Ovaj članak je nastavak posvećen specifičnostima postavljanja opreme Palo Alto Networks . Ovdje želimo razgovarati o postavljanju IPSec Site-to-Site VPN na opremi Palo Alto Networks te o mogućoj konfiguracijskoj opciji za povezivanje više Internet providera.
Za demonstraciju će se koristiti standardna shema povezivanja sjedišta s poslovnicom. Kako bi se osigurala internetska veza tolerantna na pogreške, središnjica koristi istodobnu vezu dva pružatelja: ISP-1 i ISP-2. Poslovnica ima vezu samo s jednim pružateljem, ISP-3. Između vatrozida PA-1 i PA-2 izgrađena su dva tunela. Tuneli rade u načinu rada Aktivno stanje pripravnosti,Tunel-1 je aktivan, Tunel-2 će početi slati promet kada Tunel-1 zakaže. Tunel-1 koristi vezu s ISP-1, Tunel-2 koristi vezu s ISP-2. Sve IP adrese su nasumično generirane u svrhu demonstracije i nemaju nikakve veze sa stvarnošću.
Za izgradnju Site-to-Site VPN-a koristit će se IPSec — skup protokola koji osiguravaju zaštitu podataka koji se prenose putem IP-a. IPSec radit će pomoću sigurnosnog protokola ESP (Encapsulating Security Payload), koji će osigurati šifriranje prenesenih podataka.
В IPSec uključuje IKE (Internet Key Exchange) je protokol odgovoran za pregovaranje SA (security associations), sigurnosnih parametara koji se koriste za zaštitu prenesenih podataka. Podrška za PAN vatrozide IKEv1 и IKEv2.
В IKEv1 VPN veza se gradi u dvije faze: IKEv1 faza 1 (IKE tunel) i IKEv1 faza 2 (IPSec tunel), tako se stvaraju dva tunela, od kojih jedan služi za razmjenu servisnih informacija između vatrozida, a drugi za prijenos prometa. U IKEv1 faza 1 Postoje dva načina rada - glavni način i agresivni način. Agresivni način rada koristi manje poruka i brži je, ali ne podržava Peer Identity Protection.
IKEv2 zamijenjena IKEv1, i u usporedbi s IKEv1 njegova glavna prednost su niži zahtjevi za širinom pojasa i brže SA pregovaranje. U IKEv2 Koristi se manje servisnih poruka (ukupno 4), podržani su EAP i MOBIKE protokoli, a dodan je i mehanizam za provjeru dostupnosti peera s kojim se tunel kreira - Provjera živosti, zamjenjujući Dead Peer Detection u IKEv1. Ako provjera ne uspije, onda IKEv2 može resetirati tunel i zatim ga automatski vratiti prvom prilikom. Možete saznati više o razlikama .
Ako je izgrađen tunel između vatrozida različitih proizvođača, tada može biti pogrešaka u implementaciji IKEv2, a za kompatibilnost s takvom opremom moguće je koristiti IKEv1. U drugim slučajevima bolje je koristiti IKEv2.
Koraci postavljanja:
• Konfiguriranje dva Internet providera u ActiveStandby modu
Postoji nekoliko načina za implementaciju ove funkcije. Jedan od njih je korištenje mehanizma Praćenje staze, koji je postao dostupan počevši od verzije PAN-OS 8.0.0. Ovaj primjer koristi verziju 8.0.16. Ova je značajka slična IP SLA-u u Cisco usmjerivačima. Statički zadani parametar rute konfigurira slanje ping paketa na određenu IP adresu s određene izvorne adrese. U ovom slučaju, ethernet1/1 sučelje pinguje zadani pristupnik jednom u sekundi. Ako nema odgovora na tri pinga zaredom, ruta se smatra pokvarenom i uklanja se iz tablice usmjeravanja. Ista ruta je konfigurirana prema drugom internetskom pružatelju, ali s višom metrikom (rezervna je). Nakon što se prva ruta ukloni iz tablice, vatrozid će početi slati promet drugom rutom − Fail-Over. Kada prvi pružatelj počne odgovarati na pingove, njegova ruta će se vratiti u tablicu i zamijeniti drugog zbog bolje metrike - Fail-Back. Postupak Fail-Over traje nekoliko sekundi, ovisno o konfiguriranim intervalima, ali, u svakom slučaju, proces nije trenutačni i tijekom tog vremena se gubi promet. Fail-Back prolazi bez gubitka prometa. Postoji prilika za učiniti Fail-Over brže, sa BFD, ako pružatelj internetskih usluga pruža takvu priliku. BFD podržano počevši od modela Serija PA-3000 и VM-100. Bolje je da kao ping adresu ne navedete gateway davatelja usluga, već javnu, uvijek dostupnu internetsku adresu.
• Stvaranje sučelja tunela
Promet unutar tunela prenosi se kroz posebna virtualna sučelja. Svaki od njih mora biti konfiguriran s IP adresom iz tranzitne mreže. U ovom primjeru, trafostanica 1/172.16.1.0 će se koristiti za Tunel-30, a trafostanica 2/172.16.2.0 će se koristiti za Tunel-30.
