, aux modèles et aux nœuds de groupes de périphériques sur l onglet Panorama. L accès à tous les autres onglets peut être modifié en fonction des besoins. 3. Pour l Interface Web et/ou l API XML, définissez les niveaux d accès (Activez, Lecture seule, Désactiver ) pour chaque zone fonctionnelle de l interface en cliquant sur l icône pour basculer sur le paramètre souhaité : Pour l accès à Panorama, définissez l accès à l UI Web, l API XML et à la ligne de commande. L onglet Ligne de commande n autorise pas l accès granulaire. Vous devez faire une sélection parmi les options prédéfinies : Super utilisateur, super lecteur, Admin panorama ou Aucun. Pour accéder aux pare-feu (groupe de périphérique et modèle), seul un onglet est disponible. UI Web. Depuis Panorama, vous ne pouvez pas activer l accès à l interface de ligne de commande ou XML API, sur un périphérique parce qu il n existe pas de rôle prédéfini restreignant l accès. Donc, pour éviter l escalade des niveaux de privilège, la capacité à gérer l accès à l interface de ligne de commande et XML API n est pas disponible depuis Panorama. 4. Saisissez un Nom pour le profil, puis cliquez sur OK pour l enregistrer. 52 Guide de l'administrateur Panorama

59 Configurer Panorama Configurer un accès administratif CRÉER UN COMPTE ADMINISTRATIF LOCAL (SUITE) Étape 2 (Facultatif) Définit les critères de mots de passe définis par l utilisateur local. Étape 3 Créez un compte pour chaque administrateur. Étape 4 Enregistrez les modifications de configuration. Créer des profils de mot de passe : cette option définit la fréquence à laquelle les administrateurs doivent changer leurs mots de passe. Créez plusieurs profils de mot de passe et appliquez-les aux comptes administrateurs en fonction des besoins pour mettre en œuvre la sécurité. Pour créer un profil de mot de passe, sélectionnez Panorama > Profils de mot de passe, puis cliquez sur Ajouter. Configurer les paramètres de complexité minimale des mots de passe : définit les règles qui gouvernent la complexité de mot de passe, qui forcent les administrateurs à créer des mots de passe difficiles à deviner, à décrypter ou à compromettre. Contrairement aux profils de mot de passe qui peuvent être appliqués aux comptes individuels, ces règles sont définies au niveau du périphérique et s appliquent à tous les mots de passe. Pour configurer les paramètres, sélectionnez Panorama > Configuration, puis cliquez sur l icône de modification dans la section Complexité minimale des mots de passe. 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur Ajouter. 2. Saisissez un nom d utilisateur et un mot de passe pour l administrateur. 3. Sélectionnez le rôle à affecter à cet administrateur. Sélectionnez un rôle dynamique prédéfini ou un profil basé sur un rôle personnalisé, comme indiqué dans la section Étape (Facultatif) Sélectionnez le profil d authentification à utiliser pour la validation les informations de connexion d utilisateur administratif sur un serveur d authentification externe. Reportez-vous à la section Créer un profil d authentification. 5. (Facultatif) Sélectionnez un profil de mot de passe. Reportez-vous à la section Étape Cliquez sur OK pour enregistrer le compte. 7. Cliquez sur Valider, puis sélectionnez Panorama dans l option Type de validation. Définir des domaines d accès Un domaine d accès fournit une façon de limiter l accès administratif à des groupes de périphériques spécifiés (pour gérer les politiques et les objets) et des modèles (pour gérer le réseau et les paramètres de périphérique), et une fonctionnalité permettant de changer de contexte dans l interface Web des périphériques gérés. Les paramètres de domaine d accès sont pertinents uniquement si : Un profil de rôle admin personnalisé avec un rôle Groupe de périphériques et modèle de périphérique est défini. Guide de l'administrateur Panorama 53

60 Configurer un accès administratif Configurer Panorama Un serveur RADIUS est utilisé pour l authentification administrateur. Le domaine d accès est lié aux attributs VSA RADIUS. Sur le serveur RADIUS, un numéro et une valeur d attribut VSA sont définis pour chaque utilisateur administrateur. La valeur définie doit correspondre au domaine d accès configuré sur Panorama. Lorsqu un administrateur tente de se connecter à Panorama, Panorama interroge le serveur au sujet du domaine d accès et du numéro d attribut des administrateurs. En fonction de la réponse du serveur RADIUS, l accès administrateur est autorisé, mais il est restreint pour ce qui concerne les périphériques/systèmes virtuels, les groupes de périphériques et les modèles spécifiés dans le domaine d accès. Pour plus de détails sur les VSA RADIUS, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. DÉFINIR UN DOMAINE D ACCÈS Étape 1. Créez un domaine d accès. 1. Sélectionnez Panorama > Domaine d accès, puis cliquez sur Ajouter. 2. Saisissez un nom d utilisateur pour identifier le domaine. Étape 2 Spécifiez les groupes de périphérique, les modèles et les contextes de périphérique que l utilisateur peut administrer. Étape 3 Enregistrez les modifications de configuration. Dans les onglets Groupes de périphériques, Modèles et Contexte de périphérique, cliquez sur Ajouter et effectuez une sélection dans la liste filtrée ou le menu déroulant qui s affiche. Cliquez sur Valider, puis sélectionnez Panorama dans l option Type de validation. Créer un profil d authentification Un profil d authentification spécifie le service d authentification qui valide les informations d identification de l administrateur et détermine comment accéder au service d authentification. Panorama peut être configuré pour accéder à la base de données locale, un serveur RADIUS, un serveur Kerberos ou un serveur LDAP. Si vous utilisez un serveur d authentification externe, créez un profil de serveur (Panorama > Profils de serveur) avant de créer un profil d authentification. Panorama requiert le profil de serveur pour accéder au service d authentification. CRÉER UN PROFIL D AUTHENTIFICATION Étape 1. Créez un profil d authentification 1. Sélectionnez Panorama > Profil d authentification, puis cliquez sur Ajouter. 2. Saisissez un nom pour identifier le profil d authentification. Étape 2 Définissez les conditions de verrouillage d utilisateur administrateur. 1. Saisissez le délai de verrouillage. Il s agit du nombre de minutes pendant lequel l utilisateur est bloqué lorsqu il atteint le nombre maximal de tentatives échouées (0 à 60 minutes ; 0 par défaut). 0 signifie que le verrouillage s applique jusqu à ce qu il soit déverrouillé manuellement. 2. Saisissez le nombre de tentatives échouées. Il s agit du nombre d échecs de tentatives de connexion autorisés avant que le compte soit verrouillé (1 à 10, 0 par défaut). Par défaut, le nombre de tentatives échouées est de 0, et l utilisateur n est pas verrouillé malgré les échecs d authentification répétés. 54 Guide de l'administrateur Panorama

61 Configurer Panorama Configurer un accès administratif CRÉER UN PROFIL D AUTHENTIFICATION (SUITE) Étape 3 Précisez les utilisateurs et les groupes explicitement autorisés à s authentifier. En ajoutant une liste d autorisation à un profil d authentification, vous pouvez limiter l accès à des utilisateurs spécifiques d un groupe d utilisateurs/répertoire. Pour obtenir la liste d autorisation, choisissez un des éléments suivants : Sélectionnez la case à cocher Tous pour donner une autorisation à tous les utilisateurs. Cliquez sur Ajouter et saisissez les premiers caractères d un nom dans le champ, afin d afficher tous les utilisateurs et groupes dont le nom commence par ces caractères. Répétez l opération pour ajouter autant d utilisateurs/groupes d utilisateurs que nécessaire. Étape 4 Sélectionnez le service d authentification et attachez le profil de serveur. 1. Dans le menu déroulant Authentification sélectionnez le type d authentification que vous utiliserez. 2. Sélectionnez le profil de serveur approprié dans le menu déroulant Serveur de profil. Étape 5 Validez vos modifications. Cliquez sur Valider, puis sélectionnez Panorama dans l option Type de validation. Définir une séquence d authentification Une séquence d authentification est une liste ordonnée de profils d authentification qui autorise l utilisation de plusieurs services d authentification. Les séquences d authentification offrent une flexibilité dans des environnements dans lesquels plusieurs bases de données existent pour différents utilisateurs et groupes d utilisateurs. Lorsque vous définissez une séquence d authentification, Panorama tente d authentifier l administrateur en utilisant chacun des profils de serveur configurés à la suite. Par exemple, une séquence d authentification peut demander à Panorama de vérifier d abord LDAP, RADIUS par la suite et pour finir; la base de données locale, jusqu à ce qu une authentification réussie ait lieu ; si elle échoue, l administrateur se voit refuser l accès. DÉFINIR UNE SÉQUENCE D AUTHENTIFICATION Étape 1. Créez une séquence d authentification. 1. Sélectionnez Panorama > Séquence d authentification, puis cliquez sur Ajouter. 2. Saisissez un Nom d utilisateur pour identifier le profil d authentification. 3. Cliquez sur Ajouter pour sélectionner la séquence chronologique de profils d authentification auxquelles les informations d identification doivent être comparées. Guide de l'administrateur Panorama 55

62 Configurer un accès administratif Configurer Panorama DÉFINIR UNE SÉQUENCE D AUTHENTIFICATION (SUITE) Étape 2 (Facultatif) Définissez les conditions de verrouillage d utilisateur administrateur. Étape 3 Enregistrez les modifications de configuration. 1. Saisissez le délai de verrouillage. Nombre de minutes pendant lequel l utilisateur est bloqué lorsqu il atteint le nombre maximal de tentatives échouées (0 à 60 minutes ; 0 par défaut). 0 signifie que le verrouillage s applique jusqu à ce qu il soit déverrouillé manuellement. 2. Saisissez le nombre de tentatives échouées. Il s agit du nombre d échecs de tentatives de connexion autorisés avant que le compte soit verrouillé (1 à 10, 0 par défaut). Par défaut, le nombre de tentatives échouées est de 0, et l utilisateur n est pas verrouillé malgré les échecs d authentification répétés. Cliquez sur Valider, puis sélectionnez Panorama dans l option Type de validation. Configurer l authentification administrative Les administrateurs peuvent s authentifier localement sur Panorama en utilisant des mots de passe et des certificats, ou peuvent s authentifier sur un serveur d authentification externe. Il existe trois options pour configurer l authentification administrative sur Panorama. Créez un compte utilisateur local et authentifiez-vous localement en utilisant l authentification par mot de passe, basée sur certificat ou sur clé. Reportez-vous aux sections Créer un compte d administrateur; Activer l authentification basée sur certificat pour l interface Web et Activer l authentification basée sur clé SSH pour l interface de ligne de commande. Créez un compte utilisateur local mais authentifiez-vous sur un serveur RADIUS/LDAP/Kerberos en utilisant des profils d authentification : Créez un profil serveur sur l onglet Panorama > Profil de serveur. Un profil de serveur est requis pour chaque service externe avec lequel Panorama doit interagir. Les détails de serveur nécessaires à l établissement de la connexion avec Panorama varient en fonction du service d authentification que vous prévoyez d utiliser. Créez un profil d authentification Reportez-vous à la section Créer un profil d authentification. (Accès basé sur rôle uniquement) Définissez un profil de rôle admin qui indique si l utilisateur a ou non accès à Panorama ou aux groupes et modèles de périphérique, reportez-vous à la section Créez un profil de rôle administrateur. Pour les rôles dynamiques, le profil de rôle admin n est pas nécessaire. Utilisez les attributs spécifiques au fournisseur (VSA) RADIUS pour gérer l accès administratif à Panorama. Utilisez cette option si vous ne voulez pas créer de compte local pour utilisateur administrateur sur Panorama, et si vous souhaitez utiliser votre infrastructure actuelle pour gérer l authentification et les mots de passe sur un serveur RADIUS. Pour une présentation détaillée du processus, reportez-vous à la section Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS. 56 Guide de l'administrateur Panorama

63 Configurer Panorama Configurer un accès administratif Activer l authentification basée sur certificat pour l interface Web Pour obtenir une alternative sécurisée à l utilisation d un mot de passe pour authentifier un utilisateur, activez l authentification basée sur certificat pour sécuriser l accès à Panorama. Avec l authentification basée sur certificat, une signature numérique est échangée et vérifiée, à la place d un mot de passe. Pour activer l authentification basée sur certificat, vous devez configurer Panorama pour utiliser un profil de certificat client (reportez-vous aux Étape 4 et Étape 5). Lorsque vous activez un profil de certificat client, chaque administrateur doit utiliser un certificat client pour accéder à Panorama. Utilisez les instructions suivantes pour activer l authentification basée sur certificat. Dans cet exemple, on utilise un certificat AC généré sur Panorama. ACTIVER L AUTHENTIFICATION BASÉE SUR CERTIFICAT Étape 1. Générez un certificat AC sur Panorama. Remarque Pour utiliser un AC de tiers ou d entreprise, vous devez importer un certificat AC dans Panorama. Étape 2 Créez et exportez le certificat client qui sera utilisé pour authentifier un administrateur. Pour générer un certificat AC sur Panorama : 1. Connectez-vous à l interface Web Panorama 2. Sélectionnez Panorama > Gestions de certificat > Certificats et cliquez sur Générer. 3. Saisisse un Nom de certificat. Ajoutez l adresse IP ou nom de domaine complet (FQDN) de Panorama pour le répertorier dans le champ Nom commun du certificat. Vous pouvez également modifier les paramètres cryptographiques et définir les options de certificat telles que le pays, l organisation ou l état. 4. Assurez-vous de laisser l option Signé par en blanc et sélectionnez l option Autorité de certification. 5. Cliquez sur Générer pour créer le certificat en utilisant les détails spécifiés ci-dessus. 1. Utilisez le certificat AC pour générer un certificat client pour l utilisateur administrateur spécifié. a. Sélectionnez Panorama > Gestion des certificats > Certificats, puis cliquez sur Générer. b. Dans le champ Nom commun, saisissez le nom de l administrateur pour lequel vous générez le certificat. La syntaxe du nom doit correspondre au format utilisé par le mécanisme d authentification local ou externe. c. Dans le champ Signé par, sélectionnez le même certificat AC que celui que vous avez créé à l Étape 1. d. Cliquez sur Générer pour créer le certificat. 2. Exportez le certificat client que vous venez de générer. a. Sélectionnez le certificat que vous venez de générer et cliquez sur Exporter. b. Pour coder la clé privée, sélectionnez PKCS12 en tant que Format de fichier. c. Saisissez une phase secrète pour crypter la clé privée et confirmez la saisie. d. Cliquez sur OK pour exporter le certificat. Guide de l'administrateur Panorama 57

64 Configurer un accès administratif Configurer Panorama ACTIVER L AUTHENTIFICATION BASÉE SUR CERTIFICAT (SUITE) Étape 3 Créez ou modifiez un compte administrateur pour activer l authentification du certificat client sur le compte. Étape 4 Créez le profil de certificat client qui sera utilisé pour sécuriser accès à l interface Web. 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur Ajouter. 2. Saisissez un nom de connexion pour l administrateur. Le nom est sensible à la casse. 3. Sélectionnez Utiliser uniquement l authentification du certificat client (Web) pour activer l utilisation du certificat d authentification. 4. Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez soit sélectionner un des rôles dynamiques prédéfinis, soit sélectionner un rôle personnalisé et lui associer un profil d authentification qui spécifie les privilèges d accès de cet administrateur. 5. (Facultatif) Pour les rôles personnalisés, sélectionnez les groupes de périphérique, les modèles et le contexte de périphérique que l utilisateur administrateur peut modifier. 6. Cliquez sur OK pour enregistrer les paramètres de compte. 1. Sélectionnez Panorama > Gestion de certificat > Profil de certificat et cliquez sur Ajouter. 2. Saisissez un nom de profil de certificat et, dans le champ nom d utilisateur, sélectionnez Sujet. 3. Sélectionnez Ajouter dans la section Certificats AC et, dans le menu déroulant Certificat AC, Sélectionnez le certificat AC que vous avez créé dans Étape 1. Étape 5 Configurez Panorama pour utiliser le profil de certificat client pour authentification. Étape 6 Enregistrez les modifications de configuration. 1. Sur l onglet Panorama > Configuration, cliquez sur l icône Modifier dans la section de Paramètres d authentification à l écran. 2. Dans le champ Profil de certificat, sélectionnez le profil de certificat client créé dans Étape Cliquez sur OK pour enregistrer vos modifications. Cliquez sur Valider, puis sélectionnez Panorama comme Type de validation. Vous serez déconnecté du périphérique Étape 7 Importez dans le navigateur Web du système client le certificat client d administrateur que ce dernier utilisera pour accéder à l interface web Panorama. Par exemple, dans Firefox : 1. Sélectionnez Outils > Options > Avancés. 2. Cliquez sur Afficher les certificats. 3. Sélectionnez l onglet Vos Certificats et cliquez sur Importer. Accédez à l emplacement où vous avez enregistré le certificat client. 4. Lorsque vous y êtes invité, saisissez une phrase secrète pour décrypter la clé privée. 58 Guide de l'administrateur Panorama

65 Configurer Panorama Configurer un accès administratif ACTIVER L AUTHENTIFICATION BASÉE SUR CERTIFICAT (SUITE) Étape 8 Vérifiez que l authentification basée sur certificat est configurée. 1. Depuis un système client sur lequel le certificat client est chargé, accédez à l adresse IP ou au nom d hôte Panorama. 2. Lorsque vous y êtes invité, sélectionnez le certificat client que vous avez importé dans Étape 7. Un avertissement de certificat s affiche. 3. Ajoutez le certificat à la liste d exceptions et connectez-vous à l interface Web Panorama. Activer l authentification basée sur clé SSH pour l interface de ligne de commande Pour activer l authentification basée sur la clé SSH, complétez le flux de travail suivant pour chaque utilisateur administrateur : ACTIVER L AUTHENTIFICATION SSH (BASÉE SUR CLÉ PUBLIQUE) Étape 1. Utilisez l outil de génération de clé SSH pour créer une paire de clés asymétrique sur la machine client. Les formats de clé pris en charge sont : IETF SECSH et Open SSH. Les algorithmes pris en charge sont : DSA (1024 bits) et RSA ( bits). Étape 2 Créez un compte pour l administrateur et activez l authentification basée sur certificat. Étape 3 Enregistrez les modifications de configuration. Pour en savoir plus sur les commandes requises pour générer les paires de clés, reportez-vous à la documentation produit de votre client SSH; La clé publique et la clé privée sont deux fichiers séparés. Enregistrez les deux dans un emplacement accessible à Panorama. Pour davantage de sécurité, saisissez une phrase secrète pour coder la clé privée. L administrateur sera invité à répondre à cette phrase secrète au moment de se connecter à Panorama. 1. Sélectionnez Panorama > Administrateurs, puis cliquez sur Ajouter. 2. Saisissez un nom d utilisateur et un mot de passe pour l administrateur. Assurez-vous de saisir un mot de passe fiable/complexe et enregistrez-le dans un endroit sûr ; Panorama demandera ce mot de passe en cas de corruption des certificats ou de panne système. 3. (Facultatif) Sélectionnez un profil d authentification. 4. Activez Utiliser l authentification à clef publique (SSH). 5. Cliquez sur Importer la clé et naviguez pour importer la clé publique créée dans Étape Sélectionnez le rôle à affecter à cet administrateur. Vous pouvez soit sélectionner les rôles dynamiques prédéfinis, soit un profil basé sur rôle personnalisé. Pour plus détails, reportez-vous à la section Créez un profil de rôle administrateur. 7. Cliquez sur OK pour enregistrer le compte. 8. Cliquez sur Valider, puis sélectionnez Panorama en tant qu option Type de validation. Guide de l'administrateur Panorama 59

66 Configurer un accès administratif Configurer Panorama ACTIVER L AUTHENTIFICATION SSH (BASÉE SUR CLÉ PUBLIQUE) (SUITE) Étape 4 Vérifiez que le client SSH utilise une clé privée pour authentifier la clé publique présentée par Panorama. 1. Configurez le client SSH pour qu il utilise la clé privée pour authentifier Panorama. 2. Connectez-vous à l interface de ligne de commande sur Panorama. 3. À l invite, saisissez la phrase secrète que vous avez définie au moment de la création des clés dans Étape 1. Utilisation des attributs VSA (Vendor-Specific Attributes) RADIUS Pour utiliser les VSA RADIUS, vous devez exécuter les tâches suivantes : Sur Panorama : Configurez un profil de serveur RADIUS (Panorama > Profils serveur > RADIUS). Créez un profil d authentification qui spécifie RADIUS comme protocole d authentification et associez le serveur de profil RADIUS (Panorama > Profils d authentification). Créez un profil de rôle administratif personnalisé avec un groupe de périphériques et le rôle de modèle (Panorama > Rôles admin). Configurez Panorama afin qu il utilise le profil d authentification (Configuration > Gestion > Paramètres d authentification > Profil d authentification). (Requis uniquement en cas d utilisation du VSA : PaloAlto-Panorama-Admin-Accès-Domaine) Si vous souhaitez restreindre l accès administratif à des périphériques gérés, des modèles et/ou des groupes de périphériques spécifiques, définissez un domaine d accès (Panorama > Domaines d accès). Sur le serveur RADIUS : Ajoutez l adresse IP ou le nom d hôte du client RADIUS; Définissez les VSA pris en charge par Panorama. Pour définir un attribut, utilisez le code fournisseur (25461), le nom d attribut (assurez-vous qu il correspond au nom de profil de rôle/domaine d accès admin défini sur Panorama, il est sensible à la casse), le numéro, le format (la chaîne). PaloAlto-Panorama-Admin-Role, attribute #3 PaloAlto-Panorama-Admin-Access-Domain, attribute #4 Pour obtenir des instructions détaillées de la configuration d authentification à l aide des VSA RADIUS, reportez-vous aux documents suivants. Sous Windows 2003 Server et Cisco ACS 4.0: Sous Cisco ACS 5.2 : 60 Guide de l'administrateur Panorama

67 3 Gérer les pare-feu et la collecte de journaux Panorama fournit deux fonctions principales : il centralise le processus d administration des pare-feu Palo Alto Networks, et offre la visibilité du trafic réseau par le biais de rapports agrégés. Pour administrer les périphériques et générer des rapports sur le trafic réseau, vous devez ajouter les pare-feu à Panorama en tant que périphériques gérés, puis les configurer pour qu ils transmettent les journaux à Panorama ou au Collecteur de journaux. Cette section inclut les rubriques suivantes : Gérer vos pare-feu Activer la journalisation Déployer les mises à jour logicielles et gérer les licences Remplacer un périphérique géré par un nouveau périphérique, pour remplacer un périphérique RMA (Return Merchandise Authorization) Transition d un périphérique vers une gestion centralisée Guide de l'administrateur Panorama 61

68 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Panorama est conçu pour être le point central de l administration de pare-feu. Le flux de travail de ce document est parfaitement adapté au premier déploiement de pare-feu. Consultez Planification de votre déploiement, puis continuez avec les sections suivantes : Ajouter les périphériques gérés Créer des groupes de périphériques Créer des modèles Configurer les pare-feu pour transmettre les journaux à Panorama Valider les modifications sur Panorama Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut Utiliser Panorama pour configurer les périphériques gérés : Un exemple Pour afficher les onglets Objets, Politiques de l interface Web de Panorama, vous devez d abord créer au moins un groupe de périphériques, et au moins un modèle pour que les onglets Réseau et Périphériques s affichent. Ces onglets incluent les options de configuration nécessaires pour configurer et gérer les pare-feu sur votre réseau. Si vous avez d ores et déjà configuré ou déployé des pare-feu sur votre réseau, le processus de migration de la configuration, des politiques et des objets locaux des pare-feu vers une gestion centralisée nécessite une bonne connaissance de l écriture et de l utilisation de l API REST sur les pare-feu. Pour rendre cette transition efficace, Palo Alto Networks recommande de travailler avec des partenaires formés et certifiés, familiarisés avec les phases de planification, de mise en œuvre et de vérification du processus de migration. Contactez votre revendeur ou votre partenaire agréé pour plus d informations sur les offres de support qui vous sont proposées. Pour obtenir un bref aperçu du processus, consultez Transition d un périphérique vers une gestion centralisée et pour plus d informations, reportez-vous à l article : Note technique sur la migration de données Panorama. Ajouter les périphériques gérés L ajout de pare-feu à Panorama est la première opération à effectuer pour pouvoir assurer une gestion centralisée à l aide de Panorama. Avant de commencer, notez les numéros de série de l ensemble des périphériques que vous souhaitez gérer avec Panorama. Pour gérer un pare-feu à l aide de Panorama, préparez chaque pare-feu comme suit : Effectuez la configuration initiale sur le pare-feu, afin que le périphérique soit accessible et puisse communiquer avec Panorama via le réseau. Ajoutez la ou les adresses IP (un serveur ou deux, si Panorama est configuré dans une paire haute disponibilité) dans la section Paramètres de Panorama de l onglet Périphérique > Configuration > Gestion et validez les modifications. 62 Guide de l'administrateur Panorama

69 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Installez les interfaces de données. Pour chaque interface que vous prévoyez d utiliser, sélectionnez un type d interface et associez-le à une zone de sécurité, de façon à pouvoir diffuser la configuration et la stratégie de Panorama. Vous pouvez ensuite ajouter les pare-feu en tant que périphériques sur Panorama en procédant comme suit : AJOUTER LES PÉRIPHÉRIQUES À GÉRER Étape 1. Ajoutez un ou plusieurs périphériques à Panorama Étape 2 Vérifiez que le périphérique est bien connecté à Panorama. 1. Sélectionnez Panorama > Périphériques gérés. 2. Cliquez sur Ajouter et saisissez le numéro de série de chacun des périphériques que vous voulez gérer de façon centralisée à l aide de Panorama. Ajoutez uniquement une entrée par ligne. 3. Cliquez sur OK. Les derniers périphériques ajoutés s affichent dans le volet Périphériques gérés. 4. (Optionnel) Ajoutez une balise. Les balises facilitent la détection d un périphérique dans une longue liste, et elles vous permettent de filtrer et de limiter la liste des pare-feu qui s affichent de façon dynamique. Par exemple, si vous ajoutez une balise libellée Succursale, vous pouvez définir un filtre pour tous les périphériques de filiales de votre réseau. a. Sélectionnez la case à cocher correspondant au périphérique géré. b. Cliquez sur Étiquette. Cliquez sur Ajouter et saisissez une chaîne comprenant jusqu à 31 caractères sans espace c. Cliquez sur OK. 5. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Si le pare-feu est accessible sur le réseau et si l adresse IP de Panorama est configurée sur le périphérique, Panorama doit être en mesure de se connecter au périphérique. Guide de l'administrateur Panorama 63

70 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Créer des groupes de périphériques Une fois les périphériques ajoutés, vous pouvez les regrouper dans groupes de périphériques. Un groupe de périphériques peut inclure un ou plusieurs pare-feu ou systèmes virtuels qui utilisent des politiques et des objets et peuvent donc être efficacement gérés en tant qu unité logique. Lorsque vous gérez des pare-feu configurés en configuration haute disponibilité en mode actif-passif, assurez-vous de placer les deux périphériques dans le même groupe de périphériques dans Panorama. Il est essentiel de s assurer que les mêmes politiques et objets sont appliqués aux deux périphériques de la paire HD. Les politiques transférées de Panorama ne sont pas configurées entre les homologues HD de pare-feu. CRÉER LES GROUPES DE PÉRIPHÉRIQUES Étape 1. Créer un ou des groupes de périphériques Remarque Un périphérique ne peut appartenir qu à un groupe de périphériques. Si le périphérique contient plusieurs systèmes virtuels, chacun d entre eux peut appartenir à un groupe de périphériques différent. Étape 2 Commencez à administrer les politiques de façon centralisée sur les périphériques des groupes de périphériques. 1. Sélectionnez Panorama > Groupes de périphériques, puis cliquez sur Ajouter. 2. Saisissez un Nom unique et une Description afin d identifier le groupe de périphériques. 3. Utilisez les filtres pour sélectionner les périphériques que vous souhaitez ajouter au groupe. 4. (Facultatif) Cochez la case Regrouper les homologues HD pour les pare-feu qui sont configurés en tant qu homologues HD. L ajout de deux périphériques ou systèmes virtuels au même groupe de périphériques vous permet d appliquer les polices et les objets partagés simultanément sur les deux homologues. Remarque Pour regrouper les homologues HD, les périphériques doivent exécuter PAN-OS 5.0 ou version ultérieure. 5. (Facultatif) Si vous prévoyez de recourir à des utilisateurs ou à des groupes de politique, vous devez affecter un périphérique Principal au groupe de périphériques. Le périphérique principal est le pare-feu à partir duquel Panorama rassemble les noms d utilisateurs et les données de groupe d utilisateurs pour les utiliser dans le cadre des politiques. 6. Cliquez sur OK. 7. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Enregistrez les modifications de la configuration s exécutant sur Panorama. 8. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en tant que Type de validation. Appliquez les modifications de périphériques au groupe de périphériques. Créer des objets à utiliser dans les politiques partagées ou de groupe de périphériques Gérer les objets partagés Politiques ciblées sur un sous-ensemble de périphériques Afficher la hiérarchie de règle et détecter les règles non utilisées Par exemple, reportez-vous à la section Utiliser Panorama pour configurer les périphériques gérés : Un exemple 64 Guide de l'administrateur Panorama

71 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Créer des objets à utiliser dans les politiques partagées ou de groupe de périphériques Un Objet est un conteneur regroupant des identités discrètes comme des adresses IP, des URL, des applications ou des utilisateurs à utiliser pour la mise en œuvre des politiques. Vous pouvez utiliser Panorama pour créer et cloner tous les objets de l onglet Objets tels que l Adresse/Groupe d adresses, Région ou Utilisateur/Groupe d utilisateurs. Ces objets de politiques peuvent être partagés entre tous les périphériques gérés ou s appliquer spécifiquement à un groupe de périphériques. Un objet partagé est un composant réutilisable créé sur Panorama. Il est partagé entre tous les groupes de périphériques et peut être référencé dans des politiques partagées ou des politiques de groupe de périphériques. Il permet de réduire les frais administratifs et garantit la cohérence de configuration des pare-feu. Un objet groupe de périphériques est spécifique au groupe de périphériques sur lequel il est défini. Il peut être utilisé uniquement dans le groupe de périphériques dans lequel il a été créé et ne pas apparaître lors de la configuration d autres groupes de périphériques ou de règles et objets partagés. Par exemple, un objet de groupe de périphériques défini par un ensemble d adresses IP de serveur Internet créé dans le groupe de périphériques des centres de données n est pas disponible pour les autres groupes de périphériques ou les politiques partagées. CRÉER DES OBJETS Créer un objet partagé. Dans cet exemple, nous allons utiliser un objet partagé pour URL, des catégories de filtrage pour lesquelles nous voulons déclencher une alerte. 1. Sélectionnez l onglet Objets > Profils de sécurité > Filtrage des URL tab, puis cliquez sur Ajouter. Si l onglet Objets ne s affiche pas, reportez-vous à la section Ajouter les périphériques gérés pour ajouter un groupe de périphériques. L interface Web de Panorama affiche l onglet Objets uniquement si vous avez créé un groupe de périphériques. 2. Saisissez un Nom et une Description. 3. Cochez la case Partagé. Si vous ne sélectionnez pas l option, l objet fera partie du groupe de périphériques actuellement affiché dans le menu déroulant Groupe de périphériques. 4. Cochez la case correspondant aux Catégories URL pour lesquelles vous voulez être notifié et sélectionnez Alerte dans la colonne Action, puis cliquez sur OK. 5. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Guide de l'administrateur Panorama 65

