Дадзены артыкул уяўляе сабой працяг , прысвечанага асаблівасцям наладкі абсталявання Palo Alto Networks . Тут мы хочам расказаць аб наладзе IPSec Site-to-Site VPN на абсталяванні Palo Alto Networks і аб магчымым варыянце канфігурацыі падключэння некалькіх інтэрнэт-правайдэраў.
Для дэманстрацыі будзе скарыстана стандартная схема падлучэння галаўнога офіса да філіяла. Для таго, каб забяспечыць адмоваўстойлівае інтэрнэт-злучэнне, у галаўным офісе выкарыстоўваецца адначасовае падлучэнне двух правайдэраў: ISP-1 і ISP-2. Філіял мае падлучэнне толькі да аднаго правайдэру, ISP-3. Паміж міжсеткавымі экранамі PA-1 і PA-2 прабудоўваецца два тунэля. Тунэлі працуюць у рэжыме Актыўны рэжым чакання, Tunnel-1 актыўны, Tunnel-2 пачне перадаваць трафік пры адмове Tunnel-1. Tunnel-1 выкарыстоўвае падлучэнне да інтэрнэт-правайдэра ISP-1, Tunnel-2 выкарыстоўвае падлучэнне да інтэрнэт-правайдэра ISP-2. Усе IP-адрасы згенераваны выпадкова ў мэтах дэманстрацыі, і не маюць дачынення да рэальнасці.
Для пабудовы Site-to-Site VPN будзе выкарыстаны IPsec - Набор пратаколаў для забеспячэння абароны дадзеных, якія перадаюцца па пратаколе IP. IPsec будзе працаваць з выкарыстаннем пратакола бяспекі ESP (Encapsulating Security Payload), што забяспечыць шыфраванне перадаюцца дадзеных.
В IPsec уваходзіць IKE (Internet Key Exchange) - пратакол, які адказвае за ўзгадненне SA (security associations), параметраў бяспекі, якія выкарыстоўваюцца для абароны перадаюцца дадзеных. Міжсеткавыя экраны PAN падтрымліваюць IKEv1 и IKEv2.
В IKEv1 VPN злучэнне будуецца ў два этапы: IKEv1 Phase 1 (IKE тунэль) і IKEv1 Phase 2 (IPSec тунэль), такім чынам, ствараюцца два тунэля, адзін з якіх служыць для абмену службовай інфармацыяй паміж міжсеткавымі экранамі, другі – для перадачы трафіку. У IKEv1 Phase 1 існуе два рэжыму працы – main mode і aggressive mode. Aggressive mode выкарыстоўвае менш паведамленняў і працуе хутчэй, але не падтрымлівае Peer Identity Protection.
IKEv2 прыйшоў на змену IKEv1, і ў параўнанні з IKEv1 яго галоўная перавага - гэта меншыя патрабаванні да паласы прапускання і хутчэйшае ўзгадненне SA. У IKEv2 выкарыстоўваецца менш службовых паведамленняў (усяго 4), падтрымліваецца пратакол EAP, MOBIKE і дададзены механізм праверкі даступнасці балю, з якім ствараецца тунэль. Liveness Check, які замяняе Dead Peer Detection у IKEv1. Калі праверка не пройдзе, то IKEv2 можа скінуць тунэль і потым аўтаматычна аднавіць пры першай магчымасці. Больш падрабязна аб адрозненнях можна .
Калі тунэль прабудоўваецца паміж міжсеткавымі экранамі розных вытворцаў, тая магчыма наяўнасць багаў у рэалізацыі. IKEv2, і для сумяшчальнасці з такім абсталяваннем ёсць магчымасць выкарыстоўваць IKEv1. У астатніх выпадках лепш ужываць IKEv2.
