Αυτό το άρθρο είναι μια συνέχεια αφιερωμένο στις ιδιαιτερότητες της εγκατάστασης εξοπλισμού Palo Alto Networks, . Εδώ θέλουμε να μιλήσουμε για τη ρύθμιση IPSec Site-to-Site VPN στον εξοπλισμό Palo Alto Networks, και σχετικά με μια πιθανή επιλογή διαμόρφωσης για τη σύνδεση πολλών παρόχων Διαδικτύου.
Για την επίδειξη, θα χρησιμοποιηθεί ένα τυπικό σχέδιο για τη σύνδεση της έδρας με το υποκατάστημα. Προκειμένου να παρέχεται σύνδεση στο Διαδίκτυο με ανοχή σφαλμάτων, τα κεντρικά γραφεία χρησιμοποιούν την ταυτόχρονη σύνδεση δύο παρόχων: ISP-1 και ISP-2. Το υποκατάστημα έχει σύνδεση με έναν μόνο πάροχο, τον ISP-3. Δύο σήραγγες κατασκευάζονται ανάμεσα στα τείχη προστασίας PA-1 και PA-2. Οι σήραγγες λειτουργούν στη λειτουργία Ενεργή-Αναμονή, Το Tunnel-1 είναι ενεργό, το Tunnel-2 θα αρχίσει να μεταδίδει κίνηση όταν το Tunnel-1 αποτύχει. Το Tunnel-1 χρησιμοποιεί σύνδεση με τον ISP-1, το Tunnel-2 χρησιμοποιεί σύνδεση με τον ISP-2. Όλες οι διευθύνσεις IP δημιουργούνται τυχαία για σκοπούς επίδειξης και δεν έχουν καμία σχέση με την πραγματικότητα.
Για τη δημιουργία ενός Site-to-Site VPN θα χρησιμοποιηθεί IPSec — ένα σύνολο πρωτοκόλλων για τη διασφάλιση της προστασίας των δεδομένων που μεταδίδονται μέσω IP. IPSec θα λειτουργήσει χρησιμοποιώντας ένα πρωτόκολλο ασφαλείας ESP (Encapsulating Security Payload), το οποίο θα διασφαλίζει την κρυπτογράφηση των μεταδιδόμενων δεδομένων.
В IPSec εισέρχεται IKE (Internet Key Exchange) είναι ένα πρωτόκολλο υπεύθυνο για τη διαπραγμάτευση SA (συσχετίσεις ασφαλείας), παραμέτρων ασφαλείας που χρησιμοποιούνται για την προστασία των μεταδιδόμενων δεδομένων. Υποστήριξη τείχους προστασίας PAN IKEv1 и IKEv2.
В IKEv1 Μια σύνδεση VPN δημιουργείται σε δύο στάδια: IKEv1 Φάση 1 (σήραγγα ΙΚΕ) και IKEv1 Φάση 2 (IPSec tunnel), έτσι δημιουργούνται δύο τούνελ, εκ των οποίων η μία χρησιμοποιείται για την ανταλλαγή πληροφοριών υπηρεσίας μεταξύ τείχη προστασίας και η δεύτερη για μετάδοση κίνησης. ΣΕ IKEv1 Φάση 1 Υπάρχουν δύο τρόποι λειτουργίας - κύρια και επιθετική λειτουργία. Η επιθετική λειτουργία χρησιμοποιεί λιγότερα μηνύματα και είναι πιο γρήγορη, αλλά δεν υποστηρίζει την προστασία ταυτότητας ομοτίμων.
IKEv2 ήρθε να αντικαταστήσει IKEv1, και σε σύγκριση με IKEv1 Το κύριο πλεονέκτημά του είναι οι χαμηλότερες απαιτήσεις εύρους ζώνης και η ταχύτερη διαπραγμάτευση SA. ΣΕ IKEv2 Χρησιμοποιούνται λιγότερα μηνύματα υπηρεσίας (συνολικά 4), υποστηρίζονται πρωτόκολλα EAP και MOBIKE και έχει προστεθεί μηχανισμός για έλεγχο της διαθεσιμότητας του ομότιμου με το οποίο δημιουργείται το τούνελ - Έλεγχος ζωντάνιας, αντικαθιστώντας το Dead Peer Detection στο IKEv1. Εάν ο έλεγχος αποτύχει, τότε IKEv2 μπορεί να επαναφέρει τη σήραγγα και στη συνέχεια να την επαναφέρει αυτόματα με την πρώτη ευκαιρία. Μπορείτε να μάθετε περισσότερα για τις διαφορές .
