🥇הגדרת IPSec אתר-אתר VPN בציוד Palo Alto Networks

מאמר זה הוא המשך חומר קודםמוקדש לפרטים של הגדרת ציוד פאלו אלטו נטוורקס . כאן אנחנו רוצים לדבר על ההגדרה IPSec VPN אתר לאתר על ציוד פאלו אלטו נטוורקס ולגבי אפשרות תצורה אפשרית לחיבור מספר ספקי אינטרנט.

לצורך ההדגמה תשמש תכנית סטנדרטית לחיבור המשרד הראשי לסניף. על מנת לספק חיבור אינטרנט עמיד לתקלות, המשרד הראשי משתמש בחיבור בו-זמני של שני ספקים: ISP-1 ו-ISP-2. לסניף יש חיבור לספק אחד בלבד, ISP-3. שתי מנהרות בנויות בין חומות האש PA-1 ו-PA-2. המנהרות פועלות במצב פעיל-המתנה,מנהרה-1 פעילה, מנהרה-2 תתחיל לשדר תעבורה כאשר מנהרה-1 תיכשל. Tunnel-1 משתמש בחיבור ל-ISP-1, Tunnel-2 משתמש בחיבור ל-ISP-2. כל כתובות ה-IP נוצרות באופן אקראי למטרות הדגמה ואין להן קשר למציאות.

כדי לבנות VPN אתר לאתר ייעשה שימוש IPSec - קבוצה של פרוטוקולים כדי להבטיח הגנה על נתונים המועברים באמצעות IP. IPSec יעבוד באמצעות פרוטוקול אבטחה ESP (Encapsulating Security Payload), שיבטיח הצפנה של נתונים מועברים.

В IPSec נכנס IKE (Internet Key Exchange) הוא פרוטוקול האחראי על משא ומתן על SA (אגודות אבטחה), פרמטרי אבטחה המשמשים להגנה על נתונים מועברים. תמיכה בחומת אש PAN IKEv1 и IKEv2.

В IKEv1 חיבור VPN בנוי בשני שלבים: IKEv1 שלב 1 (מנהרת IKE) ו IKEv1 שלב 2 (מנהרת IPSec), לפיכך, נוצרות שתי מנהרות, שאחת מהן משמשת להחלפת מידע שירות בין חומות אש, השנייה להעברת תעבורה. IN IKEv1 שלב 1 ישנם שני מצבי פעולה - מצב ראשי ומצב אגרסיבי. מצב אגרסיבי משתמש בפחות הודעות ומהיר יותר, אך אינו תומך בהגנה על זהות עמיתים.

IKEv2 הוחלף IKEv1, ובהשוואה ל IKEv1 היתרון העיקרי שלו הוא דרישות רוחב פס נמוכות יותר ומשא ומתן מהיר יותר של SA. IN IKEv2 נעשה שימוש בפחות הודעות שירות (4 בסך הכל), פרוטוקולי EAP ו-MOBIKE נתמכים, ונוסף מנגנון לבדיקת זמינות העמית שאיתו נוצרת המנהרה - בדיקת חיים, מחליף Dead Peer Detection ב-IKEv1. אם הבדיקה נכשלת, אז IKEv2 יכול לאפס את המנהרה ולאחר מכן לשחזר אותה אוטומטית בהזדמנות הראשונה. אתה יכול ללמוד עוד על ההבדלים קרא כאן.

אם נבנית מנהרה בין חומות אש מיצרנים שונים, אז ייתכן שיש באגים ביישום IKEv2, ולצורך תאימות לציוד כזה ניתן להשתמש IKEv1. במקרים אחרים עדיף להשתמש IKEv2.