72 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux CRÉER DES OBJETS Créez un objet de groupe de périphériques. Dans cet exemple, nous allons ajouter un objet de groupe de périphériques pour des serveurs Web spécifiques à votre réseau. 1. Sélectionnez le groupe de périphériques pour lequel vous prévoyez d utiliser l objet dans le menu déroulant Groupe de périphériques. 2. Sélectionnez l onglet Objets > Adresses. 3. Sélectionnez Adresse, puis cliquez sur Ajouter. 4. Vérifiez que la case à cocher Partagé n est pas sélectionnée. 5. Saisissez un Nom, une Description, et sélectionnez le Type de l objet d adresse dans le menu déroulant. Par exemple, sélectionnez Plages d adresses IP et incluez la plage d adresses IP des serveurs Web pour lesquels vous souhaitez créer un objet adresse. 6. Cliquez sur OK. 7. Validez vos modifications. a. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Cette opération permet d enregistrer les modifications de la configuration en cours de fonctionnement sur Panorama. b. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en tant que Type de validation. Cette opération permet d appliquer les modifications de périphériques au groupe de périphériques. Afficher les objets partagés et les objets de groupe de périphériques dans Panorama. Pour montrer la différence entre un objet partagé et un objet de groupe de périphérique, l écran qui suit inclut un objet d adresse partagée créée sur Panorama. La colonne Emplacement de l onglet Objets mentionne si un objet est partagé ou s il est spécifique à un groupe de périphériques. 1. Sélectionnez le groupe de périphériques pour lequel vous venez de créer un objet de groupe de périphériques dans le menu déroulant Groupe de périphériques. 2. Sélectionnez l onglet Objets > Adresses et vérifiez que l objet groupe de périphériques s affiche. Notez que le nom de groupe de périphériques de la colonne Emplacement correspond à la sélection effectuée dans le menu déroulant Groupe de périphériques. Remarque Si un autre groupe de périphériques est sélectionné dans le menu déroulant Groupe de périphériques, seuls les objets de groupe de périphériques (et les objets partagés) créés pour le groupe de périphériques sélectionné s affichent. 66 Guide de l'administrateur Panorama

73 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Gérer les objets partagés Vous pouvez configurer le mode de gestion des objets partagés de Panorama. Posez-vous les questions suivantes : Souhaitez-vous configurer Panorama uniquement pour appliquer des objets partagés référencés dans les politiques partagées, ou bien dans les politiques de groupe de périphériques auquel le périphérique appartient. Par exemple, disons que tous les objets de votre déploiement sont définis en tant qu objets partagés, mais que vous ne vouliez transmettre que les objets pertinents de chaque groupe de périphériques. La case à cocher Partager les objets d adresse et de service non utilisés avec les périphériques vous permet de limiter les objets sont transmis aux périphériques gérés. Par défaut, Panorama transmet tous les objets partagés (utilisés ou non utilisés) aux périphériques gérés. Sur les plates-formes de bas de gamme, comme le PA-200, envisagez de transmettre uniquement les objets partagés concernés aux périphériques gérés, et ce, parce que le nombre d objets qui peut être stocké sur les plates-formes de bas de gamme est considérablement plus bas que celui des plates-formes de milieu ou de haut de gamme. Et si vous disposez de nombreux objets adresse et service inutilisés, le fait de désélectionner la case à cocher Partager les objets d adresse et de service non utilisés avec les périphériques réduit de façon significative les délais de validation sur les périphériques, car la configuration transmise à chaque périphérique est moins volumineuse. La désactivation de cette option peut cependant augmenter le temps de validation sur Panorama, et ce, parce que Panorama doit vérifier de façon dynamique si un objet particulier est référencé dans la politique. OBJETS PARTAGÉS NON UTILISÉS Désactivez le partage des objets d adresse et de service non utilisés avec les périphériques. 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres de Panorama. 2. Décochez la case Partager les objets d adresse et de service non utilisés avec les périphériques. Vous voulez peut-être vous assurer que l objet partagé a la priorité sur un objet qui a le même nom que l objet du groupe de périphériques. Par défaut, les objets partagés n écrasent aucun objet de groupe de périphériques portant le même nom qu un objet partagé. Si vous voulez éviter de remplacer les objets définis comme objets partagés sur Panorama, vous pouvez activer l option Priorité des objets partagés. Lorsqu ils sont activés, tous les objets d un groupe de périphériques portant le même nom sont éliminés et les paramètres d objet partagés sont transmis aux périphériques gérés. PRIORITÉ DES OBJETS PARTAGÉS Assurez-vous que les objets partagés ont toujours la priorité sur les objets de groupe de périphériques. 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres de Panorama. 2. Cochez la case Priorité des objets partagés. Guide de l'administrateur Panorama 67

74 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Politiques ciblées sur un sous-ensemble de périphériques Une politique cible vous permet de spécifier les périphériques d un groupe de périphériques auxquels appliquer la politique. Il vous permet d exclure un ou plusieurs périphériques ou systèmes virtuels, ou de n appliquer la règle qu aux périphériques ou systèmes virtuels spécifiques d un groupe de périphériques. La possibilité de cibler une politique vous permet de garder les politiques centralisées sur Panorama. Il est ainsi possible d avoir une bonne visibilité et d obtenir une certaine efficacité dans la gestion des règles. Au lieu de créer des règles locales sur un périphérique ou un système virtuel, les règles de politique ciblées vous permettent de définir des règles (comme des règles avant ou après partagées ou de groupes de périphériques) sur Panorama. CIBLER UNE POLITIQUE Étape 1. Créez une politique. 1. Sélectionnez le Groupe de périphériques pour lequel vous voulez définir la politique. 2. Sélectionnez l onglet Politiques et sélectionnez la base de règle pour laquelle vous voulez créer une politique. Par exemple, définissez une règle avant dans la base de règle de politique de sécurité qui permet aux utilisateurs du réseau interne d accéder aux serveurs du DMZ. a. Cliquez sur Ajouter dans Politiques > Sécurité > Règles avant. b. Donnez à la règle un nom descriptif dans l onglet Général. c. Dans l onglet Source, définissez Zone source sur De confiance. d. Dans l onglet Destination, définissez Zone de destination sur DMZ. e. Dans l onglet Catégorie de service/d URL, définissez Service sur Par défaut de l application. f. Dans l onglet Actions, définissez Paramètres d action sur Autoriser. g. Laissez toutes les autres valeurs à leurs valeurs par défaut. 68 Guide de l'administrateur Panorama

75 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu CIBLER UNE POLITIQUE (SUITE) Étape 2 Ciblez la politique pour inclure ou exclure un sous-ensemble de périphériques. Pour appliquer la politique à un ensemble de périphériques sélectionné. 1. Sélectionnez l onglet Cible dans la fenêtre des règles de politique. 2. Sélectionnez les périphériques auxquels vous voulez que la règle s applique. Remarque Par défaut, même si la case à cocher des systèmes virtuels du groupe de périphériques n est pas sélectionnée, tous les systèmes virtuels hériteront la règle à la validation. Sélectionnez la case à cocher d un ou de plusieurs systèmes virtuels auxquels vous voulez que la règle s applique. 3. (Optionnel) Pour exclure un sous-ensemble de périphériques de l héritage de la règle de politique, cochez la case Installer sur tous les périphériques sauf sur ceux indiqués. 4. Cliquez sur OK. 5. Enregistrez les modifications de configuration. a. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. b. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en tant que Type de validation pour appliquer les modifications aux périphériques sélectionnés dans Groupe de périphériques. Afficher la hiérarchie de règle et détecter les règles non utilisées L ordre des règles est essentiel pour sécuriser votre réseau. Les règles de politique sont évaluées de haut en bas. Une correspondance est établie entre un paquet et la première règle répondant aux critères définis. après avoir déclenché une correspondance, les règles suivantes ne sont pas évaluées. Par conséquent, les règles les plus spécifiques doivent précéder les plus génériques afin d appliquer les meilleurs critères de correspondance. Guide de l'administrateur Panorama 69

76 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Utilisez la procédure suivante pour vérifier l ordre des règles et effectuer les modifications appropriées : PRÉVISUALISEZ LES RÈGLES ET AFFICHEZ LES RÈGLES NON UTILISÉES Étape 1. Affichez la hiérarchie de chaque base de règle. 1. Sélectionnez l onglet Politiques, puis cliquez sur Prévisualiser les règles. 2. Utilisez les filtres qui suivent pour afficher les règles : Base de règle : Sélectionnez une base de règle et affichez les règles définies pour cette dernière (Sécurité, NAT, qualité de service (QoS), PBS (Policy Based Forwarding - transmission basée sur les règles), Décryptage, Portail captif, de contrôle prioritaire ou Protection DoS. Groupe de périphériques : Pour la base de règle sélectionnée, vous pouvez afficher toutes les politiques partagées ou sélectionner un Groupe de périphériques spécifique dont vous souhaitez voir la liste combinée de politiques héritées de Panorama, et de celles définies localement. Périphérique : Pour la base de règle sélectionnée et le groupe de périphériques, vous pouvez afficher la liste des politiques qui seront évaluées sur un périphérique spécifique du groupe de périphériques. Toutes les règles partagées et les groupes de périphériques héritées de Panorama s affichent en vert. Les règles locales du périphérique sont affichées en bleu. Les règles locales sont comprises entre les règles avant et les règles après. 3. Fermez la fenêtre des règles associées pour quitter le mode de prévisualisation. Étape 2 Trouvez les règles non utilisées, et supprimez ou désactivez les règles si nécessaire. Chaque périphérique garde un indicateur pour les règles ayant une correspondance. Panorama surveille chaque périphérique, atteint et agrège la liste de règles qui n a pas de correspondance. Comme l indicateur est réinitialisé à l occasion de la réinitialisation du panneau de données au moment d un redémarrage, dans le cadre des meilleures pratiques, contrôlez cette liste régulièrement pour déterminer si la règle a eu une correspondance depuis le dernier contrôle avant de la supprimer ou de la désactiver. 1. Sélectionnez l onglet Politiques, puis cliquez sur Surligner les règles inutilisées. Les règles non utilisées actuellement s affichent avec un arrière-plan pointillé jaune. 2. (Optionnel) Pour supprimer une règle inutilisée, sélectionnez-la, puis cliquez sur Supprimer. 3. (Facultatif) Pour désactiver une règle, sélectionnez-la, puis cliquez sur Désactiver. La règle désactivée s affiche en italique. Étape 3 Réorganisez les règles dans une base de règles avant ou après sélectionnée, si nécessaire. 1. Dans une base de règles, sélectionnez la règle que vous souhaitez déplacer. 2. Cliquez sur les options Déplacer en haut, Déplacer en bas, Déplacer vers le haut ou Déplacer vers le bas pour redéfinir l emplacement de la règle. Remarque Pour ordonner les règles locales sur le périphérique, placez-vous dans le contexte du périphérique local. 70 Guide de l'administrateur Panorama

77 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu PRÉVISUALISEZ LES RÈGLES ET AFFICHEZ LES RÈGLES NON UTILISÉES (SUITE) Étape 4 Si vous avez modifié les règles, enregistrez les modifications. 1. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. 2. Cliquez sur Valider, puis sélectionnez Groupe de périphériques en tant que Type de validation pour transmettre les modifications aux périphériques sélectionnés dans le groupe de périphériques. Créer des modèles Les modèles Panorama vous permettent de gérer les options de configuration sur les onglets Périphérique et Réseau des pare-feu gérés. Grâce aux modèles, vous pouvez définir une configuration de base centraliser les nouveaux pare-feu, puis intégrer des exceptions spécifiques aux périphériques dans la configuration, si nécessaire. Vous pouvez, par exemple, utiliser des modèles pour définir un accès administratif au périphérique, définir un ID utilisateur, gérer les certificats, définir les pare-feu dans une paire haute disponibilité, définir des paramètres de journaux et des profils de serveur sur les pare-feu. Lorsque vous créez des modèles, assurez-vous d affecter les périphériques similaires à un modèle. Par exemple, regroupez les périphériques avec un système virtuel unique dans un modèle, et les périphériques compatibles avec des systèmes virtuels multiples dans un autre, ou regroupez les périphériques nécessitant une interface réseau et la configuration de zone très similaires dans un modèle. Voir les sections suivantes pour plus d informations sur le travail avec les modèles : Pourquoi ne peut-on pas utiliser les modèles? Ajouter un nouveau modèle Paramètres de modèle de contrôle prioritaire Désactiver les paramètres de modèle Pourquoi ne peut-on pas utiliser les modèles? Pour les pare-feu exécutant PAN-OS 4x, l utilisation des modèles Panorama se limite à ce qui suit : Création de pages de réponse Définition de profils et séquences d authentification Création de certificats auto-signés sur Panorama ou importation de certificats Création de certificats d authentification client (désignés par profils de certificats dans Panorama 5.0 et ultérieur) Création de profils serveur : Pièges SNMP, syslog, messagerie, NetFlow, RADIUS, LDAP et Kerberos Pour les pare-feu exécutant PAN-OS 5x et versions ultérieures, les modèles vous permettent de configurer une large gamme de paramètres avec les exceptions suivantes : Les modes opérationnels tels que le mode multi-vsys, le mode FIPS ou le mode CC utilisant les modèles ne peuvent pas être activés. Ces paramètres opérationnels doivent être configurés en local sur chaque périphérique. Guide de l'administrateur Panorama 71

78 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Ne peut pas configurer les détails d adresse IP pour les paires HD du pare-feu. L adresse IP de l homologue HA1, l adresse IP de l homologue de sauvegarde HA1, l adresse IP de l homologue HA2, l adresse IP de l homologue de sauvegarde HA2 doivent être configurées localement sur chaque périphérique géré. Il est impossible de configurer une clé principale et des diagnostics. Ajouter un nouveau modèle Les onglets Périphérique et Réseau nécessaires à la définition des éléments d installation du réseau et les éléments de configuration de périphérique sur le pare-feu ne s afficheront pas avant que vous ayez ajouté un modèle à Panorama. Utilisez les instructions qui suivent pour ajouter un nouveau modèle. AJOUTER UN MODÈLE Étape 1. Ajoutez un nouveau modèle. 1. Sélectionnez Panorama > Modèles. 2. Cliquez sur Ajouter et saisissez un nom unique et une description pour identifier le modèle. 3. (Facultatif) Cochez la case Systèmes virtuels si le modèle doit être utilisé sur des périphériques compatibles multi-vsys équipés de la fonctionnalité multi-vsys. Remarque Un échec de validation se produira si un modèle équipé pour les périphériques avec la fonctionnalité multi-vsys est transmis à des périphériques non équipés de multi-vsys et non équipés pour la fonctionnalité multi-vsys. 4. Spécifiez le Mode opérationnel des périphériques auxquels le modèle s appliquera. La valeur par défaut est normal ; changez pour cc ou fips, comme indiqué. La validation de modèle échouera s il existe une non-correspondance entre le mode opérationnel spécifié sur le modèle et celui qui est activé sur les périphériques inclus dans le modèle. 5. (Optionnel) Sélectionnez Mode VPN désactivé lors de la création de modèles pour les matériels comportant l indicateur -NV dans leur nom. Ces modèles sont codés en dur pour interdire la configuration VPN dans les pays qui n autorisent pas la connectivité VPN. 6. Sélectionnez les Périphériques pour lesquels vous prévoyez d utiliser le modèle. Pour appliquer un modèle à un périphérique, vous devez sélectionner les périphériques individuellement. Remarque Si un nouveau périphérique géré est ajouté à Panorama, vous devez l ajouter au modèle approprié. Lorsque vous validez vos modifications dans le modèle, la configuration est diffusée à tous les périphériques affectés au modèle. 7. (Facultatif) Cochez la case Regrouper les homologues HD pour les pare-feu qui sont configurés en tant qu homologues HD. Ajout des deux périphériques ou systèmes virtuels à la même configuration sur les deux homologues. 8. Cliquez sur OK. 9. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. 10. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type de validation pour diffuser les modifications aux périphériques inclus dans le modèle. 72 Guide de l'administrateur Panorama

79 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu AJOUTER UN MODÈLE (SUITE) Étape 2 Vérifiez que le modèle est disponible. Étape 3 Appliquez une modification de configuration en utilisant le modèle. Étape 4 Vérifiez que le périphérique est configuré avec les paramètres de modèle que vous avez transmis depuis Panorama. Une fois le premier modèle ajouté, les onglets Périphérique et Réseau s afficheront sur Panorama. Dans les onglets Réseau et Périphérique, un menu déroulant Modèle s affiche. Vérifiez que le modèle récemment ajouté apparaît bien dans le menu déroulant. Spécifiez une configuration de base définissant un Serveur DNS principal pour les périphériques dans le modèle. 1. Dans le menu déroulant Modèle, sélectionnez le modèle que vous souhaitez configurer. 2. Sélectionnez Périphérique > Configuration > Services et modifiez la section Services. 3. Saisissez une adresse IP pour Serveur DNS principal. 4. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. 5. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type de validation pour diffuser les modifications aux périphériques inclus dans le modèle sélectionné. 1. Passez au contexte de périphérique d un pare-feu que vous avez transmis au paramètre à l aide du modèle. 2. Accédez à Périphérique > Configuration > Services. L adresse IP que vous avez transmise à l aide du modèle s affiche. L icône de modèle s affiche elle aussi. Remarque Pour supprimer/retirer un modèle, vous devez désactiver ce modèle sur le périphérique géré localement. Vous devez détenir les privilèges de super utilisateur sur le périphérique pour désactiver le modèle. Paramètres de modèle de contrôle prioritaire Lorsque les modèles vous permettent de créer une configuration de base pouvant être appliquée à plusieurs périphériques, vous pouvez configurer les paramètres spécifiques de périphériques qui ne sont pas applicables à tous les périphériques d un modèle. La priorité du modèle autorise les exceptions ou les modifications pour répondre à vos besoins en déploiement. Si par exemple, un modèle a été utilisé pour créer une configuration de base, mais que quelques périphériques d un environnement de laboratoire de test ont besoin d autres paramètres d adresse IP du serveur DNS ou du serveur NTP, vous écraserez les paramètres définis dans le modèle. ÉCRASEMENT DES PARAMÈTRES DE MODÈLE Étape 1. Accédez à l interface Web du périphérique géré. Vous pouvez soit lancer directement l adresse IP du pare-feu, soit passer au contexte de périphérique sur Panorama. Guide de l'administrateur Panorama 73

80 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux ÉCRASEMENT DES PARAMÈTRES DE MODÈLE (SUITE) Étape 2 Naviguez vers la configuration du périphérique que vous voulez modifier. Dans cet exemple, nous allons écraser l adresse IP de serveur DNS que vous avez affectée à l aide d un modèle dans la section Créer des modèles. 1. Accédez à Périphérique > Configuration > Services et modifiez la section Services. 2. Pour écraser le modèle, cliquez sur l icône pour remplacer la valeur définie dans l adresse IP du serveur DNS principal. 3. Saisissez une nouvelle valeur pour le serveur DNS principal. Notez que l icône d écrasement du modèle s affiche pour indiquer que la valeur transmise à l aide du modèle a été modifiée sur le périphérique. 4. Cliquez sur OK. 5. Cliquez sur Valider pour enregistrer vos modifications sur le périphérique. Désactiver les paramètres de modèle Si vous souhaitez arrêter d utiliser des modèles pour gérer la configuration sur un périphérique géré, vous pouvez désactiver le modèle. Lorsque vous désactivez un modèle, vous pouvez choisir de copier les paramètres de modèle sur la configuration de périphérique local ou de supprimer les valeurs autrefois écrasées par le modèle. ÉCRASEMENT DES PARAMÈTRES DE MODÈLE 1. Accédez à l interface Web du périphérique géré. Vous pouvez soit lancer directement l adresse IP du pare-feu, soit passer au contexte de périphérique sur Panorama. Remarque Les privilèges de super utilisateur sont requis pour désactiver les modèles. 2. Sélectionnez Périphérique > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres de Panorama. 3. Sélectionnez Désactiver le modèle de réseau et de périphérique. 4. (Optionnel) Sélectionnez Importer le modèle de réseau et de périphérique avant la désactivation, pour enregistrer les paramètres de configuration en local sur le périphérique. Si cette option n est pas sélectionnée, tous les paramètres forcés de Panorama seront supprimés du périphérique. 5. Cliquez sur OK. 6. Cliquez sur Valider pour enregistrer les modifications. 74 Guide de l'administrateur Panorama

81 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Configurer les pare-feu pour transmettre les journaux à Panorama Par défaut, tous les fichiers journaux sont générés et stockés localement sur le pare-feu. Pour pouvoir agréger les journaux sur Panorama, vous devez configurer chaque pare-feu pour qu il transmette les journaux à Panorama. Si vous avez des politiques de conformité qui nécessitent l archivage des données, vous pouvez également transmettre les journaux à un service externe pour l archivage, la notification et/ou l analyse. Panorama ne peut pas transmettre les journaux reçus de la part des pare-feu à un serveur externe. Pour configurer la transmission, exécutez les tâches suivantes : Créez un Profil de serveur pour chaque service externe auquel vous souhaitez que les pare-feu transmettent leurs journaux (Syslog, messagerie électronique, SNMP, pièges). Un profil de serveur définit comment accéder au serveur distant et authentifier le service si nécessaire. Vous n avez pas besoin de profil serveur si vous prévoyez de transmettre les journaux uniquement à Panorama ou à un collecteur de journaux. Configurez chaque type de journal pour le transfert. Pour chaque type de journal, vous pouvez préciser si vous le transmettez vers un syslog, une messagerie électronique et/ou un récepteur de piège SNMP, en plus de Panorama. Si vous disposez d une architecture de collecte de journaux distribuée, lorsque la transmission de Panorama est activée, la liste de préférences de transmission de journal est utilisée pour transmettre les journaux aux collecteurs de journaux configurés. Comme vous pouvez effectuer ces tâches manuellement sur chaque pare-feu, il est possible d utiliser des groupes de périphériques et des modèles sur Panorama pour rationaliser le flux de travail. Type de journal Description Flux de travail utilisant Panorama Journaux de trafic Journaux de menaces (inclut les URL, les journaux de filtrage, WildFire et les journaux de filtrage des données) Pour transmettre les journaux de trafic, vous devez configurer un profil de transfert des journaux et l ajouter aux politiques de sécurité à transmettre. Seul le trafic correspondant à une règle spécifique est consigné et transmis. Pour transmettre les journaux de menaces, vous devez créer un profil de transfert de journaux qui spécifie les niveaux de gravité que vous souhaitez transférer et les ajoute aux politiques de sécurité que vous souhaitez transmettre. Vous devez rattacher un profil de sécurité (antivirus, anti logiciel espion, protection contre les vulnérabilités, filtrage d URL, blocage des fichiers, filtrage des données et protection DoS) à la politique de sécurité. Une entrée de journal de menaces ne sera créée (et donc, transférée) que si le trafic associé correspond à un profil de sécurité. Les résultats des fichiers analysés par WildFire sont inclus avec des journaux de menaces. Les entrées de journaux WildFire avec un verdict bénin sont enregistrées en tant qu Informations, tandis que celles portant un verdict de logiciel malveillant sont consignées en tant que Moyenne. Alors, pour permettre le transfert de journaux vers Panorama et vers un serveur syslog, vous devez activer les événements de niveau information et de gravité moyenne. Utilisez les Groupes de périphériques pour créer un profil de transfert des journaux et transmettre les journaux de trafic et de menaces (Objets > Transfert de journaux) à Panorama et à un service externe/serveur syslog si nécessaire. Si vous transférez les journaux vers un service externe/serveur Syslog, vous devez créer un profil de serveur Syslog (Périphérique > Profils de serveur > Syslog). Le profil de transfert de journal utilise le profil de serveur Syslog que vous configurez avec Modèles pour accéder au serveur. Tous les journaux de trafic et de menaces transmis à Panorama sont visibles sur l onglet correspondant de l onglet Surveillance > Journaux. Guide de l'administrateur Panorama 75

82 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Type de journal Description Flux de travail utilisant Panorama Journaux systèmes Journaux de configuration Journaux de correspondance HIP Les journaux système affichent chaque événement système, par exemple les échecs HD, les modifications d état de lien et les accès administratifs au périphérique. Pour chaque niveau de gravité dont vous voulez transférer les journaux, vous devez sélectionner le transfert vers Panorama, Messagerie électronique, pièges SNMP et un serveur syslog le cas échéant. Les journaux de configuration enregistrent les modifications apportées à la configuration. Pour permettre le transfert des journaux de configuration, vous devez sélectionner le transfert vers Panorama, la messagerie électronique, les pièges SNMP et un serveur syslog le cas échéant. Pour permettre le transfert des journaux de correspondance HIP, vous devez sélectionner le transfert vers Panorama, la messagerie électronique, les pièges SNMP et le serveur syslog le cas échéant. Les journaux de correspondance HIP (Profil d informations hôte) sont utilisés pour compiler les informations sur les clients GlobalProtect. Un journal de correspondance HIP est généré lorsqu un périphérique envoie un rapport HIP et un profil HIP est configuré avec des objets HIP par exemple, une version de système d exploitation, le niveau de correctif, le cryptage de disque, la version d antivirus, entre autres, qui correspondent sur le périphérique. Pour les journaux système, de configuration et de correspondance HIP, vous devez configurer un modèle et cocher l option Panorama pour permettre le transfert vers Panorama dans l onglet correspondant de l onglet Périphérique > Paramètres des journaux. Pour transférer des journaux système à un service externe pour archivage sur des serveurs syslog traditionnels ou des serveurs SIEM (par exemple, Splunk, Arcsight, Qradar), vous devez également configurer un profil de serveur à l aide d un modèle (Périphérique > Profils de serveur > Syslog). Reportez-vous au PAN-OS Getting Started Guide pour avoir des détails sur la façon d effectuer ces tâches directement sur le pare-feu. 76 Guide de l'administrateur Panorama

83 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Pour plus d informations sur le transfert des journaux générés en local par Panorama, voir Chapitre 6, Gérer Panorama. CONFIGURER LE TRANSFERT DE JOURNAL Étape 1. (Facultatif) Créer un profil de serveur contenant les informations de connexion au service externe/serveurs Syslog. 1. Sélectionnez un modèle ou créez un nouveau modèle. Voir Étape 1 dans Créer des modèles. 2. Vérifiez que vous avez sélectionné un modèle dans le menu déroulant Modèle. 3. Sélectionnez Périphérique > Profils de serveur > Syslog. 4. Cliquez sur Ajouter et saisissez un Nom pour le profil. 5. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur Syslog et saisissez les informations requises pour se connecter au serveur Syslog (vous pouvez ajouter jusqu à quatre serveurs Syslog pour le même profil) : Nom : nom unique du profil de serveur. Serveur : adresse IP ou nom de domaine complet (FQDN) du serveursyslog. Port : numéro du port sur lequel envoyer les messages Syslog (par défaut, il s agit du 514) ; vous devez spécifier le même numéro de port sur Panorama et le serveur Syslog. Site : sélectionnez l une des valeurs standard Syslog utilisée pour calculer le champ PRI (priorité) dans l implémentation de votre serveur Syslog. Vous devez sélectionner la valeur qui correspond à votre utilisation de champ PRI pour gérer vos messages Syslog. 6. (Facultatif) Pour personnaliser le format des messages Syslog que le pare-feu envoie, sélectionnez l onglet Format de journal personnalisé. Pour plus d informations sur la création de formats personnalisés pour les divers types de journaux, reportez-vous au Guide de configuration des formats d événements courants. 7. Cliquez sur OK pour enregistrer le profil de serveur. Guide de l'administrateur Panorama 77

84 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux CONFIGURER LE TRANSFERT DE JOURNAL (SUITE) Étape 2 Définissez un profil de transfert de journal pour les journaux de trafic et de menaces. Remarque Les journaux de menaces incluent le filtrage d URL, le filtrage de données et les journaux WildFire. Ces journaux sont transmis en fonction des niveaux de gravité pour lesquels vous avez activé la notification. Étape 3 Activez le transfert des journaux système, de configuration et de correspondance HIP. 1. Créez un nouveau groupe de périphériques ou sélectionnez-en un. Pour créer un nouveau groupe de périphérique, reportez-vous à la section Créer des groupes de périphériques. 2. Sélectionnez Objets > Transfert des journaux. 3. Cliquez sur Ajouter et saisissez un Nom pour le profil de transfert de fichier. 4. (Facultatif) Sélectionnez la case à cocher Partagée pour appliquer ces paramètres à tous les périphériques gérés. 5. Sélectionnez la case à cocher Panorama correspondant aux niveaux de gravité pour lesquels vous souhaitez activer le transfert de journaux. 6. (Facultatif) Sélectionnez le profil de serveur pour le transfert d un serveur syslog. Remarque Assurez-vous que le périphérique (ou système virtuel) est inclus dans le groupe de périphériques et que le modèle défini dans Étape 1 est appliqué au périphérique (ou système virtuel). 7. Cliquez sur OK. Avec le modèle sélectionné, vous pouvez également sélectionner les types de journaux que vous souhaitez transférer. Pour les journaux système, sélectionnez Périphérique > Paramètres des journaux > Système, sélectionnez le lien correspondant à chaque niveau de Gravité et activez le transfert vers Panorama et le profil de serveur à utiliser pour le transfert vers le serveur Syslog. Pour les journaux de configuration, sélectionnez Périphérique > Paramètres des journaux > Config et sélectionnez la section Paramètres des journaux - Config pour activer le transfert vers Panorama et le profil de serveur à utiliser pour le transfert vers le serveur Syslog. Pour les journaux de correspondance HIP, sélectionnez Périphérique > Paramètres des journaux > Correspondance HIP et modifiez la section Paramètres des journaux - Correspondance HIP pour activer le transfert vers Panorama et le profil de serveur sélectionné pour le transfert vers le serveur Syslog. 78 Guide de l'administrateur Panorama