Εάν δημιουργηθεί μια σήραγγα ανάμεσα σε τείχη προστασίας από διαφορετικούς κατασκευαστές, τότε μπορεί να υπάρχουν σφάλματα στην υλοποίηση IKEv2, και για συμβατότητα με τέτοιο εξοπλισμό είναι δυνατή η χρήση IKEv1. Σε άλλες περιπτώσεις είναι καλύτερο να το χρησιμοποιήσετε IKEv2.
Βήματα ρύθμισης:
• Διαμόρφωση δύο παρόχων Διαδικτύου σε λειτουργία ActiveStandby
Υπάρχουν διάφοροι τρόποι υλοποίησης αυτής της λειτουργίας. Ένα από αυτά είναι η χρήση του μηχανισμού Παρακολούθηση διαδρομής, το οποίο έγινε διαθέσιμο από την έκδοση PAN-OS 8.0.0. Αυτό το παράδειγμα χρησιμοποιεί την έκδοση 8.0.16. Αυτή η δυνατότητα είναι παρόμοια με την IP SLA στους δρομολογητές Cisco. Η στατική προεπιλεγμένη παράμετρος διαδρομής διαμορφώνει την αποστολή πακέτων ping σε μια συγκεκριμένη διεύθυνση IP από μια συγκεκριμένη διεύθυνση πηγής. Σε αυτήν την περίπτωση, η διεπαφή ethernet1/1 πραγματοποιεί ping στην προεπιλεγμένη πύλη μία φορά ανά δευτερόλεπτο. Εάν δεν υπάρχει απόκριση σε τρία ping στη σειρά, η διαδρομή θεωρείται σπασμένη και αφαιρείται από τον πίνακα δρομολόγησης. Η ίδια διαδρομή έχει διαμορφωθεί προς τον δεύτερο πάροχο Διαδικτύου, αλλά με υψηλότερη μέτρηση (είναι εφεδρική). Μόλις αφαιρεθεί η πρώτη διαδρομή από τον πίνακα, το τείχος προστασίας θα αρχίσει να στέλνει κίνηση μέσω της δεύτερης διαδρομής − Fail-Over. Όταν ο πρώτος πάροχος αρχίσει να αποκρίνεται σε ping, η διαδρομή του θα επιστρέψει στον πίνακα και θα αντικαταστήσει τον δεύτερο λόγω καλύτερης μέτρησης - Fail-Back. Process Fail-Over διαρκεί μερικά δευτερόλεπτα ανάλογα με τα διαμορφωμένα διαστήματα, αλλά, σε κάθε περίπτωση, η διαδικασία δεν είναι στιγμιαία και κατά τη διάρκεια αυτού του χρόνου χάνεται η κίνηση. Fail-Back περνά χωρίς απώλεια κυκλοφορίας. Υπάρχει μια ευκαιρία να κάνουμε Fail-Over πιο γρήγορα, με BFD, εάν ο πάροχος Διαδικτύου παρέχει μια τέτοια ευκαιρία. BFD υποστηρίζεται ξεκινώντας από το μοντέλο Σειρά PA-3000 и VM-100. Είναι προτιμότερο να μην προσδιορίζετε την πύλη του παρόχου ως διεύθυνση ping, αλλά μια δημόσια, πάντα προσβάσιμη διεύθυνση Διαδικτύου.
• Δημιουργία διεπαφής σήραγγας
Η κίνηση μέσα στη σήραγγα μεταδίδεται μέσω ειδικών εικονικών διεπαφών. Κάθε ένα από αυτά πρέπει να διαμορφωθεί με μια διεύθυνση IP από το δίκτυο συγκοινωνίας. Σε αυτό το παράδειγμα, ο υποσταθμός 1/172.16.1.0 θα χρησιμοποιηθεί για το Tunnel-30 και ο υποσταθμός 2/172.16.2.0 για το Tunnel-30.
