Aquest article és una continuació dedicada a les característiques de la configuració d'equips Xarxes Palo Alto . Aquí volem parlar de la configuració VPN de lloc a lloc IPSec sobre l'equip Xarxes Palo Alto i sobre una possible opció de configuració per connectar diversos proveïdors d'Internet.
Per a la demostració, s'utilitzarà un esquema estàndard de connexió de la seu central a la sucursal. Per tal de proporcionar una connexió a Internet tolerant a errors, la seu central utilitza la connexió simultània de dos proveïdors: ISP-1 i ISP-2. La branca només té una connexió amb un proveïdor, ISP-3. Es construeixen dos túnels entre els tallafocs PA-1 i PA-2. Els túnels estan en funcionament. En espera actiu, El túnel-1 està activat, el túnel-2 començarà a reenviar trànsit quan el túnel-1 falla. Tunnel-1 utilitza una connexió a ISP-1, Tunnel-2 utilitza una connexió a ISP-2. Totes les adreces IP es generen aleatòriament amb finalitats de demostració i no estan relacionades amb la realitat.
Per crear, s'utilitzarà una VPN de lloc a lloc IPsec - un conjunt de protocols per garantir la protecció de les dades transmeses a través del protocol IP. IPsec funcionarà utilitzant el protocol de seguretat ESP (Encapsulating Security Payload), que garantirà el xifratge de les dades transmeses.
В IPsec entra IKE (Internet Key Exchange) és un protocol encarregat de negociar SA (associacions de seguretat), paràmetres de seguretat que s'utilitzen per protegir les dades transmeses. Suport de tallafocs PAN IKEv1 и IKEv2.
В IKEv1 La connexió VPN es construeix en dues etapes: IKEv1 Fase 1 (túnel IKE) i IKEv1 Fase 2 (túnel IPSec), per tant, es creen dos túnels, un dels quals serveix per intercanviar informació de servei entre tallafocs, el segon, per transferir trànsit. EN IKEv1 Fase 1 Hi ha dos modes de funcionament: el mode principal i el mode agressiu. El mode agressiu utilitza menys missatges i és més ràpid, però no admet la protecció de la identitat d'iguals.
IKEv2 reemplaçat IKEv1, i comparat amb IKEv1 el seu principal avantatge són els requisits d'ample de banda més baixos i una negociació SA més ràpida. EN IKEv2 s'utilitzen menys missatges de sobrecàrrega (4 en total), s'admet el protocol EAP, MOBIKE i s'afegeix un mecanisme per comprovar la disponibilitat del parell amb el qual es crea el túnel - comprovació de la vivacitat, que substitueix a Dead Peer Detection a IKEv1. Si el control falla, aleshores IKEv2 pot restablir el túnel i després restaurar-lo automàticament a la primera oportunitat. Podeu obtenir més informació sobre les diferències .
Si el túnel es construeix entre tallafocs de diferents fabricants, pot haver-hi errors en la implementació IKEv2, i per a la compatibilitat amb aquests equips es pot utilitzar IKEv1. En altres casos és millor utilitzar IKEv2.
Passos de configuració:
• Configuració de dos ISP en mode ActiveStandby
Hi ha diverses maneres d'implementar aquesta funció. Un d'ells és utilitzar el mecanisme Seguiment de camins, que va estar disponible a partir de la versió PAN-OS 8.0.0. Aquest exemple utilitza la versió 8.0.16. Aquesta característica és similar a l'IP SLA dels encaminadors Cisco. El paràmetre de ruta per defecte estàtica està configurat per enviar paquets de ping a una adreça IP específica des d'una adreça d'origen específica. En aquest cas, la interfície ethernet1/1 fa ping a la passarel·la predeterminada una vegada per segon. Si no hi ha resposta per a tres pings seguits, la ruta es considera morta i s'elimina de la taula d'encaminament. La mateixa ruta es configura cap al segon proveïdor d'Internet, però amb una mètrica més gran (és una còpia de seguretat). Un cop eliminada la primera ruta de la taula, el tallafoc començarà a enviar trànsit al llarg de la segona ruta − Fail Over. Quan el primer proveïdor comenci a respondre als pings, la seva ruta tornarà a la taula i substituirà el segon a causa d'una mètrica millor − Fail Back. Procés Fail Over triga uns segons en funció dels intervals configurats, però en qualsevol cas, el procés no és instantani i durant aquest temps es perd trànsit. Fail Back passa sense pèrdua de trànsit. Hi ha una oportunitat de fer Fail Over més ràpid amb B.F.D.si el vostre ISP us permet fer-ho. B.F.D. recolzat pel model Sèrie PA-3000 и VM-100. Com a adreça de ping, és millor especificar no la passarel·la del proveïdor, sinó una adreça d'Internet pública i sempre disponible.
• Creació d'una interfície de túnel
El trànsit dins del túnel es transmet mitjançant interfícies virtuals especials. Cadascun d'ells ha d'estar configurat amb una adreça IP de la xarxa de trànsit. En aquest exemple, Tunnel-1 utilitzarà la subxarxa 172.16.1.0/30 i Tunnel-2 utilitzarà la subxarxa 172.16.2.0/30.