85 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu CONFIGURER LE TRANSFERT DE JOURNAL (SUITE) Étape 4 (Facultatif) Planifiez l exportation de journal vers un serveur SCP ou FTP. Remarque Si vous prévoyez d utiliser le SCP, vous devez vous connecter à chaque périphérique géré et cliquer sur le bouton Tester la connexion au serveur SCP une fois le modèle diffusé. La connexion n est pas établie jusqu à ce que le pare-feu accepte la clé hôte pour le serveur SCP. Pour les journaux de trafic, de menaces, de filtrage URL, filtrage de données et correspondance HIP, vous pouvez planifier une exportation en utilisant les modèles Panorama. 1. Sélectionnez l onglet Périphérique > Exportation programmée des journaux. 2. Sélectionnez le modèle dans le menu déroulant Modèle. 3. Cliquez sur Ajouter et saisissez un Nom pour le profil de transfert de fichier. 4. Sélectionnez la case à cocher Activer pour activer l exportation de journal. 5. Sélectionnez le type de journal que vous souhaitez exporter. Pour planifier l exportation de plusieurs types de journaux, vous devez créer un profil d exportation pour chaque type de journal. 6. Saisissez l heure (hh:mm) à laquelle le démarrage de l exportation doit débuter en utilisant le format d horloge 24 heures (00:00-23:59). 7. Sélectionnez le protocole que vous voulez utiliser pour exporter les journaux depuis le pare-feu vers un hôte distant. Vous pouvez utiliser SCP (sécurisé) ou FTP. Pour activer le FTP passif, cochez la case Activer le mode passif FTP. 8. Définissez les détails requis pour vous connecter au serveur. a. Saisissez le nom d hôte ou l adresse IP du serveur. b. Si votre serveur l impose, saisissez le numéro de port (par défaut, FTP utilise le port 21 et SCP utilise le port 22), le chemin ou le répertoire dans lequel enregistrer les journaux exportés, l accès aux informations de connexion (nom d utilisateur et mot de passe). 9. Cliquez sur OK. Étape 5 Enregistrez toutes les modifications de configuration. 1. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. 2. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type de validation pour diffuser les modifications aux périphériques inclus dans le modèle sélectionné. 3. Cliquez sur Valider, puis sélectionnez Groupes de périphériques en tant que Type de validation pour transmettre les modifications apportées aux périphériques inclus dans le groupe de périphériques sélectionné. Guide de l'administrateur Panorama 79

86 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Valider les modifications sur Panorama Lorsque vous modifiez la configuration sur Panorama, vous apportez des modifications au fichier de configuration candidate. La configuration candidate est une copie de la configuration en cours avec les modifications que vous avez enregistrées à l aide de l option Sauvegarder. L interface Web de Panorama affiche toutes les modifications immédiatement. Cependant les modifications ne sont pas mises en œuvre avant que vous ayez validé les modifications. Le processus de validation valide les modifications du fichier de configuration candidate et les enregistre en tant que configuration en cours sur Panorama. Options sur Panorama Panorama Modèle Groupe de périphériques Groupe de collecteurs Description Valide les modifications sur la configuration candidate en cours sur la configuration actuelle de Panorama. Vous devez valider vos modifications sur Panorama avant de valider une mise à jour de configuration quelconque (groupes de modèles ou de périphériques) des périphériques gérés ou des groupes de collecteur. Valide les modifications de modèle de Panorama vers les périphériques sélectionnés. Validez les politiques et les objets configurés à partir de Panorama pour le périphérique/le(s) système(s) virtuel(s) sélectionné(s). Valide les modifications apportés aux groupes de collecteurs spécifiés gérés par Panorama. Lorsqu une validation se termine, le résultat s affiche. Si la validation réussit, le message Validation réussie s affiche. En cas d avertissement, le message signalant un succès de la validation avec avertissements s affiche. Voici certaines des autres options disponibles au moment de valider vos modifications : Inclure les modèles des réseaux et périphériques : cette option est disponible lors de la validation d un groupe de périphériques Panorama. Elle vous permet de valider à la fois les modifications du groupe de périphériques et de modèles, et périphériques pertinents au cours de la même opération de validation. Si vous préférez valider vos modifications en plusieurs opérations distinctes, ne cochez pas cette case. Forcer les valeurs du modèle : lorsque vous effectuez une validation de modèle, l option Forcer les valeurs du modèle remplace n importe quelle configuration locale et supprime les objets sur les périphériques sélectionnés ou les systèmes virtuels qui n existent pas dans le modèle ou qui ont été écrasés par la configuration locale. Il s agit d un écrasement qui restaure toute configuration existante sur le périphérique géré, et garantit que tous les périphériques héritent les paramètres définis sur le modèle uniquement. Fusionner avec la configuration du candidat : une fois activée, cette option permet de fusionner et de valider les modifications de configuration en prenant en compte les modifications en attente mises en œuvre en local sur le périphérique cible. Si cette option n est pas activée, la configuration candidate sur le périphérique n est pas incluse dans l opération de validation. Dans le cadre des meilleures pratiques, laissez cette option désactivée si vous permettez aux administrateurs de périphériques de modifier directement un périphérique ou si vous ne voulez pas inclure leurs modifications lors de la validation de modifications dans Panorama. Une autre bonne pratique consiste à utiliser la fonctionnalité d audit de configuration sur Panorama pour revoir toutes les modifications de configuration avant de lancer la validation pour Panorama, reportez-vous à la section Comparer les modifications de configuration. 80 Guide de l'administrateur Panorama

87 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut Vous pouvez définir le mode de transfert de journal que les pare-feu utilisent pour envoyer les journaux à Panorama et en cas de configuration haute disponibilité, spécifiez l homologue Panorama qui peut recevoir les journaux. Ces options sont disponibles dans la section Journalisation et génération de rapports de l onglet Panorama > Configuration > Gestion. Définissez le mode de transfert de journal sur le périphérique : Les pare-feux peuvent transférer des journaux vers Panorama (cela concerne l appliance M-100 et l appliance virtuelle Panorama) en mode Transfert des journaux en mémoire tampon ou Transfert de journal en mode direct. Options de journalisation Transfert des journaux en mémoire tampon depuis le périphérique Par défaut : Activé Transfert de journal en mode direct depuis le périphérique Cette option est activée lorsque la case à cocher Transfert des journaux en mémoire tampon depuis le périphérique n est pas sélectionnée. Description Permet à chaque périphérique géré de mettre les journaux en mémoire tampon et envoie les journaux à des intervalles de 30 secondes vers Panorama (non configurable par l utilisateur). Le transfert des journaux en mémoire tampon est appréciable lorsque le périphérique perd sa connectivité à Panorama. Le périphérique met les entrées de journal en mémoire tampon sur son disque dur local et conserve un pointeur pour enregistrer l entrée de journal qui a été envoyée à Panorama. Lorsque la connectivité est rétablie, le périphérique reprend le transfert des journaux là où il s est arrêté. L espace disque disponible pour la mise en mémoire tampon dépend du quota d espace de stockage de journal pour la plate-forme et le volume des journaux en attente se renouvelle. Dans le cas où un périphérique a été déconnecté longtemps et où le dernier journal transmis a été renouvelé, tous les journaux du disque dur local sont transmis à Panorama dès le rétablissement de la connexion. Si l espace disque disponible sur le disque dur local du périphérique est utilisé, les entrées les plus anciennes sont supprimées pour permettre la journalisation des nouveaux événements. En mode direct, le périphérique géré envoie chaque transaction de journal vers Panorama au moment de l enregistrement sur le périphérique. Définissez les préférences de transfert de journal sur un appareil virtuel Panorama en configuration haute disponibilité : (lorsque vous vous connectez à un disque virtuel) permet la journalisation vers le disque local sur l homologue Panorama Principal.-actif Par défaut, les deux homologues de Panorama dans la configuration HD reçoivent les journaux. Guide de l'administrateur Panorama 81

88 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux (Lorsque vous vous connectez en NFS) permet aux périphériques de n envoyer que les journaux récemment générés vers un homologue secondaire Panorama, qui est alors promu en principal après un basculement. Options de journalisation Appartient à Description Seuls les journaux principaux actifs peuvent être envoyés sur le disque local Par défaut : Désactivé Obtenir uniquement les nouveaux journaux lors de la conversion vers le périph. principal Par défaut : Désactivé Appareil virtuel Panorama se connectant à un disque virtuel et défini en configuration haute disponibilité (HD). Appareil virtuel Panorama monté sur un magasin de données de système de fichiers réseau (NFS) et installé en configuration haute disponibilité (HD). Vous permet de configurer uniquement l homologue Panorama Principal-Actif pour enregistrer les journaux sur le disque local. Avec la journalisation NFS, lorsque vous disposez d une paire de serveurs Panorama configurée en haute disponibilité, seul l homologue Panorama principal est monté sur le magasin de données NFS. Les périphériques ne peuvent donc envoyer les journaux qu à l homologue Panorama principal, qui peut écrire dans le magasin de données NFS. Lorsqu un basculement HD se produit, l option Obtenir uniquement les nouveaux journaux lors de la conversion vers le périph. principal permet à l administrateur de configurer les périphériques gérés pour n envoyer que les journaux récemment générés à Panorama. Cet événement est déclenché lorsque la priorité du Panorama passe de secondaire actif à principale, et lorsqu il peut commencer la journalisation à se connecter au NFS. Ce comportement est en général activé pour éviter aux périphériques d envoyer de gros volumes de journaux placés en mémoire tampon une fois la connectivité vers Panorama restaurée après une période significative. 82 Guide de l'administrateur Panorama

89 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu Utiliser Panorama pour configurer les périphériques gérés : Un exemple Disons que vous voulez utiliser Panorama en configuration haute disponibilité pour gérer une douzaine de pare-feu sur votre réseau : vous avez 6 pare-feu déployés dans 6 succursales, une paire de pare-feu en haute disponibilité sur chacun des deux centres de données et un pare-feu dans chacun des sièges régionaux. Filiale Bureau régional A Filiale Filiale Centre de données Serveurs Panorama du siège Centre de données Filiale Bureau régional B Filiale Filiale Regrouper des périphériques en groupes de périphériques et modèles La première étape de la création de stratégie de gestion centralisée consiste à déterminer comment regrouper les périphériques en groupes de périphériques et modèles, pour transmettre les configurations efficacement. Vous pouvez regrouper les périphériques de différentes façons, en fonction de l activité du périphérique, de sa situation géographique ou de son domaine administratif. Dans cet exemple, nous créons deux groupes de périphériques et trois modèles pour administrer les périphériques à l aide de Panorama. Groupes de périphériques Dans cet exemple, nous décidons de définir deux groupes de périphériques en fonction des opérations que les pare-feu exécutent : DG_BranchAndRegional pour regrouper les périphériques servant de portails de sécurité sur les succursales et les sièges régionaux. Nous avons placé les pare-feu de la succursale et ceux du siège régional dans le même groupe de périphériques parce que les périphériques ayant des fonctions similaires nécessiteront des bases de règles de politique similaires. DG_DataCenter pour regrouper les périphériques qui assurent la sécurité des serveurs dans les centres de données. Guide de l'administrateur Panorama 83

90 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux Nous pouvons ensuite administrer les politiques partagées sur les deux groupes de périphériques et administrer des politiques de groupe de périphériques distinctes pour les groupes de siège régional et de succursales. Puis, pour plus de flexibilité, l administrateur local d un siège régional ou d une succursale peut créer des règles locales qui correspondent à des sources, des destinations et des flux de services spécifiques pour accéder à des applications et des services nécessaires à ce bureau. Dans cet exemple, nous créons la hiérarchie pour les politiques de sécurité. Vous pouvez utiliser une approche similaire pour chacune des bases de règles suivantes : Groupes de périphériques DG_BranchAndRegional DG_DataCenter Règles Régional Succursale Centre de données Règle avant partagée Autoriser les services DNS et SNMP. Politique d utilisation acceptable qui empêche l accès à des catégories URL spécifiées et le trafic poste-à-poste au niveau de risque 3, 4 et 5. Règle avant de groupe de périphériques Règles locales d un périphérique Règle après de groupe de périphériques Permettre l accès à Facebook à tous les utilisateurs du groupe marketing dans les bureaux régionaux uniquement. Aucun Aucun Permet l accès à l application Cloud Amazon pour les hôtes/ serveurs définis dans le centre de données Règle après partagée Permet la journalisation de l ensemble du trafic Internet sur votre réseau, crée une règle qui autorise ou empêche tout trafic depuis la zone de confiance vers la zone non approuvée. Modèles Lors du regroupement des périphériques de modèles, nous devons prendre en compte les différences de configuration réseau. Par exemple, si la configuration d interface n est pas la même (les interfaces sont de types différents ou ne sont pas équivalentes dans le schéma de numérotation et la capacité de liaison, ou les correspondances de zone d interface sont différentes) les périphériques doivent se trouver dans des modèles séparés. En outre, le mode de configuration des périphériques pour l accès aux ressources réseau peut différer parce que les périphériques sont dispersés du point de vue géographique, par exemple, le serveur DNS, les serveurs syslog et les passerelles auxquels il accède peuvent être différents. Alors, pour permettre une configuration de base optimale, vous devez placer les périphériques dans des modèles séparés comme suit : T_Branch pour les périphériques de succursale T_Regional pour les périphériques des sièges régionaux 84 Guide de l'administrateur Panorama

91 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu T_DataCenter pour les périphériques de centre de données Périphériques de succursales Périphériques de bureau régional Groupe de périphériques : DG_BranchAndRegional Modèle : T_Branch Modèle : T_Regional Périphériques de centre de données Groupe de périphériques : DG_DataCenter Modèle : T_DataCenter Si vous prévoyez de déployer vos pare-feu dans une configuration HD Actif/Actif, affectez chaque pare-feu de la paire HD à un modèle différent. Cette opération vous offre la souplesse nécessaire à l installation des configurations réseau sur chaque homologue. Par exemple, vous pouvez gérer la configuration réseau dans un modèle séparé pour chaque homologue, de sorte que chacun peut se connecter à des routeurs en amont ou en aval, et ils peuvent présenter des configurations d homologues OSPF ou BGP différentes. Planifier votre configuration et vos politiques centralisées Utilisons l exemple avec lequel nous avons commencé plus haut et effectuons les tâches suivantes pour déployer et gérer les périphériques gérés de façon centrale : Étape 1 Étape 2 Étape 3 Étape 4 Guide de l'administrateur Panorama 85

92 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux DÉPLOYER LES MISES À JOUR DE CONTENU ET LES MISES À JOUR LOGICIELLES PAN-OS DES PÉRIPHÉRIQUES GÉRÉS Étape 1. Ajouter les périphériques gérés et déployer les mises à jour de contenu et les mises à jour logicielles PAN-OS des périphériques gérés. Commencez pour installer la base de données Applications ou Applications et menaces, puis l antivirus et enfin, mettez à jour la version de logiciel. Si vous avez acheté un abonnement de prévention de menaces, vous avez accès aux bases de données de contenu et d antivirus. 1. Sélectionnez Panorama > Déploiement de périphérique > Mises à jour dynamiques. a. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne Action est Télécharger, une mise à jour est disponible. b. Cliquez sur Télécharger. Une fois le téléchargement terminé, la valeur se trouvant dans la colonne Action passe à Installer. c. Cliquez sur le lien Installer dans la colonne Action. Utilisez des filtres ou les balises définies par l utilisateur pour sélectionner les périphériques gérés sur lesquels vous souhaitez installer la mise à jour. Cliquez sur OK. d. Surveillez l état, la progression et le résultat de la mise à jour de contenu pour chaque périphérique. La réussite ou l échec de l installation s affiche à l écran dans la colonne Résultats. Remarque Pour consulter l état ou la progression de toutes les tâches effectuées sur Panorama, voir Afficher l historique des tâches. 2. Sélectionnez Panorama > Déploiement du périphérique > Logiciel pour déployer les mises à jour logicielles. a. Cliquez sur Vérifier maintenant pour rechercher les dernières mises à jour. Si la valeur figurant dans la colonne Action est Télécharger, une mise à jour est disponible. b. Localisez la version dont vous avez besoin pour chaque modèle de matériel, puis cliquez sur Télécharger. Une fois le téléchargement terminé, la valeur se trouvant dans la colonne Action passe à Installer. c. Cliquez sur le lien Installer dans la colonne Action. Utilisez des filtres ou des balises définies par l utilisateur pour sélectionner les périphériques gérés sur lesquels vous souhaitez installer cette version. d. Activez la case à cocher de Charger sur le périphérique seulement (ne pas installer) ou Redémarrer le périphérique après l installation, puis cliquez sur OK. La réussite ou l échec de l installation s affiche à l écran dans la colonne Résultats. 86 Guide de l'administrateur Panorama

93 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu UTILISER LES MODÈLES POUR GÉRER UNE CONFIGURATION DE BASE Étape 2 Utiliser les modèles pour gérer une configuration de base 1. Créez des modèles et affectez les périphériques appropriés au modèle. Reportez-vous à la section Ajoutez un nouveau modèle. 2. Définissez un serveur DNS, un serveur NT, un serveur Syslog et une bannière de connexion. a. Sélectionnez le modèle dans le menu déroulant Modèle. b. Sélectionnez Périphérique > Configuration > Services et modifiez la section Services. i Saisissez une adresse IP pour le serveur DNS principal. ii Saisissez une adresse IP pour le Serveur NTP principal. c. Pour ajouter un serveur Syslog, sélectionnez Périphérique > Profils serveur > Syslog. i Saisissez un Nom pour le profil. ii Cliquez sur Ajouter, puis de nouveau sur Ajouter pour ajouter une nouvelle entrée de serveur Syslog et saisir les informations requises pour vous connecter au serveur Syslog (vous pouvez ajouter jusqu à quatre serveurs Syslog au même profil) : Nom : nom unique du profil de serveur. Serveur : adresse IP ou nom de domaine complet (FQDN) du serveursyslog. Port : numéro de port sur lequel envoyer les messages Syslog (514 par défaut). Vous devez utiliser le même numéro de port sur Panorama et sur le serveur Syslog. Site : sélectionnez l une des valeurs standard Syslog, qui est utilisée pour calculer le champ PRI (priorité) dans l implémentation de votre serveur Syslog. Vous devez sélectionner la valeur qui correspond à votre utilisation du champ PRI pour gérer vos messages Syslog. iii Cliquez sur OK pour enregistrer le profil de serveur. d. Pour ajouter une bannière de connexion, sélectionnez Périphérique > Configuration > Gestion et modifiez la section Paramètres généraux. i Ajoutez le texte de la Bannière de connexion. ii Cliquez sur OK. e. Répétez les tâches 2a à 2d pour chaque modèle. 3. Activez l accès à HTTPS, SSH et SNMP pour gérer l interface de gestion des périphériques gérés. a. Sélectionnez le modèle dans le menu déroulant Modèle. b. Sélectionnez Périphérique > Configuration > Gestion et modifiez la section Paramètres de l interface de gestion. c. Cochez la case correspondant à HTTPS, SSH et SNMP sous Services. d. Cliquez sur OK. e. Répétez les tâches 3a à 3d pour chaque modèle. Guide de l'administrateur Panorama 87

94 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux UTILISER LES MODÈLES POUR GÉRER UNE CONFIGURATION DE BASE (SUITE) 4. Créez et associez un profil de protection de zone à la zone non approuvée pour les périphériques du modèle de centre de données (T_DataCenter). a. Sélectionnez le modèle dans le menu déroulant Modèle. b. Sélectionnez Réseau > Profils réseau > Protection de zone. c. Cliquez sur Ajouter pour ajouter un nouveau profil et saisir les informations requises pour définir le profil. Dans cet exemple, nous allons activer la protection contre une attaque par saturation SYN et une alerte de balayage d hôte de port TCP et le balayage de port UDP. d. Pour associer le profil à la zone non approuvée, vous devez dans un premier temps configurer l interface et les paramètres de zone sur le modèle. Remarque Les interfaces doivent être configurées sur le périphérique. Vous devez au moins avoir défini le type d interface, l avoir affecté au routeur virtuel si nécessaire et associé à une zone de sécurité en local sur le périphérique. i Sélectionnez Réseau > Interface. ii Sélectionnez l interface appropriée dans le tableau. Cliquez sur le lien pour configurer l interface. iii Sélectionnez le Type d interface dans le menu déroulant. iv Cliquez sur le lien Routeur virtuel dans le menu déroulant Nouveau Routeur virtuel pour créer un nouveau routeur virtuel. Assurez-vous que le nom de routeur virtuel correspond à la définition présente sur le périphérique. v Cliquez sur le lien Nouvelle zone dans le menu déroulant Zone de sécurité pour créer une zone de sécurité. Assurez-vous que le nom de zone correspond à la définition présente sur le périphérique. vi Cliquez sur OK. vii Sélectionnez Réseau > Zones, puis la zone que vous venez de créer. Vérifiez que l interface correcte est associée à la zone. viii Dans le menu déroulant Profils de protection de zone, sélectionnez le profil que vous avez créé plus haut. ix Cliquez sur OK. 88 Guide de l'administrateur Panorama

95 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu UTILISER LES MODÈLES POUR GÉRER UNE CONFIGURATION DE BASE (SUITE) 5. Validez vos modifications de modèle. a. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours sur Panorama. Cliquez sur OK. b. Cliquez sur Valider, puis sélectionnez Modèle en tant que Type de validation pour transmettre les modifications aux périphériques inclus dans le modèle sélectionné. Cliquez sur OK. UTILISER LES GROUPES DE PÉRIPHÉRIQUES POUR APPLIQUER LES POLITIQUES Étape 3 Utilisez les groupes de périphériques pour gérer les politiques de vos pare-feu. 1. Créez des groupes de périphériques et affectez-leur les périphériques appropriés. Voir Créer un ou des groupes de périphériques. 2. Créez une règle avant partagée, pour activer les services DNS et SNMP. a. Créez un groupe d applications partagé pour les services DNS et SNMP. i Objets > Groupe d applications, puis cliquez sur Ajouter. ii Saisissez un nom et cochez la case Partagée pour créer un objet de Groupe d applications partagé. iii Cliquez sur Ajouter, puis saisissez DNS et sélectionnez dns dans la liste. Répétez l opération pour SNMP, puis sélectionnez snmp, snmp-trap. iv Cliquez sur OK. Le groupe d applications dns, snmp et snmp-trap est créé. b. Créez la politique partagée. i Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques. ii Sélectionnez l onglet Politiques, puis règle avant dans la base de règle Sécurité. iii Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité. iv Dans les onglets Source et Destination de la règle, cliquez sur Ajouter, puis saisissez une Zone source et une Zone de destination du trafic. v Dans l onglet Applications, cliquez sur Ajouter, saisissez le nom d objet de groupe d applications que vous avez défini au préalable, puis sélectionnez-le dans le menu déroulant. vi Dans l onglet Actions, vérifiez que le paramètre Action a pour valeur Autoriser, puis cliquez sur OK. Guide de l'administrateur Panorama 89

96 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux UTILISER LES GROUPES DE PÉRIPHÉRIQUES POUR APPLIQUER LES POLITIQUES (SUITE) 3. Définissez la politique d utilisation de l entreprise pour tous les bureaux. Dans cet exemple, nous allons créer une politique partagée qui restreint l accès à certaines catégories d URL et refuse l accès au trafic poste-à-poste de niveau 3, 4, 5. a. Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques. b. Sélectionnez l onglet Politiques, puis sélectionnez la règle avant dans la base de règle de la politique de Sécurité. c. Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité. d. Dans les onglets Source et Destination de la règle, cliquez sur Ajouter et sélectionnez n importe lequel comme Zone source et Zone de destination pour le trafic. e. Pour définir le filtre d application, dans l onglet Application : i Cliquez sur Ajouter et cliquez sur Nouveau Filtre d application. ii Saisissez un Nom, puis sélectionnez la case correspondant à Partagé. Dans la section Risque, sélectionnez les niveaux 3, 4 et 5, et dans la section Ethnologie, sélectionnez poste-à-poste. iii Cliquez sur OK. f. Dans l onglet Catégorie de service/url, cliquez sur Ajouter et sélectionnez les catégories d URL que vous souhaitez bloquer, par exemple, les supports de diffusion, les rencontres et le stockage personnel en ligne. g. Vous pouvez également associer un profil de filtrage par défaut, dans la section Configuration de profil de l onglet Actions. h. Cliquez sur OK. 90 Guide de l'administrateur Panorama

97 Gérer les pare-feu et la collecte de journaux Gérer vos pare-feu UTILISER LES GROUPES DE PÉRIPHÉRIQUES POUR APPLIQUER LES POLITIQUES (SUITE) 4. Permettre l accès à Facebook à tous les utilisateurs du groupe marketing dans les bureaux régionaux uniquement. Pour activer une politique de sécurité basée sur l utilisateur et/ou le groupe, vous devez activer l ID utilisateur de chaque zone contenant les utilisateurs à identifier. L identification utilisateur du pare-feu doit être définie (reportez-vous au PAN-OS Getting Started Guide) ainsi que le périphérique principal pour le groupe de périphériques. Le périphérique principal est le seul périphérique du groupe de périphériques qui regroupe les informations de l utilisateur et de mappage de groupe pour l évaluation de la politique. a. Sélectionnez le groupe de périphériques DG_BranchAndRegional dans le menu déroulant Groupe de périphériques. b. Sélectionnez l onglet Politiques, puis la règle avant dans la base de règle de politique de Sécurité. c. Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité. d. Dans l onglet Utilisateur, sélectionnez Sélectionner, cliquez sur Ajouter et sélectionnez le groupe utilisateur marketing dans la section Utilisateur source. e. Dans l onglet Application, cliquez sur Ajouter, saisissez Facebook, puis sélectionnez cette option dans le menu déroulant. f. Dans l onglet Action, vérifiez que l action est sur Autoriser. g. Dans l onglet Cible, sélectionnez les périphériques du bureau régional, et cliquez sur OK. Guide de l'administrateur Panorama 91

98 Gérer vos pare-feu Gérer les pare-feu et la collecte de journaux UTILISER LES GROUPES DE PÉRIPHÉRIQUES POUR APPLIQUER LES POLITIQUES (SUITE) 5. Permet l accès à l application Cloud Amazon pour les hôtes/serveurs spécifiés dans le centre de données. a. Créez un objet groupe d adresses pour les serveurs/hôtes du centre de données qui ont besoin d un accès à l application de cloud Amazon. i Sélectionnez Objets > Groupes d adresses. ii Sélectionnez le groupe de périphériques DG_DataCenter dans le menu déroulant Groupe de périphériques. iii Cliquez sur Ajouter et saisissez un Nom pour l objet groupe d adresses. iv Cliquez sur Ajouter et sélectionnez Nouvelle adresse. v Pour définir l objet d adresse, saisissez un Nom, sélectionnez Type et spécifiez une adresse IP d hôte, un masque réseau IP, une plage d adresses IP ou FQDN. Cliquez sur OK. b. Sélectionnez le groupe de périphériques DG_DataCenter dans le menu déroulant Groupe de périphériques. i Sélectionnez l onglet Politiques, puis la règle avant dans la base de règle de politique de Sécurité. ii Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité. iii Dans la section Adresse source de l onglet Source, cliquez sur Ajouter pour sélectionner le groupe d adresses que vous avez défini. iv Dans l onglet Application, cliquez sur Ajouter, saisissez amazon et sélectionnez les applications Amazon dans la liste qui s affiche. v Dans l onglet Action, vérifiez que l action est définie sur Autoriser. vi Cliquez sur OK. 6. Pour activer la connexion pour la journalisation du trafic Internet de votre réseau, créez une règle qui fait correspondre la zone de confiance à une zone non approuvée. a. Sélectionnez le groupe de périphériques Partagé dans le menu déroulant Groupe de périphériques. b. Sélectionnez l onglet Politiques, et sélectionnez la règle avant dans la base de règle Sécurité. c. Cliquez sur Ajouter et saisissez un Nom pour la règle de politique de sécurité. d. Dans les onglets Source et Destination de la règle, cliquez sur Ajouter et sélectionnez trust_zone en tant que zone source et untrust_zone en tant que zone de destination. e. Dans l onglet Action, vérifiez que la valeur de l action est Refuser et que les paramètres de journaux ont pour valeur Se connecter en fin de session. f. Cliquez sur OK. Étape 4 Prévisualisez vos règles, puis validez vos modifications dans Panorama, Groupes de périphériques et Modèles. 1. Sélectionnez l onglet Politiques, puis cliquez sur Prévisualiser les règles. Cette prévisualisation vous permet d évaluer en un seul coup d œil la façon dont vos règles sont organisées dans une base de règles particulière. 2. Cliquez sur Valider et sélectionnez le type de validation Panorama. Cliquez sur OK. 3. Cliquez sur Valider et sélectionnez le type de validation Groupes de périphériques. Vérifiez que l option Inclure les modèles de réseaux et de périphériques est activée. Cliquez sur OK. 4. Changez de contexte de périphériques pour lancer l interface Web d un périphérique géré et confirmez que le modèle et les configurations de politiques ont été appliqués. 92 Guide de l'administrateur Panorama