שלבי הגדרה:

• הגדרת שני ספקי אינטרנט במצב ActiveStandby

ישנן מספר דרכים ליישם פונקציה זו. אחד מהם הוא להשתמש במנגנון ניטור נתיבים, שהפך זמין החל מהגרסה PAN-OS 8.0.0. דוגמה זו משתמשת בגרסה 8.0.16. תכונה זו דומה ל-IP SLA בנתבים של סיסקו. פרמטר מסלול ברירת המחדל הסטטי מגדיר שליחת מנות פינג לכתובת IP ספציפית מכתובת מקור ספציפית. במקרה זה, ממשק ethernet1/1 מצלצל את שער ברירת המחדל פעם בשנייה. אם אין תגובה לשלושה פינגים ברצף, המסלול נחשב כפגום ומוסר מטבלת הניתוב. אותו מסלול מוגדר כלפי ספק האינטרנט השני, אך עם מדד גבוה יותר (זה גיבוי). לאחר הסרת המסלול הראשון מהטבלה, חומת האש תתחיל לשלוח תעבורה דרך המסלול השני - Fail-Over. כאשר הספק הראשון יתחיל להגיב לפינגים, המסלול שלו יחזור לטבלה ויחליף את השני בגלל מדד טוב יותר - כשל-חזרה. תהליך Fail-Over לוקח כמה שניות, תלוי במרווחים המוגדרים, אבל, בכל מקרה, התהליך אינו מיידי, ובמהלך זמן זה התנועה אובדת. כשל-חזרה עובר ללא אובדן תנועה. יש הזדמנות לעשות Fail-Over מהיר יותר, עם BFD, אם ספק האינטרנט מספק הזדמנות כזו. BFD נתמך החל מהדגם סדרת PA-3000 и VM-100. עדיף לציין לא את השער של הספק ככתובת הפינג, אלא כתובת אינטרנט ציבורית, תמיד נגישה.

• יצירת ממשק מנהרה

התנועה בתוך המנהרה מועברת באמצעות ממשקים וירטואליים מיוחדים. כל אחד מהם חייב להיות מוגדר עם כתובת IP מרשת התחבורה. בדוגמה זו, תחנת המשנה 1/172.16.1.0 תשמש עבור מנהרה-30, ותחנת המשנה 2/172.16.2.0 תשמש עבור מנהרה-30.
ממשק המנהרה נוצר בקטע רשת -> ממשקים -> מנהרה. עליך לציין נתב וירטואלי ואזור אבטחה, כמו גם כתובת IP מרשת התחבורה המתאימה. מספר הממשק יכול להיות כל דבר.

בסעיף מתקדם ניתן לציין פרופיל ניהולאשר יאפשר ping בממשק הנתון, זה עשוי להיות שימושי לבדיקה.

• הגדרת פרופיל IKE

פרופיל IKE אחראי על השלב הראשון של יצירת חיבור VPN; פרמטרים של המנהרה מפורטים כאן IKE שלב 1. הפרופיל נוצר במדור רשת -> פרופילי רשת -> IKE Crypto. יש צורך לציין את אלגוריתם ההצפנה, אלגוריתם הגיבוב, קבוצת דיפי-הלמן ומשך חיי המפתח. באופן כללי, ככל שהאלגוריתמים מורכבים יותר, כך הביצועים גרועים יותר; יש לבחור אותם על סמך דרישות אבטחה ספציפיות. עם זאת, בהחלט לא מומלץ להשתמש בקבוצת דיפי-הלמן מתחת לגיל 14 כדי להגן על מידע רגיש. הסיבה לכך היא הפגיעות של הפרוטוקול, שניתן להפחית רק על ידי שימוש בגדלים של מודולים של 2048 סיביות ומעלה, או באלגוריתמי קריפטוגרפיה אליפטיים, המשמשים בקבוצות 19, 20, 21, 24. לאלגוריתמים אלו יש ביצועים גבוהים יותר בהשוואה ל- קריפטוגרפיה מסורתית. קרא עוד כאן. ו כאן.

