Artikel ini merupakan lanjutan didedikasikan untuk spesifikasi pengaturan peralatan Palo Alto Networks . Di sini kami ingin berbicara tentang pengaturannya VPN Situs-ke-Situs IPSec pada peralatan Palo Alto Networks dan tentang kemungkinan opsi konfigurasi untuk menghubungkan beberapa penyedia Internet.
Untuk demonstrasi, skema standar untuk menghubungkan kantor pusat ke cabang akan digunakan. Untuk menyediakan koneksi Internet yang toleran terhadap kesalahan, kantor pusat menggunakan koneksi simultan dari dua penyedia: ISP-1 dan ISP-2. Cabang hanya memiliki koneksi ke satu penyedia, ISP-3. Dua terowongan dibangun antara firewall PA-1 dan PA-2. Terowongan beroperasi dalam mode tersebut Aktif-Siaga,Tunnel-1 aktif, Tunnel-2 akan mulai mentransmisikan lalu lintas ketika Tunnel-1 gagal. Tunnel-1 menggunakan koneksi ke ISP-1, Tunnel-2 menggunakan koneksi ke ISP-2. Semua alamat IP dibuat secara acak untuk tujuan demonstrasi dan tidak ada hubungannya dengan kenyataan.
Untuk membangun Site-to-Site VPN akan digunakan IPSEC β seperangkat protokol untuk memastikan perlindungan data yang dikirimkan melalui IP. IPSEC akan bekerja menggunakan protokol keamanan ESP (Encapsulate Security Payload), yang akan memastikan enkripsi data yang dikirimkan.
Π IPSEC sudah termasuk IKE (Internet Key Exchange) adalah protokol yang bertanggung jawab untuk menegosiasikan SA (asosiasi keamanan), parameter keamanan yang digunakan untuk melindungi data yang dikirimkan. Dukungan firewall PAN IKEv1 ΠΈ IKEv2.
Π IKEv1 Koneksi VPN dibangun dalam dua tahap: IKEv1 Tahap 1 (terowongan IKE) dan IKEv1 Tahap 2 (terowongan IPSec), dengan demikian, dua terowongan dibuat, salah satunya digunakan untuk pertukaran informasi layanan antar firewall, yang kedua untuk transmisi lalu lintas. DI DALAM IKEv1 Tahap 1 Ada dua mode pengoperasian - mode utama dan mode agresif. Mode agresif menggunakan lebih sedikit pesan dan lebih cepat, namun tidak mendukung Perlindungan Identitas Sejawat.
IKEv2 datang untuk menggantikannya IKEv1, dan dibandingkan dengan IKEv1 keuntungan utamanya adalah kebutuhan bandwidth yang lebih rendah dan negosiasi SA yang lebih cepat. DI DALAM IKEv2 Lebih sedikit pesan layanan yang digunakan (total 4), protokol EAP dan MOBIKE didukung, dan mekanisme telah ditambahkan untuk memeriksa ketersediaan rekan yang digunakan untuk membuat terowongan - Pemeriksaan Keaktifan, menggantikan Deteksi Rekan Mati di IKEv1. Jika pemeriksaan gagal, maka IKEv2 dapat mengatur ulang terowongan dan kemudian memulihkannya secara otomatis pada kesempatan pertama. Anda dapat mempelajari lebih lanjut tentang perbedaannya .
Jika terowongan dibangun antara firewall dari produsen yang berbeda, maka mungkin ada bug dalam implementasinya IKEv2, dan untuk kompatibilitas dengan peralatan tersebut dimungkinkan untuk digunakan IKEv1. Dalam kasus lain lebih baik digunakan IKEv2.
Langkah-langkah pengaturan:
β’ Mengonfigurasi dua penyedia Internet dalam mode ActiveStandby
Ada beberapa cara untuk mengimplementasikan fungsi ini. Salah satunya adalah dengan menggunakan mekanisme tersebut Pemantauan Jalur, yang tersedia mulai dari versi PAN-OS 8.0.0. Contoh ini menggunakan versi 8.0.16. Fitur ini mirip dengan IP SLA di router Cisco. Parameter rute default statis mengonfigurasi pengiriman paket ping ke alamat IP tertentu dari alamat sumber tertentu. Dalam hal ini, antarmuka ethernet1/1 melakukan ping ke gateway default satu kali per detik. Jika tidak ada respon terhadap tiga ping berturut-turut, rute dianggap rusak dan dihapus dari tabel routing. Rute yang sama dikonfigurasikan ke penyedia Internet kedua, tetapi dengan metrik yang lebih tinggi (ini adalah cadangan). Setelah rute pertama dihapus dari tabel, firewall akan mulai mengirimkan lalu lintas melalui rute kedua - Kegagalan. Saat penyedia pertama mulai merespons ping, rutenya akan kembali ke tabel dan menggantikan penyedia kedua karena metrik yang lebih baik - Gagal-Kembali. Proses Kegagalan memerlukan waktu beberapa detik tergantung pada interval yang dikonfigurasi, namun, bagaimanapun juga, prosesnya tidak instan, dan selama waktu tersebut lalu lintas hilang. Gagal-Kembali lewat tanpa kehilangan lalu lintas. Ada peluang untuk melakukannya Kegagalan lebih cepat, dengan BFD, jika penyedia Internet memberikan kesempatan seperti itu. BFD didukung mulai dari model Seri PA-3000 ΠΈ VM-100. Lebih baik untuk menentukan bukan gateway penyedia sebagai alamat ping, tetapi alamat Internet publik yang selalu dapat diakses.
β’ Membuat antarmuka terowongan
Lalu lintas di dalam terowongan ditransmisikan melalui antarmuka virtual khusus. Masing-masing harus dikonfigurasi dengan alamat IP dari jaringan transit. Pada contoh ini, gardu induk 1/172.16.1.0 akan digunakan untuk Terowongan-30, dan gardu induk 2/172.16.2.0 akan digunakan untuk Terowongan-30.