99 Gérer les pare-feu et la collecte de journaux Activer la journalisation Activer la journalisation Tous les pare-feu de la prochaine génération de Palo Alto Networks peuvent générer des journaux qui fournissent une piste d audit des activités et des événements du pare-feu. Pour surveiller les journaux de façon centrale et pour générer des rapports, vous devez transmettre les journaux générés sur les pare-feu gérés vers Panorama. Si vous déployez un appareil virtuel Panorama avec un disque virtuel et sont consignés sur un NFS, vous n avez pas à effectuer de tâche supplémentaire pour activer la journalisation. Si vous vous connectez à un appareil M-100 (soit localement sur un M-100 en mode Panorama, ou à un collecteur de journaux dédié géré par l appareil Panorama virtuel, ou un appareil M-100 en mode Panorama) vous devez effectuer des tâches supplémentaires pour activer la collecte de journaux. Vous devez ajouter chaque collecteur de journaux en tant que collecteur géré et créer des groupes de collecteurs afin d accéder à, gérer et mettre à jour le collecteur de journaux en utilisant Panorama. Une fois les collecteurs de journaux ajoutés et configurés sur Panorama, Panorama transmet la configuration nécessaire aux périphériques gérés. Vous n avez pas à configurer de façon explicite les périphériques gérés pour transmettre les journaux à un collecteur de journaux. Exécutez les tâches suivantes pour permettre la connexion : Ajouter un collecteur de journaux à Panorama Configurer les groupes de collecteur Vérifier que le transfert de journal est activé (Facultatif) Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut Ajouter un collecteur de journaux à Panorama Pour que Panorama (appareil virtuel Panorama ou appareil ou appareil M-100 en mode Panorama) puisse gérer un collecteur de journaux, vous devez ajouter le Collecteur de journaux en tant que collecteur géré. Si l appareil M-100 n est pas encore configuré en mode collecteur de journaux, voir Configurer l appareil M-100 en mode Collecteur de journaux. Si vous utilisez un appareil M-100 en mode Panorama, le collecteur de journaux par défaut en local sur Panorama est ajouté pendant le processus de fabrication. Cependant, si vous avez chargé/migré la configuration depuis un appareil virtuel Panorama vers l appareil M-100, le collecteur de journaux par défaut ne s affiche pas, utilisez les instructions de cette section pour ajouter le collecteur journaux, puis Configurer les groupes de collecteur. AJOUTER UN COLLECTEUR GÉRÉ Étape 1. Ajouter un collecteur géré 1. Sélectionnez Panorama > Collecteurs gérés. Étape 2 Ajouter le numéro de série du collecteur de journaux dans Panorama. 2. Sélectionnez Ajouter. 1. Dans l onglet Général, Saisissez le numéro de série pour le collecteur de journaux dans le champ N de série du collecteur. Si le collecteur de journaux est installé en local sur Panorama, saisissez le numéro de série qui s affiche sur le tableau de bord. Si vous ajoutez un collecteur de journaux dédié, saisissez le numéro de série de l appareil M-100. Guide de l'administrateur Panorama 93

100 Activer la journalisation Gérer les pare-feu et la collecte de journaux AJOUTER UN COLLECTEUR GÉRÉ (SUITE) Étape 3 Exécutez ces tâches uniquement si vous ajoutez un collecteur de journaux dédié. Comme le collecteur de journaux par défaut est placé sur le même appareil physique que le logiciel Panorama qui le gère, vous n avez pas besoin de configurer l accès de gestion ou les préférences d authentification pour lui. Remarque Un appareil M-100 en mode Collecteur de journaux possède un accès à l interface de ligne de commande (CLI). Il n existe pas d interface web pour gérer un collecteur de journaux. 1. Configurez les paramètres d accès réseau. Bien que vous ayez déjà spécifié ces détails pendant la configuration initiale du collecteur de journaux, vous devez saisir de nouveau les informations dans l onglet Panorama > Collecteurs gérés. a. Dans l onglet Général, ajoutez l adresse IP des serveurs Panorama qui géreront le collecteur de journaux. Si vous avez déployé Panorama en HD, ajoutez l adresse IP pour les homologues principal et secondaire. b. Configurez les adresses IP de serveur DNS. c. (Facultatif) Définissez le fuseau horaire qui sera utilisé pour enregistrer les entrées de journal. 2. Avec Panorama, configurez l accès administratif au collecteur de journaux. a. Dans l onglet Authentification, l utilisateur par défaut est admin. Vous ne pouvez ni modifier ce nom d utilisateur, ni ajouter les utilisateurs administratifs sur le collecteur de journaux. b. Spécifiez le nombre de Tentatives échouées de connexion, après laquelle l accès au collecteur de journaux est verrouillé et le délai pendant lequel l accès est verrouillé Durée de verrouillage. c. Spécifiez un mot de passe. Pour générer un mot de passe haché, exécutez les tâches suivantes : i Saisissez la commande suivante dans l interface de ligne de commande (CLI) : request password-hash password <yourpassword> La CLI affiche la sortie hachée du mot de passe que vous avez saisi. ii Copiez la valeur hachée et collez là dans le champ Hachage du mot de passe. Lorsque vous validez les modifications du groupe de collecteurs, le nouveau mot de passe haché sera transmis au collecteur de journaux. 3. Spécifiez les paramètres de port de gestion (MGT) que vous avez définis sur le collecteur de journaux pendant la configuration initiale. a. Dans l onglet Gestion, saisissez l adresse IP, Masque réseau et l adresse IP de la Passerelle par défaut définie sur le collecteur de journaux. b. (Facultatif) Activez l accès SNMP pour la surveillance du collecteur de journaux. Par défaut, vous SSH et ping sont activés par défaut sur le port de gestion. c. (Facultatif) Pour restreindre l accès au collecteur de journaux, cliquez sur Ajouter et saisissez une ou plusieurs adresses IP dans la liste Adresses IP autorisées. Remarque Comme seules les adresses IP spécifiées peuvent accéder au collecteur de journaux, assurez-vous d ajouter l adresse IP pour les périphériques ayant besoin de se connecter ou de transmettre les journaux au collecteur de journaux. d. Cliquez sur OK. 94 Guide de l'administrateur Panorama

101 Gérer les pare-feu et la collecte de journaux Activer la journalisation AJOUTER UN COLLECTEUR GÉRÉ (SUITE) Étape 4 Enregistrez les modifications. Étape 5 Vérifiez que le collecteur de journaux a été ajouté et est connecté à Panorama. Cliquez sur Valider et, dans le type de validation, sélectionnez Panorama. Cliquez sur OK. Sélectionnez Panorama > Collecteurs gérés et vérifiez que le collecteur géré que vous avez ajouté s affiche. Étape 6 Activez les paires de disques pour la journalisation. Pour configurer les disques dans une paire RAID, voir Accroître la capacité de stockage de l appareil M-100. Étape 7 Vérifiez si les disques sont activés, disponibles et présents. Par défaut, la paire de disques A est compatible RAID, et ajoutée au collecteur de journaux. Si vous avez jouté des paires RAID supplémentaires pour une capacité de stockage accrue. 1. Cliquez sur Ajouter dans l onglet Disques. 2. Sélectionnez chaque paire de disques supplémentaire dans le menu déroulant. 3. Cliquez sur OK pour rendre la paire de disques disponible à la connexion. 4. Cliquez sur Valider et, dans le type de validation, sélectionnez Panorama. Cliquez sur OK. Sélectionnez Panorama > Collecteurs gérés, puis cliquez sur le lien Statistiques. La fenêtre Statistiques du collecteur affichera l état des paires de disques que vous avez ajoutées. Configurer les groupes de collecteur Une fois le collecteur de journaux ajouté en tant que collecteur géré, vous devez l affecter à un groupe de collecteurs de façon à pouvoir le gérer et le configurer à l aide de Panorama. Un groupe de collecteurs vous permet d affecter les pare-feu gérés au(x) collecteur(s) de journaux dans le groupe de collecteurs. Un groupe de collecteurs peut compter un ou plusieurs collecteurs de journaux, mais Palo Alto Networks conseille de ne placer qu un collecteur de journaux dans un groupe de collecteur. Cependant, si vous avez besoin de plus de 4 To de capacité de stockage pour les journaux, vous aurez besoin d ajouter plusieurs collecteurs de journaux dans un groupe de collecteurs. Pour comprendre comment la journalisation fonctionne sur plusieurs collecteurs de journaux, reportez-vous à Utilisation de collecteurs de journaux dans un groupe de collecteurs. Guide de l'administrateur Panorama 95

102 Activer la journalisation Gérer les pare-feu et la collecte de journaux Si vous utilisez un appareil M-100 en mode Panorama, un groupe de collecteurs par défaut contenant le collecteur de journaux par défaut est configuré pour vous. Utilisez les instructions présentes dans cette section pour configurer le groupe de collecteurs par défaut. Si vous utilisez un collecteur de journaux dédié, vous devez d abord Ajouter un collecteur de journaux à Panorama et utiliser les instructions de cette section pour créer un groupe de collecteurs. CONFIGURER LES GROUPES DE COLLECTEUR Étape 1. Ajoutez un groupe de collecteurs. 1. Sélectionnez Panorama > Groupes de collecteurs. Il existe un groupe de collecteurs par défaut pour l appareil M-100 en mode Panorama. 2. Sélectionnez le lien correspondant au groupe de collecteurs par défaut pour le modifier, ou cliquez sur Ajouter pour définir un nouveau groupe de collecteurs. Étape 2 Définissez les membres du groupe de collecteurs. 1. Sélectionnez l onglet Transfert de journaux dans la fenêtre groupe de collecteurs. 2. Cliquez sur Ajouter dans la section Membres du groupe de collecteurs, puis sélectionnez les collecteurs de journaux dans le groupe de collecteurs. Seul les collecteurs de journaux que vous avez ajoutés en tant que collecteurs gérés s affichent dans la liste de sélection. Étape 3 Sélectionnez les périphériques en mesure de transmettre les journaux à ce groupe de collecteurs. Remarque Si votre réseau est doté de pare-feu fonctionnant sous PAN-OS version 4.x et 5.x, vous pouvez affecter les pare-feu exécutant PAN-OS v5.x pour transmettre les journaux à un collecteur de journaux dédié. Les pare-feu exécutant PAN-OS v4.x ne peuvent être affectés à un collecteur de journaux. Ils doivent envoyer les journaux à un appareil virtuel Panorama ou à un appareil M-100 en mode Panorama. 1. Si l onglet Transfert de journaux de la fenêtre Groupe de collecteurs, cliquez sur Ajouter dans la section des préférences de transfert de journal. 2. Cliquez sur Modifier, puis sélectionnez le périphérique géré à partir des options d affichage filtrées et cliquez sur OK. Cliquez ensuite sur Ajouter dans la section Collecteur de journaux, puis sélectionnez le collecteur de journaux. Les périphériques sélectionnés peuvent envoyer des collecteurs de journaux affectés dans le groupe de collecteurs. Remarque S il existe plusieurs collecteurs de journaux dans le groupe de collecteurs, cliquez de nouveau sur Ajouter et sélectionnez un autre collecteur de journaux pour définir une liste classée. Le premier collecteur de journaux de la liste est le collecteur de journaux principal affecté au pare-feu. 3. Cliquez sur OK. 96 Guide de l'administrateur Panorama

103 Gérer les pare-feu et la collecte de journaux Activer la journalisation CONFIGURER LES GROUPES DE COLLECTEUR Étape 4 Affectez le pourcentage de capacité de stockage pour chaque type de journal. Si la capacité de stockage de journaux 0 Mo s affiche, il se peut que vous n ayez pas ajouté les collecteurs de journaux au groupe de collecteur. Exécutez la Étape 2, puis revenez à la présente tâche (Étape 4). Si le résultat est toujours 0 Mo, vérifiez que vous avez activé les paires de disque pour la journalisation et validé les modifications apportées au groupe de collecteur. Reportez-vous à Étape 6 dans la section Ajouter un collecteur de journaux à Panorama. Étape 5 Définissez le temps de conservation de journal minimum pour le groupe de collecteurs. Le délai de conservation minimum informe Panorama du moment où il faut générer une alerte si la capacité de stockage est proche de la capacité maximale. 1. Sélectionnez l onglet Général dans la fenêtre Groupe de collecteurs. 2. Cliquez sur le lien qui s affiche dans la capacité Stockage du journal pour le groupe de collecteurs. 3. Modifiez le Quota affecté à chaque type de journal. Lorsque vous modifiez la valeur, l écran est actualisé pour afficher la valeur correspondante (Go/Mo) pour le pourcentage alloué, en fonction de la capacité totale de votre groupe de collecteur. 4. (Facultatif) Cliquez sur Rétablir les valeurs par défaut, si vous devez annuler les modifications et réinitialiser les quotas de configuration par défaut d usine. 1. Sélectionnez l onglet Général dans la fenêtre Groupe de collecteurs. 2. Saisissez une valeur comprise entre 1 et jours comme Période de conservation minimale. Cette valeur indique combien de temps vous souhaitez conserver les journaux. Un journal système est généré sur Panorama lorsque la date actuelle, moins la date de journal la plus ancienne est inférieure à la période de conservation minimale. Guide de l'administrateur Panorama 97

104 Activer la journalisation Gérer les pare-feu et la collecte de journaux CONFIGURER LES GROUPES DE COLLECTEUR Étape 6 (Facultatif) Configurez la surveillance SNMP pour le groupe de collecteurs. Vous pouvez utiliser SNMP pour recueillir les informations suivantes sur le groupe de collecteurs : état de la connexion, statistiques du lecteur de disque, version logicielle, utilisation moyenne du processeur, moyenne de journal/seconde et durée de stockage par type de journal. Remarque Pour activer le gestionnaire SNMP afin d interpréter les informations, vous devez télécharger les fichiers PAN-OS MIB dans votre logiciel de gestion SNMP et, le cas échéant, les compiler. Vous devez ensuite configurer le logiciel de gestion SNMP afin de gérer les identifiants d objets qui vous intéressent. 1. Sélectionnez l onglet Surveillance dans la fenêtre Groupe de collecteurs. 2. Saisissez une chaîne de texte pour spécifier l emplacement physique du groupe de collecteurs de journaux. 3. Ajoutez l adresse de messagerie d un Contact administratif. 4. Sélectionnez la Version SNMP, puis saisissez les détails de configuration comme suit (en fonction de la version de SNMP que vous utilisez), puis cliquez sur OK : V2c : saisissez la chaîne de communauté SNMP qui permettra au gestionnaire SNMP d accéder à l agent SNMP situé sur le groupe de collecteurs. La valeur par défaut est public. Cependant, comme il s agit d une communauté bien connue, une bonne pratique consiste à utiliser une valeur qui n est pas encore utilisée. V3 : vous devez créer au moins une vue et un utilisateur afin d utiliser SNMPv3. La vue mentionne les informations de gestion auxquelles le gestionnaire a accès. Si vous voulez permettre l accès à toutes les informations de gestion, il suffit de saisir l identifiant d objet de et de définir l Option sur inclure (vous pouvez également créer des vues excluant certains objets). Utilisez 0xf0 en tant que Masque. Ensuite, au moment de créer un utilisateur, sélectionnez la vue que vous venez de créer et spécifiez le Mot de passe d authentification et le Mot de passe privé. Les paramètres d authentification (la chaîne de caractères de communauté pour V2c ou le nom d utilisateur et les mots de passe pour V3) configurés sur le groupe de collecteurs doivent correspondre à la valeur configurée sur le gestionnaire SNMP. 5. Cliquez sur OK pour enregistrer les paramètres. Étape 7 Enregistrez les modifications. 1. Cliquez sur Valider et, dans le type de validation, sélectionnez Panorama. Cliquez sur OK. 2. Cliquez sur Valider et, dans Type de validation, sélectionnez Groupe de collecteurs. Cliquez sur OK. Étape 8 Vérifiez que le collecteur de journal est connecté et synchronisé avec Panorama. 1. Sélectionnez Panorama > Collecteurs gérés et vérifiez l état de la connexion et l état de configuration du collecteur de journaux. 98 Guide de l'administrateur Panorama

105 Gérer les pare-feu et la collecte de journaux Activer la journalisation Supprimer un périphérique d un groupe de collecteurs Dans un déploiement de collecte de journaux distribué, et si vous avez des collecteurs de journaux dédiés, si vous souhaitez qu un périphérique envoie des journaux à Panorama plutôt qu au groupe de collecteurs, vous devez supprimer le périphérique du groupe de collecteurs. Lorsque vous retirez le périphérique du groupe de collecteurs et validez la modification, le périphérique envoie automatiquement des journaux à Panorama au lieu de l envoyer à un collecteur de journaux. SUPPRIMER UN PÉRIPHÉRIQUE D UN GROUPE DE COLLECTEURS 1. Sélectionnez l onglet Panorama > Groupes de collecteurs. 2. Cliquez sur le lien du groupe de collecteurs souhaité, puis sélectionnez l onglet Transfert des journaux. 3. Dans la section Préférences de transfert des journaux, sélectionnez le périphérique que vous souhaitez supprimer de la liste, puis cliquez sur Supprimer. 4. Cliquez sur OK. 5. Cliquez sur Valider et, dans le type de validation, sélectionnez Panorama. Cliquez sur OK. 6. Cliquez sur Valider et, dans le type de validation, sélectionnez Groupe de collecteurs. Cliquez sur OK. Pour retirer provisoirement la liste de préférence de transfert de journaux du périphérique, vous pouvez le supprimer en utilisant l interface de ligne de commande (CLI) sur le périphérique. Vous devez cependant retirer les pare-feu affectés dans la configuration du groupe de collecteurs sur Panorama. Autrement, la prochaine fois que vous validerez les modifications apportées au groupe de collecteur, le périphérique sera reconfiguré pour envoyer des journaux au collecteur de journaux affecté. Guide de l'administrateur Panorama 99

106 Activer la journalisation Gérer les pare-feu et la collecte de journaux Vérifier que le transfert de journal est activé Maintenant que vous avez ajouté les collecteurs de journaux en tant que collecteurs partagés, créé et configuré le groupe de collecteurs et affecté les périphériques gérés au transfert de fichiers au groupe de collecteurs spécifié, vous pouvez vérifier que votre configuration a réussi. VÉRIFIER LE TRANSFERT DE JOURNAUX Étape 1. Sur le périphérique géré, vérifiez que le périphérique dispose de la liste de préférences de transfert de journaux et qu il transmet les journaux de transfert au collecteur de données configuré. Vous ne pouvez pas afficher cette information à partir de l interface Web sur le périphérique. 1. Accédez au CLI sur le périphérique. 2. Saisissez les commandes suivantes : a. show log-collector preference-list Si vous avez affecté uniquement un Collecteur de journaux au groupe de collecteurs, le résultat à l écran ressemblera à ce qui suit : Log collector Preference List Serial Number: IP Address: b. show logging-status Le résultat à l écran ressemblera à ce qui suit : Étape 2 Sur Panorama, vérifiez la fréquence de collecte de journaux. Cliquez sur le lien Statistiques dans l onglet Panorama > Collecteurs gérés pour afficher la moyenne de journal/seconde reçue par Panorama. 100 Guide de l'administrateur Panorama

107 Gérer les pare-feu et la collecte de journaux Déployer les mises à jour logicielles et gérer les licences Déployer les mises à jour logicielles et gérer les licences En tant qu administrateur, vous pouvez utiliser Panorama pour suivre et gérer les licences, gérer les mises à jour logicielles et les mises à jour de contenu dynamique sur les périphériques et les collecteurs gérés de façon centralisée. Panorama fonctionne avec le serveur de licences ou le service de mise à jour de Palo Alto Networks, vérifie la validité de la demande et permet la récupération et l installation de la version de licence/logiciel sur le périphérique géré ou le collecteur de journaux. Cette capacité facilite le déploiement parce que vous n avez pas besoin d effectuer les tâches sur chaque périphérique/collecteur de journaux. Elle est particulièrement utile pour les périphériques gérés qui ne disposent pas d un accès Internet direct ou pour gérer les mises à jour de l appareil M-100 configuré en mode Collecteur de journaux, qui ne prend pas en charge une interface Web. Utilisez cette fonctionnalité de déploiement centralisée pour qualifier de nouvelles mises à jour de contenu ou de logiciel sur des périphériques sélectionnés avant d effectuer la mise à jour de tous les périphériques gérés. Ou récupérez les nouvelles licences en utilisant un code d autorisation et transmettez les clés de licence au périphérique géré. Selon les abonnements actifs sur chaque périphérique, les mises à jour de contenu peut inclure les dernières mises à jour d application/de signatures de menace,s de signatures antivirus, mises à jour WildFire et mises à jour de fichier de données GlobalProtect. Les mises à jour logicielles que vous pouvez gérer à partir de Panorama incluent : PAN-OS, SSL client VPN et client GlobalProtect. Vous devez activer l abonnement de prise en charge directement depuis chaque pare-feu ; Panorama ne peut pas être utilisé pour déployer l abonnement à l assistance. DÉPLOYER LE LOGICIEL ET LES LICENCES SUR DES PÉRIPHÉRIQUES GÉRÉS À L AIDE DE PANORAMA Déployez les mises à jour dynamiques. 1. Sélectionnez Panorama > Déploiement de périphérique > Mises à jour dynamiques. En fonction des abonnements que vous avez 2. Recherchez les dernières mises à jour. Cliquez sur Vérifier acquis, il se peut que vous deviez installer les maintenant (situé dans le coin inférieur gauche de la fenêtre) pour mises à jour d antivirus, d applications ou vérifier les dernières mises à jour. Le lien dans la colonne Action d applications et menaces et des mises à jour indique si une mise à jour est disponible. Si une nouvelle version est WildFire, du fichier de données GlobalProtect et disponible, le lien Télécharger s affiche. Pour la base de données les mises à jour de base de données de filtrage Filtrage des URL, le lien s affiche en marquant Mettre à niveau. URL BrightCloud. 3. Cliquez sur Télécharger pour télécharger la version sélectionnée. Une fois le téléchargement réussi, le lien de la colonne Action passe de Télécharger à Installer. 4. Cliquez sur Installer et sélectionnez les périphériques sur lesquels vous voulez installer la mise à jour. Une fois l installation terminée, une coche s affiche dans la colonne Actuellement installé. Guide de l'administrateur Panorama 101

108 Déployer les mises à jour logicielles et gérer les licences Gérer les pare-feu et la collecte de journaux DÉPLOYER LE LOGICIEL ET LES LICENCES SUR DES PÉRIPHÉRIQUES GÉRÉS À L AIDE DE PANORAMA (SUITE) Déployez les mises à jour logicielles. Pour un collecteur géré, utilisez l image qui correspond au nom de plate-forme m ; pour un périphérique géré, trouvez l image qui correspond au modèle de matériel, par exemple, Cet exemple montre comment installer une mise à jour logicielle PAN-OS. Le client VPN SSL (Panorama > Déploiement du périphérique > Client VPN SSL) et le client the GlobalProtect (Panorama > Déploiement du périphérique > Client GlobalProtect) utilisent le même mécanisme. Cependant, vous n installez pas le logiciel sur le pare-feu, mais vous l activez sur le pare-feu, de sorte qu il peut être téléchargé sur les systèmes client. Vérifiez la version du logiciel et la version de mise à jour de contenu s exécutant sur chaque périphérique géré. 1. Sélectionnez Panorama > Déploiement du périphérique > Logiciel. 2. Recherchez les dernières mises à jour. Cliquez sur Vérifier maintenant (situé dans le coin inférieur gauche de la fenêtre) pour vérifier les dernières mises à jour. Le lien dans la colonne Action indique si une mise à jour est disponible. 3. Consultez le Nom de fichier et cliquez sur Télécharger. Vérifiez que les versions de logiciel que vous téléchargez correspondent à celles des modèles de pare-feu déployés sur votre réseau. Une fois le téléchargement réussi, le lien de la colonne Action passe de Télécharger à Installer. 4. Cliquez sur Installer et sélectionnez les périphériques sur lesquels vous voulez installer la version de logiciel. Le résultat de la tentative d installation s affiche à l écran. Remarque Vous pouvez télécharger un maximum de cinq versions de logiciel par catégorie vers Panorama. Après cinq versions, lorsqu un nouveau téléchargement est initié, l image la plus ancienne est automatiquement supprimée. 1. Sélectionnez Panorama > Périphériques gérés. 2. Localisez le(s) périphérique(s) et examinez les versions de contenu et de logiciel sur le tableau. Vérifiez la version de logiciel et de mise à jour de contenu s exécutant sur chaque collecteur géré. 1. Pour vérifier la version sur le collecteur géré, vous devez accéder à l interface de ligne de commande (CLI) du collecteur géré. Voir Se connecter à l interface de ligne de commande. 2. Saisissez la commande show system info Les détails qui suivent affichent : sw-version: b10 app-version: app-release-date: 2013/03/29 15:46:03 av-version: av-release-date: 2013/04/21 14:31:27 threat-version: threat-release-date: 2013/03/29 15:46: Guide de l'administrateur Panorama

109 Gérer les pare-feu et la collecte de journaux Déployer les mises à jour logicielles et gérer les licences DÉPLOYER LE LOGICIEL ET LES LICENCES SUR DES PÉRIPHÉRIQUES GÉRÉS À L AIDE DE PANORAMA (SUITE) Déployez les licences. 1. Sélectionnez Panorama > Déploiement du périphérique > Licences. Chaque entrée de l onglet Panorama > Déploiement du périphérique > Licences indique si la licence est active ou non. Elle affiche également la date d expiration des licences actives. Remarque Vous ne pouvez pas utiliser Panorama pour activer la licence de prise en charge des périphériques gérés. 2. Si vous avez activé le code d autorisation au préalable pour la prise en charge d abonnement directement sur le pare-feu, cliquez sur Rafraîchir et sélectionnez un ou plusieurs périphériques dans la liste. Panorama récupère la (les) licence(s), la (les) déploie sur le périphérique géré et met à jour l état des licences sur l interface Web. Remarque Cette capacité à récupérer et à déployer les licences à l aide de Panorama est particulièrement utile en cas de renouvellement de licence pour les périphériques n ayant pas d accès direct à Internet. 3. Pour activer de nouvelles licences : a. Cliquez sur Activer. Cette option vous permet d activer un abonnement que vous venez d acheter, par exemple, un abonnement contre les menaces. b. Trouvez ou filtrez les périphériques gérés et saisissez les codes d authentification fournis par Palo Alto Networks dans le périphérique des menaces Code d authentification. c. Cliquez sur Activer. Mise à niveau de périphériques gérés dans une configuration haute disponibilité Guide de l'administrateur Panorama 103

110 Remplacer un périphérique géré par un nouveau périphérique Gérer les pare-feu et la collecte de journaux Remplacer un périphérique géré par un nouveau périphérique Pour réduire les efforts nécessaires à la restauration de la configuration sur un périphérique géré sur une RMA (Return Merchandise Authorization), vous pouvez remplacer le numéro de série de l ancien périphérique par celui du nouveau périphérique ou du périphérique de remplacement sur Panorama. Pour restaurer ensuite la configuration sur le périphérique de remplacement, vous pouvez soit importer l état de périphérique que vous avez généré et exporté depuis le périphérique au préalable, soit utiliser Panorama pour générer un état de périphérique partiel pour les périphériques gérés exécutant PAN-OS v5.0 ou ultérieures. L état de périphérique partiel que vous créez duplique la configuration des périphériques gérés avec quelques exceptions pour les configurations VPN (LSVPN) à grande échelle. Il est créé par le biais de la combinaison de deux facettes de la configuration sur un périphérique géré : Configuration centralisée gérée par Panorama : Panorama garde un cliché des politiques partagées et des modèles transmis depuis Panorama. Configuration locale sur le périphérique : Lorsqu un changement de configuration est validé, chaque périphérique envoie une copie du fichier de configuration locale à Panorama. Ce fichier est stocké sur Panorama et est utilisé pour compiler l ensemble d état de périphérique partiel Dans une configuration LSVPN, l ensemble d état de périphérique partiel que vous générez sur Panorama n est pas le même que sur la version que vous pouvez exporter en utilisant l opération Exporter l état du périphérique à partir de l onglet Périphérique > Configuration > Opérations sur le pare-feu. Si vous avez exécuté manuellement l exportation d état de périphérique ou si vous avez programmé un script d API XML pour exporter un fichier vers un serveur distant, vous pouvez utiliser l état de périphérique exporté dans le flux de travail de remplacement de périphérique ci-dessous. Si vous n avez pas exporté l état du périphérique, l état de périphérique que vous générez dans ce flux de travail n inclura pas les informations de configuration dynamique telles que les détails de certificat et les périphériques enregistrés, qui est requis pour restaurer la configuration complète d un périphérique fonctionnant en tant que portail LSVPN. Voir Avant de commencer pour plus d informations. L état de périphérique n est pas stocké sur Panorama. Il est généré sur demande à l aide des commandes d interface de ligne de commande répertoriées dans Restaurer la configuration sur le nouveau périphérique. En remplaçant le numéro de série et en important l état de périphérique, vous pouvez reprendre la gestion de périphérique à l aide de Panorama. Avant de commencer Le périphérique géré (qui a été remplacé) doit être installé sur PAN-OS v5.0.4 ou une version ultérieure. Panorama ne peut pas générer l état de périphérique pour des périphériques exécutant les versions PAN-OS plus anciennes. Si vous devez restaurer la configuration d un périphérique exécutant une version de PAN-OS antérieure à 5.0.4, reportez-vous à cet article : Restauration de configuration avec Panorama. 104 Guide de l'administrateur Panorama

111 Gérer les pare-feu et la collecte de journaux Remplacer un périphérique géré par un nouveau périphérique Notez les détails qui suivent sur l ancien périphérique : Numéro de série : Vous devez saisir le numéro de série sur le portail d assistance pour transférer les licences à partir de l ancien périphérique vers votre périphérique de remplacement. Vous saisirez également cette information sur Panorama, pour remplacer toutes les références à l ancien numéro de série par le numéro de série du périphérique de remplacement. (Recommandé) Version de PAN-OS et version de base de données de contenu : L installation des mêmes versions de logiciel et de base de données de contenu, notamment le fournisseur de base de données d URL vous permet de créer le même état sur le périphérique de remplacement. Si vous décidez d installer la dernière version de la base de données de contenu, il se peut que vous remarquiez les différences en raison des mises à jour et des ajouts de base de données. Pour vérifier les versions installées sur le périphérique, accédez aux journaux système de périphériques stockés sur Panorama. Préparez le périphérique de remplacement pour le déploiement. Avant d importer l ensemble d état de périphérique et de restaurer la configuration, vous devez : Vérifier que le périphérique de remplacement est du même modèle et est activé pour des fonctionnalités opérationnelles semblables. prenez en compte les fonctions opérationnelles suivantes : doit-il être configuré pour des systèmes virtuels multiples, prendre en charge le mode Jumbo frame, ou activé pour fonctionner en mode CC ou FIPS? Configurez un accès réseau, transférez les licences et installez la version PAN-OS appropriée et la version de base de données de contenu appropriée. Pour ce faire, vous devez utiliser l interface de ligne de commande Panorama. Ce flux de travail basé sur interface de ligne de commande est disponible pour les rôles utilisateur super utilisateur et panorama-admin. Si vous disposez d une configuration LSVPN et remplacez un pare-feu Palo Alto Networks déployé en tant que périphérique satellite ou en tant que portail LSVPN, les informations de configuration dynamique requises pour restaurer la connectivité LSVPN ne seront pas disponibles lorsque vous restaurerez l état de périphérique partiel généré sur Panorama. Si vous avez suivi la recommandation selon laquelle il faut fréquemment générer et exporter l état des périphériques dans une configuration LSVPN, utilisez l état de périphérique que vous avez déjà exporté depuis le périphérique lui-même au lieu d en générer un sur Panorama. Si vous n avez pas exporté manuellement l état de périphérique, et si vous avez besoin de générer un état de périphérique partiel sur Panorama, la configuration dynamique manquante a un impact sur le processus de remplacement de périphérique comme suit : Si le périphérique que vous remplacez est un périphérique de portail explicitement configuré avec des numéros de série des périphériques satellites (Réseau > GlobalProtect > Portails > Configuration satellite), lors de la restauration de la configuration de périphérique, même si la configuration est perdue, le périphérique de portail sera en mesure d authentifier les périphériques de portail avec succès). Une authentification réussie renseignera les informations de configuration dynamique et la connectivité LSVPN sera rétablie. Si vous remplacez un périphérique satellite, le périphérique satellite ne sera pas en mesure de se connecter et de s authentifier auprès du portail. Cet échec de connexion se produit parce que le numéro de série n a pas été explicitement configuré sur le périphérique (Réseau > GlobalProtect > Portails > Configuration satellite) ou parce que, bien que le numéro de série ait été configuré de façon explicite, le numéro de série du périphérique remplacé ne correspond pas à celui de l ancien périphérique. Pour restaurer la connectivité, après avoir importé l ensemble d état du périphérique, l administrateur satellite doit se connecter au périphérique et saisir les informations d authentification (nom d utilisateur et mot de passe) pour authentifier le portail. Lorsque l authentification a lieu, la configuration dynamique requise pour la connectivité LSVPN est générée sur le portail. Guide de l'administrateur Panorama 105

