Denne artikel er en fortsættelse dedikeret til funktionerne ved opsætning af udstyr Palo Alto Networks . Her vil vi tale om indstilling IPSec Site-to-Site VPN på udstyr Palo Alto Networks og om en mulig konfigurationsmulighed for tilslutning af flere internetudbydere.
Til demonstrationen vil der blive anvendt en standardordning for tilslutning af hovedkontoret til filialen. For at give en fejltolerant internetforbindelse bruger hovedkontoret samtidig forbindelse fra to udbydere: ISP-1 og ISP-2. Filialen har kun forbindelse til én udbyder, ISP-3. To tunneler er bygget mellem firewalls PA-1 og PA-2. Tunnelerne er i drift. Aktiv-standby, Tunnel-1 er oppe, Tunnel-2 vil begynde at videresende trafik, når Tunnel-1 fejler. Tunnel-1 bruger en forbindelse til ISP-1, Tunnel-2 bruger en forbindelse til ISP-2. Alle IP-adresser er tilfældigt genereret til demonstrationsformål og er ikke relateret til virkeligheden.
Til at bygge Site-to-Site VPN vil blive brugt IPSec - et sæt protokoller til at sikre beskyttelsen af data transmitteret over IP-protokollen. IPSec vil fungere ved hjælp af sikkerhedsprotokol ESP (Encapsulating Security Payload), som vil sikre kryptering af transmitterede data.
В IPSec omfatter IKE (Internet Key Exchange) er en protokol, der er ansvarlig for at forhandle SA (sikkerhedsforeninger), sikkerhedsparametre, der bruges til at beskytte overførte data. PAN firewalls understøtter IKEv1 и IKEv2.
В IKEv1 VPN-forbindelse er bygget i to trin: IKEv1 fase 1 (IKE-tunnel) og IKEv1 fase 2 (IPSec-tunnel), således oprettes to tunneler, hvoraf den ene tjener til at udveksle serviceinformation mellem firewalls, den anden - til at overføre trafik. I IKEv1 fase 1 Der er to driftsformer - hovedtilstand og aggressiv tilstand. Aggressiv tilstand bruger færre beskeder og er hurtigere, men understøtter ikke Peer Identity Protection.
IKEv2 kom til at erstatte IKEv1, og sammenlignet med IKEv1 dens største fordel er lavere båndbreddekrav og hurtigere SA-forhandling. I IKEv2 færre overhead-meddelelser bruges (4 i alt), EAP, MOBIKE-protokollen er understøttet, og en mekanisme til at kontrollere tilgængeligheden af den peer, som tunnelen er oprettet med, er tilføjet - livlighedstjek, som erstatter Dead Peer Detection i IKEv1. Hvis kontrollen mislykkes, så IKEv2 kan nulstille tunnelen og derefter automatisk gendanne ved første lejlighed. Du kan lære mere om forskellene .
Hvis tunnelen er bygget mellem firewalls fra forskellige producenter, så kan der være fejl i implementeringen IKEv2, og for kompatibilitet med sådant udstyr er det muligt at bruge IKEv1. I andre tilfælde er det bedre at bruge IKEv2.
Opsætningstrin:
• Opsætning af to internetudbydere i ActiveStandby-tilstand
Der er flere måder at implementere denne funktion på. En af dem er at bruge mekanismen Stiovervågning, som blev tilgængelig fra versionen PAN-OS 8.0.0. Dette eksempel bruger version 8.0.16. Denne funktion ligner IP SLA i Cisco-routere. Den statiske standardruteparameter er konfigureret til at sende ping-pakker til en specifik IP-adresse fra en specifik kildeadresse. I dette tilfælde pinger ethernet1/1-grænsefladen standardgatewayen én gang i sekundet. Hvis der ikke er noget svar for tre ping i træk, betragtes ruten som død og fjernet fra rutetabellen. Den samme rute er konfigureret mod den anden internetudbyder, men med en større metrisk (det er en backup). Når den første rute er fjernet fra tabellen, vil firewallen begynde at sende trafik langs den anden rute − Mislykkedes. Når den første udbyder begynder at svare på ping, vil dens rute vende tilbage til tabellen og erstatte den anden på grund af en bedre metrisk − Fejl tilbage. Behandle Mislykkedes tager et par sekunder afhængigt af de konfigurerede intervaller, men under alle omstændigheder er processen ikke øjeblikkelig, og trafik går tabt i løbet af denne tid. Fejl tilbage passerer uden tab af trafik. Der er mulighed for at gøre Mislykkedes hurtigere med BFDhvis din internetudbyder giver dig lov til det. BFD understøttet fra model PA-3000-serien и VM-100. Som en adresse til ping er det bedre ikke at angive udbyderens gateway, men en offentlig, altid tilgængelig internetadresse.
• Oprettelse af en tunnelgrænseflade
Trafikken inde i tunnelen transmitteres gennem specielle virtuelle grænseflader. Hver af dem skal konfigureres med en IP-adresse fra transitnetværket. I dette eksempel vil Tunnel-1 bruge undernet 172.16.1.0/30, og Tunnel-2 vil bruge undernet 172.16.2.0/30.
