Hierdie artikel is 'n voortsetting toegewy aan die kenmerke van die opstel van toerusting Palo Alto Networks . Hier wil ons praat oor instelling IPSec Werf-tot-werf VPN op toerusting Palo Alto Networks en oor 'n moontlike konfigurasie-opsie om verskeie internetverskaffers te koppel.
Vir die demonstrasie sal 'n standaardskema gebruik word om die hoofkantoor aan die tak te koppel. Om 'n foutverdraagsame internetverbinding te verskaf, gebruik die hoofkantoor die gelyktydige verbinding van twee verskaffers: ISP-1 en ISP-2. Die tak het 'n verbinding met slegs een verskaffer, ISP-3. Twee tonnels word tussen brandmure PA-1 en PA-2 gebou. Die tonnels is in werking. Aktiewe-bystand, Tonnel-1 is op, Tonnel-2 sal verkeer begin aanstuur wanneer Tonnel-1 misluk. Tunnel-1 gebruik 'n verbinding met ISP-1, Tunnel-2 gebruik 'n verbinding met ISP-2. Alle IP-adresse word lukraak gegenereer vir demonstrasiedoeleindes en hou nie verband met die werklikheid nie.
Om werf-tot-werf VPN te bou, sal gebruik word IPsec - 'n stel protokolle om die beskerming van data wat oor die IP-protokol versend word, te verseker. IPsec sal met sekuriteitsprotokol werk ESP (Encapsulating Security Payload), wat die enkripsie van versendte data sal verseker.
В IPsec входит IKE (Internet Key Exchange) is 'n protokol wat verantwoordelik is vir die onderhandeling van SA (sekuriteitsverenigings), sekuriteitsparameters wat gebruik word om oorgedrade data te beskerm. Ondersteun PAN firewalls IKEv1 и IKEv2.
В IKEv1 VPN-verbinding word in twee fases gebou: IKEv1 Fase 1 (IKE tonnel) en IKEv1 Fase 2 (IPSec-tonnel), dus word twee tonnels geskep, waarvan een gebruik word vir die uitruil van diensinligting tussen brandmure, die tweede vir verkeersoordrag. IN IKEv1 Fase 1 Daar is twee maniere van werking - hoofmodus en aggressiewe modus. Aggressiewe modus gebruik minder boodskappe en is vinniger, maar ondersteun nie eweknie-identiteitbeskerming nie.
IKEv2 vervang IKEv1, en in vergelyking met IKEv1 sy grootste voordeel is laer bandwydtevereistes en vinniger SA onderhandeling. IN IKEv2 minder oorhoofse boodskappe word gebruik (4 in totaal), die EAP, MOBIKE protokol word ondersteun, en 'n meganisme om die beskikbaarheid van die eweknie waarmee die tonnel geskep word na te gaan, word bygevoeg - lewendheid tjek, wat Dead Peer Detection in IKEv1 vervang. As die tjek misluk, dan IKEv2 kan die tonnel terugstel en dan outomaties herstel by die eerste geleentheid. Jy kan meer leer oor die verskille .
As die tonnel tussen brandmure van verskillende vervaardigers gebou is, kan daar foute in die implementering wees IKEv2, en vir verenigbaarheid met sulke toerusting is dit moontlik om te gebruik IKEv1. In ander gevalle is dit beter om te gebruik IKEv2.
Opstel stappe:
• Die opstel van twee ISP's in ActiveStandby-modus
Daar is verskeie maniere om hierdie kenmerk te implementeer. Een daarvan is om die meganisme te gebruik Pad monitering, wat vanaf die weergawe beskikbaar geword het PAN-OS 8.0.0. Hierdie voorbeeld gebruik weergawe 8.0.16. Hierdie kenmerk is soortgelyk aan IP SLA in Cisco-routers. Die statiese verstekroeteparameter is opgestel om ping-pakkies na 'n spesifieke IP-adres vanaf 'n spesifieke bronadres te stuur. In hierdie geval ping die ethernet1/1-koppelvlak die verstekpoort een keer per sekonde. As daar geen reaksie is vir drie pings in 'n ry nie, word die roete as dood beskou en van die roetetabel verwyder. Dieselfde roete is ingestel na die tweede internetverskaffer, maar met 'n groter maatstaf (dit is 'n rugsteun). Sodra die eerste roete van die tabel verwyder is, sal die brandmuur verkeer langs die tweede roete begin stuur − Misluk oor. Wanneer die eerste verskaffer op pings begin reageer, sal sy roete na die tabel terugkeer en die tweede een vervang as gevolg van 'n beter metriek - Fail-Terug. Proses Misluk oor neem 'n paar sekondes, afhangende van die gekonfigureerde intervalle, maar in elk geval is die proses nie oombliklik nie, en verkeer is verlore gedurende hierdie tyd. Fail-Terug slaag sonder verlies van verkeer. Daar is 'n geleentheid om te doen Misluk oor vinniger met B.F.D., as die internetverskaffer so 'n geleentheid bied. B.F.D. ondersteun vanaf model PA-3000-reeks и VM-100. As 'n ping-adres is dit beter om nie die verskaffer se poort te spesifiseer nie, maar 'n publieke, altyd beskikbare internetadres.
• Die skep van 'n tonnel-koppelvlak
Verkeer binne die tonnel word deur spesiale virtuele koppelvlakke oorgedra. Elkeen van hulle moet gekonfigureer word met 'n IP-adres van die vervoernetwerk. In hierdie voorbeeld sal Tunnel-1 subnet 172.16.1.0/30 gebruik, en Tunnel-2 sal subnet 172.16.2.0/30 gebruik.
