Paloalto PA-SeriesのPA-410/PA-220にて、GlobalProtect構成を作成する機会がありましたので、基本的な設定やポイントについてまとめてみました。
設計背景と解説範囲について
GlobalProtectの概要を説明すると、「ユーザデバイスとPaloalto機器の間でVPNを構築してセキュアなアクセス方法を提供する」もので、ユーザデバイスの認証など様々なセキュア要件に対応できる機能があります。
実際の設計ではセキュア要件に対応する部分の設定も行いましたが、その設定項目は多岐に渡るため、この記事では基本的な設定部分のみを解説していきます。
GlobalProtect設定の構成
GlobalProtectを構成するための基本的な設定は以下の2つになります。
- Network
└GlobalProtect
└Portals
└Gateway
この2つの設定が正しく設定できればGlobalProtectの接続はできるようになりますが、この設定内で利用するためのProfile設定やInterface設定が必要になります。
Profile設定やInterface設定は別途作成することになりますし、それらの設定にもまた、設定内で利用する別の設定があります。
この”設定内で利用する別の設定”は、設定中に都度新規作成していくこともできますが、必要な設定値の見落としや不完全な設定を作成してしまうこともあるため、次からの解説では順番に設定をしていく方法を紹介していきます。
GlobalProtectに必要なProfile設定など
最初に証明書情報を設定します。設定位置は以下になります。
- Device
└Certificate Management
└Certificates
実際の設計では認証局から発行してもらったものをimportすることになると思われますが、この設定例ではPaloalto機器自体を認証局とする方法で行っていきます。
その認証局としての設定項目は以下になります。
- Certificate Name : 設定名、任意の名称で設定します
- Common Name : CN名、任意の名称で設定します
- Certificate Authority : 認証局とするかどうか、チェックを入れます
認証局の設定ができましたら、それを利用してサーバ証明書を設定します。設定項目は以下になります。
- Certificate Name : 設定名、任意の名称で設定します
- Common Name : CN名、GlobalProtectの接続をする際のドメイン名 (ホスト名)で設定します
- Signed by : さきほど作成した認証局設定を選択します
証明書情報が設定できましたら、それを利用してSSL/TLS Server Profileを設定します。
設定位置は以下になります。
- Device
└SSL/TLS Server Profile
設定項目は以下になります。
- Name : 設定名、任意の名称で設定します
- Certificate : 証明書、さきほど作成したサーバ証明書を選択します
次にユーザ認証のためのAuthentication Profileを作成します。設定位置は以下になります。
- Device
└Authentication Profile
ユーザ認証方法はいくつかありますが、この設定例では単純にPaloalto機器にユーザ情報を登録し、ID/Passwoedでの認証方法で設定していきます。設定項目は以下になります。
- Name : 設定名、任意の名称で設定します
- Authentication
└Type : Local
Profile設定ができましたら、ユーザ情報を登録します。設定位置は以下になります。
- Device
└User
設定項目は以下になります。
- Name : ユーザ名、認証対象のユーザ名で設定します
- Password : パスワード、任意の文字列で設定します
次にTunnel Interfaceを作成します。設定位置は以下になります。
- Network
└Interface
└Tunnel
設定項目は以下になります。
- Name : I/F名、設計に応じた値を設定します
- IP Address : IPアドレス、設計に応じた値を設定します
- Virtual Router : 所属させるVR、設計に応じた値を設定します
- Security Zone : 所属させるZone、設計に応じた値を設定します
ここまでで、PortalsとGatewayの設定を作成するために必要な設定ができました。
Portals設定
Portals設定方法について、Generalタブ内の設定項目は以下になります。
- Name : 設定名、任意の名称で設定します
- Interface : GlobalProtectの接続を受け入れるI/F、基本的にはWANと接続しているI/Fになるはずです
- IPv4 Address : Interfaceに設定したI/FのIPアドレスです
Authenticationタブ内の設定項目は以下になります。
- ServerAuthentication
└SSL/TLS Server Profile : 通信暗号化用Profile、先行して設定したProfileから選択します。 - ClientAuthentication
└Name : 設定名、任意の名称で設定します
└Authentication Profile : ユーザ認証用Profile、先行して設定したProfileから選択します
Agentタブ内の設定項目は以下になります。
- Authentication
└Name : 設定名、任意の名称で設定します - External
└Name : 設定名、任意の名称で設定します
└Address Value : GlobalProtectの接続をする際に指定するアドレス名、基本的にはドメイン名(ホスト名)で設定します
└Source region : ユーザ側のアクセス位置制限、Anyで設定します
└Manual : チェックを入れます
Gateway設定
Gateway設定方法について、Generalタブ内の設定項目は以下になります。
- Name : 設定名、任意の名称で設定します
- Interface : GlobalProtectの接続を受け入れるI/F、基本的にはWANと接続しているI/Fになるはずです
- IPv4 Address : Interfaceに設定したI/FのIPアドレスです
Authenticationタブ内の設定項目は以下になります。
- ServerAuthentication
└SSL/TLS Server Profile : 通信暗号化用Profile、先行して設定したProfileから選択します - ClientAuthentication
└Name : 設定名、任意の名称で設定します
└Authentication Profile : ユーザ認証用Profile、先行して設定したProfileから選択します
Agentタブ内の設定項目は以下になります。
- Tunnel Setting
└Tunnel Mode : チェックを入れます。
└Tunnel Interface : GlobalProtectの接続 - Client Setting
└Name : 設定名、任意の名称で設定します
└IP Pool
└IP Pool : VPN接続に利用するNAT用に確保したIPアドレス、設計に応じた値を設定します
基本的な設定項目以外の設定について
今回はGlobalProtectの基本的な設定項目を解説しました。
冒頭で話しましたように、これらは基本的な設定項目であり、セキュア要件に対応するための設定項目がまだまだあります。ただ、似たような要件であっても、設定を行う階層が異なる点には注意が必要です。
たとえば、クライアント認証をID/PasswordではなくRadiusとしたい場合は、Device > Authentication Profileでの設定においてType : LocalではなくType : RADIUSとした上でRadiusサーバ用の各種設定を行うことになります。
一方、クライアントの認証であってもクライアントのOSによって接続可否を変えたい場合は、Network > Gateway > Authentication > ClientAuthenticationの階層にその設定項目があります。
廣瀬 翔也(日本ビジネスシステムズ株式会社)
クラウドソリューション事業本部 セキュリティ&ネットワークインテグレーション2部 所属 主な業務経験範囲はネットワーク分野。 備忘録も兼ねて”ユーザ要望を実現するためのコンフィグ設計例”を掲載していく予定です。
担当記事一覧