• הגדרת פרופיל IPSec

השלב השני של יצירת חיבור VPN הוא מנהרת IPSec. פרמטרי SA עבורו מוגדרים ב רשת -> פרופילי רשת -> פרופיל IPSec Crypto. כאן אתה צריך לציין את פרוטוקול IPSec - AH או ESP, כמו גם פרמטרים SA - אלגוריתמי גיבוב, הצפנה, קבוצות דיפי-הלמן ומשך חיי מפתח. ייתכן שהפרמטרים של SA בפרופיל IKE Crypto ופרופיל IPSec Crypto אינם זהים.

• הגדרת שער IKE

שער IKE - זהו אובייקט שמייעד נתב או חומת אש שאיתם נבנית מנהרת VPN. עבור כל מנהרה אתה צריך ליצור משלך שער IKE. במקרה זה נוצרות שתי מנהרות, אחת דרך כל ספק אינטרנט. הממשק היוצא המתאים וכתובת ה-IP שלו, כתובת ה-IP של עמיתים והמפתח המשותף שלו מסומנים. ניתן להשתמש בתעודות כחלופה למפתח משותף.

זה שנוצר קודם לכן מצוין כאן פרופיל IKE Crypto. פרמטרים של האובייקט השני שער IKE דומה, למעט כתובות IP. אם חומת האש של Palo Alto Networks ממוקמת מאחורי נתב NAT, עליך להפעיל את המנגנון מעבר NAT.

• הגדרת IPSec Tunnel

מנהרת IPSec הוא אובייקט המציין את פרמטרי המנהרה של IPSec, כפי שהשם מרמז. כאן אתה צריך לציין את ממשק המנהרה ואת האובייקטים שנוצרו בעבר שער IKE, פרופיל IPSec Crypto. כדי להבטיח מעבר אוטומטי של ניתוב למנהרת הגיבוי, עליך להפעיל צג מנהרה. זהו מנגנון שבודק אם עמית חי באמצעות תעבורת ICMP. ככתובת היעד, עליך לציין את כתובת ה-IP של ממשק המנהרה של העמית שאיתו נבנית המנהרה. הפרופיל מציין טיימרים ומה לעשות אם החיבור אבד. המתן התאוששות - המתן עד שהחיבור ישוחזר, נכשל נגמר - שלח תנועה לאורך נתיב אחר, אם זמין. הגדרת המנהרה השנייה דומה לחלוטין; ממשק המנהרה השנייה ושער IKE מצוינים.

• הגדרת ניתוב

דוגמה זו משתמשת בניתוב סטטי. בחומת האש של PA-1, בנוסף לשני מסלולי ברירת המחדל, עליך לציין שני מסלולים לרשת המשנה 10.10.10.0/24 בסניף. מסלול אחד משתמש במנהרה-1, השני במנהרה-2. המסלול דרך מנהרה-1 הוא העיקרי מכיוון שיש לו מדד נמוך יותר. מַנגָנוֹן ניטור נתיבים לא משמש למסלולים אלה. אחראי על המעבר צג מנהרה.

יש להגדיר את אותם מסלולים עבור רשת המשנה 192.168.30.0/24 ב-PA-2.

• הגדרת חוקי רשת

כדי שהמנהרה תעבוד, יש צורך בשלושה כללים:

לעבודה צג נתיב אפשר ICMP על ממשקים חיצוניים.
עבור IPSec לאפשר אפליקציות אייק и ipsec על ממשקים חיצוניים.
אפשר תעבורה בין רשתות משנה פנימיות וממשקי מנהרה.

מסקנה

מאמר זה דן באפשרות של הגדרת חיבור אינטרנט סובלני תקלות ו אתר מאתר לאתר. אנו מקווים שהמידע היה שימושי והקורא השיג מושג על הטכנולוגיות בהן נעשה שימוש פאלו אלטו נטוורקס. אם יש לכם שאלות לגבי הגדרה והצעות בנושאים למאמרים עתידיים, כתבו אותן בתגובות, נשמח לענות.

מקור: www.habr.com

הגדרת IPSec אתר לאתר VPN בציוד Palo Alto Networks

הוספת תגובה ביטול תגובה