Questu articulu hè una continuazione dedicatu à e caratteristiche di a stallazione di l'equipaggiu Palo Alto Networks . Quì ci vole à parlà di a stallazione VPN IPSec Site-to-Site nantu à l'equipaggiu Palo Alto Networks è nantu à una pussibuli opzione di cunfigurazione per cunnette parechji fornituri di Internet.
Per a dimustrazione, serà utilizatu un schema standard per cunnette a sede centrale à a filiera. Per furnisce una cunnessione Internet tolerante à i difetti, a sede usa a cunnessione simultanea di dui fornituri: ISP-1 è ISP-2. A filiera hà una cunnessione cù un solu fornitore, ISP-3. Dui tunnel sò custruiti trà i firewall PA-1 è PA-2. I tunnel sò in opera. Standby attivu, Tunnel-1 hè up, Tunnel-2 hà da cumincià à trasmette u trafficu quandu Tunnel-1 falla. Tunnel-1 usa una cunnessione à ISP-1, Tunnel-2 usa una cunnessione à ISP-2. Tutti l'indirizzi IP sò generati aleatoriamente per scopi di dimostrazione è ùn sò micca ligati à a realità.
Per custruisce una VPN Site-to-Site serà utilizata IPsec - un inseme di protokolli per assicurà a prutezzione di e dati trasmessi nantu à u protocolu IP. IPsec travaglià cù u protocolu di sicurità ESP (Encapsulating Security Payload), chì assicurarà a criptografia di e dati trasmessi.
В IPsec entra Ike (Internet Key Exchange) hè un protokollu rispunsevuli di negoziazione SA (associazioni di sicurità), paràmetri di sicurità chì sò usati per prutege e dati trasmessi. Supportu di firewall PAN IKEv1 и IKEv2.
В IKEv1 A cunnessione VPN hè custruita in duie tappe: IKEv1 Fase 1 (tunnel IKE) è IKEv1 Fase 2 (Tunnel IPSec), cusì, dui tunnel sò creati, unu di quali serve per scambià infurmazione di serviziu trà firewalls, u sicondu - per trasfirià u trafficu. IN IKEv1 Fase 1 Ci sò dui modi di funziunamentu - u modu principale è u modu aggressivu. U modu aggressivu usa menu messagi è hè più veloce, ma ùn sustene micca Peer Identity Protection.
IKEv2 rimpiazzatu IKEv1, è paragunatu à IKEv1 u so vantaghju principali hè esigenze di larghezza di banda più bassa è negoziazione SA più veloce. IN IKEv2 sò usati menu messagi sopra (4 in totale), u protokollu EAP, MOBIKE hè supportatu, è un mecanismu per verificà a dispunibilità di u peer cù quale hè creatu u tunnel hè aghjuntu - verificazione di vivacità, chì rimpiazza Dead Peer Detection in IKEv1. Se u cuntrollu falla, allora IKEv2 pò resettà u tunelu è poi risturà automaticamente à a prima opportunità. Pudete amparà più nantu à e differenze .
Se u tunnel hè custruitu trà firewalls di diversi fabricatori, allora ci ponu esse bugs in l'implementazione IKEv2, è per a cumpatibilità cù tali equipaghji hè pussibule aduprà IKEv1. In altri casi, hè megliu aduprà IKEv2.
Passi di stallazione:
• Stallà dui ISP in modu ActiveStandby
Ci hè parechje manere di implementà sta funzione. Unu di elli hè di utilizà u mecanismu Monitoraghju di a strada, chì hè diventatu dispunibule partendu da a versione PAN-OS 8.0.0. Questu esempiu usa a versione 8.0.16. Questa funzione hè simile à IP SLA in i router Cisco. U paràmetru di rotta static predeterminatu hè cunfiguratu per mandà pacchetti ping à un indirizzu IP specificu da un indirizzu fonte specificu. In questu casu, l'interfaccia ethernet1/1 ping u gateway predeterminatu una volta per seconda. Se ùn ci hè micca risposta per trè ping in una fila, a strada hè cunsiderata morta è sguassata da a tavola di routing. A listessa strada hè cunfigurata versu u sicondu fornitore di Internet, ma cù una metrica più grande (hè una copia di salvezza). Una volta chì a prima strada hè sguassata da a tavula, u firewall hà da cumincià à mandà u trafficu longu a seconda strada - Fail Over. Quandu u primu fornitore cumencia à risponde à i pings, a so strada torna à a tavula è rimpiazzà u sicondu per via di una metrica megliu - Fail Back. Prucessu Fail Over pigghia uni pochi di seconde secondu l'intervalli cunfigurati, ma in ogni casu, u prucessu ùn hè micca istantaneu, è u trafficu hè persu durante stu tempu. Fail Back passa senza perdita di trafficu. Ci hè l'uppurtunità di fà Fail Over più veloce cun B.F.D.se u vostru ISP vi permette di fà. B.F.D. supportatu da u mudellu Serie PA-3000 и VM-100. Cum'è un indirizzu ping, hè megliu specificà micca a porta di u fornitore, ma un indirizzu Internet publicu, sempre dispunibule.
• Crià una interfaccia tunnel
U trafficu in u tunnel hè trasmessu per interfacce virtuali speciali. Ognunu di elli deve esse cunfiguratu cù un indirizzu IP da a reta di transitu. In questu esempiu, Tunnel-1 utilizerà a subnet 172.16.1.0/30, è Tunnel-2 utilizerà a subnet 172.16.2.0/30.
