Dieser Artikel ist eine Fortsetzung widmet sich den Merkmalen der Einrichtung von Geräten Palo Alto Networks . Hier wollen wir über das Setting sprechen IPSec Site-to-Site-VPN auf Ausrüstung Palo Alto Networks und über eine mögliche Konfigurationsmöglichkeit zur Anbindung mehrerer Internetprovider.
Für die Demonstration wird ein Standardschema zur Anbindung der Zentrale an die Filiale verwendet. Um eine fehlertolerante Internetanbindung bereitzustellen, nutzt die Zentrale die gleichzeitige Anbindung zweier Anbieter: ISP-1 und ISP-2. Die Filiale verfügt über eine Verbindung zu nur einem Anbieter, ISP-3. Zwischen den Firewalls PA-1 und PA-2 werden zwei Tunnel gebaut. Die Tunnel sind in Betrieb. Aktiv-Standby, Tunnel-1 ist aktiv, Tunnel-2 beginnt mit der Weiterleitung des Datenverkehrs, wenn Tunnel-1 ausfällt. Tunnel-1 verwendet eine Verbindung zu ISP-1, Tunnel-2 verwendet eine Verbindung zu ISP-2. Alle IP-Adressen werden zu Demonstrationszwecken zufällig generiert und haben keinen Bezug zur Realität.
Zum Aufbau wird Site-to-Site-VPN verwendet IPSec - eine Reihe von Protokollen zur Gewährleistung des Schutzes der über das IP-Protokoll übertragenen Daten. IPSec funktioniert mit Sicherheitsprotokoll ESP (Encapsulated Security Payload), das die Verschlüsselung der übertragenen Daten gewährleistet.
В IPSec входит IKE (Internet Key Exchange) ist ein Protokoll, das für die Aushandlung von SA (Security Associations) verantwortlich ist, Sicherheitsparametern, die zum Schutz übertragener Daten verwendet werden. Unterstützung für PAN-Firewalls IKEv1 и IKEv2.
В IKEv1 Der Aufbau einer VPN-Verbindung erfolgt in zwei Schritten: IKEv1 Phase 1 (IKE-Tunnel) und IKEv1 Phase 2 (IPSec-Tunnel), somit werden zwei Tunnel erstellt, von denen einer zum Austausch von Dienstinformationen zwischen Firewalls dient, der zweite zur Übertragung des Datenverkehrs. IN IKEv1 Phase 1 Es gibt zwei Betriebsmodi: den Hauptmodus und den aggressiven Modus. Der aggressive Modus verwendet weniger Nachrichten und ist schneller, unterstützt jedoch keinen Peer Identity Protection.
IKEv2 kam als Ersatz IKEv1, und verglichen mit IKEv1 Sein Hauptvorteil ist ein geringerer Bandbreitenbedarf und eine schnellere SA-Aushandlung. IN IKEv2 Es werden weniger Overhead-Nachrichten verwendet (insgesamt 4), das EAP- und MOBIKE-Protokoll wird unterstützt und ein Mechanismus zur Überprüfung der Verfügbarkeit des Peers, mit dem der Tunnel erstellt wird, wird hinzugefügt - Lebendigkeitsprüfung, das die Dead Peer Detection in IKEv1 ersetzt. Wenn die Prüfung fehlschlägt, dann IKEv2 kann den Tunnel zurücksetzen und dann bei der ersten Gelegenheit automatisch wiederherstellen. Erfahren Sie mehr über die Unterschiede .
Wenn der Tunnel zwischen Firewalls unterschiedlicher Hersteller aufgebaut wird, kann es zu Fehlern in der Implementierung kommen IKEv2, und für die Kompatibilität mit solchen Geräten ist die Verwendung möglich IKEv1. In anderen Fällen ist es besser zu verwenden IKEv2.
