Tämä artikkeli on jatkoa omistettu laitteiden asennuksen erityispiirteisiin Palo Alto -verkot . Täällä haluamme puhua asetuksista IPSec Site-to-Site VPN varusteissa Palo Alto -verkot ja mahdollisesta määritysvaihtoehdosta useiden Internet-palveluntarjoajien yhdistämiseksi.
Demonstraatiossa käytetään vakiomallia pääkonttorin liittämiseksi konttoriin. Vikasietoisen Internet-yhteyden tarjoamiseksi pääkonttori käyttää kahden palveluntarjoajan samanaikaista yhteyttä: ISP-1 ja ISP-2. Haaralla on yhteys vain yhteen palveluntarjoajaan, ISP-3:een. Palomuurien PA-1 ja PA-2 väliin rakennetaan kaksi tunnelia. Tunnelit toimivat tilassa Aktiivinen valmiustila,Tunnel-1 on aktiivinen, Tunneli-2 alkaa lähettää liikennettä, kun Tunneli-1 epäonnistuu. Tunneli-1 käyttää yhteyttä ISP-1:een, Tunneli-2 käyttää yhteyttä ISP-2:een. Kaikki IP-osoitteet luodaan satunnaisesti esittelytarkoituksiin, eikä niillä ole mitään yhteyttä todellisuuteen.
Site-to-Site VPN:n rakentamiseen käytetään IPSec — protokollia, joilla varmistetaan IP:n kautta siirrettyjen tietojen suoja. IPSec toimii suojausprotokollalla ESP (Encapsulating Security Payload), joka varmistaa siirrettyjen tietojen salauksen.
В IPSec sisältää IKE (Internet Key Exchange) on protokolla, joka vastaa SA:n (security Associations) neuvotteluista, tietoturvaparametreista, joita käytetään siirretyn tiedon suojaamiseen. PAN-palomuurituki IKEv1 и IKEv2.
В IKEv1 VPN-yhteys rakennetaan kahdessa vaiheessa: IKEv1 vaihe 1 (IKE tunneli) ja IKEv1 vaihe 2 (IPSec-tunneli), jolloin syntyy kaksi tunnelia, joista toista käytetään palvelutietojen vaihtoon palomuurien välillä ja toista liikenteen välittämiseen. SISÄÄN IKEv1 vaihe 1 Toimintatilaa on kaksi - päätila ja aggressiivinen tila. Aggressiivinen tila käyttää vähemmän viestejä ja on nopeampi, mutta ei tue vertaisidentiteetin suojausta.
IKEv2 tuli tilalle IKEv1, ja verrattuna IKEv1 Sen tärkein etu on alhaisemmat kaistanleveysvaatimukset ja nopeampi SA-neuvottelu. SISÄÄN IKEv2 Palveluviestejä käytetään vähemmän (yhteensä 4), EAP- ja MOBIKE-protokollia tuetaan, ja on lisätty mekanismi, jolla tarkistetaan tunnelin luovan vertaisohjelman saatavuus - Elävyyden tarkistus, joka korvaa Dead Peer Detectionin IKEv1:ssä. Jos tarkistus epäonnistuu, niin IKEv2 voi nollata tunnelin ja palauttaa sen sitten automaattisesti ensimmäisen tilaisuuden tullen. Voit oppia lisää eroista .
Jos tunneli rakennetaan eri valmistajien palomuurien väliin, toteutuksessa voi olla bugeja IKEv2, ja yhteensopivuuden vuoksi tällaisten laitteiden kanssa on mahdollista käyttää IKEv1. Muissa tapauksissa on parempi käyttää IKEv2.