Die tonnel-koppelvlak word in die afdeling geskep Netwerk -> Interfaces -> Tonnel. U moet die virtuele roeteerder en sekuriteitsone spesifiseer, sowel as 'n IP-adres van die ooreenstemmende vervoernetwerk. Die koppelvlaknommer kan enigiets wees.
In artikel Gevorderde jy kan spesifiseer Bestuursprofielwat ping na die gegewe koppelvlak sal toelaat, kan dit nuttig wees om te toets.
• Opstel van die IKE-profiel
IKE-profiel verantwoordelik vir die eerste fase van die skep van 'n VPN-verbinding, tonnelparameters word hier gespesifiseer IKE Fase 1. Die profiel word in die afdeling geskep Netwerk -> Netwerkprofiele -> IKE Crypto. Jy moet die enkripsie-algoritme, hashing, Diffie-Hellman-groep en sleutelleeftyd spesifiseer. Oor die algemeen, hoe meer kompleks die algoritmes, hoe slegter die werkverrigting, moet hulle gekies word op grond van spesifieke sekuriteitsvereistes. Dit word egter ten sterkste ontmoedig om 'n Diffie-Hellman-groep onder 14 te gebruik om sensitiewe inligting te beskerm. Dit is as gevolg van 'n protokolkwesbaarheid, wat slegs gelykgemaak kan word deur 'n modulusgrootte van 2048 bisse of meer te gebruik, of elliptiese kriptografie-algoritmes wat in groepe 19, 20, 21, 24 gebruik word. Hierdie algoritmes het beter werkverrigting in vergelyking met tradisionele kriptografie . . en .
• IPSec-profielinstelling
Die tweede stap in die skep van 'n VPN-verbinding is 'n IPSec-tonnel. Die SA parameters daarvoor is gekonfigureer in Netwerk -> Netwerkprofiele -> IPSec Crypto-profiel. Hier moet u die IPSec-protokol spesifiseer - AH of ESP, sowel as die parameters SA - hashing-algoritmes, enkripsie, Diffie-Hellman-groepe en sleutelleeftyd. Die SA-instellings in die IKE Crypto-profiel en IPSec Crypto-profiel sal dalk nie ooreenstem nie.
• Die opstel van die IKE Gateway
IKE-poort is 'n voorwerp wat 'n roeteerder of firewall verteenwoordig waarmee 'n VPN-tonnel gebou word. Vir elke tonnel moet jy jou eie skep IKE-poort. In hierdie geval word twee tonnels geskep, een deur elke ISP. Die ooreenstemmende uitgaande koppelvlak en sy ip-adres, die eweknie se ip-adres en die gedeelde sleutel word gespesifiseer. As alternatief vir 'n vooraf-gedeelde sleutel, kan jy sertifikate gebruik.
Dit is waar die voorheen geskep IKE Crypto-profiel. Parameters van die tweede voorwerp IKE-poort is dieselfde behalwe vir die IP-adresse. As die Palo Alto Networks-brandmuur agter 'n NAT-roeteerder geleë is, moet jy die meganisme aktiveer NAT Traversal.
• Opstel van IPSec Tunnel
IPSec-tonnel - Dit is 'n voorwerp wat die parameters van die IPSec-tonnel spesifiseer, soos die naam aandui. Hier moet jy die tonnel-koppelvlak en voorheen geskepte voorwerpe spesifiseer IKE-poort, IPSec Crypto-profiel. Om outomatiese oorskakeling van roetes na die rugsteuntonnel te verseker, moet jy aktiveer Tonnel Monitor. Dit is 'n meganisme wat kontroleer of 'n eweknie lewendig is deur ICMP-verkeer te gebruik. As die bestemmingsadres moet jy die IP-adres spesifiseer van die tonnelkoppelvlak van die eweknie waarmee die tonnel gebou word. Die profiel spesifiseer tydtellers en aksie by verlies van verbinding. Wag Herstel - wag totdat die verbinding herstel is, Misluk oor — stuur verkeer langs 'n ander roete, indien enige. Die opstel van die tweede tonnel is heeltemal soortgelyk, die tweede tonnel-koppelvlak en IKE Gateway word aangedui.
• Roetering opstelling
Hierdie voorbeeld gebruik statiese roetering. Op die PA-1-brandmuur, benewens die twee verstekroetes, moet jy twee roetes spesifiseer na die 10.10.10.0/24 subnet in die tak. Een roete gebruik Tonnel-1, die ander gebruik Tonnel-2. Die roete deur Tunnel-1 is die belangrikste een omdat dit 'n laer metrieke het. Meganisme Pad monitering nie vir hierdie roetes gebruik word nie. Verantwoordelik vir oorskakeling Tonnel Monitor.
Dieselfde roetes vir die 192.168.30.0/24 subnet moet op PA-2 gekonfigureer word.
• Opstel van netwerkreëls
Daar is drie reëls vir die tonnel om te werk:
- Om te werk Pad Monitor laat ICMP toe op eksterne koppelvlakke.
- Vir IPsec laat toepassings toe Ike и ipsec op eksterne koppelvlakke.
- Laat verkeer toe tussen interne subnette en tonnelkoppelvlakke.
Gevolgtrekking
Hierdie artikel bespreek die opsie om 'n foutverdraagsame internetverbinding op te stel en Werf-tot-werf VPN. Ons hoop dat die inligting nuttig was, en dat die leser 'n idee gekry het oor die tegnologieë wat in Palo Alto Networks. As jy vrae het oor die opstel en wense oor die onderwerpe van toekomstige artikels - skryf dit in die kommentaar, ons sal met graagte antwoord.
Bron: will.com