Tunnelgrænsefladen oprettes i afsnittet Netværk -> Grænseflader -> Tunnel. Du skal angive den virtuelle router og sikkerhedszone samt en IP-adresse fra det tilsvarende transportnetværk. Grænsefladenummeret kan være hvad som helst.
I afsnit Avanceret du kan angive Ledelsesprofilsom vil tillade ping til den givne grænseflade, kan dette være nyttigt til test.
• Konfiguration af IKE-profilen
IKE profil ansvarlig for den første fase af oprettelsen af en VPN-forbindelse, tunnelparametre er specificeret her IKE fase 1. Profilen oprettes i afsnittet Netværk -> Netværksprofiler -> IKE Crypto. Du skal angive krypteringsalgoritmen, hashing, Diffie-Hellman-gruppen og nøglens levetid. Generelt gælder det, at jo mere komplekse algoritmerne er, jo dårligere ydeevnen er de, de bør vælges ud fra specifikke sikkerhedskrav. Det frarådes dog kraftigt at bruge en Diffie-Hellman-gruppe under 14 til at beskytte følsomme oplysninger. Dette skyldes en protokolsårbarhed, som kun kan udjævnes ved at bruge en modulstørrelse på 2048 bit eller mere, eller elliptiske kryptografialgoritmer, der bruges i gruppe 19, 20, 21, 24. Disse algoritmer har bedre ydeevne sammenlignet med traditionel kryptografi . . og .
• IPSec-profilindstilling
Det andet trin i at oprette en VPN-forbindelse er en IPSec-tunnel. SA-parametrene for det er konfigureret i Netværk -> Netværksprofiler -> IPSec Krypto-profil. Her skal du angive IPSec-protokollen - AH eller ESP, samt parametrene SA - hashing-algoritmer, kryptering, Diffie-Hellman-grupper og nøglelevetid. SA-indstillingerne i IKE Crypto Profile og IPSec Crypto Profile matcher muligvis ikke.
• Konfiguration af IKE Gateway
IKE Gateway er et objekt, der angiver den router eller firewall, som VPN-tunnelen bygges med. For hver tunnel skal du oprette din egen IKE Gateway. I dette tilfælde oprettes to tunneler, en gennem hver internetudbyder. Den tilsvarende udgående grænseflade og dens ip-adresse, peerens ip-adresse og den delte nøgle er angivet. Som et alternativ til en foruddelt nøgle kan du bruge certifikater.
Det er her den tidligere oprettede IKE Krypto-profil. Parametre for det andet objekt IKE Gateway er de samme bortset fra IP-adresserne. Hvis Palo Alto Networks firewall er placeret bag en NAT-router, skal du aktivere mekanismen NAT Traversal.
• Opsætning af IPSec Tunnel
IPSec-tunnel er et objekt, der specificerer IPSec-parametrene for tunnelen, som navnet antyder. Her skal du angive tunnelgrænsefladen og tidligere oprettede objekter IKE Gateway, IPSec Krypto-profil. For at sikre automatisk skift af routing til backup-tunnelen skal du aktivere Tunnelmonitor. Dette er en mekanisme, der kontrollerer, om en peer er i live ved hjælp af ICMP-trafik. Som destinationsadresse skal du angive IP-adressen for tunnelgrænsefladen for den peer, som tunnelen bygges med. Profilen angiver timere og handling ved tab af forbindelse. Vent Gendannelse - vent indtil forbindelsen er genoprettet, Mislykkes — send trafik ad en anden rute, hvis nogen. Opsætningen af den anden tunnel er fuldstændig ens, den anden tunnelgrænseflade og IKE Gateway er angivet.
• Opsætning af rute
Dette eksempel bruger statisk routing. På PA-1-firewall'en skal du ud over de to standardruter angive to ruter til 10.10.10.0/24-undernettet i grenen. Den ene rute bruger Tunnel-1, den anden bruger Tunnel-2. Ruten gennem Tunnel-1 er den vigtigste, fordi den har en lavere metrisk. Mekanisme Stiovervågning ikke brugt til disse ruter. Ansvarlig for skift Tunnelmonitor.
De samme ruter for 192.168.30.0/24-undernettet skal konfigureres på PA-2.
• Opsætning af netværksregler
Der er tre regler for, at tunnelen fungerer:
- Til arbejde Stimonitor tillade ICMP på eksterne grænseflader.
- for IPSec tillade apps ike и ipsec på eksterne grænseflader.
- Tillad trafik mellem interne undernet og tunnelgrænseflader.
Konklusion
Denne artikel diskuterer muligheden for at konfigurere en fejltolerant internetforbindelse og Site to Site VPN. Vi håber, at informationen var nyttig, og at læseren fik en idé om de teknologier, der blev brugt i Palo Alto Networks. Hvis du har spørgsmål om opsætning og ønsker om emnerne for fremtidige artikler - skriv dem i kommentarerne, vi svarer gerne.
Kilde: www.habr.com