Asennusvaiheet:
• Kahden Internet-palveluntarjoajan määrittäminen ActiveStandby-tilassa
On olemassa useita tapoja toteuttaa tämä toiminto. Yksi niistä on mekanismin käyttö Polun seuranta, joka tuli saataville versiosta alkaen PAN-OS 8.0.0. Tämä esimerkki käyttää versiota 8.0.16. Tämä ominaisuus on samanlainen kuin Ciscon reitittimien IP SLA. Staattinen oletusreittiparametri määrittää ping-pakettien lähettämisen tiettyyn IP-osoitteeseen tietystä lähdeosoitteesta. Tässä tapauksessa ethernet1/1-liitäntä lähettää ping-kutsuja oletusyhdyskäytävälle kerran sekunnissa. Jos kolmeen peräkkäiseen pingiin ei vastata, reitti katsotaan katkenneeksi ja poistetaan reititystaulukosta. Sama reitti on määritetty toiseen Internet-palveluntarjoajaan, mutta korkeammalla mittarilla (se on vara). Kun ensimmäinen reitti on poistettu taulukosta, palomuuri alkaa lähettää liikennettä toisen reitin kautta − Fail-Over. Kun ensimmäinen palveluntarjoaja alkaa vastata pingeihin, sen reitti palaa taulukkoon ja korvaa toisen paremman mittarin vuoksi - Fail-Back. Käsitellä asiaa Fail-Over kestää muutaman sekunnin riippuen määritetyistä aikaväleistä, mutta joka tapauksessa prosessi ei ole välitön, ja tänä aikana liikenne katoaa. Fail-Back kulkee ilman liikennettä. On mahdollisuus tehdä Fail-Over nopeammin, kanssa BFD, jos Internet-palveluntarjoaja tarjoaa tällaisen mahdollisuuden. BFD tuettu mallista alkaen PA-3000-sarja и VM-100. On parempi määrittää ping-osoitteeksi ei palveluntarjoajan yhdyskäytävää, vaan julkinen, aina saatavilla oleva Internet-osoite.
• Tunnelirajapinnan luominen
Liikenne tunnelin sisällä välitetään erityisten virtuaalisten rajapintojen kautta. Jokaiselle niistä on määritettävä IP-osoite siirtoverkosta. Tässä esimerkissä tunneli-1:lle käytetään ala-asemaa 172.16.1.0/30 ja tunneli-2:lle alaasemaa 172.16.2.0/30.
Tunnelirajapinta luodaan osiossa Verkko -> Liitännät -> Tunneli. Sinun on määritettävä virtuaalinen reititin ja suojavyöhyke sekä IP-osoite vastaavasta siirtoverkosta. Liitäntänumero voi olla mikä tahansa.
Luokasta Lisää voidaan määritellä Hallintoprofiilijoka sallii pingin annetussa käyttöliittymässä, tämä voi olla hyödyllistä testauksessa.
• IKE-profiilin määrittäminen
IKE profiili on vastuussa VPN-yhteyden luomisen ensimmäisestä vaiheesta; tunneliparametrit määritellään tässä IKE vaihe 1. Profiili luodaan osiossa Verkko -> Verkkoprofiilit -> IKE Crypto. On tarpeen määrittää salausalgoritmi, hajautusalgoritmi, Diffie-Hellman-ryhmä ja avaimen käyttöikä. Yleensä mitä monimutkaisemmat algoritmit ovat, sitä huonompi suorituskyky; ne tulisi valita erityisten turvallisuusvaatimusten perusteella. Alle 14-vuotiaan Diffie-Hellman-ryhmän käyttöä arkaluonteisten tietojen suojaamiseksi ei kuitenkaan ehdottomasti suositella. Tämä johtuu protokollan haavoittuvuudesta, jota voidaan lieventää vain käyttämällä vähintään 2048 bitin moduulikokoja tai elliptisiä salausalgoritmeja, joita käytetään ryhmissä 19, 20, 21, 24. Näillä algoritmeilla on parempi suorituskyky kuin perinteinen kryptografia. . ja .
