Tento článek je pokračováním věnované funkcím nastavení zařízení Palo Alto Networks . Zde chceme mluvit o nastavení IPSec Site-to-Site VPN na zařízení Palo Alto Networks a o možné možnosti konfigurace připojení několika poskytovatelů internetu.
Pro demonstraci bude použito standardní schéma propojení centrály s pobočkou. Pro zajištění bezchybného připojení k internetu používá centrála současné připojení dvou poskytovatelů: ISP-1 a ISP-2. Pobočka má připojení pouze k jednomu poskytovateli, ISP-3. Mezi firewally PA-1 a PA-2 jsou vybudovány dva tunely. Tunely jsou v provozu. Aktivní pohotovostní režim, Tunnel-1 je aktivní, Tunnel-2 začne přesměrovávat provoz, když selže Tunnel-1. Tunnel-1 používá připojení k ISP-1, Tunnel-2 používá připojení k ISP-2. Všechny IP adresy jsou náhodně generovány pro demonstrační účely a nesouvisí s realitou.
K vytvoření Site-to-Site VPN bude použita IPSec - soubor protokolů pro zajištění ochrany dat přenášených přes IP protokol. IPSec bude fungovat pomocí bezpečnostního protokolu ESP (Encapsulating Security Payload), který zajistí šifrování přenášených dat.
В IPSec vstupuje IKE (Internet Key Exchange) je protokol zodpovědný za vyjednávání SA (security Associations), bezpečnostních parametrů, které se používají k ochraně přenášených dat. Podpora firewallů PAN IKEv1 и IKEv2.
В IKEv1 Připojení VPN probíhá ve dvou fázích: IKEv1 Fáze 1 (tunel IKE) a IKEv1 Fáze 2 (IPSec tunel), tak jsou vytvořeny dva tunely, z nichž jeden slouží k výměně servisních informací mezi firewally, druhý - k přenosu provozu. V IKEv1 Fáze 1 Existují dva režimy provozu – hlavní režim a agresivní režim. Agresivní režim využívá méně zpráv a je rychlejší, ale nepodporuje Peer Identity Protection.
IKEv2 přišel vyměnit IKEv1a ve srovnání s IKEv1 jeho hlavní výhodou jsou nižší nároky na šířku pásma a rychlejší vyjednávání SA. V IKEv2 používá se méně režijních zpráv (celkem 4), je podporován protokol EAP, MOBIKE a přidán mechanismus pro kontrolu dostupnosti peer, se kterým je tunel vytvořen - kontrola živosti, který nahrazuje Dead Peer Detection v IKEv1. Pokud se kontrola nezdaří, pak IKEv2 může resetovat tunel a poté se při první příležitosti automaticky obnovit. Můžete se dozvědět více o rozdílech .
Pokud je tunel postaven mezi firewally od různých výrobců, pak mohou být v implementaci chyby IKEv2, a pro kompatibilitu s takovým zařízením je možné použít IKEv1. V ostatních případech je lepší použít IKEv2.
Kroky nastavení:
• Nastavení dvou ISP v režimu ActiveStandby
Existuje několik způsobů, jak tuto funkci implementovat. Jedním z nich je použití mechanismu Sledování cesty, která byla k dispozici od verze PAN-OS 8.0.0. Tento příklad používá verzi 8.0.16. Tato funkce je podobná IP SLA v routerech Cisco. Parametr statické výchozí trasy je nakonfigurován tak, aby odesílal pakety ping na konkrétní IP adresu z konkrétní zdrojové adresy. V tomto případě rozhraní ethernet1/1 pingne výchozí bránu jednou za sekundu. Pokud se neobjeví žádná odezva na tři pingy v řadě, pak je cesta považována za mrtvou a odstraněna ze směrovací tabulky. Stejná trasa je nakonfigurována směrem k druhému poskytovateli internetu, ale s větší metrikou (jde o zálohu). Jakmile je první cesta odstraněna z tabulky, firewall začne posílat provoz po druhé trase − Fail Over. Když první poskytovatel začne reagovat na ping, jeho trasa se vrátí do tabulky a nahradí druhého z důvodu lepší metriky − Fail Back. Proces Fail Over trvá několik sekund v závislosti na nakonfigurovaných intervalech, ale v žádném případě proces není okamžitý a během této doby se ztrácí provoz. Fail Back projede bez ztráty provozu. Je tu příležitost to udělat Fail Over rychleji s BFDpokud vám to váš ISP dovolí. BFD podporováno z modelu Řada PA-3000 и VM-100. Jako ping adresu je lepší uvést nikoli bránu poskytovatele, ale veřejnou, vždy dostupnou internetovou adresu.
• Vytvoření tunelového rozhraní
Provoz uvnitř tunelu je přenášen přes speciální virtuální rozhraní. Každý z nich musí být nakonfigurován s IP adresou z tranzitní sítě. V tomto příkladu bude Tunnel-1 používat podsíť 172.16.1.0/30 a Tunnel-2 bude používat podsíť 172.16.2.0/30.
