
Dieser Artikel ist eine Fortsetzung , das sich mit den Besonderheiten der Konfiguration von Palo Alto Networks beschÀftigt. Hier möchten wir die Einrichtung von IPSec Site-to-Site VPN auf den GerÀten Palo Alto Networks und eine mögliche Konfigurationsvariante zur Anbindung mehrerer Internetanbieter erlÀutern.
Zur Veranschaulichung wird ein Standardnetzwerkdiagramm verwendet, das die Verbindung des HauptbĂŒros mit einer Filiale zeigt. Um eine ausfallsichere Internetverbindung zu gewĂ€hrleisten, wird im HauptbĂŒro eine gleichzeitige Anbindung von zwei Anbietern verwendet: ISP-1 und ISP-2. Die Filiale hat lediglich eine Verbindung zu einem Anbieter, ISP-3. Zwischen den Firewalls PA-1 und PA-2 werden zwei Tunnel aufgebaut. Die Tunnel arbeiten im Active-Standby-Modus, Tunnel-1 ist aktiv, Tunnel-2 beginnt mit der Ăbertragung von Daten, wenn Tunnel-1 ausfĂ€llt. Tunnel-1 verwendet die Verbindung zum Internetanbieter ISP-1, Tunnel-2 nutzt die Verbindung zum Internetanbieter ISP-2. Alle IP-Adressen sind zufĂ€llig generiert, um die Demonstration zu veranschaulichen, und haben keinen Bezug zur RealitĂ€t.

Zur Errichtung des Site-to-Site VPN wird IPSec â eine Reihe von Protokollen zur Sicherstellung des Schutzes von ĂŒber das IP-Protokoll ĂŒbertragenen Daten. IPSec wird unter Verwendung des Sicherheitsprotokolls arbeiten ESP (Encapsulating Security Payload), das eine VerschlĂŒsselung der ĂŒbertragenen Daten gewĂ€hrleistet.
In IPSec ist Bestandteil von IKE (Internet Key Exchange) â ein Protokoll, das fĂŒr die Aushandlung von SA (Security Associations) verantwortlich ist, die zum Schutz ĂŒbertragener Daten verwendet werden. Die PAN-Firewalls unterstĂŒtzen IKEv1 und IKEv2.
In IKEv1 Die VPN-Verbindung wird in zwei Phasen aufgebaut: IKEv1 Phase 1 (IKE-Tunnel) und IKEv1 Phase 2 (IPSec-Tunnel), wodurch zwei Tunnel entstehen, von denen einer fĂŒr den Austausch von Verwaltungsinformationen zwischen den Firewalls dient, wĂ€hrend der andere fĂŒr die Ăbertragung des Datenverkehrs verwendet wird. In IKEv1 Phase 1 gibt es zwei Betriebsmodi â Main Mode und Aggressive Mode. Der Aggressive Mode verwendet weniger Nachrichten und funktioniert schneller, unterstĂŒtzt jedoch keinen Peer Identity Protection.
IKEv2 wurde ersetzt durch IKEv1, und im Vergleich zu IKEv1 ist sein Hauptvorteil â geringere Anforderungen an die Bandbreite und schnellere Aushandlung der SA. In IKEv2 werden weniger Verwaltungsnachrichten verwendet (insgesamt 4), das EAP-Protokoll, MOBIKE unterstĂŒtzt, und ein Mechanismus zur ĂberprĂŒfung der VerfĂŒgbarkeit des Peers, mit dem der Tunnel erstellt wird â Liveness Check, der Dead Peer Detection in IKEv1 ersetzt. Wenn die ĂberprĂŒfung fehlschlĂ€gt, kann IKEv2 der Tunnel zurĂŒckgesetzt werden und dann automatisch bei der ersten Gelegenheit wiederhergestellt werden. Genaueres zu den Unterschieden kann man .
Wenn der Tunnel zwischen Firewalls verschiedener Hersteller hergestellt wird, können möglicherweise Bugs in der Implementierung auftreten IKEv2, und um die KompatibilitÀt mit solcher Hardware sicherzustellen, gibt es die Möglichkeit, IKEv1. In anderen FÀllen ist es besser, IKEv2.
Einrichtungsphasen:
âą Konfiguration von zwei Internetanbietern im Active-Standby-Modus.
Es gibt mehrere Möglichkeiten, diese Funktion umzusetzen. Eine davon besteht in der Verwendung des Mechanismus Path Monitoring, der ab Version PAN-OS 8.0.0 verfĂŒgbar ist.. In diesem Beispiel wird die Version 8.0.16 verwendet. Diese Funktion Ă€hnelt IP SLA in Cisco-Routern. Bei der statischen Standardroute wird konfiguriert, dass Ping-Pakete von einer bestimmten Quell-IP zu einer bestimmten IP-Adresse gesendet werden. In diesem Fall pingt das Interface ethernet1/1 das Standardgateway einmal pro Sekunde. Wenn innerhalb von drei aufeinanderfolgenden Pings keine Antwort erfolgt, wird die Route als nicht funktionsfĂ€hig betrachtet und aus der Routingtabelle entfernt. Eine Ă€hnliche Route wird zum zweiten Internetanbieter eingerichtet, jedoch mit einer höheren Metrik (dies ist die Backup-Route). Sobald die erste Route aus der Tabelle entfernt wird, beginnt die Firewall, den Datenverkehr ĂŒber die zweite Route zu leiten â Fail-Over. Wenn der erste Anbieter wieder auf Pings antwortet, wird seine Route aufgrund der besseren Metrik in die Tabelle zurĂŒckkehren und die zweite ersetzen â Fail-Back. Der Prozess Fail-Over dauert einige Sekunden, abhĂ€ngig von den konfigurierten Intervallen, ist jedoch in jedem Fall nicht sofort, und wĂ€hrend dieser Zeit geht der Datenverkehr verloren. Fail-Back verlĂ€uft ohne Datenverlust. Es besteht die Möglichkeit, diesen Fail-Over zu beschleunigen, mithilfe von BFD, sofern der Internetanbieter diese Möglichkeit anbietet. BFD wird ab dem Modell unterstĂŒtzt PA-3000 Serie und VM-100. Als Ping-Adresse sollten Sie besser nicht das Gateway des Anbieters, sondern eine öffentliche, stets erreichbare Internetadresse angeben.