L'interfaccia di u tunnel hè creata in a rùbbrica Rete -> Interfacce -> Tunnel. Avete da specificà u router virtuale è a zona di sicurità, è ancu un indirizzu IP da a reta di trasportu currispundente. U numeru di l'interfaccia pò esse qualcosa.
rùbbrica Advanced pudete specificà Profilu di gestionechì permetterà ping à l'interfaccia data, questu pò esse utile per pruvà.
• Configurazione di u Profilu IKE
Profilu IKE rispunsevuli di a prima tappa di creà una cunnessione VPN, i paràmetri di u tunnel sò specificati quì IKE Fase 1. U prufilu hè creatu in a rùbbrica Rete -> Profili di Rete -> IKE Crypto. Avete da specificà l'algoritmu di criptografia, l'hashing, u gruppu Diffie-Hellman è a vita chjave. In generale, u più cumplessu l'algoritmi, u peghju u rendiment, deve esse scelti basatu annantu à esigenze di sicurezza specifiche. Tuttavia, hè fortemente scuraghjatu di utilizà un gruppu Diffie-Hellman sottu 14 per prutege l'infurmazioni sensibili. Questu hè duvuta à una vulnerabilità di protokollu, chì pò esse livellata solu usendu una dimensione di modulu di 2048 bits o più, o algoritmi di criptografia ellittica chì sò usati in gruppi 19, 20, 21, 24. Questi algoritmi anu un rendimentu megliu cumparatu cù a criptografia tradiziunale. . . E .
• Setting Profile IPSec
U sicondu passu in a creazione di una cunnessione VPN hè un tunnel IPSec. I paràmetri SA per questu sò cunfigurati in Rete -> Profili di Rete -> IPSec Crypto Profile. Quì avete bisognu di specificà u protocolu IPSec - AH o ESP, è ancu i paràmetri SA - algoritmi di hashing, criptografia, gruppi Diffie-Hellman è vita chjave. I paràmetri SA in u Profilu Crypto IKE è u Profilu Crypto IPSec ùn ponu micca currispondenu.
• Configurazione di u Gateway IKE
IKE Gateway hè un ughjettu chì denota u router o firewall cù quale hè custruitu u tunnel VPN. Per ogni tunnel, avete bisognu di creà u vostru propiu IKE Gateway. In questu casu, sò creati dui tunnel, unu per ogni ISP. L'interfaccia in uscita currispondente è u so indirizzu IP, l'indirizzu IP di u peer, è a chjave sparta sò specificati. Comu alternativa à una chjave pre-spartita, pudete aduprà certificati.
Questu hè induve hè creatu prima IKE Crypto Profile. Paràmetri di u sicondu ughjettu IKE Gateway sò listessi eccettu per l'indirizzi IP. Se u firewall di Palo Alto Networks hè situatu daretu à un router NAT, allora avete bisognu di attivà u mecanismu NAT Traversal.
• Stallà IPSec Tunnel
Tunnel IPSec - Questu hè un ughjettu chì specifica i paràmetri di u tunnel IPSec, cum'è u nome implica. Quì avete bisognu di specificà l'interfaccia di u tunnel è l'oggetti creati prima IKE Gateway, IPSec Crypto Profile. Per assicurà a commutazione automatica di u routing à u tunnel di salvezza, avete bisognu di attivà Monitor Tunnel. Questu hè un mecanismu chì verifica se un peer hè vivu cù u trafficu ICMP. Cum'è l'indirizzu di destinazione, avete bisognu di specificà l'indirizzu IP di l'interfaccia di u tunnel di u peer cù quale u tunnel hè custruitu. U prufilu specifica timers è azzione nantu à a perdita di cunnessione. Aspetta Recuperazione - aspittà finu à chì a cunnessione hè restaurata, Fail Over - mandate u trafficu per una strada diversa, se ne esiste. A stallazione di u sicondu tunnellu hè cumplettamente simili, a seconda interfaccia di u tunnel è l'IKE Gateway sò indicati.
• Setup Routing
Questu esempiu usa routing staticu. In u firewall PA-1, in più di e duie rotte predeterminate, avete bisognu di specificà duie rotte à a subnet 10.10.10.0/24 in u ramu. Una strada usa Tunnel-1, l'altra usa Tunnel-2. A strada attraversu Tunnel-1 hè a principale perchè hà una metrica più bassa. Meccanismu Monitoraghju di a strada micca usatu per sti rotte. Responsabile di cambià Monitor Tunnel.
I stessi rotte per a subnet 192.168.30.0/24 deve esse cunfigurati in PA-2.
• Stabbilimentu di e regule di a reta
Ci hè trè regule per u travagliu di u tunnel:
- A travaglià Monitor di Path permette ICMP nantu à interfacce esterne.
- di IPsec permette l'applicazioni ike и ipsec nantu à l'interfaccia esterna.
- Permette u trafficu trà subnets interni è interfacce di tunnel.
cunchiusioni
Questu articulu discute l'opzione di stabilisce una cunnessione Internet tolerante à i difetti è Site à Site VPN. Speremu chì l'infurmazione hè stata utile, è u lettore hà avutu una idea di e tecnulugia utilizati Palo Alto Networks. Sì avete dumande nantu à a creazione è i desideri nantu à i temi di l'articuli futuri - scriviteli in i cumenti, saremu felici di risponde.
Source: www.habr.com