Questo articolo è una continuazione dedicato alle specifiche di allestimento delle apparecchiature Palo Alto Networks . Qui vogliamo parlare della configurazione VPN da sito a sito IPSec sull'attrezzatura Palo Alto Networks e su una possibile opzione di configurazione per il collegamento di diversi provider Internet.
Per la dimostrazione verrà utilizzato uno schema standard per collegare la sede centrale alla filiale. Per fornire una connessione Internet tollerante ai guasti, la sede centrale utilizza una connessione simultanea di due provider: ISP-1 e ISP-2. La filiale ha una connessione con un solo provider, ISP-3. Vengono costruiti due tunnel tra i firewall PA-1 e PA-2. I tunnel funzionano nella modalità Standby attivo,Il Tunnel-1 è attivo, il Tunnel-2 inizierà a trasmettere il traffico quando il Tunnel-1 fallisce. Tunnel-1 utilizza una connessione all'ISP-1, Tunnel-2 utilizza una connessione all'ISP-2. Tutti gli indirizzi IP sono generati casualmente a scopo dimostrativo e non hanno alcuna relazione con la realtà.
Per creare una VPN da sito a sito verrà utilizzata IPSec — un insieme di protocolli per garantire la protezione dei dati trasmessi tramite IP. IPSec funzionerà utilizzando un protocollo di sicurezza ESP (Encapsulating Security Payload), che garantirà la crittografia dei dati trasmessi.
В IPSec include IKE (Internet Key Exchange) è un protocollo responsabile della negoziazione delle SA (associazioni di sicurezza), parametri di sicurezza utilizzati per proteggere i dati trasmessi. Supporto firewall PAN IKEv1 и IKEv2.
В IKEv1 Una connessione VPN viene creata in due fasi: IKEv1 Fase 1 (Tunnel IKE) e IKEv1 Fase 2 (tunnel IPSec), vengono così creati due tunnel, uno dei quali viene utilizzato per lo scambio di informazioni di servizio tra firewall, il secondo per la trasmissione del traffico. IN IKEv1 Fase 1 Esistono due modalità operative: modalità principale e modalità aggressiva. La modalità aggressiva utilizza meno messaggi ed è più veloce, ma non supporta la protezione dell'identità peer.
IKEv2 sostituito IKEv1, e rispetto a IKEv1 il suo vantaggio principale sono i requisiti di larghezza di banda inferiori e la negoziazione SA più rapida. IN IKEv2 Vengono utilizzati meno messaggi di servizio (4 in totale), sono supportati i protocolli EAP e MOBIKE ed è stato aggiunto un meccanismo per verificare la disponibilità del peer con cui viene creato il tunnel - Controllo della vivacità, sostituendo il Dead Peer Detection in IKEv1. Se il controllo fallisce, allora IKEv2 può resettare il tunnel e poi ripristinarlo automaticamente alla prima occasione. Puoi saperne di più sulle differenze .
Se viene creato un tunnel tra firewall di produttori diversi, potrebbero esserci dei bug nell'implementazione IKEv2e per compatibilità con tali apparecchiature è possibile utilizzare IKEv1. In altri casi è meglio usare IKEv2.
Procedura di impostazione:
• Configurazione di due provider Internet in modalità ActiveStandby
Esistono diversi modi per implementare questa funzione. Uno di questi è utilizzare il meccanismo Monitoraggio del percorso, reso disponibile a partire dalla versione PANOS 8.0.0. Questo esempio utilizza la versione 8.0.16. Questa funzionalità è simile allo SLA IP nei router Cisco. Il parametro di route predefinita statica configura l'invio di pacchetti ping a un indirizzo IP specifico da un indirizzo di origine specifico. In questo caso, l'interfaccia Ethernet1/1 esegue il ping del gateway predefinito una volta al secondo. Se non c'è risposta a tre ping consecutivi, il percorso viene considerato interrotto e rimosso dalla tabella di routing. Lo stesso percorso è configurato verso il secondo provider Internet, ma con una metrica più alta (è di backup). Una volta rimossa la prima rotta dalla tabella, il firewall inizierà a inviare il traffico attraverso la seconda rotta Failover. Quando il primo provider inizia a rispondere ai ping, il suo percorso tornerà nella tabella e sostituirà il secondo grazie a una metrica migliore: Failback. Processo Failover richiede alcuni secondi a seconda degli intervalli configurati, ma in ogni caso il processo non è istantaneo e durante questo tempo il traffico viene perso. Failback passa senza perdita di traffico. C'è un'opportunità da fare Failover più veloce, con BFD, se il provider Internet offre tale opportunità. BFD supportato a partire dal modello Serie PA-3000 и VM-100. Come indirizzo ping è meglio non indicare il gateway del provider, ma un indirizzo Internet pubblico e sempre accessibile.
• Creazione di un'interfaccia tunnel
Il traffico all'interno del tunnel viene trasmesso attraverso apposite interfacce virtuali. Ognuno di essi deve essere configurato con un indirizzo IP della rete di transito. In questo esempio, la sottostazione 1/172.16.1.0 verrà utilizzata per il Tunnel-30 e la sottostazione 2/172.16.2.0 verrà utilizzata per il Tunnel-30.
