Este artículo es una continuación. dedicado a los detalles específicos de la instalación del equipo Palo Alto Networks . Aquí queremos hablar sobre la configuración. VPN IPSec de sitio a sitio en el equipo Palo Alto Networks y sobre una posible opción de configuración para conectar varios proveedores de Internet.
Para la demostración se utilizará un esquema estándar para conectar la casa matriz con la sucursal. Para proporcionar una conexión a Internet tolerante a fallos, la oficina central utiliza una conexión simultánea de dos proveedores: ISP-1 e ISP-2. La sucursal tiene conexión con un solo proveedor, ISP-3. Se construyen dos túneles entre los cortafuegos PA-1 y PA-2. Los túneles funcionan en modo Activo-Standby,El Túnel-1 está activo, el Túnel-2 comenzará a transmitir tráfico cuando el Túnel-1 falle. El Túnel-1 usa una conexión con el ISP-1, el Túnel-2 usa una conexión con el ISP-2. Todas las direcciones IP se generan aleatoriamente con fines de demostración y no tienen relación con la realidad.
Para construir una VPN de sitio a sitio se utilizará IPSec — un conjunto de protocolos para garantizar la protección de los datos transmitidos a través de IP. IPSec funcionará utilizando un protocolo de seguridad ESP (Encapsulating Security Payload), que garantizará el cifrado de los datos transmitidos.
В IPSec entra IKE (Internet Key Exchange) es un protocolo encargado de negociar SA (asociaciones de seguridad), parámetros de seguridad que se utilizan para proteger los datos transmitidos. Soporte de cortafuegos PAN IKEv1 и IKEv2.
В IKEv1 Una conexión VPN se construye en dos etapas: IKEv1 Fase 1 (túnel IKE) y IKEv1 Fase 2 (túnel IPSec), se crean así dos túneles, uno de los cuales se utiliza para el intercambio de información de servicio entre firewalls y el segundo para la transmisión de tráfico. EN IKEv1 Fase 1 Hay dos modos de funcionamiento: modo principal y modo agresivo. El modo agresivo utiliza menos mensajes y es más rápido, pero no admite Peer Identity Protection.
IKEv2 vino a reemplazar IKEv1, y en comparación con IKEv1 su principal ventaja son los menores requisitos de ancho de banda y una negociación SA más rápida. EN IKEv2 Se utilizan menos mensajes de servicio (4 en total), se admiten los protocolos EAP y MOBIKE y se ha agregado un mecanismo para verificar la disponibilidad del par con el que se crea el túnel. Control de vida, reemplazando la detección de pares muertos en IKEv1. Si la verificación falla, entonces IKEv2 Puede restablecer el túnel y luego restaurarlo automáticamente en la primera oportunidad. Puedes aprender más sobre las diferencias. .
Si se construye un túnel entre firewalls de diferentes fabricantes, es posible que haya errores en la implementación. IKEv2, y para compatibilidad con dicho equipo es posible utilizar IKEv1. En otros casos es mejor utilizar IKEv2.
Pasos de configuración:
• Configuración de dos proveedores de Internet en modo ActiveStandby
Hay varias formas de implementar esta función. Uno de ellos es utilizar el mecanismo. Monitoreo de ruta, que estuvo disponible a partir de la versión PAN-OS 8.0.0. Este ejemplo utiliza la versión 8.0.16. Esta característica es similar a IP SLA en los enrutadores Cisco. El parámetro de ruta predeterminada estática configura el envío de paquetes de ping a una dirección IP específica desde una dirección de origen específica. En este caso, la interfaz ethernet1/1 hace ping a la puerta de enlace predeterminada una vez por segundo. Si no hay respuesta a tres pings seguidos, la ruta se considera rota y se elimina de la tabla de enrutamiento. Se configura la misma ruta hacia el segundo proveedor de Internet, pero con una métrica más alta (es de respaldo). Una vez que se elimina la primera ruta de la tabla, el firewall comenzará a enviar tráfico a través de la segunda ruta: Conmutación por error. Cuando el primer proveedor comience a responder a los pings, su ruta volverá a la tabla y reemplazará a la segunda debido a una mejor métrica. Conmutación por recuperación. Proceso Conmutación por error Tarda unos segundos dependiendo de los intervalos configurados, pero, en cualquier caso, el proceso no es instantáneo, y durante este tiempo se pierde tráfico. Conmutación por recuperación pasa sin pérdida de tráfico. Hay una oportunidad de hacer Conmutación por error más rápido, con BFD, si el proveedor de Internet ofrece esa oportunidad. BFD compatible a partir del modelo Serie PA-3000 и VM-100. Es mejor especificar como dirección de ping no la puerta de enlace del proveedor, sino una dirección de Internet pública y siempre accesible.
• Crear una interfaz de túnel
El tráfico dentro del túnel se transmite a través de interfaces virtuales especiales. Cada uno de ellos debe estar configurado con una dirección IP de la red de tránsito. En este ejemplo, la subestación 1/172.16.1.0 se usará para el Túnel-30 y la subestación 2/172.16.2.0 se usará para el Túnel-30.
