Cet article est une continuation dédié aux spécificités de la mise en place des équipements Palo Alto Networks . Ici, nous voulons parler de la configuration VPN site à site IPSec sur l'équipement Palo Alto Networks et sur une option de configuration possible pour connecter plusieurs fournisseurs Internet.
Pour la démonstration, un schéma standard de connexion du siège social à la succursale sera utilisé. Afin de fournir une connexion Internet insensible aux pannes, le siège social utilise une connexion simultanée de deux fournisseurs : ISP-1 et ISP-2. La succursale est connectée à un seul fournisseur, ISP-3. Deux tunnels sont construits entre les pare-feu PA-1 et PA-2. Les tunnels fonctionnent en mode Actif-Veille, Le tunnel-1 est actif, le tunnel-2 commencera à transmettre du trafic en cas de panne du tunnel-1. Tunnel-1 utilise une connexion au FAI-1, Tunnel-2 utilise une connexion au FAI-2. Toutes les adresses IP sont générées aléatoirement à des fins de démonstration et n'ont aucun rapport avec la réalité.
Pour créer un VPN site à site, il sera utilisé IPSec — un ensemble de protocoles pour assurer la protection des données transmises via IP. IPSec fonctionnera en utilisant un protocole de sécurité ESP (Encapsulated Security Payload), qui assurera le chiffrement des données transmises.
В IPSec входит IKE (Internet Key Exchange) est un protocole chargé de négocier les SA (associations de sécurité), paramètres de sécurité utilisés pour protéger les données transmises. Prise en charge des pare-feu PAN IKEv1 и IKEv2.
В IKEv1 Une connexion VPN se construit en deux étapes : IKEv1 Phase 1 (tunnel IKE) et IKEv1 Phase 2 (tunnel IPSec), ainsi deux tunnels sont créés, dont l'un est utilisé pour l'échange d'informations de service entre pare-feu, le second pour la transmission du trafic. DANS IKEv1 Phase 1 Il existe deux modes de fonctionnement : le mode principal et le mode agressif. Le mode agressif utilise moins de messages et est plus rapide, mais ne prend pas en charge la protection de l'identité des pairs.
IKEv2 remplacé IKEv1, et comparé à IKEv1 son principal avantage réside dans des exigences de bande passante inférieures et une négociation SA plus rapide. DANS IKEv2 Moins de messages de service sont utilisés (4 au total), les protocoles EAP et MOBIKE sont pris en charge, et un mécanisme a été ajouté pour vérifier la disponibilité du homologue avec lequel le tunnel est créé - Vérification de la vivacité, remplaçant Dead Peer Detection dans IKEv1. Si la vérification échoue, alors IKEv2 peut réinitialiser le tunnel puis le restaurer automatiquement à la première occasion. Vous pouvez en apprendre davantage sur les différences .
Si un tunnel est construit entre des pare-feu de différents fabricants, il peut y avoir des bugs dans la mise en œuvre IKEv2, et pour la compatibilité avec un tel équipement, il est possible d'utiliser IKEv1. Dans d'autres cas, il est préférable d'utiliser IKEv2.
Étapes de réglage:
• Configuration de deux fournisseurs Internet en mode ActiveStandby
Il existe plusieurs façons de mettre en œuvre cette fonction. L'un d'eux consiste à utiliser le mécanisme Surveillance du chemin, devenu disponible à partir de la version PAN-OS 8.0.0. Cet exemple utilise la version 8.0.16. Cette fonctionnalité est similaire à IP SLA dans les routeurs Cisco. Le paramètre de route statique par défaut configure l'envoi de paquets ping vers une adresse IP spécifique à partir d'une adresse source spécifique. Dans ce cas, l'interface Ethernet1/1 envoie une requête ping à la passerelle par défaut une fois par seconde. S'il n'y a pas de réponse à trois pings consécutifs, la route est considérée comme interrompue et supprimée de la table de routage. La même route est configurée vers le deuxième fournisseur Internet, mais avec une métrique plus élevée (il s'agit d'une route de secours). Une fois la première route supprimée du tableau, le pare-feu commencera à envoyer du trafic via la deuxième route - Basculement. Lorsque le premier fournisseur commencera à répondre aux pings, son itinéraire reviendra à la table et remplacera le second grâce à une meilleure métrique : Restauration. Processus Basculement prend quelques secondes en fonction des intervalles configurés, mais, dans tous les cas, le processus n'est pas instantané et pendant ce temps, le trafic est perdu. Restauration passe sans perte de trafic. Il y a une opportunité de faire Basculement plus vite, avec BFD, si le fournisseur d'accès Internet offre une telle opportunité. BFD pris en charge à partir du modèle Série PA-3000 и VM-100. Il est préférable de spécifier non pas la passerelle du fournisseur comme adresse ping, mais une adresse Internet publique et toujours accessible.
• Création d'une interface tunnel
Le trafic à l'intérieur du tunnel est transmis via des interfaces virtuelles spéciales. Chacun d'eux doit être configuré avec une adresse IP du réseau de transit. Dans cet exemple, la sous-station 1/172.16.1.0 sera utilisée pour le tunnel-30 et la sous-station 2/172.16.2.0 sera utilisée pour le tunnel-30.