112 Remplacer un périphérique géré par un nouveau périphérique Gérer les pare-feu et la collecte de journaux Cependant, si le périphérique a été configuré en haute disponibilité, après la restauration de la configuration, le périphérique synchronise automatiquement la configuration en cours avec son homologue et obtient la configuration dynamique requise pour fonctionner sans problème. Restaurer la configuration sur le nouveau périphérique Utilisez le flux de travail qui suit pour restaurer la configuration système. RESTAURER LA CONFIGURATION DE PÉRIPHÉRIQUE Tâches sur le nouveau périphérique. Utilisez CLI pour un flux de travail simplifié. Étape 1. Effectuez la configuration initiale, et vérifiez la connectivité réseau. Étape 2 (Facultatif) Définissez le mode opérationnel pour qu il corresponde à celui de l ancien périphérique. Une connexion de port série est nécessaire pour cette tâche. Utilisez une connexion de port série ou une connexion SSH pour ajouter une adresse IP, une adresse IP de serveur DNS, et vérifiez que le périphérique peut accéder au serveur de mise à jour Palo Alto Networks. Pour les instructions, reportez-vous au Palo Alto Networks Getting Started Guide (Guide de démarrage avec Palo Alto Networks). 1. Saisissez la commande d interface de ligne de commande pour accéder au mode de maintenance sur le périphérique : debug system maintenance-mode 2. Pour démarrer dans la partition de maintenance, saisissez maint pendant la séquence de démarrage. 3. Sélectionnez le mode opérationnel en tant que Définir le mode FIPS ou Set CCEAL 4 Mode (Définir le mode 4 CCEAL) dans le menu principal. Étape 3 Récupérez la (les) licence(s). Saisissez la commande suivante pour extraire vos licences : request license fetch Étape 4 (Facultatif) Faites correspondre l état opérationnel du nouveau périphérique à celui de l ancien périphérique. Par exemple, activez la fonction de systèmes virtuels multiples (multi-vsys) pour le périphérique compatible avec la fonction de systèmes virtuels multiples. Saisissez les commandes qui appartiennent à vos paramètres de périphérique. set system setting multi-vsys on set system setting multi-vsys on 106 Guide de l'administrateur Panorama

113 Gérer les pare-feu et la collecte de journaux Remplacer un périphérique géré par un nouveau périphérique RESTAURER LA CONFIGURATION DE PÉRIPHÉRIQUE (SUITE) Étape 5 Mettez à jour la version de PAN-OS sur le périphérique. Vous devez procéder à une mise à niveau vers le même système d exploitation et la même version de base de données de contenu que celle qui installée sur l ancien périphérique. Saisissez les commandes suivantes : 1. Pour mettre à niveau la version de base de données de contenu : request content upgrade download <xxx-xxxx> 2. Pour installer la version de base de données que vous avez téléchargée : request content upgrade install version <xxx-xxxx> 3. Pour mettre à niveau la version de logiciel PAN-OS : request system software download version 5.x.x 4. Pour installer la version de base de données que vous avez téléchargée : request system software install version 5.x.x Tâches sur l interface de ligne de commande Panorama. Vous ne pouvez pas effectuer ces tâches sur l interface Web de Panorama. Étape 6 Remplacez le numéro de série de l ancien périphérique par celui du nouveau périphérique de remplacement sur Panorama. En remplaçant le numéro de série sur Panorama, vous permettez au nouveau périphérique de se connecter à Panorama une fois que vous avez restauré la configuration de périphérique. (Sautez cette étape si vous avez exporté manuellement l état du périphérique depuis votre pare-feu, et accédez à Étape 8 ci-dessous) 1. Saisissez la commande suivante en mode opérationnel : replace device old <ancien N série> new <nouveau N série> 2. Passez en mode Configuration et validez vos modifications. configure commit 3. Quittez le mode configuration Saisissez une des commandes suivantes : scp export device-state device <nouveau N série> to <Serveur IP>: <chemin d accès> Étape 7 Exportez l ensemble d état du périphérique à un ordinateur à l aide de SCP ou de TFTP. La commande d exportation génère un ensemble d état de périphérique en tant que fichier compressé tar et l exporte vers l emplacement spécifié. Cet état de périphérique n inclut pas la configuration dynamique LSVPN (information satellite et détails de certificat). ou, tftp device-state device <nouveau N série> to <serveur IP>: <chemin d accès> Tâches sur le nouveau périphérique. Guide de l'administrateur Panorama 107

114 Remplacer un périphérique géré par un nouveau périphérique Gérer les pare-feu et la collecte de journaux RESTAURER LA CONFIGURATION DE PÉRIPHÉRIQUE (SUITE) Étape 8 Importer l état de l appareil et valider les changements sur le périphérique. 1. Accédez à l interface Web du périphérique. 2. Sélectionnez Périphérique > Configuration > Opérations et cliquez sur le lien Importer l état du périphérique dans la section Gestion de configuration. 3. Naviguez pour localiser le fichier, puis cliquez sur OK. 4. Cliquez sur Valider pour enregistrer vos modifications dans la configuration en cours sur le périphérique. 5. Pour confirmer que l état du périphérique restauré contient les références aux politiques et aux objets transmises à Panorama, recherchez la petite icône verte. Tâches sur Panorama Vous pouvez maintenant utiliser l interface Web Panorama pour accéder et gérer le périphérique remplacé. Étape 9 Vérifiez que la configuration de périphérique a été restaurée avec succès. 1. Accédez à l interface Web de Panorama. 2. Vérifiez que le nouveau périphérique est connecté à Panorama. 3. Effectuez une validation de modèle et de groupes de modèles pour garder le périphérique synchronisé avec Panorama. Une fois le périphérique remplacé, si vous avez besoin de générer des rapports sur une période qui englobe le temps où l ancien périphérique était fonctionnel, et après l installation du périphérique de remplacement, vous devez générer une demande distincte pour chaque numéro de série du périphérique parce que le remplacement du numéro de série sur Panorama n écrase pas les informations présentes dans les journaux. 108 Guide de l'administrateur Panorama

115 Gérer les pare-feu et la collecte de journaux Transition d un périphérique vers une gestion centralisée Transition d un périphérique vers une gestion centralisée Si vous avez déjà déployé et configuré les pare-feu Palo Alto Networks en local, et voulez commencer à utiliser Panorama pour les gérer de façon centralisée, vous devez exécuter des tâches de planification avant migration, de mise en œuvre et de vérification post migration. La présentation de haut niveau ne concerne pas toutes les tâches critiques nécessaires à planifier, mettre en œuvre et valider la transition vers une administration centralisée. Voici la planification et les activités de configuration de haut niveau. Sur Panorama, ajoutez les périphériques et créez des groupes de périphériques pour assembler logiquement des pare-feu ou des systèmes virtuels qui jouent un rôle ou une fonction similaire, ou qui ont des caractéristiques semblables. Créez des zones communes pour chaque groupe de périphérique. Décidez de la stratégie d attribution de nom de zone pour tous les périphériques et les systèmes virtuels d un groupe de périphériques. Par exemple, si vous avez deux zones appelées LAN et WAN, Panorama peut transmettre les politiques de façon centralisée sans connaître les variations de type de port/média, de plate-forme ou de schéma d adressage logique. Vous devez créer des zones sur chaque périphérique géré avant de pouvoir valider les modifications du groupe de périphériques ou du modèle. Panorama ne peut interroger les périphériques pour obtenir le nom de zone ou de configuration. Configurez chaque périphérique pour communiquer avec Panorama. Vous devez définir les adresses IP de Panorama (Panorama principal et secondaire) sur chaque périphérique. Utilisez les groupes de périphériques pour créer des politiques communes pour les périphériques, avec des fonctionnalités différentes et utiliser les modèles pour définir une configuration de base commune pour le périphérique géré. Déterminez la façon dont vous allez gérer les règles et les exceptions spécifiques au périphériques aux politiques communes et les paramètres de configuration. Si vous prévoyez d utiliser des règles configurées localement sur les périphériques, assurez-vous que les noms de règles sont uniques. Un bon moyen de s en assurer est d ajouter un suffixe ou un préfixe à toutes les règles existantes. Pensez à supprimer tout les «règles de refus» de la politique de sécurité locale, et utilisez les règles après sur Panorama. Cette approche vous permet de désactiver provisoirement les règles locales et de tester les règles après partagées transmises par Panorama. Vous pouvez maintenant tester les règles après, effectuer les réglages si c est nécessaire et éliminez l administration locale du périphérique. Vérifiez que les pare-feu fonctionnent efficacement avec la configuration transmise par Panorama comme ils l ont fait avec la configuration locale. Pour des informations détaillées sur l utilisation de l API REST basée sur XML pour achever la transition, reportez-vous au document. Migration de périphérique de Panorama. Comme le support technique de Palo Alto Networks n aide pas à résoudre les problèmes lors de l utilisation de l API XML, si vous n avez pas d expérience en matière d écriture de scripts/d utilisation de l API XML, contactez Palo Alto Networks Professional Services pour en savoir plus sur le processus de migration de périphérique. Guide de l'administrateur Panorama 109

116 Transition d un périphérique vers une gestion centralisée Gérer les pare-feu et la collecte de journaux 110 Guide de l'administrateur Panorama

117 4 Surveiller l activité réseau Panorama offre une vue graphique complète du trafic réseau. Avec les outils de visibilité de Panorama (fonctionnalités de centre de commande de l application (ACC), de journaux et de création de rapports) vous pouvez analyser, enquêter et générer des rapports sur toutes les activités du réseau, identifier les zones susceptibles d avoir un impact sur la sécurité et les transposer dans des politiques de mise en œuvre d application sécurisées. Cette section contient les rubriques suivantes : Utiliser Panorama pour la visibilité Cas pratique : Surveiller des applications en utilisant Panorama Cas pratique : Utiliser Panorama pour remédier à un incident Guide de l'administrateur Panorama 111

118 Utiliser Panorama pour la visibilité Surveiller l activité réseau Utiliser Panorama pour la visibilité En plus du déploiement central et des fonctions de configuration de périphériques, Panorama vous permet de surveiller et de créer des rapports concernant l ensemble du trafic qui circule dans votre réseau. Les fonctionnalités de rapport de Panorama et celles du pare-feu sont très semblables, l avantage qu offre Panorama est une présentation sur un volet unique d informations agrégées sur tous les pare-feu gérés. Cette vue agrégée fournit des informations exploitables sur les tendances de l activité utilisateur, les modèles de trafic et les menaces potentielles sur l ensemble du réseau. Grâce au centre de commande d applications (ACC), Portée d application, la visionneuse de journaux et les options de rapport standard et personnalisables de Panorama, vous pouvez rapidement en apprendre davantage sur le trafic du réseau. La possibilité de voir ces informations vous permet d évaluer l adéquation où l insuffisance des politiques actuelles en fonction des endroits. Vous pouvez alors utiliser ces données pour perfectionner la stratégie de sécurité de votre réseau. Vous pouvez par exemple améliorer la sécurité réseau pour accroître la conformité et la fiabilité pour tous les utilisateurs présents sur le réseau, ou gérer la capacité réseau et réduire les risques pour les actifs tout en satisfaisant les besoins en applications des utilisateurs sur votre réseau. La section fournit un aperçu de haut niveau sur les possibilités de création de rapport sur Panorama, notamment quelques cas pratiques pour illustrer la façon dont ces fonctionnalités peuvent vous aider au sein de votre infrastructure réseau. Pour une liste complète des rapports et schémas disponibles et leur description, reportez-vous à l aide en ligne. Surveiller le réseau avec ACC et Portée d application Analyse des données de journaux Générer des rapports Surveiller le réseau avec ACC et Portée d application ACC et Portée d application permettent tous les deux de surveiller et de créer des rapports sur les données enregistrées qui circulent sur le réseau. L ACC sur Panorama montre un récapitulatif du trafic réseau. Panorama peut demander de façon dynamique des données à tous les périphériques gérés sur le réseau et l afficher sur l ACC. L affichage vous permet de surveiller le trafic par applications, utilisateurs et activité de contenu (catégories d URL, de menaces, de filtrage de données, blocage de fichier, correspondances HIP pour GlobalProtect) dans l ensemble du réseau de pare-feu de prochaine génération de Palo Alto Networks. La portée d application permet de détecter des comportements inattendus ou anormaux sur le réseau en un seul coup d œil. Il inclut un ensemble de cartes et de rapports (rapports récapitulatifs, surveillance des modifications, surveillance des menaces, carte des menaces, surveillance de réseau, carte du trafic) qui permettent d analyser les flux de trafic par menaces ou applications, ou par la source ou la destination des flux. Vous pouvez également effectuer un tri par session ou par nombre d octets. 112 Guide de l'administrateur Panorama

119 Surveiller l activité réseau Utiliser Panorama pour la visibilité Utilisez ACC et Portée d application pour répondre à des questions telles que : ACC Quelles sont les principales applications utilisées sur le réseau, et combien d entre elles sont des applications à haut risque? Qui sont les principaux utilisateurs d applications à haut risque sur le réseau? Quelles sont les principales catégories d URL affichées pendant la dernière heure? Quelles sont les applications qui utilisent le plus de bande passante? Quels sont les utilisateurs/hôtes qui consomment le plus de bande passante? Quels sont les contenus et les fichiers bloqués et existe-t-il des utilisateurs spécifiques qui déclenchent la politique de blocage/de filtrage des données? Quelle est la quantité de trafic échangée entre les deux adresses IP spécifiques ou générée par un utilisateur particulier? D un point de vue géographique, où se trouve le serveur de destination ou le client? Surveillance > Portée d application Quelles sont les tendances d utilisation d application? Quelles sont les cinq principales applications pour lesquelles les taux d utilisation ont augmenté, et les cinq dont l utilisation a diminué? En quoi l activité utilisateur a-t-elle changé pendant la semaine en cours par rapport à la semaine ou au mois dernier? Quels sont les utilisateurs et les applications qui monopolisent la majeure partie de la bande passante de réseau? Et comment cette consommation a-t-elle évolué au cours des 30 derniers jours? Quelles sont les menaces présentes sur le réseau, et comment ces menaces de trafic entrant et sortant sont-elles distribuées d un point de vue géographique? Vous pouvez alors utiliser les informations pour conserver ou appliquer les modifications aux modèles de trafic de votre réseau. Reportez-vous à la section Cas pratique : Surveiller des applications en utilisant Panorama pour avoir un aperçu de la façon dont les outils de visibilité sur Panorama peuvent influencer la façon dont vous pouvez définir des politiques d utilisation acceptables de votre réseau. Guide de l'administrateur Panorama 113

120 Utiliser Panorama pour la visibilité Surveiller l activité réseau Voici quelques conseils pour vous aider à naviguer dans l ACC : Passer de la vue Panorama à une vue de périphérique : Panorama permet l accès à l interface Web d un périphérique en utilisant le menu Contexte. Le bouton de contexte est un commutateur qui fournit un accès direct au pare-feu. Il offre la possibilité de gérer des paramètres spécifiques au périphérique, par exemple la politique spécifique de périphérique, et/ou d écraser les configurations de réseau transmises depuis un modèle ou un périphérique spécifique. Changer de source de données : La source par défaut utilisée pour afficher les statistiques sur les tableaux dans l ACC correspond aux données locales Panorama. Excepté les données qui s affichent dans le tableau Application, tous les autres schémas nécessitent que vous activiez le transfert de journal vers Panorama. L utilisation des données locales de Panorama permet de charger rapidement les tableaux. Vous pouvez cependant changer la source des données pour Données du périphérique distant. Lorsqu il est configuré pour utiliser les données de périphérique à distance et non les données Panorama locales, Panorama interroge tous les périphériques gérés et présente une vue agrégée des données. L affichage à l écran montre le nombre total de périphériques sondés et le nombre de périphériques qui ont répondu à la demande d informations. Sélectionnez les cartes à afficher : L ACC inclut un ensemble de cartes dans les domaines d application, le filtrage URL, la prévention des menaces, le filtrage des données et la correspondance HIP. Hormis les cartes d application et les correspondances HIP, toutes les autres cartes ne s affichent que si la fonction correspondante a reçu une licence sur le périphérique et si vous avez activé la journalisation. Adapter les délais et trier les données : La période de rapport de l ACC va des 15 dernières minutes à l heure, le jour, la semaine, le mois précédent, ou une durée personnalisée. Vous pouvez trier les données par sessions, les octets, les menaces et le filtre pour afficher jusqu à articles. 114 Guide de l'administrateur Panorama

121 Surveiller l activité réseau Utiliser Panorama pour la visibilité Analyse des données de journaux L onglet Surveillance sur Panorama offre un accès aux données de journalisation. Ces journaux se présentent sous forme de liste de sessions archivées traitée par les pare-feu gérés et transmise à Panorama. Les données de journaux peuvent être en général regroupées selon deux types : celles qui fournissent des informations détaillées sur les flux de trafic sur votre réseau, comme les applications, les menaces, les profils d informations hôtes, les catégories d URL, les types de contenu/de fichiers et celles qui enregistrent les événements système, les modifications de configuration et les alarmes. En fonction de la configuration de la transmission de journaux sur les périphériques gérés, l onglet Surveillance > Journaux peut inclure les journaux des flux de trafic, des menaces, le filtrage des URL, le filtrage des données, la correspondance de profil d informations hôte (HIP) et les envois WildFire. Vous pouvez consulter les journaux pour vérifier toutes sortes d informations sur une session ou une transaction donnée, par exemple, les ports source et de destination, les zones et les adresses, l utilisateur qui a initié la session, et l action (autoriser, refuser) exécutée par le pare-feu sur cette session. Les journaux système et de configuration peuvent vous informer sur les changements de configuration ou une alarme déclenchée au moment du dépassement du seuil configuré. Générer des rapports Panorama vous permet de générer des rapports manuellement selon les besoins, ou de programmer des rapports à exécuter à intervalles spécifiques. Vous pouvez enregistrer et exporter des rapports, ou vous pouvez configurer Panorama pour transmettre les rapports par courrier électronique à des destinataires spécifiques. La possibilité de partager des rapports par le biais de la messagerie électronique s avère particulièrement utile si vous souhaitez partager les informations de rapport avec des administrateurs qui n ont pas accès à Panorama. Vous pouvez créer les types de rapports suivants : Rapports prédéfinis : Une série de rapports prédéfinis est disponible en quatre catégories (applications, menaces, filtrage URL et trafic) dans l onglet Surveillance > Rapports. Rapports d activité utilisateur : Le rapport d activité de l utilisateur est un rapport prédéfini utilisé pour créer des rapports sur demande afin de documenter l utilisation d applications et l activité URL répartie par catégories URL pour un utilisateur spécifique, avec calculs du délai de recherche estimé. Ce rapport est disponible dans l onglet Surveillance > Rapports PDF > Rapports d activité utilisateur. Rapports personnalisés : Crée et programme des rapports personnalisés qui montrent avec précision les informations que vous souhaitez voir en appliquant un filtre sur les conditions et les colonnes à inclure. Vous pouvez générer des rapports pour rechercher des données à partir d une base de données récapitulative sur Panorama ou sur les appareils distants (en d autres termes les pare-feu gérés), ou utiliser les rapports détaillés sur Panorama ou sur les périphériques distants. Pour afficher les bases de données disponibles pour la génération de ces rapports, reportez-vous à l onglet Surveillance > Gérer des rapports personnalisés. Vous pouvez également créer des groupes de rapports (onglet Surveillance > Rapports PDF > Groupes de rapports) pour compiler des rapports prédéfinis et personnalisés sous forme de PDF unique. Rapports récapitulatifs PDF : Agrège jusqu à 18 rapports, graphiques et rapports personnalisés prédéfinis, dans un seul document PDF. Guide de l'administrateur Panorama 115

122 Utiliser Panorama pour la visibilité Surveiller l activité réseau Le tableau suivant fournit des instructions étape par étape pour la création et la programmation de rapports : GÉNÉRER, PLANIFIER ET ENVOYER DES RAPPORTS PAR Étape 1. Générez des rapports. Créez un rapport personnalisé. Remarque Vous devez configurer un groupe de rapports pour envoyer les rapports par courrier électronique. a. Sélectionnez Surveillance > Gérer des rapports personnalisés. b. Cliquez sur Ajouter puis saisissez un Nom pour le rapport. c. Sélectionnez la base de données Panorama ou de Données du périphérique distant que vous souhaitez utiliser pour le rapport. Vous pouvez utiliser la base de données récapitulative ou des journaux détaillés sur Panorama ou les périphériques gérés. d. Cochez la case Programmé. e. Définissez vos critères de filtrage. Sélectionnez le Délai, la commande Trier par, la préférence Regrouper par, et sélectionnez les colonnes devant figurer dans le rapport. f. (Facultatif) Sélectionnez les attributs Générateur de requêtes, si vous voulez encore affiner les critères de sélection. g. Pour tester les paramètres de rapport, sélectionnez Lancer l exécution. Modifiez les paramètres si nécessaire pour modifier les informations qui figurent dans le rapport. h. Cliquez sur OK pour enregistrer le rapport personnalisé. Exécutez un rapport de récapitulation au format PDF. a. Sélectionnez Surveillance > Rapports PDF > Gérer le récapitulatif PDF. b. Cliquez sur Ajouter, puis saisissez un Nom pour le rapport. c. Utilisez la liste déroulante pour chaque groupe de rapports et sélectionnez un ou plusieurs éléments pour concevoir le rapport récapitulatif au format PDF. Vous pouvez y inclure un maximum de 18 éléments de rapport. d. Cliquez sur OK pour enregistrer les paramètres. Définissez le Groupe de rapports. Il peut inclure des rapports prédéfinis, des rapports récapitulatifs au format PDF, et des rapports personnalisés. Panorama compile tous les rapports inclus dans un PDF unique. a. Sélectionnez Surveillance > Groupe de rapports. b. Cliquez sur Ajouter, puis saisissez un Nom pour le groupe de rapport. c. (Facultatif) Sélectionnez Titre de la page et ajoutez un Titre pour la sortie PDF. d. Effectuez une sélection dans les listes Rapport prédéfini, Rapport de récapitulation PDF et rapport personnalisé. Cliquez sur Ajouter pour inclure le ou les rapports sélectionnés dans le groupe de rapports. e. Cliquez sur OK pour enregistrer les paramètres. 116 Guide de l'administrateur Panorama

123 Surveiller l activité réseau Utiliser Panorama pour la visibilité GÉNÉRER, PLANIFIER ET ENVOYER DES RAPPORTS PAR (SUITE) Étape 2 Configurez Panorama pour envoyer les rapports par courrier électronique. Étape 3 Programmez le rapport pour la distribution par messagerie électronique. Étape 4 Enregistrez les modifications de configuration. 1. Sélectionnez Panorama > Profils de serveur > Cliquez sur Ajouter, puis saisissez un Nom pour le profil. 3. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur de messagerie, puis saisissez les informations requises pour vous connecter au serveur SMTP (Simple Mail Transport Protocol) et envoyer un courrier électronique (vous pouvez ajouter jusqu à quatre serveurs de messagerie au profil) : Serveur: nom identifiant le serveur de messagerie (1 à 31 caractères). Ce champ est un simple intitulé et ne doit pas comporter le nom d hôte d un serveur SMTP existant. Nom complet d nom apparaissant dans le champ De du courrier électronique. De : adresse de messagerie depuis laquelle les messages électroniques de notification seront envoyés. À : adresse de messagerie vers laquelle les courriers de notification seront envoyés. Destinataire supplémentaire : pour envoyer des notifications à un second compte, saisissez l adresse supplémentaire ici. Gateway (Passerelle de messagerie) : adresse IP ou nom d hôte de la passerelle SMTP à utiliser pour envoyer les courriers électroniques. 4. Cliquez sur OK pour enregistrer le profil de serveur. 5. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours. 1. Sélectionnez Surveillance > Rapports PDF > Planificateur de courrier électronique. 2. Cliquez sur Ajouter et saisissez un Nom pour le profil de planificateur de courrier électronique. 3. Sélectionnez le Groupe de rapports, le Profil de messagerie et la Récurrence du rapport. 4. Pour vérifier que les paramètres de messagerie sont exacts, sélectionnez Envoyer le courrier électronique de test. 5. Cliquez sur OK pour sauvegarder vos paramètres. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours. Guide de l'administrateur Panorama 117

124 Cas pratique : Surveiller des applications en utilisant Panorama Surveiller l activité réseau Cas pratique : Surveiller des applications en utilisant Panorama Cet exemple vous explique le processus d évaluation d efficacité de vos politiques actuelles et vous aide à détecter les endroits où vous devez affiner les réglages pour renforcer les politiques d utilisation acceptables pour votre réseau. Lorsque vous vous connectez à Panorama, le widget Principales applications du tableau de bord donne une prévisualisation des applications les plus utilisées au cours de la dernière heure. Vous pouvez soit jeter un coup d œil sur la liste des principales applications et promener votre souris sur chaque blocage d application dont vous souhaitez voir le détail, ou vous pouvez accéder à l onglet ACC pour afficher les mêmes informations qu une liste ordonnée. L image suivante est un aperçu du widget Applications principales sur le Tableau de bord. La source des données de cet écran est une base de données sur les statistiques d application. Elle n utilise pas les journaux de trafic et est générée que vous ayez ou non activé la journalisation des règles de sécurité. Cette vue sur le trafic de votre réseau décrit tout ce qui est autorisé sur votre réseau et qui circule parce qu il n est pas bloqué par les règles que vous avez définies. Vous pouvez effectuer une sélection et changer la Source de données pour qu elle soit locale sur Panorama, ou vous pouvez interroger les pare-feu gérés (Données du périphérique distant) pour obtenir les données. Panorama agrège et affiche automatiquement les informations. Pour un flux plus rapide, envisagez d utiliser Panorama comme source de données (avec le transfert de journaux vers Panorama activé) car le délai nécessaire au chargement de données depuis des périphériques distants varie en fonction de la période pour laquelle vous choisissez d afficher les données et du volume de trafic généré sur votre réseau. Lorsque nous revenons à la liste des principales applications, nous pouvons voir que Bittorrent est très populaire. Si vous cliquez sur le lien correspondant à l application bittorrent, la vue ACC filtre l affichage pour afficher les informations sur l application, son comportement, le niveau de risque et les détails de catégorisation d URL associés. 118 Guide de l'administrateur Panorama

125 Surveiller l activité réseau Cas pratique : Surveiller des applications en utilisant Panorama Dans le tableau Sources principales, vous pouvez voir combien d utilisateurs utilisent bittorrent et le volume de trafic généré. Si vous avez activé l ID utilisateur, vous serez en mesure d afficher les noms des utilisateurs qui génèrent ce trafic. Vous pouvez maintenant cliquer sur un utilisateur source pour consulter toute son activité. En utilisant la vue ACC pour filtrer le trafic bittorrent généré par l adresse source ou l utilisateur spécifique, nous pouvons vérifier le pays source et le pays de destination du trafic généré, le périphérique qui traite ce trafic, les zones d entrée et de sortie et la règle de sécurité qui laisse la connexion fonctionner. Pour des informations plus détaillées, examinez les journaux de trafic pour obtenir une vue filtrée et revoir chaque entrée du journal et connaître les ports utilisés, les paquets envoyés et reçus. Ajustez les colonnes pour voir plus ou moins d informations, en fonction de vos besoins. Guide de l'administrateur Panorama 119

126 Cas pratique : Surveiller des applications en utilisant Panorama Surveiller l activité réseau L onglet Surveillance > Portée d application > Carte de trafic affiche une carte géographique du flux de trafic et fournit une vue du trafic entrant par rapport au trafic sortant. Vous pouvez également utiliser l onglet Surveillance > Portée d application > Surveillance pour afficher les modifications des modèles de trafic. Par exemple, comparez les applications principales utilisées pendant cette heure par rapport à la semaine ou le mois précédent pour déterminer s il existe un modèle ou une tendance. Avec toutes les informations que vous avez découvertes, vous pouvez évaluer les modifications à apporter à vos configurations de police. Voici quelques suggestions à prendre en compte : Soyez restrictif et décidez de créer une valeur avant sur Panorama pour bloquer tout trafic bittorrent. Utilisez ensuite les groupes de périphériques Panorama pour créer et transférer la règle de politique vers un ou plusieurs périphériques. Mettez en place des limites d utilisation de la bande passante et créez un profil et une politique QoS supprimant la priorité pour le trafic ne concernant pas l entreprise. Utilisez ensuite les modèles Panorama pour transférer cette politique vers un ou plusieurs périphériques. Reportez-vous à l article Modèles Panorama pour définir une politique QoS à l aide de modèles. Réduisez les risques pour votre réseau et créez un filtre d application bloquant toutes les opérations de partage de fichier faisant appel à une technologie poste-à-poste présentant un facteur de risque 4 ou 5. Assurez-vous que l application Bittorrent est incluse dans ce filtre d application, et qu elle sera donc bloquée. Programmez un groupe de rapports personnalisés réunissant l activité spécifique à l utilisateur et celle des principales applications utilisées sur votre réseau pour observer ce modèle pendant une semaine supplémentaire ou deux avant de passer à l action. 120 Guide de l'administrateur Panorama