L'interfaccia del tunnel viene creata nella sezione Rete -> Interfacce -> Tunnel. È necessario specificare un router virtuale e una zona di sicurezza, nonché un indirizzo IP dalla rete di trasporto corrispondente. Il numero di interfaccia può essere qualsiasi cosa.
Nella sezione Tecnologia può essere specificato Gestione dei profiliche consentirà il ping sull'interfaccia data, questo potrebbe essere utile per i test.
• Impostazione del profilo IKE
Profilo IKE è responsabile della prima fase della creazione di una connessione VPN; qui vengono specificati i parametri del tunnel IKE Fase 1. Il profilo viene creato nella sezione Rete -> Profili di rete -> IKE Crypto. È necessario specificare l'algoritmo di crittografia, l'algoritmo di hashing, il gruppo Diffie-Hellman e la durata della chiave. In generale, più gli algoritmi sono complessi, peggiori sono le prestazioni; essi dovrebbero essere selezionati in base a specifici requisiti di sicurezza. Tuttavia, è severamente sconsigliato utilizzare un gruppo Diffie-Hellman inferiore a 14 per proteggere le informazioni sensibili. Ciò è dovuto alla vulnerabilità del protocollo, che può essere mitigata solo utilizzando dimensioni del modulo di 2048 bit e superiori, o algoritmi di crittografia ellittica, utilizzati nei gruppi 19, 20, 21, 24. Questi algoritmi hanno prestazioni maggiori rispetto a crittografia tradizionale. . e .
• Configurazione del profilo IPSec
La seconda fase della creazione di una connessione VPN è un tunnel IPSec. I relativi parametri SA sono configurati in Rete -> Profili di rete -> Profilo crittografico IPSec. Qui è necessario specificare il protocollo IPSec - AH o ESP, così come i parametri SA — algoritmi di hashing, crittografia, gruppi Diffie-Hellman e durata della chiave. I parametri SA nel profilo di crittografia IKE e nel profilo di crittografia IPSec potrebbero non essere gli stessi.
• Configurazione del gateway IKE
Portale IKE - questo è un oggetto che designa un router o un firewall con cui viene costruito un tunnel VPN. Per ogni tunnel è necessario crearne uno proprio Portale IKE. In questo caso vengono creati due tunnel, uno attraverso ciascun provider Internet. Vengono indicati l'interfaccia in uscita corrispondente e il relativo indirizzo IP, indirizzo IP peer e chiave condivisa. I certificati possono essere utilizzati come alternativa a una chiave condivisa.
Qui è indicato quello precedentemente creato Profilo crittografico IKE. Parametri del secondo oggetto Portale IKE simili, ad eccezione degli indirizzi IP. Se il firewall di Palo Alto Networks si trova dietro un router NAT, è necessario abilitare il meccanismo NAT Attraversamento.
• Configurazione del tunnel IPSec
Tunnel IPSec è un oggetto che specifica i parametri del tunnel IPSec, come suggerisce il nome. Qui è necessario specificare l'interfaccia del tunnel e gli oggetti creati in precedenza Portale IKE, Profilo crittografico IPSec. Per garantire il passaggio automatico del routing al tunnel di backup, è necessario abilitare Monitoraggio del tunnel. Questo è un meccanismo che controlla se un peer è attivo utilizzando il traffico ICMP. Come indirizzo di destinazione è necessario specificare l'indirizzo IP dell'interfaccia tunnel del peer con cui viene costruito il tunnel. Il profilo specifica i timer e l'azione in caso di perdita della connessione. Aspetta Recupera – attendere il ripristino della connessione, Fallire — inviare il traffico lungo un percorso diverso, se disponibile. La configurazione del secondo tunnel è completamente simile; vengono specificati l'interfaccia del secondo tunnel e il gateway IKE.
• Impostazione del percorso
Questo esempio utilizza il routing statico. Sul firewall PA-1, oltre ai due percorsi predefiniti, è necessario specificare due percorsi alla sottorete 10.10.10.0/24 nel ramo. Un percorso utilizza il Tunnel-1, l'altro il Tunnel-2. Il percorso attraverso il Tunnel-1 è quello principale perché ha una metrica inferiore. Meccanismo Monitoraggio del percorso non utilizzato per questi percorsi. Responsabile del cambio Monitoraggio del tunnel.
Gli stessi percorsi per la sottorete 192.168.30.0/24 devono essere configurati su PA-2.
• Impostazione delle regole di rete
Perché il tunnel funzioni sono necessarie tre regole:
- Per lavorare Monitoraggio del percorso Consenti ICMP sulle interfacce esterne.
- per IPSec consentire app ike и IPSec sulle interfacce esterne.
- Consentire il traffico tra sottoreti interne e interfacce tunnel.
conclusione
In questo articolo viene discussa la possibilità di configurare una connessione Internet tollerante ai guasti e VPN da sito a sito. Ci auguriamo che l'informazione sia stata utile e che il lettore si sia fatto un'idea delle tecnologie utilizzate in Palo Alto Networks. Se hai domande sul setup e suggerimenti su argomenti per i prossimi articoli, scrivili nei commenti, saremo felici di rispondere.
Fonte: habr.com