Политика доступа VPN GlobalProtect на основе HIP-объектов.

Лицензия GlobalProtect Subscription помимо возможности использования Global Protect на смартфонах (iOS, Android, WP) предоставляет инструменты для сбора и анализа подробной информации о клиентских устройствах.

В данной статье мы рассмотрим предоставление доступа из VPN сети к корпоративным ресурсам только клиентам с включенной антивирусной защитой с версиями баз не старше одной недели, активном сетевом экране и активной службе обновления ОС Windows.

1. Для начала необходимо включить сбор данных с клиентских устройств в параметрах Global Protect Portal.

[ Network – GlobalProtect – Portals – %portal_name% – Agent – %agent_config_name% – HIP Data Collection – Collect HIP Data ]

HIP Data Collection

В данной вкладке также можно исключить из сбора определенные категории объектов или настроить кастомные проверки по ключам реестра и определенным запущенным процесса.

2. Следующим шагом необходимо создать HIP-объекты, которые мы собираемся анализировать.

Для этого переходим в [Objects – GlobalProtect – HIP Objects] и создаём новый объект.

Вариантов выбора собираемых данных несколько:

  • General – домен, ОС, версия GP Client и т.д.
  • Mobile Device – модель, IMEI, пароль, root/jailbreak, наличие/отсутствие приложений
  • Patch Management – определенные приложения и патчи
  • Firewall – сетевые экраны
  • Anti-Malware – антивирусные системы по определённым критериям
  • Disk Backup – системы резервного копирования
  • Disk Encryption – шифрование носителей информации
  • Data Loss Prevention – DLP системы
  • Certificate – проверка сертификатов клиента
  • Custom Checks – настраиваемые проверки по процессам и ключам реестра
Objects

После создания всех необходимых HIP-объектов в мониторе начнут появляться события сбора требуемой информации о клиентских устройствах.

Palo Alto Monitor

Нажатием на значок лупы слева от записи открывается окно с подробной информацией о клиентском устройстве.

Здесь представлены все данные, полученные от устройства, независимо от набора созданных HIP-объектов. Также данное окно служит инструментом диагностики клиента при несоответствии с политиками доступа к сети.

В данном примере мы видим:

  • активен Kaspersky Endpoint Security
  • антивирусные базы обновлены
  • неактивны все сетевые экраны
  • включена служба обновления системы
  • системный раздел зашифрован

3. Следующим шагом в настройке политики доступа к сети будет создание HIP-профиля из имеющихся HIP-объектов.

Для этого переходим в [Objects – GlobalProtect – HIP Profiles] и создаём новый профиль. Профиль создаётся с помощью конструктора в левом окне. Доступны операторы «И», «ИЛИ» и оператор отрицания.

Palo Alto HIP Profiles

В данном примере HIP-профиль соответствует следующим критериям:

  • Установлена, активна и обновлена любая антивирусная система из перечисленных
  • Включена служба обновления системы
  • Отсутствует любая DLP-система

4. После создания HIP-профиля его можно применить к определенному правилу безопасности сетевого экрана. Для этого необходимо перейти в настройки правила и на вкладке User выбрать HIP-профиль.

В следующем примере мы ограничиваем доступ из зоны VPN_GP к терминальному серверу TERM99 только для клиентских устройств, удовлетворяющих созданному HIP-профилю.

HIP Profile

Заключительным шагом будет настройка уведомлений для клиентов GlobalProtect о несоответствии состояния защиты их устройств с политиками доступа к сети.

Для этого перейдём в настройки GP-шлюза [Network – GlobalProtect – Gateways – %gateway_name% – Agent – HIP Notification] и создадим новое уведомление.

В следующем примере мы задаём уведомление о несоответствии с HIP-профилем VPN Policy в виде отдельного окна. Также указываем текст уведомления (гиперссылки поддерживаются).

Palo Alto VPN Notification

Важно!

По-умолчанию интервал проверки HIP-объектов составляет 1 час, при желании его можно изменить в CLI. Для этого необходимо:

  • debug global-protect portal show – проверка текущих настроек
  • debug global-protect portal interval – установка значения

Данные параметры распространяются на все порталы и всех пользователей. Для применения изменений требуется перезагрузка Palo Alto.

На этом внедрение политики доступа к сети на Palo Alto завершено.

Клиент, удовлетворяющий критериям, будет иметь доступ согласно правилам сетевого экрана. Клиенту, не удовлетворяющему критериям, после инициализации подключения Global Protect будет показано уведомление. Доступ к сети появится автоматически после устранения причин блокировки при следующем чтении HIP-объектов или при следующем подключении.

Популярные товары Palo Alto

Опубликовано в рубрике Palo Alto