127 Surveiller l activité réseau Cas pratique : Surveiller des applications en utilisant Panorama En plus de contrôler une application spécifique, vous pouvez vérifier les applications inconnues dans la liste des applications principales. Ce sont des applications qui ne correspondent pas à une signature App-ID et qui s affichent sous le nom de unknown-udp et unknown-tcp. Pour examiner de près ces applications inconnues, cliquez sur le nom pour afficher les détails du trafic non classifié. Utilisez la même procédure pour examiner les adresses IP source principales des hôtes ayant initié le trafic inconnu, avec l adresse IP de l hôte de destination vers lequel la session a été établie. Concernant le trafic inconnu, par défaut, les journaux de trafic exécutent une capture de paquet (pcap) lorsqu une application inconnue est détectée. La flèche verte de la colonne de gauche représente les bribes de capture de paquet des données d applications. Un clic sur la flèche verte affiche le pcap dans le navigateur. Maintenant, avec la combinaison des adresses IP des serveurs (IP de destination dans les journaux), le port de destination et les captures de paquet, vous êtes mieux placé pour identifier l application et prendre une décision quant à l action à prendre sur le réseau. Par exemple, vous pouvez créer une application personnalisée qui identifie le trafic au lieu de l étiqueter comme TCP inconnu ou trafic UDP. Reportez-vous à l article Applications inconnues pour plus d informations sur l identification d une application inconnue et la signature d application personnalisée pour des informations sur le développement des signatures personnalisées permettant de reconnaître l application. Guide de l'administrateur Panorama 121

128 Cas pratique : Utiliser Panorama pour remédier à un incident Surveiller l activité réseau Cas pratique : Utiliser Panorama pour remédier à un incident Les menaces réseau peuvent avoir plusieurs origines, notamment des infections par logiciel malveillant et espion dues suite à des téléchargements, des attaques de hameçonnage, sous des serveurs sécurisés sans correctif, ou des refus de service (Dos) aléatoires ou ciblés, pour n en citer que quelques-unes. Pour pouvoir réagir aux attaques ou aux infections réseau, il faut disposer de processus et de systèmes qui alertent l administrateur de l attaque et fournissent les données nécessaires à la détection de la source de l attaque et des méthodes utilisées. L avantage de Panorama est une vue centralisée et consolidée des schémas et des journaux collectés auprès des pare-feu gérés sur votre réseau. Utilisé seul ou avec les rapports et les journaux générés par SIEM (Gestion des événements d informations de sécurité) les informations sur les attaques relatives peuvent être utilisées pour étudier comment une attaque a été déclenchée, et comment éviter les attaques futures et les pertes et les dommages à votre réseau. Les questions que nous allons examiner dans cette section sont : Comment êtes-vous averti d un incident? Comment vérifiez-vous que l incident n est pas un faux positif? Quelle est votre ligne de conduite immédiate? Comment utiliser les informations disponibles pour recréer la séquence des événements qui ont précédé ou suivi l événement déclenché? Quels sont les changements que vous devez envisager pour sécuriser votre réseau? Dans ce cas pratique, nous allons reprendre un incident spécifique et vous montrer comment les outils de visibilité de Panorama vous aideront à répondre au rapport. Il existe plusieurs façons de vous alerter d un incident en fonction de la configuration des périphériques Palo Alto Networks et des outils de tiers qui sont disponibles pour une analyse approfondie. Vous pouvez recevoir une notification par message électronique déclenchée par une entrée de journal enregistrée dans Panorama ou sur votre serveur syslog, vous pouvez être informé via un rapport spécialisé généré par votre solution SIEM, ou un service ou une solution tiers payant peuvent vous avertir. Pour cet exemple, disons que vous recevez une notification par message électronique de la part de Panorama. Ce message vous informe d un événement a été déclenché par une alerte pour Zero Access gent. Gen. Command et Control Traffic, et correspond à une signature de logiciel espion. Le message électronique mentionne également l adresse IP de la source et de la destination de la session, un ID de menace et l horodatage du moment où l événement a été consigné. Pour commencer l examen de l alerte, utilisez l ID de menace pour effectuer des recherches dans les journaux de menaces sur Panorama (Surveillance > Journaux > Menace). Depuis les journaux de menaces, vous pouvez trouver l adresse IP de la victime, exporter la capture de paquet (pcap, qui correspond à une icône représentant une flèche verte) et utiliser un outil d analyse réseau tel que WireShark pour voir les détails du paquet. Dans le cas de HTTP, recherchez le REFERER HTTP mal formé ou défectueux dans le protocole, l hôte suspect, les chaînes d URL, l agent utilisateur, l adresse IP et le port afin de valider l incident. Les données de ces pcap sont également utiles en cas de recherche des modèles de données similaires et de création de signatures personnalisées, ou pour modifier la politique de sécurité pour mieux affronter la menace dans l avenir. 122 Guide de l'administrateur Panorama

129 Surveiller l activité réseau Cas pratique : Utiliser Panorama pour remédier à un incident Grâce à ce manuel, si vous vous fiez à la signature, envisagez de passer la signature d une action d alerte à une action d interdiction, pour une approche plus agressive. Dans certains cas, vous pouvez choisir d ajouter l IP du pirate à une liste d interdiction pour éviter qu un trafic quelconque émanant de cette adresse IP n atteigne le réseau interne. Si vous détectez une signature de logiciel espion basée sur DNS, l adresse IP de votre serveur DNS local peut s afficher comme adresse IP Victime. Souvent, c est parce que le pare-feu se trouve en amont du serveur local DNS, et donc, toutes les demandes DNS désignent le serveur DNS local comme IP source, et ne montrent pas l adresse IP du client à l origine de la demande. Si vous rencontrez ce problème, consultez les journaux DNS locaux pour trouver le client duquel émane la requête. Pour le futur, envisagez d acheminer les requêtes DNS client directement vers le pare-feu, pour que ce dernier enregistre correctement l adresse IP de la victime. Pour poursuivre les investigations sur l incident, utilisez les informations sur l adresse IP du pirate et de la victime pour découvrir d autres informations, notamment : Où se trouve le pirate, d un point de vue géographique? S agit-il d une adresse IP individuelle ou d une adresse IP NATée? L événement a-t-il été causé par un utilisateur piégé suite à la consultation d un site, un téléchargement ou a-t-il été envoyé par le biais d une pièce jointe à un courrier électronique? Le logiciel s est-il propagé? Y a-t-il d autres hôtes/points d extrémité du réseau compromis? S agit-il d une vulnérabilité au jour zéro? Les détails du journal de chaque entrée de journal affiche les Journaux associés à l événement. Ces informations désignent le trafic, la menace, le filtrage URL ou d autres journaux que vous pouvez consulter et font des associations entre les événements ayant mené à l incident. Par exemple, filtrez le journal du trafic (Surveillance > Journaux > Trafic) en utilisant l adresse IP à la fois comme source et destination IP pour avoir une image complète des hôtes/clients internes avec lesquels l adresse IP de la victime a établi une connexion. Guide de l'administrateur Panorama 123

130 Cas pratique : Utiliser Panorama pour remédier à un incident Surveiller l activité réseau Outre les journaux des menaces, utilisez l adresse IP de la victime pour assurer le filtrage par le biais des journaux Envois WildFire. Les journaux Envois WildFire contiennent des informations sur les fichiers téléchargés vers le service WildFire pour analyse. Comme les logiciels espions se cachent, la consultation des journaux WildFire vous permet de savoir si la victime a récemment téléchargé un fichier suspect. Le rapport de recherche WildFire affiche des informations sur l URL sur laquelle le fichier ou l exe a été obtenu, et le comportement de son contenu. Il vous dit si le fichier est malveillant, s il a modifié des clés de recherche, s il a lu/écrit dans les fichiers, s il a ouvert des canaux de communication, s il a causé des pannes d applications, s il s est intégré a des processus, s il a téléchargé des fichiers ou présenté d autres comportements malveillants. Utilisez cette information pour déterminer si vous devez bloquer l application à l origine de l infection (navigation sur le Web, SMTP, FTP), élaborer des politiques de filtrage d URL plus strictes, restreindre des applications/actions telles que des téléchargements de fichier pour des groupes d utilisateurs spécifiques. L accès aux journaux WildFire de Panorama nécessite la configuration minimale suivante : un abonnement à WildFire, un profil d interdiction des fichiers associés à une politique de sécurité, et un journal des menaces transféré vers Panorama. Si WildFire détermine que le fichier est malveillant, une nouvelle signature antivirus est créée dans un délai de 24 à 48 heures et est mise à votre disposition. Si vous disposez d un abonnement WildFire, la signature est disponible dans un délai de 30 à 60 minutes, et est intégrée à la mise à jour des signatures suivantes de WildFire. Aussitôt que le pare-feu de prochaine génération Palo Alto Networks a reçu la signature obtenue, votre configuration est adaptée pour bloquer le fichier malveillant, le fichier est bloqué et les informations sur le fichier bloqué apparaissent sur votre journal de menaces. Cette procédure est étroitement intégrée,pour vous protéger de cette menace, et évite la propagation de logiciels malveillants sur votre réseau. Le journal de filtrage des données (Surveillance > Journaux > Filtrage des données) est lui aussi une source précieuse pour enquêter sur les activités malveillantes sur votre réseau. Vous pouvez régulièrement consulter les journaux de tous les fichiers pour lesquels vous avez été alerté, et vous pouvez également utiliser les journaux pour suivre les transferts de fichier et de données depuis ou vers l adresse IP de la victime ou de l utilisateur, et vérifier la direction et le flux du trafic serveur vers client ou client vers serveur. Pour recréer les événements qui ont précédé et suivi un événement, filtrez les journaux de l adresse IP de la victime comme destination, et consultez les journaux d activité réseau. 124 Guide de l'administrateur Panorama

131 Surveiller l activité réseau Cas pratique : Utiliser Panorama pour remédier à un incident Comme Panorama agrège les informations de tous les périphériques gérés, il présente un bon aperçu de toute activité de votre réseau. Parmi les autres outils visuels que vous pouvez utiliser pour surveiller le trafic de votre réseau on trouve : Carte de menaces, Carte de trafic et le surveillance des menaces. La carte de menaces et la carte de trafic (Surveillance > Portée d application > Carte de menaces ou Carte de trafic) vous permettent de visualiser les zones géographiques du trafic entrant ou sortant. Elle peut s avérer particulièrement utile pour afficher l activité inhabituelle qui pourrait indiquer une attaque possible de l extérieur, par exemple, une attaque DDoS. Si par exemple, vous n avez pas beaucoup de transactions avec l Europe de l est et que la carte révèle un niveau anormal de trafic dans cette région, cliquez dans la zone correspondante de la carte pour lancer et afficher les informations ACC des principales applications, les détails du trafic des chiffres de session, les octets recrus et envoyés, les sources et les destinations principales, les utilisateurs ou les adresses IP, et la gravité des menaces détectées, le cas échéant. L écran de menaces (Surveillance > Portée d application > Surveillance des menaces) affiche les dix principales menaces présentes sur votre réseau, ou la liste des principaux pirates ou des principales victimes sur le réseau. Avec toutes les informations que vous avez découvertes, vous pouvez maintenant voir l impact des menaces sur le réseau (le niveau de l attaque, sa source, les hôtes compromis, le facteur de risque) et évaluer les modifications et, le cas échéant, le suivi. Voici quelques suggestions à prendre en compte : Prévenir les attaques DDoS en améliorant votre profil DOS pour configurer l abandon précoce ou l abandon SYN des cookies de flood TCP. Envisagez de limiter le trafic ICMP ou UDP. Évaluez les options que vous avez en fonction des tendances et des modèles que vous avez remarqués dans vos journaux, et mettez en œuvre les modifications à l aide des modèles Panorama. Créez une liste d interdiction dynamique (Objets > Listes d interdiction dynamique), pour bloquer des adresses IP que vous avez découvertes à partir de plusieurs sources d intelligence : analyse de vos propres journaux de menaces, attaques DDOS de la part d adresses IP spécifiques, ou liste d interdiction d adresses IP de tiers spécifiques. Guide de l'administrateur Panorama 125

132 Cas pratique : Utiliser Panorama pour remédier à un incident Surveiller l activité réseau La liste doit se présenter sous forme de fichier texte localisé sur un serveur Web. En utilisant des groupes de périphériques sur Panorama, transmettez l objet à des pare-feu gérés pour qu ils puissent accéder des serveurs Web et importez la liste à une fréquence définie. Après avoir créé un objet de liste d interdiction dynamique, définissez la politique de sécurité qui utilise l objet d adresse dans les champs source et de destination pour bloquer le trafic à partir ou vers l adresse IP, la plage ou le sous-réseau défini. Cette approche vous permet de bloquer les intrus jusqu à ce que vous résolviez le problème ou apportiez des changements de politique à un niveau plus large pour sécuriser votre réseau. Déterminez si vous devez créer des politiques partagées ou créer des politiques de groupe de périphériques pour bloquer les spécifications particulières pour les applications ayant causé l infection (navigation sur le Web, SMTP, FTP), élaborer des politiques de filtrage d URL plus strictes, restreindre des applications/actions telles que des téléchargements de fichier à des groupes d utilisateurs spécifiques. Sur Panorama, vous pouvez également changer de contexte de périphérique et configurer le pare-feu pour les rapports de botnet qui identifient des hôtes infectés par des robots sur le réseau. 126 Guide de l'administrateur Panorama

133 5 Haute disponibilité Panorama La haute disponibilité Panorama (HD) est une configuration dans laquelle deux serveurs Panorama sont réunis dans un groupe (cluster de deux périphériques). Panorama en HD assure la continuité des tâches d administration et de surveillance centralisées des pare-feu pour protéger votre réseau. Cette section contient les rubriques suivantes : Présentation de la haute disponibilité Configurer une paire haute disponibilité Panorama Mettre à niveau Panorama en haute disponibilité Guide de l'administrateur Panorama 127

134 Présentation de la haute disponibilité Haute disponibilité Panorama Présentation de la haute disponibilité Panorama offre un volet central unique pour configurer, surveiller et créer des rapports sur les pare-feu Palo Alto Networks. Panorama en HD propose la redondance des fonctions de gestion centralisée et de création de rapports au sein de votre déploiement. Pour configurer Panorama en HD, vous avez besoin d une paire de serveurs Panorama identiques présentant tous les deux la configuration minimale requise : le même format : tous les deux doivent être des appareils basés sur matériel (appareils M-100), ou des appareils virtuels. Pour la HD, les appareils M-100 doivent être en mode Panorama. La haute disponibilité n est pas prise en charge sur une paire d appareils M-100 configurés en tant que collecteurs de journaux. La même version de système d exploitation Panorama : les deux doivent exécuter la même version de Panorama afin de synchroniser les informations de configuration et de maintenir la parité pour un basculement transparent. Le même ensemble de licences : doivent acheter et installer les mêmes licences de capacité de gestion de périphérique pour chaque Panorama. (Appareil virtuel Panorama uniquement) Numéro de série unique : chaque appareil virtuel Panorama doit avoir un numéro de série unique. Si le numéro de série est dupliqué, les deux instances de Panorama seront placées en mode suspendu jusqu à ce que vous résolviez le problème. Les serveurs Panorama dans la configuration HD sont des homologues et chaque homologue doit être utilisé pour gérer de façon centralisée les périphériques avec quelques exceptions. Les homologues HD utilisent le port de gestion pour synchroniser les éléments de configuration transférés avec les périphériques gérés et conserver les informations d état. En général, les homologues HD sont situés sur des sites différents d un point de vue géographique, et vous devez donc vous assurer que l adresse IP du port de gestion affectée à chaque homologue peut être routée via votre réseau. La connectivité HD utilise le port TCP 28 avec le cryptage activé et lorsque le cryptage n est pas activé. 128 Guide de l'administrateur Panorama

135 Haute disponibilité Panorama Présentation de la haute disponibilité Chaque périphérique de la paire HD se voit affecter une valeur de priorité. La valeur de priorité de l appareil principal ou secondaire détermine l homologue Panorama qui sera utilisé comme point d administration principal et de gestion de journal. L homologue défini en tant que principal implique l état actif, et le secondaire devient passif. Le périphérique actif gère tous les changements de configuration et les transmet aux pare-feu gérés. Le périphérique passif ne peut pas exécuter de changement de configuration ou transmettre la configuration des périphériques gérés. Cependant, l un ou l autre des homologues peut être utilisé pour exécuter des rapports ou lancer des requêtes sur les journaux. L homologue passif est synchronisé et prêt à entamer la transition vers l état actif au cas ou une défaillance surviendrait sur un chemin d accès, un lien, un système ou un réseau du périphérique actif. Déclencheurs de basculement Lorsqu une panne survient sur le périphérique actif et si le périphérique passif assume la tâche consistant à gérer les pare-feu, l événement est appelé basculement. Un basculement est déclenché lorsqu une des mesures surveillées du périphérique actif échoue. Cette défaillance fait passer l état du Panorama principal de Principal actif à Principal passif et l appareil Panorama secondaire devient Secondaire actif. Les conditions déclenchant un basculement sont : Les homologues Panorama ne peuvent pas communiquer entre eux et l homologue actif ne répond pas aux sondages d état et de statut ; La mesure utilisée est Sondage de pulsation et messages Hello. Lorsque les homologues Panorama ne peuvent pas communiquer entre eux, l homologue actif surveille si les périphériques sont toujours connectés avant de déclencher un basculement. Ce contrôle permet d éviter un basculement et cause un scénario de division, où les deux homologues Panorama se trouvent à l état actif. Une ou plusieurs destinations (adresses IP) spécifiées sur l homologue actif n ont pas pu être jointes. La mesure utilisée est Surveillance de chemin. Outre les déclenchements de basculement répertoriés ci-dessus, un basculement se produit également lorsque l administrateur met le périphérique à l état suspendu ou en cas de préemption. La préemption précise qu à une reprise après défaillance (ou une suspension initiée par l utilisateur), l appareil Panorama principal doit être privilégié pour reprendre le rôle actif. Par défaut, la préemption est activée et lorsque l appareil Panorama principal reprend après une défaillance et devient disponible. L appareil Panorama secondaire perd le contrôle et revient à l état passif. En cas de préemption, l événement est consigné dans le journal système. Si vous vous connectez à un magasin de données NFS, ne désactivez pas la préemption, car elle permet à l homologue principal (monté sur le NFS) de reprendre le rôle actif et d écrire sur le magasin de données NFS. Pour tous les autres déploiements, la préemption n est requise que si vous voulez vous assurer qu un périphérique spécifique est le périphérique actif privilégié. Guide de l'administrateur Panorama 129

136 Présentation de la haute disponibilité Haute disponibilité Panorama Sondage de pulsation et messages Hello Les homologues HD utilisent les messages hello et les pulsations pour vérifier que l homologue est réactif et opérationnel. Les messages Hello sont envoyés d un homologue vers un autre pendant l Intervalle Hello pour vérifier l état de l autre. La pulsation est une requête ping ICMP envoyée à l homologue, qui répond au ping pour vérifier que les périphériques sont connectés et répondent. Par défaut, l intervalle de pulsation est de millisecondes et ms pour les messages hello. Surveillance de chemin La surveillance de chemin contrôle la connectivité de réseau et l état des liaisons d une adresse IP spécifiée. L homologue actif utilise des requêtes ping ICMP pour vérifier qu une ou plusieurs adresses IP de destination peuvent être jointes. Vous pouvez par exemple surveiller la disponibilité de périphériques réseau tels qu un routeur ou un commutateur, la connectivité au serveur ou d un autre périphérique vital qui fait partie du flux du trafic. Assurez-vous que le nœud/périphérique que vous surveillez n a pas tendance à être non réactif, surtout lors de son chargement, car ceci pourrait entraîner un échec de surveillance du chemin et déclencher un basculement. L intervalle ping par défaut est de ms. L adresse IP est considérée comme inaccessible lorsque trois requêtes ping à la suite (à la valeur par défaut) échouent, et qu un échec de périphérique est déclenché lorsqu une ou toutes les adresses IP surveillées deviennent inaccessibles. Par défaut, si l une des adresses IP devient inaccessible, l état HD passe à non fonctionnel. Remarques sur la journalisation en HD La configuration de Panorama dans une configuration HD fournit la redondance pour la collecte de journaux. Comme les services gérés sont connectés aux deux homologues Panorama sur SSL, lorsqu un changement d état survient, chaque Panorama envoie un message aux périphériques connectés. Les périphériques sont informés de l état HD de Panorama et peuvent transmettre les journaux en conséquence. Les options de journalisation du matériel Panorama et de l appareil virtuel Panorama diffèrent. Par défaut, lorsque les services gérés ne parviennent pas se connecter à Panorama (l appliance M-100 et l appliance virtuelle Panorama), ils mettent les journaux en mémoire tampon ; lorsque la connexion est rétablie, ils reprennent l envoi des journaux là où ils se sont arrêtés. 130 Guide de l'administrateur Panorama

137 Haute disponibilité Panorama Présentation de la haute disponibilité Basculement de journalisation sur l appareil virtuel Panorama Sur l appareil virtuel Panorama, vous disposez des options suivantes : Journalisation sur un disque virtuel : Par défaut, les périphériques gérés envoient les journaux aux deux homologues de la paire HD. Les journaux sont envoyés sous forme de flux de journaux distincts à chacun des homologues HD Panorama. Lorsqu un homologue devient inaccessible, par défaut, les périphériques gérés mettent les journaux en mémoire tampon et lorsque l homologue se reconnecte, ils reprennent l envoi des journaux là où ils se sont arrêtés (en fonction de la capacité de stockage disque et de la durée de la déconnexion). La journalisation vers un disque virtuel fournit une redondance de journalisation. Cependant, la capacité de stockage de journaux est limitée à un maximum de 2 To. L option de transfert des journaux vers l homologue actif est configurable (pour modifier cette option, reportez-vous à la section Modifier les paramètres de transfert de journaux et de mise en mémoire tampon par défaut). Cependant, l agrégation de journaux n est pas prise en charge sur la paire HD. Alors, si vous vous connectez à un disque virtuel ou à un disque local, pour la surveillance et les rapports, vous devez interroger l homologue Panorama qui collecte les journaux auprès des périphériques gérés. Journalisation vers un partage de fichier réseau (NFS) : Lorsqu il est configuré pour utiliser un NFS, seul le périphérique principal actif est monté sur la partition de journaux basée sur NFS et peut recevoir les journaux. Au basculement, le périphérique principal passe à l état Principal passif. Dans ce scénario, avant la préemption, l appareil Panorama secondaire actif gère les périphériques, mais il ne reçoit pas les journaux et ne peut pas les écrire sur le NFS. Pour permettre à l homologue actif de se connecter au NFS, vous devez le faire passer en principal manuellement pour qu il puisse être monté sur la partition NFS. Pour obtenir des instructions, à la section Commuter la priorité pour reprendre la journalisation NFS. Basculement de journalisation sur un appareil M-100 Si vous utilisez une paire d appareils M-100 (en mode Panorama), les périphériques gérés peuvent envoyer des journaux un seul homologue de la paire HD, que ce soit l homologue actif ou l homologue passif. Contrairement au déploiement Panorama virtuel, vous pouvez configurer les périphériques de manière à envoyer les journaux aux deux homologues ; les disques RAID sur l appliance M-100 vous protègent contre toute défaillance du disque et perte de journaux. Si vous avez configuré la collecte de journaux distribuée là où les périphériques gérés envoient des journaux à un collecteur de journaux dédié, les homologues Panorama en HD interrogent les collecteurs de journaux gérés pour obtenir des informations de journaux agrégés. Guide de l'administrateur Panorama 131

138 Présentation de la haute disponibilité Haute disponibilité Panorama Priorité et basculement Lorsqu un basculement se produit, seul l état actif ou passif des modifications de périphérique change. La priorité (principal et secondaire) ne change pas. Par exemple, lorsque l homologue principal échoue, son état passe de principal actif à principal passif. Un homologue à l état secondaire actif peut exécuter toutes les fonctions, à deux exceptions près : il ne peut pas gérer les fonctions de déploiement de périphérique telles que les mises à jour de licence ou les mises à jour logicielles sur les pare-feu gérés. il ne peut pas se connecter à un NFS jusqu à ce que vous ayez manuellement fait passer sa priorité sur principal. (Appareil virtuel Panorama uniquement) Le tableau qui suit répertorie les fonctionnalités de Panorama en fonction de son état et des paramètres de priorité : Fonctionnalité principal actif principal passif secondaire passif secondaire actif Changer de contexte de périphérique Exécuter des rapports distribués Gérer la politique partagée Se connecter au disque local (Facultatif uniquement sur l appliance virtuelle Panorama) (Facultatif uniquement sur l appliance virtuelle Panorama) Se connecter à une partition NFS (Appareil virtuel Panorama uniquement) Déployer des logiciels et des licences Exporter la configuration de Panorama 132 Guide de l'administrateur Panorama

139 Haute disponibilité Panorama Présentation de la haute disponibilité Quels sont les paramètres qui ne sont pas synchronisés entre les homologues HD? Les homologues HD Panorama synchronisent la configuration en cours à chaque fois que vous validez les modifications sur l homologue Panorama actif. La configuration candidate est synchronisée entre les homologues à chaque fois que vous enregistrez la configuration sur l homologue actif ou juste avant que le basculement n ait lieu. Les paramètres communs sur la paire, tels que les objets et les politiques partagés, les objets et les politiques de groupe de périphériques, la configuration de modèle et la configuration d accès administratif, sont synchronisés d un homologue Panorama HD à l autre. Les paramètres qui ne sont pas synchronisés sont ceux qui sont uniques pour chaque homologue, par exemple : La configuration Panorama HD : paramètre de priorité, adresse IP d homologue, groupes de surveillance de chemin et adresses IP. La configuration Panorama : adresse IP de port de gestion, paramètres FQDN, bannière de connexion, serveur NTP, fuseau horaire, emplacement géographique, serveur DNS, adresses IP autorisées pour l accès à Panorama. La configuration de partition NFS et toutes les affectations de quota de disque pour la journalisation. Affectation de quota de disque pour les différents types de journaux et bases de données sur l espace de stockage local de Panorama (SSD). Si vous utilisez une clé principale pour crypter les clés privées utilisées sur Panorama, la même clé principale doit être utilisée pour crypter les clés privées et les certificats sur les deux homologues de la paire HD. Si les clés principales sont différentes, la configuration HD entre les deux homologues ne sera pas synchronisée. Guide de l'administrateur Panorama 133

140 Configurer une paire haute disponibilité Panorama Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama Assurez-vous de bien regarder la configuration requise dans la section Présentation de la haute disponibilité avant de configurer une paire HD Panorama : Définir la haute disponibilité sur Panorama Contrôler le basculement (Appareil virtuel Panorama uniquement) Commuter la priorité pour reprendre la journalisation NFS Définir la haute disponibilité sur Panorama CONNECTER ET CONFIGURER LES PÉRIPHÉRIQUES Étape 1 Définissez la connectivité entre les ports MGT et les homologues HD. Les homologues Panorama communiquent entre eux par le biais du port MGT. Assurez-vous que les adresses IP que vous affectez au port MGT sur les serveurs de Panorama dans la paire HD peuvent être acheminées et que les homologues peuvent communiquer entre eux via votre réseau. Pour configurer le port MGT, reportez-vous à la section Chapitre 2, Configurer Panorama. Sélectionnez un périphérique dans la paire et procédez comme suit : Étape 2 Activez HD et le cryptage de la connexion HD. 1. Sélectionnez l onglet Panorama > Haute disponibilité. Modifiez la section Configuration. 2. Sélectionnez Activer la HD. 3. Saisissez l adresse IP affectée au périphérique homologue dans Adresse IP des HD homologues. 4. (Facultatif) Pour activer le cryptage, sélectionnez Cryptage activé et exécutez les tâches suivantes : a Sélectionnez Panorama > Gestion des certificats > Certificats. b Sélectionnez Exporter la clé HD. Enregistrez la clé HD sur un emplacement réseau auquel le périphérique homologue peut accéder. c Sur le périphérique homologue, accédez à Panorama > Gestion des certificats > Certificats, et sélectionnez Importer la clé HD pour accéder à l emplacement auquel vous avez enregistré la clé, puis importez-la. 134 Guide de l'administrateur Panorama

141 Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama CONNECTER ET CONFIGURER LES PÉRIPHÉRIQUES (SUITE) Étape 3 Définissez la priorité. 1. Dans Panorama > Haute disponible, modifiez la section Paramètres de sélection. 2. Définissez la Priorité du périphérique en tant que Principal ou Secondaire. Assurez-vous de définir un homologue comme principal, et l autre comme secondaire. Remarque Si les deux homologues ont le même paramètre de priorité, l homologue portant le numéro de série le plus élevé sera placé à l état suspendu. 3. Définissez le comportement préemptif. Par défaut, la préemption est activée. La sélection de préemption (activée ou désactivée) doit être la même sur les deux homologues. Remarque Si vous utilisez un NFS pour la journalisation et si vous avez désactivé la préemption, pour reprendre la journalisation sur le NFS, reportez vous à la section Commuter la priorité pour reprendre la journalisation NFS. Étape 4 Pour configurer la surveillance de chemin, définissez un ou plusieurs groupes de chemins. Le groupe de chemins répertorie les adresses IP (nœuds) sur lesquelles Panorama doit envoyer une requête ping afin de vérifier la connectivité réseau. 1. Sélectionnez l onglet Panorama > Haute disponibilité, puis cliquez sur Ajouter dans la section groupe de chemins. 2. Saisissez un Nom pour le groupe de chemins. 3. Cliquez sur Ajouter et saisissez les adresses IP de destination que vous souhaitez surveiller. 4. Sélectionnez une Condition d échec (toutes ou indifférent) de ce groupe. La condition d échec indifférent déclenche un échec de surveillance de lien si l une des adresses IP devient inaccessible toutes déclenche un échec de surveillance de lien uniquement si aucune des adresses IP n est accessible. Le groupe de chemins est ajouté au groupe de chemins. 5. Répétez les étapes 1 à 4 ci-dessus pour ajouter d autres groupes de chemins incluant les noeuds que vous souhaitez surveiller. Guide de l'administrateur Panorama 135