Η διεπαφή της σήραγγας δημιουργείται στην ενότητα Δίκτυο -> Διεπαφές -> Σήραγγα. Πρέπει να καθορίσετε έναν εικονικό δρομολογητή και μια ζώνη ασφαλείας, καθώς και μια διεύθυνση IP από το αντίστοιχο δίκτυο μεταφοράς. Ο αριθμός διεπαφής μπορεί να είναι οτιδήποτε.
Στο τμήμα Προηγμένη μπορεί να καθοριστεί Προφίλ Διαχείρισηςπου θα επιτρέψει το ping στη δεδομένη διεπαφή, αυτό μπορεί να είναι χρήσιμο για δοκιμή.
• Ρύθμιση προφίλ IKE
Προφίλ ΙΚΕ είναι υπεύθυνος για το πρώτο στάδιο της δημιουργίας μιας σύνδεσης VPN· οι παράμετροι της σήραγγας καθορίζονται εδώ IKE Φάση 1. Το προφίλ δημιουργείται στην ενότητα Δίκτυο -> Προφίλ δικτύου -> IKE Crypto. Είναι απαραίτητο να προσδιορίσετε τον αλγόριθμο κρυπτογράφησης, τον αλγόριθμο κατακερματισμού, την ομάδα Diffie-Hellman και τη διάρκεια ζωής του κλειδιού. Γενικά, όσο πιο πολύπλοκοι είναι οι αλγόριθμοι, τόσο χειρότερη είναι η απόδοση· θα πρέπει να επιλέγονται με βάση συγκεκριμένες απαιτήσεις ασφαλείας. Ωστόσο, δεν συνιστάται αυστηρά η χρήση μιας ομάδας Diffie-Hellman κάτω των 14 για την προστασία ευαίσθητων πληροφοριών. Αυτό οφείλεται στην ευπάθεια του πρωτοκόλλου, η οποία μπορεί να μετριαστεί μόνο με τη χρήση μεγεθών μονάδων 2048 bit και άνω, ή ελλειπτικών αλγορίθμων κρυπτογραφίας, που χρησιμοποιούνται στις ομάδες 19, 20, 21, 24. Αυτοί οι αλγόριθμοι έχουν μεγαλύτερη απόδοση σε σύγκριση με παραδοσιακή κρυπτογραφία. . Και .
• Ρύθμιση προφίλ IPSec
Το δεύτερο στάδιο δημιουργίας μιας σύνδεσης VPN είναι μια σήραγγα IPSec. Οι παράμετροι SA για αυτό έχουν ρυθμιστεί σε Δίκτυο -> Προφίλ δικτύου -> Προφίλ κρυπτογράφησης IPSec. Εδώ πρέπει να καθορίσετε το πρωτόκολλο IPSec - AH ή ESP, καθώς και παραμέτρους SA — αλγόριθμοι κατακερματισμού, κρυπτογράφηση, ομάδες Diffie-Hellman και διάρκεια ζωής κλειδιού. Οι παράμετροι SA στο IKE Crypto Profile και IPSec Crypto Profile ενδέχεται να μην είναι ίδιες.
• Διαμόρφωση IKE Gateway
IKE Gateway - αυτό είναι ένα αντικείμενο που προσδιορίζει έναν δρομολογητή ή ένα τείχος προστασίας με το οποίο έχει κατασκευαστεί μια σήραγγα VPN. Για κάθε σήραγγα πρέπει να δημιουργήσετε το δικό σας IKE Gateway. Σε αυτή την περίπτωση, δημιουργούνται δύο σήραγγες, ένα μέσω κάθε παρόχου Διαδικτύου. Υποδεικνύεται η αντίστοιχη εξερχόμενη διεπαφή και η διεύθυνση IP, η ομότιμη διεύθυνση IP και το κοινόχρηστο κλειδί. Τα πιστοποιητικά μπορούν να χρησιμοποιηθούν ως εναλλακτική λύση σε ένα κοινόχρηστο κλειδί.