• IPSec-profiilin määrittäminen
VPN-yhteyden luomisen toinen vaihe on IPSec-tunneli. Sen SA-parametrit on määritetty sisään Verkko -> Verkkoprofiilit -> IPSec-salausprofiili. Tässä sinun on määritettävä IPSec-protokolla - AH tai ESP, sekä parametrit SA — Hajautusalgoritmit, salaus, Diffie-Hellman-ryhmät ja avainten käyttöikä. SA-parametrit IKE-salausprofiilissa ja IPSec-salausprofiilissa eivät välttämättä ole samat.
• IKE-yhdyskäytävän määrittäminen
IKE Gateway - Tämä on objekti, joka määrittää reitittimen tai palomuurin, jolla VPN-tunneli rakennetaan. Jokaiselle tunnelille sinun on luotava oma IKE Gateway. Tässä tapauksessa luodaan kaksi tunnelia, yksi kunkin Internet-palveluntarjoajan kautta. Vastaava lähtevä liitäntä ja sen IP-osoite, vertais-IP-osoite ja jaettu avain näytetään. Varmenteita voidaan käyttää vaihtoehtona jaetulle avaimelle.
Aiemmin luotu näkyy tässä IKE:n kryptoprofiili. Toisen objektin parametrit IKE Gateway samanlaisia IP-osoitteita lukuun ottamatta. Jos Palo Alto Networksin palomuuri sijaitsee NAT-reitittimen takana, sinun on otettava mekanismi käyttöön NAT Traversal.
• IPSec-tunnelin määrittäminen
IPSec-tunneli on objekti, joka määrittää IPSec-tunnelin parametrit, kuten nimestä voi päätellä. Täällä sinun on määritettävä tunnelin käyttöliittymä ja aiemmin luodut objektit IKE Gateway, IPSec-salausprofiili. Varmista, että reititys siirtyy automaattisesti varatunneliin, sinun on otettava se käyttöön Tunnelin monitori. Tämä on mekanismi, joka tarkistaa ICMP-liikenteen avulla, onko vertaishenkilö elossa. Kohdeosoitteeksi sinun on määritettävä tunnelirajapinnan IP-osoite sen vertaiskumppanin tunnelirajapinnalle, jonka kanssa tunnelia rakennetaan. Profiili määrittää ajastimet ja toiminnot, kun yhteys katkeaa. Odota toipumista – odota, kunnes yhteys palautuu, Fail Over — lähettää liikennettä eri reittiä pitkin, jos mahdollista. Toisen tunnelin asettaminen on täysin samanlaista: toinen tunnelin käyttöliittymä ja IKE-yhdyskäytävä on määritelty.
• Reitin määrittäminen
Tässä esimerkissä käytetään staattista reititystä. PA-1-palomuurissa on kahden oletusreitin lisäksi määritettävä kaksi reittiä haarassa olevaan 10.10.10.0/24-aliverkkoon. Toinen reitti käyttää tunneli-1:tä, toinen Tunneli-2. Tunneli 1:n läpi kulkeva reitti on tärkein, koska sen mittari on matalampi. Mekanismi Polun seuranta ei käytetä näillä reiteillä. Vastaa vaihdosta Tunnelin monitori.
Samat reitit aliverkolle 192.168.30.0/24 on määritettävä PA-2:ssa.
• Verkkosääntöjen määrittäminen
Jotta tunneli toimisi, tarvitaan kolme sääntöä:
- Töihin Path Monitor Salli ICMP ulkoisissa liitännöissä.
- varten IPSec salli sovellukset IKE и ipsec ulkoisissa liitännöissä.
- Salli liikenne sisäisten aliverkkojen ja tunnelirajapintojen välillä.
Johtopäätös
Tässä artikkelissa käsitellään mahdollisuutta määrittää vikasietoinen Internet-yhteys ja Sivustojen välinen VPN. Toivomme, että tiedoista oli hyötyä ja lukija sai käsityksen käytetyistä teknologioista Palo Alto -verkot. Jos sinulla on kysymyksiä asetuksista ja ehdotuksia tulevien artikkeleiden aiheista, kirjoita ne kommentteihin, vastaamme mielellämme.
Lähde: will.com