La interfaz del túnel se crea en la sección Red -> Interfaces -> Túnel. Debe especificar un enrutador virtual y una zona de seguridad, así como una dirección IP de la red de transporte correspondiente. El número de interfaz puede ser cualquier cosa.
En la sección Avanzado se puede especificar Gestión de perfileslo que permitirá hacer ping en la interfaz dada, esto puede ser útil para realizar pruebas.
• Configuración del perfil IKE
Perfil IKE es responsable de la primera etapa de creación de una conexión VPN; los parámetros del túnel se especifican aquí IKE Fase 1. El perfil se crea en la sección Red -> Perfiles de red -> IKE Crypto. Es necesario especificar el algoritmo de cifrado, el algoritmo hash, el grupo Diffie-Hellman y la duración de la clave. En general, cuanto más complejos sean los algoritmos, peor será el rendimiento; deben seleccionarse en función de requisitos de seguridad específicos. Sin embargo, no se recomienda estrictamente utilizar un grupo Diffie-Hellman menor de 14 años para proteger información confidencial. Esto se debe a la vulnerabilidad del protocolo, que solo puede mitigarse mediante el uso de tamaños de módulo de 2048 bits y superiores, o algoritmos de criptografía elíptica, que se utilizan en los grupos 19, 20, 21, 24. Estos algoritmos tienen un mayor rendimiento en comparación con criptografía tradicional. . Y .
• Configuración del perfil IPSec
La segunda etapa para crear una conexión VPN es un túnel IPSec. Los parámetros de SA para ello se configuran en Red -> Perfiles de red -> Perfil criptográfico IPSec. Aquí debe especificar el protocolo IPSec: AH o ESP, así como los parámetros SA — algoritmos hash, cifrado, grupos Diffie-Hellman y duración de la clave. Es posible que los parámetros SA en el perfil criptográfico IKE y el perfil criptográfico IPSec no sean los mismos.
• Configuración de la puerta de enlace IKE
Puerta de enlace IKE - este es un objeto que designa un enrutador o firewall con el que se construye un túnel VPN. Para cada túnel necesitas crear el tuyo propio. Puerta de enlace IKE. En este caso se crean dos túneles, uno a través de cada proveedor de Internet. Se indican la interfaz saliente correspondiente y su dirección IP, dirección IP del par y clave compartida. Los certificados se pueden utilizar como alternativa a una clave compartida.
Aquí se indica el creado previamente Perfil criptográfico IKE. Parámetros del segundo objeto. Puerta de enlace IKE similar, excepto por las direcciones IP. Si el firewall de Palo Alto Networks está ubicado detrás de un enrutador NAT, entonces debe habilitar el mecanismo NAT transversal.
• Configuración del túnel IPSec
Túnel IPSec es un objeto que especifica los parámetros del túnel IPSec, como su nombre indica. Aquí debe especificar la interfaz del túnel y los objetos creados previamente. Puerta de enlace IKE, Perfil criptográfico IPSec. Para garantizar el cambio automático de enrutamiento al túnel de respaldo, debe habilitar Monitor de túnel. Este es un mecanismo que verifica si un par está vivo utilizando tráfico ICMP. Como dirección de destino, debe especificar la dirección IP de la interfaz del túnel del par con el que se está construyendo el túnel. El perfil especifica temporizadores y qué hacer si se pierde la conexión. Esperar recuperar – esperar hasta que se restablezca la conexión, conmutación por error — enviar tráfico por una ruta diferente, si está disponible. La configuración del segundo túnel es completamente similar; se especifican la interfaz del segundo túnel y la puerta de enlace IKE.
• Configuración de enrutamiento
Este ejemplo utiliza enrutamiento estático. En el firewall PA-1, además de las dos rutas predeterminadas, debe especificar dos rutas a la subred 10.10.10.0/24 en la sucursal. Una ruta utiliza el Túnel-1, la otra, el Túnel-2. El recorrido por el Túnel-1 es el principal por tener una métrica inferior. Mecanismo Monitoreo de ruta No se utiliza para estas rutas. Responsable del cambio Monitor de túnel.
Es necesario configurar las mismas rutas para la subred 192.168.30.0/24 en PA-2.
• Configuración de reglas de red
Para que el túnel funcione se necesitan tres reglas:
- para el trabajo Monitor de ruta Permitir ICMP en interfaces externas.
- para IPSec permitir aplicaciones ike и ipsec en interfaces externas.
- Permitir el tráfico entre subredes internas e interfaces de túnel.
Conclusión
Este artículo analiza la opción de configurar una conexión a Internet tolerante a fallos y VPN de sitio a sitio. Esperamos que la información haya sido útil y que el lector haya adquirido una idea de las tecnologías utilizadas en Palo Alto Networks. Si tienes preguntas sobre configuración y sugerencias sobre temas para futuros artículos, escríbelas en los comentarios, estaremos encantados de responderte.
Fuente: habr.com