Этапы наладкі:
• Настройка двух інтэрнэт-правайдэраў у рэжыме ActiveStandby
Ёсць некалькі спосабаў рэалізаваць дадзеную функцыю. Адзін з іх заключаецца ў выкарыстанні механізму Path Monitoring, які стаў даступным пачынаючы з версіі PAN-OS 8.0.0. У дадзеным прыкладзе выкарыстоўваецца версія 8.0.16. Гэта функцыя падобная на IP SLA у маршрутызатарах Cisco. У параметры статычнага дэфолтнага маршруту наладжваецца адпраўка ping пакетаў на вызначаны IP-адрас з вызначанага адрасу крыніцы. У дадзеным выпадку інтэрфейс ethernet1/1 пінгуе шлюз па змаўчанні раз у секунду. Калі на тры пінгі запар няма адказу, то маршрут лічыцца непрацоўным і выдаляецца з табліцы маршрутызацыі. Такі ж маршрут настройваецца ў бок другога інтэрнэт-правайдэра, але з большай метрыкай (ён рэзервовы). Як толькі першы маршрут будзе выдалены з табліцы, міжсеткавы экран пачне адпраўляць трафік па другім маршруце. Fail-Over. Калі першы правайдэр пачне адказваць на пінгі, яго маршрут вернецца ў табліцу і заменіць другі з-за лепшай метрыкі. Fail-Back. Працэс Fail-Over займае некалькі секунд у залежнасці ад настроеных інтэрвалаў, але, у любым выпадку, працэс не маментальны, і тым часам трафік губляецца. Fail-Back праходзіць без страты трафіку. Ёсць магчымасць зрабіць Fail-Over хутчэй, пры дапамозе БФД, калі інтэрнэт-правайдэр прадаставіць такую магчымасць. БФД падтрымліваецца пачынаючы з мадэлі Серыя ПА-3000 и VM-100. У якасці адраса для пінга лепш указаць не шлюз правайдэра, а публічны, заўсёды даступны інтэрнэт-адрас.
• Стварэнне тунэльнага інтэрфейсу
Трафік ўнутры тунэля перадаецца праз спецыяльныя віртуальныя інтэрфейсы. На кожным з іх павінен быць наладжаны IP-адрас з транзітнай сеткі. У дадзеным прыкладзе для Tunnel-1 будзе выкарыстоўвацца падсесці 172.16.1.0/30, а для Tunnel-2 – падсесці 172.16.2.0/30.
Тунэльны інтэрфейс ствараецца ў раздзеле Network -> Interfaces -> Tunnel. Неабходна пазначыць віртуальны маршрутызатар і зону бяспекі, а таксама IP-адрас з адпаведнай транспартнай сеткі. Нумар інтэрфейсу можа быць любым.
У раздзеле прасунуты можна пазначыць Management Profile, Які дазволіць ping на дадзены інтэрфейс, гэта можа быць карысна для тэсціравання.
• Настройка IKE Profile
IKE Profile адказвае за першы этап стварэння VPN-злучэнні, тут указваюцца параметры тунэля. IKE Phase 1. Профіль ствараецца ў раздзеле Network -> Network Profiles -> IKE Crypto. Неабходна пазначыць алгарытм шыфравання, хэшавання, групу Дыфі-Хеллмана і тэрмін жыцця ключоў. Увогуле выпадку, чым складаней алгарытмы, тым горш прадукцыйнасць, іх трэба выбіраць зыходзячы з пэўных патрабаванняў да бяспекі. Аднак, катэгарычна не рэкамендуецца ўжываць групу Дыфі-Хеллмана ніжэй 14 для абароны важнай інфармацыі. Гэта злучана з уразлівасцю пратаколу, нівеліраваць якую можна толькі выкарыстаўшы памер модуляў 2048 біт і вышэй, альбо алгарытмы эліптычнай крыптаграфіі, якія ўжываюцца ў групах 19, 20, 21, 24. Гэтыя алгарытмы валодаюць большай прадукцыйнасцю ў параўнанні з традыцыйнай крыптаграфіяй. . І .