Antarmuka terowongan dibuat di bagian tersebut Jaringan -> Antarmuka -> Terowongan. Anda harus menentukan router virtual dan zona keamanan, serta alamat IP dari jaringan transport yang sesuai. Nomor antarmuka bisa apa saja.
Pada bagian Advanced dapat ditentukan Profil Manajemenyang akan memungkinkan ping pada antarmuka tertentu, ini mungkin berguna untuk pengujian.
β’ Menyiapkan Profil IKE
Profil IKE bertanggung jawab untuk tahap pertama pembuatan koneksi VPN; parameter terowongan ditentukan di sini IKE Tahap 1. Profil dibuat di bagian tersebut Jaringan -> Profil Jaringan -> IKE Crypto. Penting untuk menentukan algoritma enkripsi, algoritma hashing, grup Diffie-Hellman dan masa pakai kunci. Secara umum, semakin kompleks suatu algoritma, semakin buruk kinerjanya; algoritma tersebut harus dipilih berdasarkan persyaratan keamanan tertentu. Namun, sangat tidak disarankan menggunakan grup Diffie-Hellman di bawah 14 tahun untuk melindungi informasi sensitif. Hal ini disebabkan oleh kerentanan protokol yang hanya dapat diatasi dengan menggunakan ukuran modul 2048 bit atau lebih tinggi, atau algoritma kriptografi elips yang digunakan pada kelompok 19, 20, 21, 24. Algoritma ini memiliki kinerja yang lebih baik dibandingkan dengan kriptografi tradisional. . Dan .
β’ Menyiapkan Profil IPSec
Tahap kedua dalam membuat koneksi VPN adalah terowongan IPSec. Parameter SA untuknya dikonfigurasikan di Jaringan -> Profil Jaringan -> Profil Kripto IPSec. Di sini Anda perlu menentukan protokol IPSec - AH atau ESP, serta parameter SA β algoritma hashing, enkripsi, grup Diffie-Hellman, dan masa pakai kunci. Parameter SA di Profil Kripto IKE dan Profil Kripto IPSec mungkin tidak sama.
β’ Mengkonfigurasi IKE Gateway
Gerbang IKE - ini adalah objek yang menunjuk router atau firewall yang digunakan untuk membangun terowongan VPN. Untuk setiap terowongan, Anda perlu membuatnya sendiri Gerbang IKE. Dalam hal ini, dua terowongan dibuat, satu melalui masing-masing penyedia Internet. Antarmuka keluar yang sesuai dan alamat IP-nya, alamat IP rekan, dan kunci bersama ditunjukkan. Sertifikat dapat digunakan sebagai alternatif kunci bersama.
Yang dibuat sebelumnya ditunjukkan di sini Profil Kripto IKE. Parameter objek kedua Gerbang IKE serupa, kecuali alamat IP. Jika firewall Palo Alto Networks terletak di belakang router NAT, maka Anda perlu mengaktifkan mekanisme tersebut Lintasan NAT.
β’ Menyiapkan Terowongan IPSec
Terowongan IPSec adalah objek yang menentukan parameter terowongan IPSec, seperti namanya. Di sini Anda perlu menentukan antarmuka terowongan dan objek yang dibuat sebelumnya Gerbang IKE, Profil Kripto IPSec. Untuk memastikan peralihan perutean otomatis ke terowongan cadangan, Anda harus mengaktifkannya Pemantau Terowongan. Ini adalah mekanisme yang memeriksa apakah rekan masih hidup menggunakan lalu lintas ICMP. Sebagai alamat tujuan, Anda perlu menentukan alamat IP antarmuka terowongan rekan yang digunakan untuk membangun terowongan. Profil tersebut menentukan pengatur waktu dan apa yang harus dilakukan jika koneksi terputus. Tunggu Pulih β tunggu hingga koneksi pulih, Gagal β mengirim lalu lintas melalui rute yang berbeda, jika tersedia. Menyiapkan terowongan kedua sangat mirip; antarmuka terowongan kedua dan IKE Gateway ditentukan.
β’ Menyiapkan perutean
Contoh ini menggunakan perutean statis. Pada firewall PA-1, selain dua rute default, Anda perlu menentukan dua rute ke subnet 10.10.10.0/24 di cabang. Satu rute menggunakan Terowongan-1, yang lain Terowongan-2. Jalur melalui Terowongan-1 merupakan jalur utama karena memiliki metrik yang lebih rendah. Mekanisme Pemantauan Jalur tidak digunakan untuk rute ini. Bertanggung jawab untuk beralih Pemantau Terowongan.
Rute yang sama untuk subnet 192.168.30.0/24 perlu dikonfigurasi pada PA-2.
β’ Menyiapkan aturan jaringan
Agar terowongan dapat berfungsi, diperlukan tiga aturan:
- Untuk bekerja Pemantau Jalur Izinkan ICMP pada antarmuka eksternal.
- Untuk IPSEC izinkan aplikasi ike ΠΈ IPSec pada antarmuka eksternal.
- Izinkan lalu lintas antara subnet internal dan antarmuka terowongan.
Kesimpulan
Artikel ini membahas opsi untuk mengatur koneksi Internet yang toleran terhadap kesalahan dan VPN Situs-ke-Situs. Kami berharap informasinya bermanfaat dan pembaca mendapat gambaran tentang teknologi yang digunakan Palo Alto Networks. Jika Anda memiliki pertanyaan tentang pengaturan dan saran topik untuk artikel mendatang, tulis di komentar, kami akan dengan senang hati menjawabnya.
Sumber: www.habr.com