Ovaj članak je nastavak posvećena karakteristikama postavljanja opreme Palo Alto Networks . Ovdje želimo razgovarati o podešavanju IPSec Site-to-Site VPN na opremi Palo Alto Networks te o mogućoj opciji konfiguracije za povezivanje nekoliko internet provajdera.
Za demonstraciju će se koristiti standardna šema za povezivanje centrale sa filijalom. U cilju obezbeđivanja internet konekcije otporne na greške, centrala koristi istovremenu vezu dva provajdera: ISP-1 i ISP-2. Filijala ima vezu sa samo jednim provajderom, ISP-3. Između zaštitnih zidova PA-1 i PA-2 izgrađena su dva tunela. Tuneli su u funkciji. Active Standby, Tunel-1 je otvoren, Tunel-2 će početi prosljeđivati saobraćaj kada tunel-1 ne uspije. Tunel-1 koristi vezu sa ISP-1, Tunel-2 koristi vezu sa ISP-2. Sve IP adrese su nasumično generirane u svrhu demonstracije i nisu povezane sa stvarnošću.
Za izgradnju Site-to-Site VPN će se koristiti IPsec - skup protokola za osiguranje zaštite podataka koji se prenose preko IP protokola. IPsec će raditi koristeći sigurnosni protokol ESP (Encapsulating Security Payload), koji će osigurati enkripciju prenesenih podataka.
В IPsec входит IKE (Internet Key Exchange) je protokol odgovoran za pregovaranje o SA (sigurnosnim asocijacijama), sigurnosnim parametrima koji se koriste za zaštitu prenesenih podataka. Podrška za PAN firewall IKEv1 и IKEv2.
В IKEv1 VPN veza se gradi u dvije faze: IKEv1 faza 1 (IKE tunel) i IKEv1 faza 2 (IPSec tunel), tako se stvaraju dva tunela, od kojih jedan služi za razmjenu servisnih informacija između firewall-a, drugi - za prijenos prometa. IN IKEv1 faza 1 Postoje dva načina rada - glavni i agresivni način rada. Agresivni način rada koristi manje poruka i brži je, ali ne podržava zaštitu ravnopravnih identiteta.
IKEv2 zamenjen IKEv1, i u poređenju sa IKEv1 njegova glavna prednost su niži zahtjevi za propusnim opsegom i brže SA pregovaranje. IN IKEv2 koristi se manje overhead poruka (ukupno 4), podržan je EAP, MOBIKE protokol i dodat je mehanizam za provjeru dostupnosti peer-a s kojim je tunel kreiran - provjera živosti, koji zamjenjuje Dead Peer Detection u IKEv1. Ako provjera ne uspije, onda IKEv2 može resetirati tunel i zatim automatski vratiti u prvoj prilici. Možete saznati više o razlikama .
Ako je tunel izgrađen između firewall-a različitih proizvođača, tada mogu postojati greške u implementaciji IKEv2, a za kompatibilnost sa takvom opremom moguće je koristiti IKEv1. U drugim slučajevima je bolje koristiti IKEv2.
Koraci postavljanja:
• Postavljanje dva ISP-a u ActiveStandby modu
Postoji nekoliko načina za implementaciju ove funkcije. Jedan od njih je korištenje mehanizma Praćenje putanje, koji je postao dostupan počevši od verzije PAN-OS 8.0.0. Ovaj primjer koristi verziju 8.0.16. Ova funkcija je slična IP SLA u Cisco ruterima. Statički default parametar rute je konfiguriran za slanje ping paketa na određenu IP adresu sa određene izvorne adrese. U ovom slučaju, ethernet1/1 interfejs pinguje podrazumevani gateway jednom u sekundi. Ako nema odgovora za tri pinga zaredom, ruta se smatra mrtvom i uklanja se iz tabele usmjeravanja. Ista ruta je konfigurisana prema drugom Internet provajderu, ali sa većom metrikom (to je rezervna kopija). Kada se prva ruta ukloni iz tabele, firewall će početi slati promet drugom rutom − Fail Over. Kada prvi provajder počne odgovarati na pingove, njegova ruta će se vratiti u tabelu i zamijeniti drugi zbog bolje metrike − Fail Back... Proces Fail Over traje nekoliko sekundi u zavisnosti od konfigurisanih intervala, ali u svakom slučaju, proces nije trenutan, a saobraćaj se gubi za to vreme. Fail Back prolazi bez gubitka saobraćaja. Postoji prilika da se uradi Fail Over brže sa B.F.D.ako vam vaš ISP to dozvoljava. B.F.D. podržano od modela PA-3000 serija и VM-100. Kao ping adresu, bolje je navesti ne gateway provajdera, već javnu, uvijek dostupnu Internet adresu.
• Kreiranje tunelskog interfejsa
Saobraćaj unutar tunela se prenosi preko posebnih virtuelnih interfejsa. Svaki od njih mora biti konfiguriran s IP adresom iz tranzitne mreže. U ovom primeru, Tunel-1 će koristiti podmrežu 172.16.1.0/30, a Tunel-2 će koristiti podmrežu 172.16.2.0/30.