• Настройка IPSec Profile
Другі этап стварэння VPN злучэння – IPSec тунэль. Параметры SA для яго наладжваюцца ў Network -> Network Profiles -> IPSec Crypto Profile. Тут трэба ўказаць пратакол IPSec. AH альбо ESP, а таксама параметры SA - Алгарытмы хэшавання, шыфравання, групы Диффи-Хеллмана і тэрмін жыцця ключоў. Параметры SA у IKE Crypto Profile і IPSec Crypto Profile могуць не супадаць.
• Настройка IKE Gateway
IKE Gateway - гэта аб'ект, які пазначае маршрутызатар або міжсеткавы экран, з якім прабудоўваецца VPN тунэль. Для кожнага тунэля трэба стварыць свой IKE Gateway. У дадзеным выпадку, ствараюцца два тунэлі, па адным праз кожнага інтэрнэт-правайдэра. Указваецца адпаведны выходны інтэрфейс і яго ip-адрас, ip-адрас балю, і агульны ключ. У якасці альтэрнатывы агульнаму ключу можна выкарыстоўваць сертыфікаты.
Тут паказваецца раней створаны IKE Crypto Profile. Параметры другога аб'екта IKE Gateway аналагічныя, за выключэннем IP-адрасоў. Калі міжсеткавы экран Palo Alto Networks размешчаны за NAT маршрутызатарам, тое трэба ўлучыць механізм Праходжанне NAT.
• Настройка IPSec Tunnel
Тунэль IPSec - гэта аб'ект, у якім паказваюцца параметры IPSec тунэля, як вынікае з назвы. Тут трэба пазначыць тунэльны інтэрфейс і раней створаныя аб'екты IKE Gateway, IPSec Crypto Profile. Для забеспячэння аўтаматычнага пераключэння маршрутызацыі на рэзервовы тунэль трэба ўключыць Tunnel Monitor. Гэта механізм, які правярае, ці жывы банкет, пры дапамозе ICMP трафіку. У якасці адраса прызначэння трэба паказаць IP-адрас тунэльнага інтэрфейсу балю, з якім будуецца тунэль. У профілі паказваюцца таймеры і дзеянне пры страце сувязі. Wait Recover – чакаць, пакуль сувязь адновіцца, Адмова - Адправіць трафік па іншым маршруце, калі такі маецца. Настройка другога тунэля цалкам аналагічная, паказваецца другі тунэльны інтэрфейс і IKE Gateway.
• Настройка маршрутызацыі
У дадзеным прыкладзе выкарыстоўваецца статычная маршрутызацыя. На міжсеткавым экране PA-1 трэба, апроч двух дэфолтных маршрутаў, паказаць два маршруты да падсеткі 10.10.10.0/24 у філіяле. Адзін маршрут выкарыстоўвае Tunnel-1, іншы Tunnel-2. Маршрут праз Tunnel-1 з'яўляецца асноўным, бо мае меншую метрыку. Механізм Path Monitoring для гэтых маршрутаў не выкарыстоўваецца. За пераключэнне адказвае Tunnel Monitor.
Такія ж маршруты для падсеткі 192.168.30.0/24 трэба наладзіць на PA-2.
• Настройка сеткавых правілаў
Для працы тунэля трэба тры правілы:
- Для працы Path Monitor дазволіць ICMP на вонкавых інтэрфейсах.
- Для IPsec дазволіць прыкладання ike и ipsec на знешніх інтэрфейсах.
- Дазволіць трафік паміж унутранымі падсеткамі і тунэльнымі інтэрфейсамі.
Заключэнне
У дадзеным артыкуле разгледжаны варыянт налады адмоваўстойлівага інтэрнэт-злучэння і Сеткавая сетка VPN. Спадзяемся, інфармацыя была карыснай, і чытач атрымаў уяўленне аб тэхналогіях, якія выкарыстоўваюцца ў Palo Alto Networks. Калі ў вас ёсць пытанні па наладзе і пажаданні па тэмах будучых артыкулаў - пішыце іх у каментарах, будзем рады адказаць.
Крыніца: habr.com