V sekci je vytvořeno rozhraní tunelu Síť -> Rozhraní -> Tunel. Musíte zadat virtuální směrovač a zónu zabezpečení a také adresu IP z odpovídající přenosové sítě. Číslo rozhraní může být jakékoli.
V sekci pokročilý můžete specifikovat Profil managementukterý umožní ping na dané rozhraní, to se může hodit pro testování.
• Konfigurace profilu IKE
Profil IKE zodpovědný za první fázi vytvoření VPN připojení, zde jsou specifikovány parametry tunelu IKE Fáze 1. Profil se vytváří v sekci Síť -> Profily sítě -> IKE Crypto. Musíte zadat šifrovací algoritmus, hash, skupinu Diffie-Hellman a životnost klíče. Obecně platí, že čím složitější algoritmy, tím horší výkon, měly by být vybírány na základě konkrétních bezpečnostních požadavků. Důrazně se však nedoporučuje používat k ochraně citlivých informací skupinu Diffie-Hellman mladší 14 let. To je způsobeno zranitelností protokolu, kterou lze vyrovnat pouze použitím velikosti modulu 2048 bitů nebo více, nebo algoritmů eliptické kryptografie, které se používají ve skupinách 19, 20, 21, 24. Tyto algoritmy mají lepší výkon ve srovnání s tradiční kryptografií. . . A .
• Nastavení profilu IPSec
Druhým krokem při vytváření připojení VPN je tunel IPSec. Parametry SA pro něj jsou konfigurovány v Network -> Network Profiles -> IPSec Crypto Profile. Zde musíte zadat protokol IPSec - AH nebo ESP, stejně jako parametry SA - hashovací algoritmy, šifrování, skupiny Diffie-Hellman a životnost klíče. Nastavení SA v IKE Crypto Profile a IPSec Crypto Profile se nemusí shodovat.
• Konfigurace brány IKE
Brána IKE je objekt označující směrovač nebo firewall, pomocí kterého se vytváří tunel VPN. Pro každý tunel si musíte vytvořit svůj vlastní Brána IKE. V tomto případě jsou vytvořeny dva tunely, jeden přes každého ISP. Je specifikováno odpovídající odchozí rozhraní a jeho IP adresa, IP adresa partnera a sdílený klíč. Jako alternativu k předem sdílenému klíči můžete použít certifikáty.
To je místo, kde dříve vytvořeno Krypto profil IKE. Parametry druhého objektu Brána IKE jsou stejné kromě IP adres. Pokud je firewall Palo Alto Networks umístěn za routerem NAT, musíte mechanismus povolit NAT Traversal.
• Nastavení IPSec tunelu
IPSec tunel je objekt, který specifikuje parametry IPSec tunelu, jak název napovídá. Zde je třeba zadat rozhraní tunelu a dříve vytvořené objekty Brána IKE, Krypto profil IPSec. Chcete-li zajistit automatické přepínání směrování do záložního tunelu, musíte povolit Monitor tunelu. Jedná se o mechanismus, který kontroluje, zda je peer naživu pomocí provozu ICMP. Jako cílovou adresu je třeba zadat IP adresu rozhraní tunelu partnera, se kterým je tunel budován. Profil specifikuje časovače a akci při ztrátě spojení. Počkejte na zotavení - počkejte, dokud se spojení neobnoví, Fail Over — poslat provoz po jiné trase, pokud existuje. Nastavení druhého tunelu je zcela podobné, je indikováno rozhraní druhého tunelu a IKE Gateway.
• Nastavení směrování
Tento příklad používá statické směrování. Na firewallu PA-1 musíte kromě dvou výchozích cest zadat dvě cesty do podsítě 10.10.10.0/24 ve větvi. Jedna trasa používá Tunnel-1, druhá používá Tunnel-2. Trasa přes Tunnel-1 je hlavní, protože má nižší metriku. Mechanismus Sledování cesty se pro tyto trasy nepoužívá. Zodpovědný za přepínání Monitor tunelu.
Na PA-192.168.30.0 musí být nakonfigurovány stejné trasy pro podsíť 24/2.
• Nastavení síťových pravidel
Aby tunel fungoval, existují tři pravidla:
- Pro práci Monitor cesty povolit ICMP na externích rozhraních.
- pro IPSec povolit aplikace ike и ipsec na externích rozhraních.
- Povolit provoz mezi vnitřními podsítěmi a rozhraními tunelů.
Závěr
Tento článek pojednává o možnosti nastavení připojení k internetu odolnému proti chybám a VPN typu Site-to-Site. Doufáme, že informace byly užitečné a čtenář si udělal představu o použitých technologiích Palo Alto Networks. Pokud máte dotazy k nastavení a přání k tématům budoucích článků - napište je do komentářů, rádi odpovíme.
Zdroj: www.habr.com