Tunelski interfejs je kreiran u sekciji Mreža -> Interfejsi -> Tunel. Morate navesti virtuelni ruter i sigurnosnu zonu, kao i IP adresu iz odgovarajuće transportne mreže. Broj interfejsa može biti bilo koji.
odjeljak Napredan možete odrediti Profil menadžmentakoji će omogućiti ping do datog interfejsa, ovo može biti korisno za testiranje.
• Konfigurisanje IKE profila
IKE Profil odgovoran za prvu fazu stvaranja VPN konekcije, parametri tunela su navedeni ovdje IKE faza 1. Profil se kreira u sekciji Mreža -> Mrežni profili -> IKE Crypto. Morate navesti algoritam šifriranja, heširanje, Diffie-Hellman grupu i životni vijek ključa. Općenito, što su algoritmi složeniji, to su performanse lošije, treba ih odabrati na osnovu specifičnih sigurnosnih zahtjeva. Međutim, snažno se ne preporučuje korištenje Diffie-Hellman grupe ispod 14 za zaštitu osjetljivih informacija. To je zbog ranjivosti protokola, koja se može izravnati samo korištenjem veličine modula od 2048 bita ili više, ili algoritama eliptičke kriptografije koji se koriste u grupama 19, 20, 21, 24. Ovi algoritmi imaju bolje performanse u odnosu na tradicionalnu kriptografiju . . I .
• Podešavanje IPSec profila
Drugi korak u stvaranju VPN veze je IPSec tunel. SA parametri za to su konfigurisani u Mreža -> Mrežni profili -> IPSec Crypto profil. Ovdje morate navesti IPSec protokol - AH ili ESP, kao i parametri SA - algoritmi heširanja, enkripcija, Diffie-Hellman grupe i vijek trajanja ključa. SA postavke u IKE Crypto Profilu i IPSec Crypto Profilu se možda neće podudarati.
• Konfigurisanje IKE Gateway-a
IKE Gateway je objekt koji označava ruter ili firewall s kojim se gradi VPN tunel. Za svaki tunel morate kreirati vlastiti IKE Gateway. U ovom slučaju se kreiraju dva tunela, po jedan kroz svakog ISP-a. Odgovarajuće odlazno sučelje i njegova ip-adresa, ip-adresa vršnjaka i zajednički ključ su specificirani. Kao alternativu unaprijed dijeljenom ključu, možete koristiti certifikate.
Ovdje je prethodno stvoreno IKE Crypto Profil. Parametri drugog objekta IKE Gateway su isti osim IP adresa. Ako se zaštitni zid Palo Alto Networks nalazi iza NAT rutera, tada morate omogućiti mehanizam NAT Traversal.
• Postavljanje IPSec tunela
IPSec Tunnel je objekat koji specificira IPSec parametre tunela, kao što ime sugerira. Ovdje morate odrediti tunelski interfejs i prethodno kreirane objekte IKE Gateway, IPSec Crypto Profil. Da biste osigurali automatsko prebacivanje rutiranja do rezervnog tunela, morate omogućiti Tunnel Monitor. Ovo je mehanizam koji provjerava da li je peer živ koristeći ICMP promet. Kao odredišnu adresu potrebno je da navedete IP adresu tunelskog interfejsa peer-a sa kojim se tunel gradi. Profil specificira tajmere i radnju u slučaju gubitka veze. Wait Recovery - sačekajte dok se veza ne uspostavi, Fail Over — slanje saobraćaja drugom rutom, ako postoji. Postavljanje drugog tunela je potpuno slično, sučelje drugog tunela i IKE Gateway su naznačeni.
• Podešavanje rutiranja
Ovaj primjer koristi statičko usmjeravanje. Na zaštitnom zidu PA-1, pored dve podrazumevane rute, potrebno je da navedete dve rute do podmreže 10.10.10.0/24 u grani. Jedna ruta koristi Tunel-1, druga koristi Tunel-2. Trasa kroz Tunel-1 je glavna jer ima nižu metriku. Mehanizam Praćenje putanje ne koristi se za ove rute. Odgovoran za prebacivanje Tunnel Monitor.
Iste rute za podmrežu 192.168.30.0/24 moraju biti konfigurirane na PA-2.
• Postavljanje mrežnih pravila
Postoje tri pravila za rad tunela:
- Raditi Monitor putanje dozvoliti ICMP na vanjskim sučeljima.
- Do IPsec dozvoli aplikacije ike и ipsec na eksternim interfejsima.
- Dozvolite promet između internih podmreža i tunelskih sučelja.
zaključak
Ovaj članak govori o mogućnosti postavljanja Internet veze otporne na greške i Site to Site VPN. Nadamo se da su informacije bile korisne, a da je čitatelj dobio ideju o tehnologijama koje se koriste Palo Alto Networks. Ako imate pitanja o postavljanju i željama o temama budućih članaka - napišite ih u komentarima, rado ćemo vam odgovoriti.
izvor: www.habr.com