La interfície del túnel es crea a la secció Xarxa -> Interfícies -> Túnel. Heu d'especificar l'encaminador virtual i la zona de seguretat, així com una adreça IP de la xarxa de transport corresponent. El número de la interfície pot ser qualsevol cosa.
A la secció Avançat pots especificar Perfil de gestióque permetrà fer ping a la interfície donada, això pot ser útil per provar.
• Configuració del perfil IKE
Perfil IKE responsable de la primera etapa de creació d'una connexió VPN, aquí s'especifiquen els paràmetres del túnel IKE Fase 1. El perfil es crea a la secció Xarxa -> Perfils de xarxa -> IKE Crypto. Heu d'especificar l'algoritme de xifratge, el hashing, el grup Diffie-Hellman i la vida útil de la clau. En general, com més complexos siguin els algorismes, pitjor serà el rendiment, s'han d'escollir en funció de requisits de seguretat específics. Tanmateix, es desaconsella molt utilitzar un grup Diffie-Hellman menor de 14 anys per protegir la informació sensible. Això es deu a una vulnerabilitat del protocol, que només es pot anivellar utilitzant una mida de mòdul de 2048 bits o superior, o algorismes de criptografia el·líptica que s'utilitzen en els grups 19, 20, 21, 24. Aquests algorismes tenen un millor rendiment en comparació amb la criptografia tradicional. . . I .
• Configuració del perfil IPSec
El segon pas per crear una connexió VPN és un túnel IPSec. Els paràmetres SA per a això es configuren a Xarxa -> Perfils de xarxa -> Perfil de criptografia IPSec. Aquí heu d'especificar el protocol IPSec - AH o ESP, així com els paràmetres SA - algorismes de hashing, xifratge, grups Diffie-Hellman i durada de la clau. És possible que la configuració de SA del perfil IKE Crypto i del perfil IPSec Crypto no coincideixin.
• Configuració de la passarel·la IKE
IKE Gateway és un objecte que indica l'encaminador o el tallafoc amb el qual s'està construint el túnel VPN. Per a cada túnel, heu de crear el vostre IKE Gateway. En aquest cas, es creen dos túnels, un a través de cada ISP. S'especifiquen la interfície de sortida corresponent i la seva adreça IP, l'adreça IP del parell i la clau compartida. Com a alternativa a una clau prèviament compartida, podeu utilitzar certificats.
Aquí és on es va crear anteriorment Perfil IKE Crypto. Paràmetres del segon objecte IKE Gateway són els mateixos excepte les adreces IP. Si el tallafoc de Palo Alto Networks es troba darrere d'un encaminador NAT, haureu d'habilitar el mecanisme Travessia NAT.
• Configuració del túnel IPSec
Túnel IPSec - Aquest és un objecte que especifica els paràmetres del túnel IPSec, com el seu nom indica. Aquí heu d'especificar la interfície del túnel i els objectes creats prèviament IKE Gateway, Perfil de criptografia IPSec. Per garantir el canvi automàtic de l'encaminament al túnel de còpia de seguretat, cal que l'activeu Monitor del túnel. Aquest és un mecanisme que comprova si un peer està viu mitjançant el trànsit ICMP. Com a adreça de destinació, heu d'especificar l'adreça IP de la interfície del túnel de l'igual amb el qual s'està construint el túnel. El perfil especifica temporitzadors i acció en cas de pèrdua de connexió. Espereu la recuperació - espereu fins que es restableixi la connexió, Fail Over — enviar trànsit per una ruta diferent, si n'hi ha. La configuració del segon túnel és completament similar, s'indiquen la interfície del segon túnel i IKE Gateway.
• Configuració de l'encaminament
Aquest exemple utilitza l'encaminament estàtic. Al tallafoc PA-1, a més de les dues rutes predeterminades, cal que especifiqueu dues rutes a la subxarxa 10.10.10.0/24 a la branca. Una ruta utilitza el túnel-1, l'altra utilitza el túnel-2. El recorregut pel Túnel-1 és el principal perquè té una mètrica inferior. Mecanisme Seguiment de camins no utilitzat per a aquestes rutes. Responsable del canvi Monitor del túnel.
Les mateixes rutes per a la subxarxa 192.168.30.0/24 s'han de configurar a PA-2.
• Configuració de regles de xarxa
Hi ha tres regles perquè el túnel funcioni:
- Per treballar Monitor de ruta permet ICMP a interfícies externes.
- Per IPsec permetre les aplicacions ike и ipsec en interfícies externes.
- Permet el trànsit entre subxarxes internes i interfícies de túnels.
Conclusió
En aquest article es parla de l'opció de configurar una connexió a Internet tolerant a errors i VPN de lloc a lloc. Esperem que la informació hagi estat útil i que el lector es faci una idea de les tecnologies utilitzades Xarxes Palo Alto. Si teniu preguntes sobre la configuració i desitjos sobre els temes dels futurs articles, escriviu-les als comentaris, estarem encantats de respondre.
Font: www.habr.com