âą Erstellung einer Tunnel-Schnittstelle
Der Verkehr innerhalb des Tunnels wird ĂŒber spezielle virtuelle Schnittstellen geleitet. Jede davon muss eine IP-Adresse aus dem Transitnetz konfiguriert haben. In diesem Beispiel wird fĂŒr Tunnel-1 das Subnetz 172.16.1.0/30 verwendet, und fĂŒr Tunnel-2 das Subnetz 172.16.2.0/30.
Die Tunnel-Schnittstelle wird im Bereich Netzwerk -> Schnittstellen -> Tunnelerstellt. Es mĂŒssen der virtuelle Router und die Sicherheitszone sowie die IP-Adresse aus dem entsprechenden Transportnetz angegeben werden. Die Schnittstellennummer kann beliebig sein.


Im Abschnitt Erweitert es kann angegeben werden Management-Profil, das das Ping auf dieser Schnittstelle erlaubt, was nĂŒtzlich fĂŒr Tests sein kann.

âą Konfiguration des IKE-Profils
IKE-Profil verantwortet den ersten Schritt bei der Erstellung einer VPN-Verbindung, hier werden die Parameter des Tunnels angegeben. IKE Phase 1. Das Profil wird im Bereich Netzwerk -> Netzwerkprofile -> IKE-Krypto. Sie mĂŒssen den VerschlĂŒsselungsalgorithmus, den Hash-Algorithmus, die Diffie-Hellman-Gruppe und die Lebensdauer der SchlĂŒssel angeben. Im Allgemeinen gilt: Je komplexer die Algorithmen, desto schlechter die Leistung, diese sollten basierend auf den spezifischen Sicherheitsanforderungen ausgewĂ€hlt werden. Es wird jedoch dringend empfohlen, keine Diffie-Hellman-Gruppe unter 14 zum Schutz wichtiger Informationen zu verwenden. Dies liegt an der Verwundbarkeit des Protokolls, die nur durch die Verwendung von ModulgröĂen von 2048 Bit und mehr oder durch elliptische Kryptografie, die in den Gruppen 19, 20, 21, 24 verwendet wird, ausgeglichen werden kann. Diese Algorithmen weisen im Vergleich zur traditionellen Kryptografie eine höhere Leistung auf. . Und .