Sučelje tunela kreirano je u odjeljku Mreža -> Sučelja -> Tunel. Morate navesti virtualni usmjerivač i sigurnosnu zonu, kao i IP adresu iz odgovarajuće prijenosne mreže. Broj sučelja može biti bilo što.
U odjeljku napredan možete ukazati Profil upravljanjakoji će omogućiti ping na danom sučelju, ovo može biti korisno za testiranje.
• Postavljanje IKE profila
IKE profil odgovoran je za prvu fazu stvaranja VPN veze; ovdje su navedeni parametri tunela IKE faza 1. Profil se kreira u odjeljku Mreža -> Mrežni profili -> IKE Crypto. Potrebno je navesti algoritam enkripcije, algoritam raspršivanja, Diffie-Hellman grupu i životni vijek ključa. Općenito, što su algoritmi složeniji, to je lošija izvedba; treba ih odabrati na temelju specifičnih sigurnosnih zahtjeva. Međutim, strogo se ne preporučuje korištenje Diffie-Hellmanove grupe ispod 14 radi zaštite osjetljivih podataka. To je zbog ranjivosti protokola, koja se može ublažiti samo korištenjem veličina modula od 2048 bita i više, ili eliptičkih kriptografskih algoritama, koji se koriste u skupinama 19, 20, 21, 24. Ovi algoritmi imaju veću izvedbu u usporedbi s tradicionalna kriptografija. , i .
• Konfiguriranje IPSec profila
Druga faza stvaranja VPN veze je IPSec tunel. SA parametri za njega su konfigurirani u Mreža -> Mrežni profili -> IPSec kripto profil. Ovdje morate navesti IPSec protokol - AH ili ESP, kao i parametri SA — algoritmi raspršivanja, enkripcija, Diffie-Hellmanove grupe i životni vijek ključa. SA parametri u IKE kripto profilu i IPSec kripto profilu možda neće biti isti.
• Konfiguriranje IKE pristupnika
IKE pristupnik - ovo je objekt koji označava usmjerivač ili vatrozid pomoću kojeg se gradi VPN tunel. Za svaki tunel morate izraditi vlastiti IKE pristupnik. U ovom slučaju stvaraju se dva tunela, po jedan kroz svakog pružatelja internetskih usluga. Odgovarajuće odlazno sučelje i njegova IP adresa, ravnopravna IP adresa i zajednički ključ su naznačeni. Certifikati se mogu koristiti kao alternativa zajedničkom ključu.
Ovdje je naznačena prethodno stvorena IKE kripto profil. Parametri drugog objekta IKE pristupnik slično, osim za IP adrese. Ako se vatrozid Palo Alto Networks nalazi iza NAT usmjerivača, morate omogućiti mehanizam NAT prolaz.
• Postavljanje IPSec tunela
IPSec tunel je objekt koji specificira parametre IPSec tunela, kao što ime sugerira. Ovdje morate navesti sučelje tunela i prethodno kreirane objekte IKE pristupnik, IPSec kripto profil. Kako biste osigurali automatsko prebacivanje usmjeravanja na rezervni tunel, morate omogućiti Monitor tunela. Ovo je mehanizam koji provjerava je li peer živ koristeći ICMP promet. Kao odredišnu adresu morate navesti IP adresu sučelja tunela peera s kojim se gradi tunel. Profil navodi mjerače vremena i što učiniti ako se veza izgubi. Pričekajte Oporaviti se – pričekajte da se veza uspostavi, Fail Over — slanje prometa drugom rutom, ako je dostupna. Postavljanje drugog tunela potpuno je slično; navedeno je sučelje drugog tunela i IKE Gateway.
• Postavljanje usmjeravanja
Ovaj primjer koristi statičko usmjeravanje. Na vatrozidu PA-1, osim dvije zadane rute, trebate navesti dvije rute do podmreže 10.10.10.0/24 u grani. Jedna trasa koristi Tunel-1, druga Tunel-2. Ruta kroz Tunel-1 je glavna jer ima nižu metriku. Mehanizam Praćenje staze ne koristi se za ove rute. Odgovoran za prebacivanje Monitor tunela.
Iste rute za podmrežu 192.168.30.0/24 potrebno je konfigurirati na PA-2.
• Postavljanje mrežnih pravila
Da bi tunel funkcionirao, potrebna su tri pravila:
- Raditi Monitor staze Dopusti ICMP na vanjskim sučeljima.
- za IPSec dopustiti aplikacije ike и ipsec na vanjskim sučeljima.
- Dopusti promet između internih podmreža i sučelja tunela.
Zaključak
Ovaj članak govori o mogućnosti postavljanja internetske veze otporne na pogreške i Site-to-Site VPN. Nadamo se da su informacije bile korisne i da je čitatelj stekao ideju o tehnologijama koje se koriste u Palo Alto Networks. Ako imate pitanja o postavljanju i prijedloge o temama za buduće članke, napišite ih u komentarima, rado ćemo odgovoriti.
Izvor: www.habr.com