142 Configurer une paire haute disponibilité Panorama Haute disponibilité Panorama CONNECTER ET CONFIGURER LES PÉRIPHÉRIQUES (SUITE) Étape 5 (Facultatif) Sélectionnez la condition d échec pour la surveillance de chemin sur Panorama. Étape 6 Sauvegardez les modifications apportées à la configuration. Sélectionnez Panorama > Haute disponibilité et sélectionnez une Condition d échec de la section Surveillance des chemins. La condition d échec toutes déclenche un basculement uniquement lorsque tous les groupes de chemins surveillés échouent. Le paramètre par défaut est indifférent. Un basculement est déclenché lorsqu un des groupes de chemins surveillés échoue. Cliquez sur Valider, sélectionnez Panorama dans l option Type de validation, puis cliquez sur OK. Étape 7 Configurez l autre homologue Panorama. Répétez les Étape 2 à Étape 6 sur l autre homologue de la paire HD. Étape 8 Vérifiez que les serveurs Panorama sont appariés en HD. Sur le Panorama passif : L état de l homologue local doit afficher passif et la configuration doit être synchronisée. Une fois que vous avez terminé de configurer les deux serveurs Panorama pour HD : 1. Accédez au Tableau de bord de chaque appareil Panorama, et afficher le widget Haute disponibilité. 2. Confirmez que les serveurs Panorama sont appariés et synchronisés, comme indiqué ci-dessous : Sur le Panorama actif : L état de l homologue local doit afficher actif et la configuration doit être synchronisée. 136 Guide de l'administrateur Panorama

143 Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama Contrôler le basculement Pour vérifier que votre configuration HD fonctionne correctement, déclenchez un basculement manuel et vérifiez que l homologue passe d un état à l autre facilement. VÉRIFICATION D UN BASCULEMENT Étape 1 Connectez-vous à l homologue Panorama actif. Étape 2 Suspendez l homologue Panorama actif. Étape 3 Vérifiez que l homologue Panorama passif est passé à l état actif. Vous pouvez vérifier l état du serveur Panorama dans l angle inférieur droit de l interface Web. Sélectionnez Panorama > Haute disponibilité, puis cliquez sur le lien Suspendre le Panorama local dans la section Commandes opérationnelles. Sur le Tableau de bord Panorama, vérifiez que l état du serveur passif passe à actif dans le widget Haute disponibilité. Vérifiez également que l état de l homologue est passé à Suspendu. Étape 4 Restaurez l homologue suspendu à l état fonctionnel. Patientez quelques minutes, puis vérifiez que la préemption s est produite, si le mode préemptif a été activé. Sur l appareil Panorama que vous avez suspendu au préalable : 1. Dans la section Commandes opérationnelles de l onglet Périphérique > Haute disponibilité, cliquez sur le lien Rendre le Panorama local fonctionnel. 2. Dans le widget Haute disponibilité sur le Tableau de bord, confirmez que le Panorama (Local) est devenu l homologue actif et que l autre homologue est maintenant à l état passif. Commuter la priorité pour reprendre la journalisation NFS La prise en charge du mécanisme de journalisation basé sur NFS (Network File Share) n est disponible que sur l appareil virtuel Panorama. Guide de l'administrateur Panorama 137

144 Configurer une paire haute disponibilité Panorama Haute disponibilité Panorama Lorsqu une paire HD Panorama est configurée pour utiliser un mécanisme de journalisation basé sur NFS (Network File Share), seul l homologue Panorama principal est monté sur la partition de journaux basée sur NFS et peuvent écrire sur le NFS. Lorsqu un basculement se produit, et lorsque le Panorama passif devient actif, son état est secondaire actif. Bien que l homologue Panorama secondaire puisse activement gérer les périphériques, il ne peut pas recevoir des journaux ou écrire sur le NFS, car il ne possède pas de partition NFS. Lorsque le périphérique géré ne peut pas transférer les journaux vers l homologue principal Panorama, les journaux sont écrits sur le disque local de chaque périphérique. Les périphériques gardent un pointeur sur le dernier ensemble d entrées de journaux transféré vers Panorama, de sorte que lorsque principal actif redevient disponible, ils peuvent reprendre le transfert de journaux vers ce dernier. Utilisez les instructions de cette section pour passer à la priorité manuellement sur l homologue Panorama secondaire actif pour qu il puisse commencer la journalisation vers la partition NFS. Voici quelques scénarios types pour lesquels vous pourriez avoir besoin de déclencher ce changement : La préemption est désactivée. Par défaut, la préemption est activée sur Panorama et l homologue principal reprend en tant qu actif lorsqu il redevient disponible. Lorsque la préemption est désactivée, vous devez faire passer la priorité de l homologue secondaire sur principal pour qu il puisse monter la partition NFS, recevoir des journaux sur les périphériques gérés, et écrire sur la partition NFS. Le Panorama actif échoue et ne peut pas récupérer de son échec à court terme. Si vous ne modifiez pas la priorité, lorsque la capacité de stockage maximale du pare-feu est atteinte, les journaux les plus anciens sont écrasés pour lui permettre de poursuivre la journalisation sur son disque local. Cette situation peut entraîner la perte de journaux. CHANGER LA PRIORITÉ SUR PANORAMA Étape 1 Mettre le Panorama principal passif actuel hors tension. Étape 2 Changer la priorité sur le Panorama secondaire actif. Étape 3 Enregistrer les modifications de configuration. Étape 4 Se connecter à l interface de ligne de commande et modifier la propriété de la partition NFS sur cet homologue. Sélectionnez Panorama > Configuration > Opérations, puis cliquez sur Arrêter Panorama dans la section Opérations périphérique. 1. Sélectionnez Panorama > Haute disponibilité. 2. Modifiez la section Paramètres de sélection pour changer la Priorité en Principal. Cliquez sur Valider, puis sélectionnez Panorama dans l option Type de validation. À la validation, vous pourrez être invité à redémarrer. Ne redémarrez pas encore. Dans l interface de ligne de commande, saisissez la commande suivante : request high-availability convert-to-primary 138 Guide de l'administrateur Panorama

145 Haute disponibilité Panorama Configurer une paire haute disponibilité Panorama CHANGER LA PRIORITÉ SUR PANORAMA Étape 5 Redémarrer Panorama. Sélectionnez Panorama > Configuration > Opérations, puis cliquez sur Redémarrer Panorama dans la section Opérations périphérique. Lorsque Panorama redémarre, il est monté de façon dynamique sur le NFS. En tant qu homologue principal actif, ce Panorama peut maintenant écrire dans NFS. Étape 6 Mettre l homologue Panorama que vous avez arrêté à l étape 1 sous tension. Cet homologue devrait maintenant être à l état secondaire passif. Guide de l'administrateur Panorama 139

146 Mettre à niveau Panorama en haute disponibilité Haute disponibilité Panorama Mettre à niveau Panorama en haute disponibilité Pour garantir un basculement transparent, les homologues principal et secondaire d une paire HD doivent être dotés de la même version de Panorama et des mêmes versions d applications et de base de données de menaces. L exemple qui suit montre comment mettre à niveau une paire HD avec un homologue principal actif nommé Principal_A et un homologue secondaire passif nommé Secondaire_B. METTRE À NIVEAU PANORAMA Étape 1 Mettez à niveau la version logicielle de Panorama sur Secondaire_B, l homologue secondaire passif. Étape 2 Suspendre Principal_A pour déclencher un échec. Pour les instructions de mise à niveau, reportez-vous à la sectioninstallez les mises à jour de contenu et le logiciel Panorama. À la mise à jour, ce Panorama passera à l état non fonctionnel parce que la version du système d exploitation ne correspond pas à celle de son homologue. Dans l onglet Panorama > Haute disponibilité sur Principal_A : 1. Cliquez sur le lien Suspendre le Panorama local dans la section Commandes opérationnelles pour suspendre cet homologue. 2. Vérifiez que l état est suspendu. L état s affiche dans l angle inférieur droit de l interface Web. Le fait de placer Principal_A en mode suspendu déclenche un basculement et Secondaire_B passe à l état secondaire actif. Étape 3 Mettez à niveau la version logicielle de Panorama sur Principal_A. Pour les instructions de mise à niveau, reportez-vous à la sectioninstallez les mises à jour de contenu et le logiciel Panorama. Au redémarrage, Principal_A passe d abord à l état principal passif. Ensuite, comme la préemption est activée par défaut, Principal_A passe directement à l état principal actif et Secondaire_B revient à l état secondaire passif. Si vous avez désactivé la préemption, consultez la section Restaurer le serveur principal à l état actif pour restaurer Prncipal_A à l état actif. Étape 4 Vérifiez que la version logicielle Panorama et les autres versions de base de données de contenu sont les mêmes sur les deux homologues. Sur le tableau de bord de chaque homologue Panorama, vérifiez lque la version de logiciel Panorama, la version des menaces et les versions d application correspondent et que la configuration en cours est synchronisée avec l homologue. 140 Guide de l'administrateur Panorama

147 Haute disponibilité Panorama Mettre à niveau Panorama en haute disponibilité Restaurer le serveur principal à l état actif Par défaut, la fonctionnalité de préemption sur Panorama permet au Panorama principal de reprendre son fonctionnement d homologue actif aussitôt qu il devient disponible. Cependant, si la préemption est désactivée, le seul moyen de forcer l appareil Panorama principal à devenir actif à la reprise après un échec, un état non fonctionnel ou suspendu, consiste à suspendre l homologue Panorama secondaire. Avant que le Panorama secondaire actif passe à l état suspendu, il transfère la configuration candidate au périphérique passif, de sorte que les modifications de configuration non validées sont enregistrées et accessibles sur l autre homologue. SUSPENDRE PANORAMA Étape 1 Suspendez Panorama. 1. Connectez-vous à l homologue Panorama que vous souhaitez mettre en mode suspendu. 2. Sélectionnez Panorama > Haute disponibilité, puis cliquez sur le lien Suspendre le Panorama local dans la section Commandes opérationnelles. Étape 2 Vérifiez que l état s affiche et que le périphérique a été suspendu à la demande de l utilisateur. Sur le widget Haute disponibilité sur le tableau de bord, vérifiez que l état s affiche en tant que suspendu. Un basculement est déclenché lorsque vous suspendez un homologue et que l autre Panorama endosse le rôle d homologue actif. RESTAURER PANORAMA À L ÉTAT FONCTIONNEL Pour restaurer l appareil Panorama suspendu à l état fonctionnel. 1. Cliquez sur le lien Rendre le Panorama local fonctionnel dans la section Commandes opérationnelles de l onglet Panorama > Haute disponibilité. 2. Dans le widget Haute disponibilité sur le tableau de bord, confirmez que le périphérique est passé à l état actif ou passif. Guide de l'administrateur Panorama 141

148 Mettre à niveau Panorama en haute disponibilité Haute disponibilité Panorama 142 Guide de l'administrateur Panorama

149 6 Gérer Panorama Cette section explique comment administrer et gérer Panorama. Elle inclut les rubriques suivantes : Gestion des sauvegardes de configuration Comparer les modifications de configuration Restreindre l accès aux modifications de configuration Ajouter des logos personnalisés Afficher l historique des tâches Réaffecter le quota de stockage de journaux Surveiller Panorama Redémarrer ou fermer Panorama Générer des fichiers de diagnostic Configurer les profils et la complexité de mot de passe Remplacer le disque virtuel sur un appareil virtuel Panorama Pour avoir des instructions sur la configuration initiale, notamment des paramètres d accès réseau, les licences, la mise à niveau de la version de logiciel Panorama et la définition d un accès administratif à Panorama, consultez Chapitre 2, Configurer Panorama. Guide de l'administrateur Panorama 143

150 Gestion des sauvegardes de configuration Gérer Panorama Gestion des sauvegardes de configuration Une sauvegarde de configuration est un cliché de la configuration système. En cas de panne système ou de configuration défaillante, une sauvegarde de configuration vous permet de restaurer Panorama vers une version de la configuration enregistrée au préalable. Sur Panorama, vous pouvez gérer les sauvegardes de configuration des pare-feu gérés, et celle de Panorama : Gérer les sauvegardes de configuration des périphériques gérés : Panorama enregistre automatiquement chaque modification de configuration validée sur un pare-feu géré exécutant PAN-OS version 5.0 ou ultérieure. Par défaut, Panorama enregistre jusqu à 100 versions pour chaque périphérique. Cette valeur est configurable. Gestion des sauvegardes de configuration de Panorama : Vous pouvez exporter manuellement la configuration en cours de Panorama, en fonction des besoins. Exporter un ensemble de fichiers de configuration : Outre sa propre configuration, Panorama enregistre une sauvegarde de la configuration de tous les périphériques gérés en cours d exécution. Il est possible de générer un module gzip de la dernière version de sauvegarde de configuration de Panorama, puis celui de chaque périphérique géré sur demande, puis de planifier une exportation à l aide de la fonctionnalité Exportation programmée des configurations. Il est possible de planifier une livraison quotidienne vers un serveur FTP ou un serveur SCP (Secure Copy). Les fichiers de l ensemble sont au format XML, et chaque nom de fichier fait référence au numéro de série du périphérique, pour faciliter son identification. Vous pouvez exécuter les tâches suivantes pour gérer les sauvegardes de configuration : Programmer l exportation de fichiers de configuration Gestion des sauvegardes de configuration de Panorama Configurer le nombre de sauvegardes stockées sur Panorama Charger une sauvegarde de configuration sur un périphérique géré 144 Guide de l'administrateur Panorama

151 Gérer Panorama Gestion des sauvegardes de configuration Programmer l exportation de fichiers de configuration Utilisez ces instructions pour programmer l exportation de l ensemble de fichiers de configuration contenant la sauvegarde des configurations de Panorama et les périphériques gérés en cours d exécution, à une heure précise, chaque jour. Les privilèges de super utilisateur sont requis pour configurer l exportation. PROGRAMMER L EXPORTATION DES FICHIERS DE CONFIGURATION À UNE HEURE DONNÉE CHAQUE JOUR 1. Sélectionnez Panorama > Planifier l exportation de la configuration. 2. Cliquez sur Ajouter, puis saisissez un Nom et une Description de la procédure d exportation de fichiers. 3. Sélectionnez Activer pour autoriser l exportation du fichier de configuration. 4. Saisissez ou sélectionnez une heure dans le menu déroulant pour l exportation quotidienne des fichiers de configuration. Un format sur 24 heures est utilisé. 5. Sélectionnez le protocole. 6. Saisissez les informations d accès au serveur. Fournissez le nom d hôte ou l adresse IP, le port, le chemin d accès au fichier et les informations d identification. 7. (SCP uniquement) Cliquez sur Tester la connexion au serveur SCP. Pour permettre le transfert sécurisé des données, vous devez vérifier et accepter la clé d hôte du serveur SCP. La connexion n est pas établie tant que la clé d hôte n est pas acceptée. Si Panorama peut réussir sa connexion au serveur SCP, il crée et télécharge le fichier de test nommé ssh-export-test.txt. 8. Enregistrez les modifications. Cliquez sur Valider, sélectionnez Panorama en tant que Type de validation, puis cliquez sur OK. Guide de l'administrateur Panorama 145

152 Gestion des sauvegardes de configuration Gérer Panorama Gestion des sauvegardes de configuration de Panorama Utilisez ces instructions pour valider, rétablir, enregistrer, charger, exporter ou importer une version de configuration Panorama. GÉRER LES SAUVEGARDES : VALIDER, RÉTABLIR, ENREGISTRER, CHARGER, EXPORTER OU IMPORTER 1. Sélectionnez Panorama > Configuration > Opérations. 2. Dans la section Gestion de configuration, effectuez une sélection parmi les options suivantes : Valider la configuration candidate Panorama : vérifie que la configuration candidate ne comporte pas d erreur. La validation du fichier de configuration vous permet de résoudre les erreurs avant de valider les changements. Rétablir la dernière configuration de Panorama sauvegardée : remplace la configuration candidate et restaure la dernière configuration candidate enregistrée à partir d un disque. Revenir à la configuration Panorama en cours d exécution : rétablit toutes les modifications enregistrées dans la configuration candidate. Cette opération permet d annuler les modifications de configuration effectuées depuis la dernière opération de validation. Sauvegarder le cliché de la configuration Panorama nommée : enregistre la configuration candidate dans un fichier. Saisissez un nom de fichier, ou sélectionnez un fichier existant pour le remplacer. Notez que le fichier de la configuration active (running-config.xml) actuel ne peut pas être remplacé. Sauvegarde de la configuration Panorama candidate : enregistre la configuration candidate sur le disque. Il s agit de la même opération que lorsqu on utilise le lien Enregistrer en haut de la page pour enregistrer les modifications au fichier de configuration candidate. Charger la version de la configuration Panorama : charge un fichier de configuration à partir d une liste de versions validées précédemment. Charger l instantané de la configuration Panorama : charge une configuration candidate sélectionnée. Vous pouvez sélectionner une configuration importée ou enregistrée au préalable. La configuration candidate en cours est remplacée. Exporter l instantané de la configuration Panorama : exporte la configuration active (running-config.xml) ou une configuration exportée ou importée au préalable. Sélectionnez le fichier de configuration à exporter. Vous pouvez ouvrir le fichier et/ou le sauvegarder dans un emplacement réseau. Exporter l instantané de la configuration Panorama : exporte une version validée au préalable du fichier de configuration. Sélectionnez la version à exporter. Exporter la solution de configuration des périphériques et de Panorama : cette option est utilisée pour générer et exporter manuellement la dernière version de la sauvegarde de configuration de Panorama et celle de chaque périphérique géré. Pour automatiser le processus de création et exporter l ensemble de configuration quotidienne vers un serveur SCP ou FTP, reportez-vous à la section Programmer l exportation de fichiers de configuration. Importer l instantané de la configuration Panorama : importe un fichier de configuration exporté au préalable. Cliquez sur Parcourir pour localiser le fichier enregistré et cliquez sur OK pour importer. 146 Guide de l'administrateur Panorama

153 Gérer Panorama Gestion des sauvegardes de configuration Configurer le nombre de sauvegardes stockées sur Panorama Spécifiez le nombre de sauvegardes Panorama enregistrées. CONFIGURER LE NOMBRE DE SAUVEGARDES STOCKÉES SUR PANORAMA 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur le bouton Modifier dans la section Paramètres de journalisation et de génération de rapports. 2. Saisissez une valeur comprise entre 1 et La valeur par défaut est de Enregistrez les modifications. Cliquez sur Valider, sélectionnez Panorama en tant que Type de validation, puis cliquez sur OK. Charger une sauvegarde de configuration sur un périphérique géré Utilisez Panorama pour charger une sauvegarde de configuration sur un périphérique géré. Vous pouvez choisir de revenir à une configuration enregistrée ou validée au préalable sur le périphérique. Panorama transmet la version sélectionnée au périphérique géré et la configuration candidate actuelle sur le périphérique est écrasée. CHARGER UNE SAUVEGARDE DE CONFIGURATION SUR UN PÉRIPHÉRIQUE GÉRÉ 1. Sélectionnez Panorama > Périphériques gérés. 2. Sélectionnez le lien Gérer... dans la colonne Sauvegardes. 3. Faites un choix entre Configurations sauvegardées et Configurations validées. Cliquez sur le lien dans la colonne Version pour afficher le contenu de la version sélectionnée. Cliquez sur Charger pour charger une version de configuration sélectionnée. 4. Enregistrez les modifications. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Guide de l'administrateur Panorama 147

154 Comparer les modifications de configuration Gérer Panorama Comparer les modifications de configuration Pour comparer les modifications de configuration sur Panorama, vous pouvez sélectionner n importe lequel des deux ensembles de fichiers de configuration : la configuration candidate, la configuration en cours ou toute autre version de configuration précédemment enregistrée ou validée sur Panorama. La comparaison côte à côte vous permet de : Prévisualiser les modifications de configuration avant de les valider dans Panorama. Vous pouvez, par exemple, prévisualiser les modifications intervenues entre la configuration candidate et la configuration en cours. Dans le cadre des meilleures pratiques, sélectionnez la version plus ancienne dans le volet de gauche, et la version plus récente dans le volet de droite, pour comparer et identifier facilement les modifications. Effectuer un audit de configuration pour consulter et comparer les modifications intervenues entre deux ensembles de fichiers de configuration. COMPARER LES MODIFICATIONS DE CONFIGURATION Affichez et comparez les fichiers de configuration. Pour faciliter la comparaison des versions, les modifications sont mises en évidence : 1. Sélectionnez Panorama > Audit de configuration. 2. Pour chaque menu déroulant, sélectionnez une configuration pour la comparaison. 3. Sélectionnez le nombre de lignes que vous souhaitez inclure comme Contexte, puis cliquez sur Aller à. Configurez le nombre de versions stockées sur Panorama pour un audit de configuration. 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur l icône Modifier dans la section Paramètres de journalisation et de génération de rapports. 2. Saisissez une valeur comprise entre 1 et dans Nombre de versions pour l audit de configuration. La valeur par défaut est de Enregistrez les modifications. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. PRÉVISUALISER LES MODIFICATIONS DE LA CONFIGURATION Affichez et comparez les fichiers de configuration avant de valider les modifications. 1. Sélectionnez Valider. 2. Sélectionnez Prévisualiser les modifications et choisissez le nombre de lignes de contexte que vous souhaitez voir. 3. Cliquez sur OK. 148 Guide de l'administrateur Panorama

155 Gérer Panorama Restreindre l accès aux modifications de configuration Restreindre l accès aux modifications de configuration Utilisez des verrous pour éviter que plusieurs utilisateurs administrateurs n effectuent ou ne valident des modifications de Panorama, de politiques partagées ou de modèles et/ou groupes de périphériques sélectionnés sous Panorama. Types de verrous Emplacements où placer un verrou Placer un verrou Afficher les détenteurs de verrous actuels Activer l acquisition automatique du verrou de validation Supprimer un verrou Types de verrous Les deux types de verrous disponibles sont : Verrou de configuration : empêche les autres administrateurs d effectuer des modifications sur la configuration. Ce type de verrou peut être défini globalement, ou au niveau du système virtuel. Il peut être retiré uniquement par l administrateur qui l a défini ou par un super utilisateur. Le verrou de configuration n est pas automatiquement supprimé. Verrou de validation : empêche d autres administrateurs de valider des modifications jusqu à la suppression de l ensemble des verrous. Le verrou de validation garantit que les modifications de configuration partielles ne sont pas validées par inadvertance sur le périphérique ou sur Panorama si deux administrateurs effectuent des modifications en même temps et que le premier administrateur achève et valide les modifications avant que le second administrateur ait terminé. Le verrou est supprimé automatiquement lorsque l administrateur qui l a mis en place valide les modifications ; le verrou peut être retiré manuellement par l administrateur qui l a placé ou par le super utilisateur. Si un verrou de validation est placé sur un périphérique, et si un administrateur valide des modifications de configuration ou des politiques partagées pour un modèle ou un groupe de périphériques qui inclut ce périphérique, la validation échoue, et un message d erreur indiquant qu un verrou exceptionnel est placé sur le périphérique est diffusé. Les administrateurs en lecture seule qui ne peuvent pas apporter de modifications au périphérique ou à Panorama ne seront pas en mesure de placer l un ou l autre des verrous. Les administrateurs basés sur un rôle qui ne peuvent pas valider les modifications peuvent placer un verrou de configuration et enregistrer les changements dans la configuration candidate. Ils ne peuvent cependant pas valider les modifications eux-mêmes. Comme ils sont dans l impossibilité de valider les modifications, le verrou n est pas supprimé à la validation. L administrateur doit manuellement retirer le verrou de configuration après avoir effectué les modifications requises. Guide de l'administrateur Panorama 149

156 Restreindre l accès aux modifications de configuration Gérer Panorama Emplacements où placer un verrou L administrateur peut poser un verrou pour une des catégories ou un des emplacements suivants : Groupe de périphériques : limite les modifications au groupe de périphériques sélectionné Modèle : limite les modifications aux périphériques inclus dans le modèle sélectionné Partagé : limite les modifications aux politiques partagées Panorama : limite l accès aux modifications dans Panorama Placer un verrou PLACER UN VERROU Étape 1 Sélectionnez l icône de verrou dans le coin supérieur droit de l interface Web. Étape 2 Sélectionnez Take Lock (Placer un verrou). Étape 3 En fonction de votre rôle/de vos autorisations, sélectionnez Valider ou Config en tant que Type. Étape 4 Sélectionnez la catégorie sur laquelle vous souhaitez placer un verrou. Étape 5 Dans le cadres des meilleures pratiques, ajoutez un Commentaire pour donner les raisons du verrouillage. Étape 6 Cliquez sur OK. Afficher les détenteurs de verrous actuels Avant de modifier une zone particulière de la configuration, vérifiez si un autre administrateur a placé un verrou sur la zone. AFFICHER LES DÉTENTEURS DE VERROUS Sélectionnez l icône de verrou dans le coin supérieur droit de l interface Web. L icône de verrou affiche le nombre total de verrous posés. Elle inclut également les informations sur le nom d utilisateur du détenteur du verrou, le type de verrou, la catégorie sur laquelle le verrou est posé, la date à laquelle il a été posé, la dernière activité de l administrateur et si l administrateur est ou non connecté. 150 Guide de l'administrateur Panorama

157 Gérer Panorama Restreindre l accès aux modifications de configuration Activer l acquisition automatique du verrou de validation Par défaut, vous devez manuellement poser un verrou avant de commencer les modifications sur Panorama. Si vous souhaitez activer l acquisition automatique du verrou de validation, utilisez la procédure qui suit : APPLIQUER UN VERROU DE VALIDATION AUTOMATIQUE SUR PANORAMA Étape 1 Sélectionnez l onglet Panorama > Configuration > Gestion, et cliquez sur l icône Modifier dans la section Paramètres généraux. Étape 2 Cochez la case correspondante Appliquer auto verrou de validation. Étape 3 Cliquez sur OK. Étape 4 Pour enregistrer les modifications, Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Supprimer un verrou SUPPRIMER UN VERROU Étape 1 Sélectionnez l icône de verrou dans le coin supérieur droit de l interface Web. Étape 2 Sélectionnez le verrou que vous souhaitez retirer et cliquez sur Supprimer le verrouillage. Remarque À moins que vous soyez un super utilisateur, vous ne pouvez supprimer que le verrou que vous avez placé au préalable. Étape 3 Cliquez sur OK. Guide de l'administrateur Panorama 151

158 Ajouter des logos personnalisés Gérer Panorama Ajouter des logos personnalisés Vous pouvez télécharger des fichiers d image pour personnaliser les zones suivantes sur Panorama : Image d arrière-plan de l écran de connexion En-tête dans le coin supérieur gauche de l interface Web ; vous pouvez également masquer l arrière-plan de Panorama par défaut. Image de page de titre et de pied de page dans les rapports PDF. Les types d image pris en charge sont :.jpg,.gif, et.png. Les fichiers image à utiliser dans les rapports PDF ne peuvent pas contenir de canal alpha. La taille de l image doit être inférieure à 128 Kilooctets ( octets) ; les dimensions conseillées s affichent à l écran. Si ses dimensions sont supérieures à la taille recommandée, l image est automatiquement rognée. AJOUTER DES LOGOS PERSONNALISÉS 1. Sélectionnez Panorama > Configuration > Opérations. 2. Cliquez sur Logos personnalisés dans la section Divers. 3. Cliquez sur l icône de téléchargement, puis sélectionnez une image pour l une des options qui suivent : écran de connexion, coin inférieur gauche de l interface utilisateur principale, la page de titre de rapport PDF et le pied de page de rapport PDF. 4. Cliquez sur Ouvrir pour ajouter l image. Pour prévisualiser l image, cliquez sur l icône de prévisualisation du logo. 5. (Facultatif) Pour effacer l en-tête d arrière-plan vert sur l interface Web Panorama, cochez la case correspondant à Supprimer l en-tête dans l arrière-plan de Panorama. 6. Cliquez sur Fermer pour enregistrer vos modifications. 7. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. 152 Guide de l'administrateur Panorama

159 Gérer Panorama Afficher l historique des tâches Afficher l historique des tâches Les données historiques de toutes les tâches ou des tâches en cours sur Panorama peuvent être affichées par le biais du lien Tâches, sur l interface Web Panorama. Elle affiche les informations sur la réussite ou l échec de l événement, et, le cas échéant, répertorie les erreurs. AFFICHER L HISTORIQUE DE LA TÂCHE 1. Cliquez sur Tâches. Le lien s affiche dans le coin inférieur droit de l interface Web. 2. Sélectionnez la liste des tâches à vérifier. Par défaut, Toutes les tâches sont affichées. Vous pouvez assurer un filtrage de type Tout ou Exécution en cours et sélectionnez Travaux, Rapports ou Consigner les requêtes. Travaux : Répertorie les validations, les validations automatiques, les téléchargements et installations de logiciels et de mises à jour dynamiques effectuées en local sur Panorama, ou appliquées de façon centralisée sur les périphériques gérés à partir de Panorama. Chaque travail correspond à un lien. Cliquez sur le lien dans la colonne Type et contrôlez les éventuelles erreurs le cas échéant. Rapports : Affiche l état et l heure de début des rapports programmés. Consigner la requête : Répertorie les requêtes de journal déclenchées depuis l onglet Surveillance > Visionneuse du journal ou le Tableau de bord. Par exemple, pour afficher les journaux dans l URL, le widget de filtrage ou de filtrage de données sur le tableau de bord, les requêtes de journaux sont générées sur Panorama. Guide de l'administrateur Panorama 153