L'interface du tunnel est créée dans la section Réseau -> Interfaces -> Tunnel. Vous devez spécifier un routeur virtuel et une zone de sécurité, ainsi qu'une adresse IP du réseau de transport correspondant. Le numéro d'interface peut être n'importe quoi.
Dans la section Avancé peut être spécifié Profil de Gestionqui permettra d'effectuer un ping sur l'interface donnée, cela peut être utile pour les tests.
• Configuration du profil IKE
Profil IKE est responsable de la première étape de création d'une connexion VPN ; les paramètres du tunnel sont spécifiés ici IKE Phase 1. Le profil est créé dans la section Réseau -> Profils réseau -> IKE Crypto. Il est nécessaire de spécifier l'algorithme de chiffrement, l'algorithme de hachage, le groupe Diffie-Hellman et la durée de vie de la clé. En général, plus les algorithmes sont complexes, plus les performances sont mauvaises ; ils doivent être sélectionnés en fonction d’exigences de sécurité spécifiques. Cependant, il est strictement déconseillé d’utiliser un groupe Diffie-Hellman inférieur à 14 pour protéger les informations sensibles. Cela est dû à la vulnérabilité du protocole, qui ne peut être atténuée qu'en utilisant des tailles de module de 2048 bits et plus, ou des algorithmes de cryptographie elliptique, utilisés dans les groupes 19, 20, 21, 24. Ces algorithmes ont de meilleures performances par rapport à cryptographie traditionnelle. . Et .
• Configuration du profil IPSec
La deuxième étape de création d'une connexion VPN est un tunnel IPSec. Les paramètres SA correspondant sont configurés dans Réseau -> Profils réseau -> Profil de chiffrement IPSec. Ici, vous devez spécifier le protocole IPSec - AH ou ESP, ainsi que les paramètres SA — algorithmes de hachage, cryptage, groupes Diffie-Hellman et durée de vie des clés. Les paramètres SA dans le profil de chiffrement IKE et le profil de chiffrement IPSec peuvent ne pas être les mêmes.
• Configuration de la passerelle IKE
Passerelle IKE - c'est un objet qui désigne un routeur ou un pare-feu avec lequel est construit un tunnel VPN. Pour chaque tunnel, vous devez créer le vôtre Passerelle IKE. Dans ce cas, deux tunnels sont créés, un via chaque fournisseur Internet. L'interface sortante correspondante et son adresse IP, son adresse IP homologue et sa clé partagée sont indiquées. Les certificats peuvent être utilisés comme alternative à une clé partagée.
Celui créé précédemment est indiqué ici Profil cryptographique IKE. Paramètres du deuxième objet Passerelle IKE similaire, sauf pour les adresses IP. Si le pare-feu de Palo Alto Networks est situé derrière un routeur NAT, vous devez alors activer le mécanisme Traversée NAT.
• Configuration du tunnel IPSec
Tunnel IPSec est un objet qui spécifie les paramètres du tunnel IPSec, comme son nom l'indique. Ici, vous devez spécifier l'interface du tunnel et les objets créés précédemment Passerelle IKE, Profil de chiffrement IPSec. Pour assurer le basculement automatique du routage vers le tunnel de secours, vous devez activer Moniteur de tunnels. Il s'agit d'un mécanisme qui vérifie si un homologue est vivant à l'aide du trafic ICMP. Comme adresse de destination, vous devez spécifier l'adresse IP de l'interface du tunnel du homologue avec lequel le tunnel est construit. Le profil spécifie les minuteries et ce qu'il faut faire si la connexion est perdue. Attendre Récupérer – attendre que la connexion soit rétablie, Basculement - envoyer le trafic vers un itinéraire différent, si disponible. La configuration du deuxième tunnel est complètement similaire ; la deuxième interface du tunnel et IKE Gateway sont spécifiées.
• Configuration du routage
Cet exemple utilise le routage statique. Sur le pare-feu PA-1, en plus des deux routes par défaut, vous devez spécifier deux routes vers le sous-réseau 10.10.10.0/24 dans la branche. Un itinéraire utilise le Tunnel-1, l'autre le Tunnel-2. L'itinéraire passant par le Tunnel-1 est le principal car il a une métrique inférieure. Mécanisme Surveillance du chemin pas utilisé pour ces itinéraires. Responsable du changement Moniteur de tunnels.
Les mêmes routes pour le sous-réseau 192.168.30.0/24 doivent être configurées sur PA-2.
• Mise en place de règles réseau
Pour que le tunnel fonctionne, trois règles sont nécessaires :
- Pour travailler Moniteur de chemin Autoriser ICMP sur les interfaces externes.
- Pour IPSec autoriser les applications ike и IPSec sur les interfaces externes.
- Autorisez le trafic entre les sous-réseaux internes et les interfaces de tunnel.
Conclusion
Cet article traite de la possibilité de configurer une connexion Internet tolérante aux pannes et VPN de site à site. Nous espérons que les informations ont été utiles et que le lecteur a eu une idée des technologies utilisées dans Palo Alto Networks. Si vous avez des questions sur la configuration et des suggestions sur des sujets pour de futurs articles, écrivez-les dans les commentaires, nous serons heureux d'y répondre.
Source: habr.com