Einrichtungsschritte:
• Einrichten von zwei ISPs im ActiveStandby-Modus
Es gibt mehrere Möglichkeiten, diese Funktion zu implementieren. Eine davon ist die Verwendung des Mechanismus Pfadüberwachung, die ab der Version verfügbar wurde PAN-OS 8.0.0. In diesem Beispiel wird Version 8.0.16 verwendet. Diese Funktion ähnelt IP SLA in Cisco-Routern. Der statische Standardroutenparameter ist so konfiguriert, dass Ping-Pakete von einer bestimmten Quelladresse an eine bestimmte IP-Adresse gesendet werden. In diesem Fall pingt die Ethernet1/1-Schnittstelle einmal pro Sekunde das Standard-Gateway an. Erfolgt nach drei aufeinanderfolgenden Pings keine Antwort, gilt die Route als tot und wird aus der Routing-Tabelle entfernt. Die gleiche Route wird zum zweiten Internetprovider konfiguriert, jedoch mit einer größeren Metrik (es handelt sich um ein Backup). Sobald die erste Route aus der Tabelle entfernt wird, beginnt die Firewall, Datenverkehr über die zweite Route zu senden Failover. Wenn der erste Anbieter beginnt, auf Pings zu reagieren, kehrt seine Route zur Tabelle zurück und ersetzt die zweite aufgrund einer besseren Metrik − Failback. Verfahren Failover Der Vorgang dauert abhängig von den konfigurierten Intervallen einige Sekunden, der Vorgang erfolgt jedoch nicht augenblicklich und der Datenverkehr geht während dieser Zeit verloren. Failback passiert ohne Verkehrsverlust. Es besteht die Möglichkeit dazu Failover schneller mit BFDsofern Ihr ISP dies zulässt. BFD Unterstützt vom Modell PA-3000-Serie и VM-100. Als Ping-Adresse ist es besser, nicht das Gateway des Anbieters anzugeben, sondern eine öffentliche, immer verfügbare Internetadresse.
• Erstellen einer Tunnelschnittstelle
Der Verkehr innerhalb des Tunnels wird über spezielle virtuelle Schnittstellen übertragen. Jeder von ihnen muss mit einer IP-Adresse aus dem Transitnetzwerk konfiguriert werden. In diesem Beispiel verwendet Tunnel-1 das Subnetz 172.16.1.0/30 und Tunnel-2 das Subnetz 172.16.2.0/30.
Im Abschnitt wird die Tunnelschnittstelle erstellt Netzwerk -> Schnittstellen -> Tunnel. Sie müssen den virtuellen Router und die Sicherheitszone sowie eine IP-Adresse aus dem entsprechenden Transportnetzwerk angeben. Die Schnittstellennummer kann beliebig sein.
Im Abschnitt Fortgeschrittener Sie können angeben Management-ProfilDadurch wird ein Ping an die angegebene Schnittstelle ermöglicht. Dies kann zum Testen nützlich sein.
• Konfigurieren des IKE-Profils
IKE-Profil Verantwortlich für den ersten Schritt beim Aufbau einer VPN-Verbindung, hier werden Tunnelparameter angegeben IKE-Phase 1. Das Profil wird im Abschnitt erstellt Netzwerk -> Netzwerkprofile -> IKE Crypto. Sie müssen den Verschlüsselungsalgorithmus, das Hashing, die Diffie-Hellman-Gruppe und die Schlüssellebensdauer angeben. Im Allgemeinen gilt: Je komplexer die Algorithmen, desto schlechter die Leistung. Sie sollten auf der Grundlage spezifischer Sicherheitsanforderungen ausgewählt werden. Es wird jedoch dringend davon abgeraten, eine Diffie-Hellman-Gruppe unter 14 Jahren zum Schutz sensibler Informationen zu verwenden. Dies ist auf eine Protokollschwachstelle zurückzuführen, die nur durch die Verwendung einer Modulgröße von 2048 Bit oder mehr oder durch elliptische Kryptografiealgorithmen, die in den Gruppen 19, 20, 21, 24 verwendet werden, ausgeglichen werden kann. Diese Algorithmen weisen im Vergleich zur herkömmlichen Kryptografie eine bessere Leistung auf . . und .