160 Réaffecter le quota de stockage de journaux Gérer Panorama Réaffecter le quota de stockage de journaux Pour redistribuer la capacité de stockage disponible sur Panorama, vous pouvez augmenter ou réduire le quota de stockage de journaux pour chaque type de journal. Le processus de réaffectation de quota est différent sur l appareil virtuel de Panorama sur l appareil M-100, comme suit : Sur l appareil virtuel Panorama : Tous les journaux sont inscrits dans un espace de stockage affecté au serveur : disque par défaut de 10 Go créé lors de l installation ou disque virtuel ajouté au serveur, ou encore la partition NFS montée sur Panorama. Sur un appareil M-100 : Les journaux sont enregistrés en deux endroits : le SSD interne et les disques compatibles RAID. Le SSD interne de l appareil M-100 est utilisé pour stocker les journaux de configuration, les journaux système et les statistiques d applications que Panorama reçoit automatiquement à des intervalles de 15 minutes depuis tous les périphériques gérés. Tous les autres journaux sont stockés sur des disques compatibles RAID. Pour réaffecter la capacité de stockage des journaux stockés sur les disques RAID, vous devez modifier la configuration du groupe de collecteurs. Utilisez les instructions suivantes pour : réaffecter le quota de stockage de journaux sur l appareil virtuel Panorama réaffecter la capacité de stockage destinée aux journaux système, journaux de configuration et les statistiques d application (App Stats) sur l appareil M-100. réaffecter la capacité de stockage des journaux stockés sur les disques compatibles RAID. RÉAFFECTER LE QUOTA DE STOCKAGE SUR L APPAREIL VIRTUEL PANORAMA ET L APPAREIL M-100 Étape 1 Répartissez la capacité de stockage du journal entre les différents types de journaux. 1. Sélectionnez Panorama > Configuration > Gestion. 2. Sélectionnez l icône Modifier dans la section Paramètres de journalisation et de création de rapports de l onglet Gestion. 3. Modifiez le Quota (%) pour les types de journaux pour lesquels vous souhaitez ajouter ou diminuer l espace de stockage. Lorsque vous modifiez les valeurs, l écran est actualisé pour afficher le nombre correspondant (Go/Mo) au pourcentage alloué, en fonction de la capacité totale du disque virtuel/nfs/disque dur, comme indiqué. Remarque Sur l appareil M-100, vous pouvez affecter la capacité disponible parmi les journaux Config, Système et Statistiques de l application ; tous les autres journaux sont inscrits dans les disques compatibles RAID, et non stockés sur le disque dur. 154 Guide de l'administrateur Panorama

161 Gérer Panorama Réaffecter le quota de stockage de journaux RÉAFFECTER LE QUOTA DE STOCKAGE DE JOURNAL POUR LES DISQUES COMPATIBLES RAID Étape 1 Affectez le pourcentage de capacité de stockage pour chaque type de journal sur l appareil M Sélectionnez Panorama > Groupes de collecteurs, puis cliquez sur le lien correspondant au groupe de collecteurs. 2. Cliquez sur le lien correspondant à la capacité de Stockage des journaux du groupe de collecteurs. Si la capacité de stockage de journaux affiche 0 Mo, il se peut que vous n ayez pas ajouté le collecteur de journaux au groupe de collecteurs. Exécutez la Étape 2, puis revenez à la présente tâche. Si le résultat est toujours à 0 Mo, vérifiez que vous avez activé les paires de disques pour la journalisation et validé les modifications apportées au groupe de collecteurs. Reportez-vous à Étape 6 dans la section Ajouter un collecteur de journaux à Panorama. 3. Modifiez le Quota affecté à chaque type de journal. Lorsque vous modifiez la valeur, l écran est actualisé pour afficher le nombre correspondant (Go/Mo) au pourcentage alloué, en fonction de la capacité totale de votre groupe de collecteurs. 4. (Facultatif) Cliquez sur Rétablir les valeurs par défaut pour annuler les modifications et réinitialiser les quotas de la configuration d usine par défaut. Guide de l'administrateur Panorama 155

162 Surveiller Panorama Gérer Panorama Surveiller Panorama Vous pouvez configurer Panorama pour envoyer des notifications en cas d événement système ou à chaque fois qu une modification de configuration est effectuée. Par défaut, chaque changement de configuration est consigné dans le journal de configuration. Sur un journal système; à chaque événement est associé un niveau de gravité. Le niveau indique l urgence et l impact de l événement, et vous pouvez choisir de tout enregistrer ou d enregistrer seulement des événements système sélectionnés en fonction des niveaux de gravité que vous souhaitez surveiller. La section couvre uniquement les journaux Panorama. Pour plus d informations sur le transfert de journaux depuis les périphériques gérés, reportez-vous à la section Configurer les pare-feu pour transmettre les journaux à Panorama. Journaux de configuration : permet la transmission des journaux de configuration par la spécification d un profil de serveur dans la configuration des paramètres du journal (Panorama > Paramètres des journaux > Journaux de configuration). Journaux de configuration : permet le transfert des journaux système par la spécification d un profil de serveur dans la configuration des paramètres de journal (Panorama > Paramètres des journaux > Journaux système). Sélectionnez un profil de serveur pour chaque niveau de gravité que vous voulez transmettre. Le tableau suivant récapitule les niveaux de gravité des journaux système : Gravité Critique Élevé Moyen Faible Informations Description Indique un échec et signale la nécessité d une intervention immédiate, en cas de panne matérielle, notamment de basculement en HD et d échec de lien. Problèmes sérieux qui vont empêcher le fonctionnement du système, notamment en cas de déconnexion d un collecteur de journaux ou d échec de validation. Notifications de niveau moyen concernant par exemple les mises à niveau d ensembles antivirus, ou la validation d un groupe de collecteurs. Notifications de gravité mineure telles que les changements de mot de passe utilisateur. Événements de notification tels que les connexions/déconnexions, la réussite de l authentification et les notifications d échec, la réussite de validation, et autres événements non couverts par les autres niveaux de gravité. Les journaux de configuration et système sont stockés sur le disque dur de l appareil M-100 ; sur l appareil virtuel Panorama, ils sont stockés sur le volume de stockage affecté. Si vous avez besoin de stocker les journaux à plus long terme, pour un audit, vous pouvez également configurer Panorama pour transmettre les journaux à un serveur syslog. 156 Guide de l'administrateur Panorama

163 Gérer Panorama Surveiller Panorama Pour surveiller Panorama, vous pouvez soit afficher périodiquement les journaux sur Panorama, soit configurer des pièges SNMP et/ou des alertes de messagerie vous avertissant d un état des modifications de mesures surveillées ou de l atteinte d un seuil sur Panorama. Les alertes de messagerie et les pièges SNMP sont utiles pour des notifications immédiates à propos d événements système critiques qui nécessitent votre attention. Panorama ne transmet que ses propres journaux système et de configuration générés localement. Vous ne pouvez pas utiliser Panorama pour transmettre les journaux envoyés depuis les périphériques gérés à un autre SIEM externe ou à un serveur syslog. Vous ne pouvez pas, par exemple, utiliser Panorama pour transmettre les journaux de trafic ou de menaces vers un serveur de stockage externe. Pour configurer des alertes de messagerie et un accès SNMP, consultez les tâches suivantes : Configuration des alertes par message électronique Configurer un accès SNMP Guide de l'administrateur Panorama 157

164 Surveiller Panorama Gérer Panorama Configuration des alertes par message électronique CONFIGURATION DES ALERTES PAR MESSAGERIE ÉLECTRONIQUE Étape 1. Créer un profil de serveur pour votre serveur de messagerie. Étape 2 (Facultatif) Personnalisez le format des journaux que Panorama envoie. 1. Sélectionnez Panorama > Profils de serveur > Cliquez sur Ajouter, puis saisissez un Nom pour le profil. 3. Cliquez sur Ajouter pour ajouter une nouvelle entrée de serveur de messagerie, puis saisissez les informations requises pour vous connecter au serveur SMTP (Simple Mail Transport Protocol) et envoyer un message électronique (vous pouvez ajouter jusqu à quatre serveurs de messagerie au profil): Serveur : nom identifiant le serveur de messagerie (1 à 31 caractères). Ce champ est un simple intitulé et ne doit pas comporter le nom d hôte d un serveur SMTP existant. Nom complet : nom à afficher dans le champ De du courrier électronique. De : adresse de messagerie à partir de laquelle les messages de notification seront envoyés. À : adresse de messagerie vers laquelle les messages électroniques de notification seront envoyés. Destinataire(s) supplémentaire(s) : pour envoyer des notifications à un second compte, saisissez l adresse supplémentaire ici. Passerelle: adresse IP ou nom d hôte de la passerelle SMTP à utiliser pour envoyer les messages électroniques. 4. Cliquez sur OK pour enregistrer le profil de serveur. Sélectionnez l onglet Format de journal personnalisé. Pour plus d informations sur la création de formats personnalisés pour les divers types de journaux, reportez-vous au Guide de configuration des formats d événements courants. 158 Guide de l'administrateur Panorama

165 Gérer Panorama Surveiller Panorama CONFIGURATION DES ALERTES PAR MESSAGERIE ÉLECTRONIQUE (SUITE) Étape 3 Enregistrez le profil de serveur et validez vos modifications. Étape 4 Activez la notification par courrier électronique pour des événements spécifiques des journaux système et de configuration. 1. Cliquez sur OK pour enregistrer le profil. 2. Cliquez sur Valider, puis sélectionnez Panorama comme Type de validation. 1. Activez la notification par courrier électronique. Pour les événements système : a. Sélectionnez Panorama > Paramètre du journal > Système. b. Cliquez sur le lien correspondant à chaque niveau de gravité pour lequel activer une notification, puis sélectionnez le profil de serveur que vous avez créé dans Étape 1 dans le menu déroulant . Pour modifier les configurations : a. Sélectionnez Panorama > Paramètres des journaux > Config. b. Cliquez l icône Modifier dans la section Paramètres des journaux - Config, puis sélectionnez le profil de serveur de messagerie créé dans Étape 1 depuis le menu déroulant Piège SNMP. 2. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Configurer un accès SNMP Le protocole SNMP autorise l accès à des identifiants d objet (OID) ou à des plages d OID contenues dans les MIB de Palo Alto Networks depuis une station de gestion SNMP. Il peut être utilisé pour interroger l état de Panorama (GET SNMP) et déclenche une alerte (Pièges SNMP) lorsqu un événement se produit. Panorama prend en charge SNMP v2c et v3. Pour une liste complète, consultez la section MIB Palo Alto Networks. Les pièges SNMP avertissent d un changement ou d un échec, par exemple, d une panne de ventilateur système, de l ajout de lecteurs de disques, ou de basculements HD. Les pièges sont initiés par Panorama et envoyés au gestionnaire SNMP. Ils ne sont pas envoyés régulièrement. Les Get SNMP permettent une surveillance proactive. Vous pouvez par exemple, sonder Panorama pour avoir des graphiques des tendances permettant d identifier d éventuels problèmes avant qu une panne ne survienne pour les problèmes suivants : Surveillez le taux de journalisation entrant sur un appareil M-100 ou la capacité des disques de journalisation de l appareil pour déterminer si un collecteur de journaux est proche de la capacité maximale. Ces informations vous aideront à déterminer si vous devez accroître la capacité de stockage de journaux ou ajouter des collecteurs de journaux supplémentaires. Surveillez les informations telles que le mode haute disponibilité et l état de Panorama, les versions de mise à jour de contenu actuellement installées (version d antivirus, versions d application et de base de données de menaces et/ou la version de Panorama). Guide de l'administrateur Panorama 159

166 Surveiller Panorama Gérer Panorama CONFIGURER SNMP Étape 1 Configurez l interface de gestion pour écouter le service SNMP. Étape 2 Configurez Panorama pour la surveillance SNMP. Cette capture d écran correspond à SNMP v3. 1. Sélectionnez Panorama > Configuration > Gestion. 2. Dans la section Paramètres d interface de gestion, vérifiez que le protocole SNMP est activé dans Services. Si SNMP n est pas activé, cliquez sur l icône Modifier dans la section Paramètres d interface de gestion, puis cochez la case correspondant au service SNMP, puis cliquez sur OK 1. Sélectionnez Panorama > Configuration > Opérations. 2. Dans la section Divers, sélectionnez Configuration SNMP. 3. Saisissez une chaîne de caractères pour spécifier l emplacement physique de Panorama. 4. Ajoutez l adresse de messagerie d un ou de plusieurs Contacts administratifs. 5. Sélectionnez la Version SNMP, puis saisissez les détails de configuration comme suit (en fonction de la version de SNMP que vous utilisez), puis cliquez sur OK : V2c : saisissez la chaîne de communauté SNMP qui permettra au gestionnaire SNMP d accéder à l agent SNMP sur Panorama. La valeur par défaut est public, cependant, comme il s agit d une chaîne de communauté bien connue, une bonne pratique consiste à utiliser une valeur qui n est pas facile à découvrir. V3 :Vous devez créer au moins une vue et un utilisateur afin d utiliser SNMPv3. La vue mentionne les informations de gestion auxquelles le gestionnaire a accès. Si vous voulez permettre l accès à toutes les informations de gestion, il suffit de saisir l identifiant d objet de et de définir Option sur inclure (vous pouvez également créer des vues excluant certains objets). Utilisez 0xf0 en tant que Masque. Ensuite, lorsque vous créez un utilisateur, sélectionnez l affichage que vous venez de créer et spécifiez le Mot de passe d authentification et le Mot de passe privé. Les paramètres d authentification (la chaîne de caractères de communauté de V2c ou le nom d utilisateur et le mot de passe de V3) configurés sur Panorama doivent correspondre aux valeurs configurées sur le gestionnaire SNMP. 6. Cliquez sur OK pour enregistrer les paramètres. 7. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation pour enregistrer les modifications de la configuration en cours. 160 Guide de l'administrateur Panorama

167 Gérer Panorama Surveiller Panorama CONFIGURER SNMP (SUITE) Étape 3 Créez un profil de serveur contenant les informations permettant de se connecter et de s authentifier auprès des gestionnaires SNMP. 1.Sélectionnez Panorama > Profils de serveur > Piège SNMP. 2. Cliquez sur Ajouter, puis saisissez un Nom pour le profil. 3. Sélectionnez la version de SNMP que vous utilisez (V2c ou V3). 4. Cliquez sur Ajouter pour ajouter une nouvelle entrée récepteur de Traps SNMP (vous pouvez ajouter jusqu à quatre receveurs de piège par profil de serveur). Les valeurs requises dépendent de l utilisation de SNMP, V2c ou V3, comme suit : Sur SNMP V2c Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ n est qu une étiquette et ne doit pas forcément être le nom d hôte d un serveur SNMP existant. Gestionnaire : adresse IP du gestionnaire SNMP pour lequel envoyer des pièges. Communauté : chaîne de communauté requise pour s authentifier auprès du gestionnaire SNMP. Sur SNMP V3 Serveur : nom identifiant le gestionnaire SNMP (1 à 31 caractères). Ce champ n est qu une étiquette et ne doit pas forcément être le nom d hôte d un serveur SNMP existant. Gestionnaire : adresse IP du gestionnaire SNMP auquel envoyer des pièges. Utilisateur : nom d utilisateur requis pour s authentifier auprès du gestionnaire SNMP. EngineID : ID de moteur de Panorama. Il s agit d une valeur hexadécimale de 5 à 64 octets avec un préfixe de 0x. Chaque Panorama à un ID de moteur unique. Pour découvrir l ID de moteur, configurez le serveur pour SNMP v3 et envoyez un message GET depuis le gestionnaire SNMP ou l explorateur MIB vers Panorama. Mot de passe d authentification : mot de passe utilisé pour les messages de niveau authnopriv (authentification sans aucune confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l aide de l algorithme SHA-1 (Secure Hash Algorithm), mais ne sera pas crypté. Mot de passe privé : le mot de passe utilisé pour les messages de niveau authpriv (authentification avec confidentialité) sur le gestionnaire SNMP. Ce mot de passe sera haché à l aide de l algorithme SHA1 et crypté grâce à la norme AES128 (Advanced Encryption Standard). 5. Cliquez sur OK pour enregistrer le profil de serveur. Étape 4 Activez les pièges SNMP pour configurer le journal et les événements syslog. Pour les événements système : a. Sélectionnez Panorama > Paramètres des journaux > Système. b. Cliquez sur le lien correspondant à chaque niveau de gravité pour lequel activer une notification, puis sélectionnez le profil de serveur que vous avez créé dans Étape 3 depuis le menu déroulant Piège SNMP. Pour modifier la configuration : a. Sélectionnez Panorama > Paramètres des journaux > Config. b. Cliquez sur l icône Modifier dans la section Paramètres des journaux - Config, puis sélectionnez le profil de serveur créé dans Étape 3 depuis le menu déroulant Piège SNMP. Étape 5 Sauvegardez vos modifications. Cliquez sur Valider, puis sélectionnez Panorama en tant que Type de validation. Guide de l'administrateur Panorama 161

168 Surveiller Panorama Gérer Panorama CONFIGURER SNMP (SUITE) Étape 6 Activez le paramètre SNMP pour interpréter une Trap SNMP. Étape 7 Identifiez les statistiques à surveiller. Étape 8 Configurez le logiciel de gestion SNMP pour surveiller les identifiants d objet qui vous intéressent. Pour interpréter un piège envoyé par Panorama, vous devez charger les fichiers PAN-OS MIB dans votre logiciel de gestion SNMP et, le cas échéant, les compiler. Les MIB compilés permettent au Gestionnaire SNMP de faire correspondre l identifiant d objet (OID) à la définition d événement que le piège définit. Pour obtenir des instructions spécifiques, reportez-vous à la documentation de votre gestionnaire SNMP. À l aide d un navigateur MIB, parcourez les fichiers MIB PAN-OS pour déterminer les identifiants d objets (OID) qui correspondent aux statistiques que vous souhaitez surveiller. Par exemple, supposons que vous souhaitez surveiller le taux de collecte de journaux sur l appareil M-100. Avec l explorateur MIB, vous verrez que cette statistique correspond à l OID sur le PAN-LC-MIB. Pour obtenir des instructions spécifiques, reportez-vous à la documentation de votre gestionnaire SNMP. 162 Guide de l'administrateur Panorama

169 Gérer Panorama Redémarrer ou fermer Panorama Redémarrer ou fermer Panorama L option de redémarrage initie un redémarrage en douceur de Panorama. Un arrêt stoppe le système et le met hors tension. Pour redémarrer Panorama après un arrêt, déconnectez manuellement le cordon d alimentation puis rebranchez-le sur le système. REDÉMARRAGE/ARRÊT Étape 1 Sélectionnez Panorama > Configuration > Opérations. Étape 2 Dans la section Opérations périphérique, sélectionnez l une des options suivantes : Pour redémarrer : Sélectionnez Redémarrer Panorama. Pour arrêter : Sélectionnez Arrêter Panorama. Guide de l'administrateur Panorama 163

170 Générer des fichiers de diagnostic Gérer Panorama Générer des fichiers de diagnostic Les fichiers de diagnostic aident à la surveillance de l activité système et à détecter les causes potentielles des problèmes Panorama. Pour aider le support technique Palo Alto Networks dans la résolution d un problème, le représentant du support technique peut demander des fichiers de diagnostic (fichier de support technique ou fichier de vidage des statistiques). La procédure qui suit explique comment obtenir un fichier de diagnostic et le télécharger dans votre trousse d assistance. GÉNÉRER DES FICHIERS DE DIAGNOSTIC 1. Sélectionnez Panorama > Support. Cliquez sur Générer le fichier de support technique. Cliquez sur Générer le fichier de vidage des statistiques. 2. Téléchargez et enregistrez le(s) fichier(s) sur le portail de support. 3. Téléchargez le(s) fichier(s) dans votre dossier sur le portail de support. 164 Guide de l'administrateur Panorama

171 Gérer Panorama Configurer les profils et la complexité de mot de passe Configurer les profils et la complexité de mot de passe Pour sécuriser le compte d administrateur local, vous pouvez définir des exigences en matière de complexité de mot de passe, à appliquer au moment où les administrateurs modifient ou créent de nouveaux mots de passe. Contrairement aux profils de mot de passe, qui peuvent être appliqués aux comptes individuels, les règles de complexité de mot de passe sont de niveau de périphérique et s appliquent à tous les mots de passe. Pour mettre en place les mises à jour de mot de passe périodiques, créez un profil de mot de passe qui définit le délai de validité de ces derniers. PROFILS DE MOT DE PASSE ET PARAMÈTRES DE COMPLEXITÉ Étape 1 Configurez les paramètres de complexité de mot de passe minimum. 1. Sélectionnez Panorama > Configuration > Gestion, et cliquez sur l icône Modifier dans la section Complexité minimale des mots de passe. 2. Sélectionnez Activé. 3. Définissez les Critères de format pour le mot de passe. Vous pouvez mettre en place des critères de majuscules, minuscules, numériques et les caractères spéciaux qu un mot de passe doit contenir. 4. Pour éviter que le nom d utilisateur de compte (ou la version inversée du nom) soit utilisée dans le mot de passe, sélectionnez Bloquer l intégration du nom d utilisateur (inversé inclus). 5. Définissez les Exigences relatives aux fonctionnalités. Si vous avez configuré un profil de mot de passe pour un administrateur, les valeurs définies dans le profil de mot de passe remplaceront celles que vous avez définies dans la section. Étape 2 Créez des profils de mot de passe. Vous pouvez créer plusieurs profils de mot de passe et les appliquer aux comptes administrateurs selon les besoins pour mettre en œuvre la sécurité. 1. Sélectionnez Panorama >Profils de mot de passe, puis cliquez sur Ajouter. 2. Saisissez le Nom du profil de mot de passe, et définissez ce qui suit : a. Période de modification du mot de passe : Fréquence, en jours, à laquelle les mots de passe doivent être modifiés. b. Avertissement avant la date d expiration : Nombre de jours avant expiration auquel l administrateur recevra un rappel de mot de passe. c. Période de grâce après expiration : Nombre de jours pendant lesquels l administrateur peut toujours se connecter au système après expiration du mot de passe. d. Nombre d ouvertures de session Administrateur après expiration : Nombre de fois où l administrateur peut se connecter au système après expiration du mot de passe. Guide de l'administrateur Panorama 165

172 Remplacer le disque virtuel sur un appareil virtuel Panorama Gérer Panorama Remplacer le disque virtuel sur un appareil virtuel Panorama Un disque virtuel ne peut pas être redimensionné une fois qu il a été ajouté à l appareil virtuel Panorama. Comme l appareil virtuel Panorama ne permet qu un emplacement de stockage de journaux, si vous devez ajouter de l espace disque pour la journalisation (ou en enlever, si vous affectez davantage d espace) vous devez remplacer le disque virtuel sur le serveur ESX(i) pour régler la capacité de stockage. Effectuez les tâches suivantes sur le serveur ESX(i) pour remplacer le disque virtuel affecté au Panorama : REMPLACER LE DISQUE VIRTUEL AFFECTÉ À L APPAREIL VIRTUEL PANORAMA Étape 1 Exportez les journaux avant de détacher le disque virtuel à partir de l appareil virtuel Panorama. Les journaux sur le disque ne seront plus accessibles une fois le disque détaché. 1.Accédez à l interface de ligne de commande sur l appareil virtuel Panorama et vérifiez l utilisation actuelle du disque : admin@panorama> show system logdb-quota 2. Pour exporter les journaux, saisissez la commande : admin@panorama> scp export logdb to <compte utilisateur>@<ip de serveur SCP> : <chemin d accès de répertoire avec nom de fichier de destination> Par exemple : admin@panorama> scp export logdb to sabel@ :/panorama/log_file_exportmay2013 Remarque Vous devez spécifier un nom de fichier. Un fichier.tar est enregistré sur le serveur SCP. Comme les fichiers sont compressés pendant les procédures d exportation, la taille du fichier exporté est inférieure à celle du disque. Étape 2 Mettez l appareil virtuel Panorama hors tension. Étape 3 Modifiez les paramètres sur l appareil virtuel Panorama pour ajouter un nouveau disque virtuel. Étape 4 Créez un nouveau disque virtuel doté de la capacité souhaitée. Le disque virtuel doit être de type IDE et la capacité maximale est de 2 To. Étape 5 Supprimez le disque virtuel que vous souhaitez remplacer. Étape 6 Mettez l appareil virtuel Panorama sous tension. La procédure de redémarrage peut prendre plusieurs minutes et un message cache data unavailable (Données de mémoire cache non disponibles) s affichera à l écran. 166 Guide de l'administrateur Panorama

173 Gérer Panorama Remplacer le disque virtuel sur un appareil virtuel Panorama REMPLACER LE DISQUE VIRTUEL AFFECTÉ À L APPAREIL VIRTUEL PANORAMA (SUITE) Étape 7 Connectez-vous à l appareil virtuel Panorama. Sélectionnez Panorama > Configuration > Gestion, vérifiez que la capacité de stockage de journaux modifiée est affichée avec exactitude dans la section Paramètres de journalisation et de génération de rapports. Étape 8 Importez les journaux vers un nouveau disque virtuel sur Panorama. Pour importer les fichiers vers le nouveau disque virtuel, saisissez la commande qui suit dans l interface de ligne de commande : admin@panorama> scp export logdb to <compte utilisateur>@<ip du serveur SCP> : <chemin d accès de répertoire avec nom du fichier de destination> Guide de l'administrateur Panorama 167

174 Remplacer le disque virtuel sur un appareil virtuel Panorama Gérer Panorama 168 Guide de l'administrateur Panorama

175 7 Dépannage Cette section répond aux problèmes suivants : Pourquoi la validation de modèle échoue-t-elle? Pourquoi Panorama exécute-t-il un contrôle d intégrité de système de fichiers? Existe t-il une connexion distincte pour la transmission des journaux vers Panorama? Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs indique-t-elle 0 Mo? Pourquoi Panorama est-il à l état suspendu? Où puis-je voir l état de la progression de la tâche? Pourquoi la validation de modèle échoue-t-elle? Une validation de modèle peut échouer pour les raisons suivantes : Non-correspondance des capacités : lors de la configuration d un modèle, les options suivantes sont disponibles : fonctionnalité de systèmes virtuels multiples, le mode VPN et le mode opérationnel. Si la case à cocher correspondant à la fonctionnalité système virtuel multiple est sélectionnée, la validation d un modèle échoue lorsque vous transmettez le modèle aux périphériques qui n ont pas la capacité ou ne sont pas configurés pour prendre en charge une fonctionnalité de systèmes virtuels multiples. Pour résoudre l erreur, modifiez le modèle dans l onglet Panorama > Modèles, et désélectionnez la case à cocher pour les Systèmes virtuels. Si les opérations de configuration relatives à VPN sont transmises vers des périphériques codés pour ne pas autoriser la configuration VPN. Pour résoudre l erreur, modifiez le modèle dans l onglet Panorama > Modèles, et sélectionnez la case à cocher correspondant à Mode VPN désactivé. Si le mode opérationnel activé sur le périphérique et celui du modèle sont différents. Par exemple, si le périphérique géré est activé au mode FIPS et le modèle est défini en mode normal. Pour résoudre l erreur, modifiez le modèle dans l onglet Panorama > Modèles et vérifiez que la sélection du Mode opérationnel. est correcte. Le périphérique n est pas configuré pour recevoir les modifications de modèle et de groupe de périphériques depuis Panorama. Cela se produit lorsque la fonctionnalité de réception de modifications de configuration de modèle ou de groupes de périphériques a été désactivée sur le pare-feu. Guide de l'administrateur Panorama 169

176 Dépannage Pour résoudre l erreur, accédez à l interface Web du périphérique et sélectionnez Périphérique > Configuration. Modifiez la section des Paramètres Panorama et sélectionnez la case à cocher correspondant à et. Pourquoi Panorama exécute-t-il un contrôle d intégrité de système de fichiers? Panorama contrôle régulièrement l intégrité du système de fichiers (FSCK) afin d éviter une corruption des fichiers du système Panorama. Ce contrôle se produit après huit redémarrages ou lors d un démarrage survenant 90 jours après que le dernier FSCK a été exécuté. Si Panorama exécute un contrôle d intégrité du système de fichiers, les écrans d accueil de l interface Web et SSH affichent un avertissement indiquant qu un FSCK est en cours. Vous ne pouvez pas vous connecter avant la fin de ce processus. Le temps nécessaire à l accomplissement de cette procédure varie en fonction de la taille, du système de stockage. Selon la taille, l opération peut prendre plusieurs heures avant que vous puissiez vous reconnecter à Panorama. Pour afficher la progression du FSCK, configurez l accès de console à Panorama et affichez l état. Existe t-il une connexion distincte pour la transmission des journaux vers Panorama? Non, Panorama utilise le port TCP 3978 pour la connexion des pare-feu. Pour PAN-OS 4.x, la connexion SSL du pare-feu de Panorama se connecte via le port 3978 TCP. Il s agit d une connexion bidirectionnelle, où les journaux sont transmis du pare-feu vers Panorama ; et les modifications de configuration sont transmises de Panorama vers les périphériques gérés. Les commandes de commutation de contexte sont envoyées via la même connexion. Pour la version PAN-OS 5.0 et ultérieures, et seulement dans une architecture de collecte de journaux distribués avec des collecteurs de journaux dédiés, les pare-feu gèrent deux connexions SSL. Une connexion sert à la gestion Panorama, et l autre connexion est destinée au collecteur de journaux. les deux connexions utilisent le même port : le port TCP Guide de l'administrateur Panorama

177 Dépannage Pourquoi la capacité de stockage de journaux pour le groupe de collecteurs indique-t-elle 0 Mo? La capacité de stockage de journaux du groupe de collecteurs peut afficher 0 Mo si les paires de disques ne sont pas activées pour la journalisation. Vous devez sélectionner le collecteur de journaux et activer les paires de disques pour la journalisation dans l onglet Panorama > Collecteurs gérés. Pour obtenir des instructions, consultez l Étape 6 dans la section Ajouter un collecteur de journaux à Panorama. Pour vérifier que les disques sont bien activés et disponibles pour le stockage de journaux, sélectionnez l onglet Panorama > Collecteurs gérés, puis vérifiez que le collecteur de journaux s affiche comme Connecté et que l état de configuration affiche Synchronisé(e). Pourquoi Panorama est-il à l état suspendu? Si Panorama est à l état suspendu, contrôlez les points suivants : Vérifiez que le numéro de série de chaque appareil virtuel Panorama est unique. Si le même numéro de série est utilisé pour créer deux, voire plusieurs instances de Panorama, toutes les instances utilisant le même numéro de série sont suspendues. Vérifiez que vous avez défini le paramètre de priorité HD sur un homologue Principal et un homologue Secondaire. Si le paramètre de priorité est identique sur les deux homologues, l homologue Panorama ayant la valeur numérique de numéro de série la plus élevée passe en mode suspendu. Vérifiez que les deux homologues HD Panorama exécutent la même version de Panorama (numéro de version majeure et mineure). Où puis-je voir l état de la progression de la tâche? Utilisez le lien Gestionnaire de tâche dans le coin inférieur droit de l interface Web Panorama pour afficher la réussite ou l échec d une tâche. Il inclut un message détaillé destiné à aider à résoudre un problème. Pour plus détails, reportez-vous à la section Afficher l historique des tâches. Guide de l'administrateur Panorama 171

178 Dépannage 172 Guide de l'administrateur Panorama