âą Konfiguration des IPSec-Profils
Der zweite Schritt zur Erstellung einer VPN-Verbindung ist der IPSec-Tunnel. Die SA-Parameter dafĂŒr werden in Network -> Network Profiles -> IPSec Crypto Profileeingerichtet. Hier mĂŒssen Sie das IPSec-Protokoll angeben - AH oder ESP, sowie die Parameter SA â Hash- und VerschlĂŒsselungsalgorithmen, Diffie-Hellman-Gruppen und die Lebensdauer der SchlĂŒssel. Die SA-Parameter im IKE Crypto Profile und im IPSec Crypto Profile mĂŒssen nicht ĂŒbereinstimmen.

âą Konfiguration des IKE-Gateways
IKE-Gateway â ist ein Objekt, das einen Router oder eine Firewall bezeichnet, mit dem ein VPN-Tunnel aufgebaut wird. FĂŒr jeden Tunnel muss ein eigenes erstellt werden. IKE-GatewayIn diesem Fall werden zwei Tunnel erstellt, einen ĂŒber jeden Internetanbieter. Der entsprechende Ausgangsinterface und seine IP-Adresse, die IP-Adresse des Peers und der gemeinsame SchlĂŒssel werden angegeben. Alternativ zum gemeinsamen SchlĂŒssel können Zertifikate verwendet werden.

Hier wird das zuvor erstellte IKE Crypto-Profilangegeben. Die Parameter des zweiten Objekts IKE-Gateway sind Àhnlich, mit Ausnahme der IP-Adressen. Wenn die Palo Alto Networks-Firewall hinter einem NAT-Router befindet, muss der Mechanismus NAT Traversal.

aktiviert werden.
âą Konfiguration des IPSec-Tunnels Der IPSec-Tunnel IKE-Gateway, ist ein Objekt, in dem die Parameter fĂŒr den IPSec-Tunnel angegeben werden, wie der Name schon sagt. Hier mĂŒssen das Tunnel-Interface und die zuvor erstellten Objekte angegeben werden.IPSec Crypto-Profil. Um eine automatische Umschaltung der Routen auf den Backup-Tunnel zu gewĂ€hrleisten, muss derTunnel Monitor aktiviert werden. Warten auf Wiederherstellung â warten, bis die Verbindung wiederhergestellt ist, Fehlertoleranz â den Verkehr ĂŒber einen anderen Pfad leiten, sofern vorhanden. Die Konfiguration des zweiten Tunnels ist identisch, wobei das zweite Tunnel-Interface und das IKE-Gateway angegeben werden.


âą Routing-Konfiguration
In diesem Beispiel wird statisches Routing verwendet. Auf der Firewall PA-1 mĂŒssen neben zwei Standardrouten zwei Routen zum Subnetz 10.10.10.0/24 im Zweig angegeben werden. Eine Route nutzt Tunnel-1, die andere Tunnel-2. Die Route ĂŒber Tunnel-1 ist die primĂ€re, da sie eine niedrigere Metrik hat. Der Mechanismus Path Monitoring fĂŒr diese Routen wird nicht verwendet. Das Umschalten erfolgt ĂŒber Um eine automatische Umschaltung der Routen auf den Backup-Tunnel zu gewĂ€hrleisten, muss der.

Die gleichen Routen fĂŒr das Subnetz 192.168.30.0/24 mĂŒssen auf PA-2 konfiguriert werden.

âą Netzwerkrichtlinien-Konfiguration
FĂŒr den Betrieb des Tunnels sind drei Regeln erforderlich:
- FĂŒr den Betrieb Path Monitor ICMP an den externen Schnittstellen erlauben.
- FĂŒr IPSec Anwendungen erlauben ike und ipsec an den externen Schnittstellen.
- Erlauben Sie den Datenverkehr zwischen internen Subnetzen und Tunnel-Schnittstellen.

Fazit
Dieser Artikel behandelt die Einrichtung einer ausfallsicheren Internetverbindung und Site-to-Site VPN. Wir hoffen, dass die Informationen hilfreich waren und der Leser ein VerstĂ€ndnis fĂŒr die in Palo Alto Networksverwendeten Technologien erhalten hat. Wenn Sie Fragen zur Einrichtung haben oder WĂŒnsche zu Themen zukĂŒnftiger Artikel Ă€uĂern möchten, hinterlassen Sie bitte einen Kommentar, wir freuen uns, Ihnen zu antworten.
Quelle: habr.com