• IPSec-Profileinstellung
Der zweite Schritt beim Aufbau einer VPN-Verbindung ist ein IPSec-Tunnel. Die SA-Parameter dafür werden in konfiguriert Netzwerk -> Netzwerkprofile -> IPSec-Kryptoprofil. Hier müssen Sie das IPSec-Protokoll angeben - AH oder ESP, sowie die Parameter SA - Hashing-Algorithmen, Verschlüsselung, Diffie-Hellman-Gruppen und Schlüssellebensdauer. Die SA-Einstellungen im IKE-Kryptoprofil und im IPSec-Kryptoprofil stimmen möglicherweise nicht überein.
• Konfigurieren des IKE-Gateways
IKE-Gateway ist ein Objekt, das den Router oder die Firewall bezeichnet, mit dem der VPN-Tunnel aufgebaut wird. Für jeden Tunnel müssen Sie einen eigenen erstellen IKE-Gateway. In diesem Fall werden zwei Tunnel erstellt, einer durch jeden ISP. Die entsprechende ausgehende Schnittstelle und ihre IP-Adresse, die IP-Adresse des Peers und der gemeinsame Schlüssel werden angegeben. Alternativ zu einem Pre-Shared Key können Sie Zertifikate verwenden.
Hier ist das zuvor erstellte IKE-Kryptoprofil. Parameter des zweiten Objekts IKE-Gateway sind bis auf die IP-Adressen gleich. Wenn sich die Firewall von Palo Alto Networks hinter einem NAT-Router befindet, müssen Sie den Mechanismus aktivieren NAT-Traversal.
• Einrichten eines IPSec-Tunnels
IPSec-Tunnel ist ein Objekt, das, wie der Name schon sagt, die IPSec-Parameter des Tunnels angibt. Hier müssen Sie die Tunnelschnittstelle und zuvor erstellte Objekte angeben IKE-Gateway, IPSec-Kryptoprofil. Um die automatische Umschaltung des Routings auf den Backup-Tunnel sicherzustellen, müssen Sie diese aktivieren Tunnelmonitor. Dies ist ein Mechanismus, der mithilfe von ICMP-Verkehr prüft, ob ein Peer aktiv ist. Als Zieladresse müssen Sie die IP-Adresse der Tunnelschnittstelle des Peers angeben, mit dem der Tunnel aufgebaut wird. Das Profil legt Timer und Maßnahmen bei Verbindungsverlust fest. Warten Sie auf die Wiederherstellung - warten, bis die Verbindung wiederhergestellt ist, Failover – Senden Sie den Datenverkehr ggf. über eine andere Route. Der Aufbau des zweiten Tunnels erfolgt völlig analog, die Schnittstelle des zweiten Tunnels und das IKE-Gateway werden angegeben.
• Routing-Setup
In diesem Beispiel wird statisches Routing verwendet. Auf der PA-1-Firewall müssen Sie zusätzlich zu den beiden Standardrouten zwei Routen zum Subnetz 10.10.10.0/24 in der Verzweigung angeben. Eine Route nutzt Tunnel-1, die andere nutzt Tunnel-2. Die Route durch Tunnel-1 ist die Hauptroute, da sie eine niedrigere Metrik aufweist. Mechanismus Pfadüberwachung wird für diese Strecken nicht verwendet. Verantwortlich für den Wechsel Tunnelmonitor.
Auf PA-192.168.30.0 müssen die gleichen Routen für das Subnetz 24/2 konfiguriert werden.
• Einrichten von Netzwerkregeln
Es gibt drei Regeln, damit der Tunnel funktioniert:
- Um zu arbeiten Pfadmonitor ICMP auf externen Schnittstellen zulassen.
- für IPSec Apps zulassen ike и IPSec auf externen Schnittstellen.
- Erlauben Sie Datenverkehr zwischen internen Subnetzen und Tunnelschnittstellen.
Abschluss
In diesem Artikel geht es um die Möglichkeit, eine fehlertolerante Internetverbindung einzurichten und Standort-zu-Standort-VPN. Wir hoffen, dass die Informationen nützlich waren und der Leser eine Vorstellung von den verwendeten Technologien bekam Palo Alto Networks. Wenn Sie Fragen zur Einrichtung und Wünsche zu den Themen zukünftiger Artikel haben, schreiben Sie diese in die Kommentare, wir beantworten sie gerne.
Source: habr.com