Το προηγουμένως δημιουργημένο υποδεικνύεται εδώ IKE Crypto Profile. Παράμετροι του δεύτερου αντικειμένου IKE Gateway παρόμοια, εκτός από τις διευθύνσεις IP. Εάν το τείχος προστασίας του Palo Alto Networks βρίσκεται πίσω από έναν δρομολογητή NAT, τότε πρέπει να ενεργοποιήσετε τον μηχανισμό NAT Traversal.
• Ρύθμιση IPSec Tunnel
Σήραγγα IPSec είναι ένα αντικείμενο που καθορίζει τις παραμέτρους της σήραγγας IPSec, όπως υποδηλώνει το όνομα. Εδώ πρέπει να καθορίσετε τη διεπαφή της σήραγγας και τα αντικείμενα που έχετε δημιουργήσει προηγουμένως IKE Gateway, Προφίλ κρυπτογράφησης IPSec. Για να διασφαλίσετε την αυτόματη εναλλαγή της δρομολόγησης στο εφεδρικό τούνελ, πρέπει να ενεργοποιήσετε Οθόνη σήραγγας. Αυτός είναι ένας μηχανισμός που ελέγχει εάν ένας ομότιμος είναι ζωντανός χρησιμοποιώντας κίνηση ICMP. Ως διεύθυνση προορισμού, πρέπει να καθορίσετε τη διεύθυνση IP της διεπαφής σήραγγας του ομοτίμου με το οποίο κατασκευάζεται η σήραγγα. Το προφίλ καθορίζει χρονοδιακόπτες και τι πρέπει να κάνετε εάν χαθεί η σύνδεση. Περιμένετε Ανάκτηση – περιμένετε μέχρι να αποκατασταθεί η σύνδεση, Fail Over — αποστολή κίνησης σε διαφορετική διαδρομή, εάν είναι διαθέσιμη. Η ρύθμιση της δεύτερης σήραγγας είναι εντελώς παρόμοια· η δεύτερη διεπαφή σήραγγας και η πύλη IKE καθορίζονται.
• Ρύθμιση δρομολόγησης
Αυτό το παράδειγμα χρησιμοποιεί στατική δρομολόγηση. Στο τείχος προστασίας PA-1, εκτός από τις δύο προεπιλεγμένες διαδρομές, πρέπει να καθορίσετε δύο διαδρομές προς το υποδίκτυο 10.10.10.0/24 στον κλάδο. Η μία διαδρομή χρησιμοποιεί τη σήραγγα-1, η άλλη τη σήραγγα-2. Η διαδρομή μέσω της σήραγγας-1 είναι η κύρια γιατί έχει χαμηλότερη μέτρηση. Μηχανισμός Παρακολούθηση διαδρομής δεν χρησιμοποιείται για αυτές τις διαδρομές. Υπεύθυνος για την αλλαγή Οθόνη σήραγγας.
Οι ίδιες διαδρομές για το υποδίκτυο 192.168.30.0/24 πρέπει να διαμορφωθούν στο PA-2.
• Ρύθμιση κανόνων δικτύου
Για να λειτουργήσει η σήραγγα, χρειάζονται τρεις κανόνες:
- Για εργασία Παρακολούθηση διαδρομής Να επιτρέπεται το ICMP σε εξωτερικές διεπαφές.
- Για IPSec επιτρέψτε τις εφαρμογές ike и ipsec σε εξωτερικές διεπαφές.
- Να επιτρέπεται η κυκλοφορία μεταξύ εσωτερικών υποδικτύων και διεπαφών σήραγγας.
Συμπέρασμα
Αυτό το άρθρο εξετάζει την επιλογή ρύθμισης μιας σύνδεσης Διαδικτύου με ανοχή σε σφάλματα και VPN από ιστότοπο σε ιστότοπο. Ελπίζουμε ότι οι πληροφορίες ήταν χρήσιμες και ο αναγνώστης απέκτησε μια ιδέα για τις τεχνολογίες που χρησιμοποιούνται Palo Alto Networks,. Εάν έχετε ερωτήσεις σχετικά με τη ρύθμιση και προτάσεις για θέματα για μελλοντικά άρθρα, γράψτε τα στα σχόλια, θα χαρούμε να απαντήσουμε.
Πηγή: www.habr.com