🥇 IPSec Site-to-Site VPN-ის კონფიგურაცია Palo Alto Networks აღჭურვილობაზე

ეს სტატია არის გაგრძელება წინა მასალაეძღვნება აღჭურვილობის დაყენების სპეციფიკას Palo Alto ქსელი . აქ გვინდა ვისაუბროთ კონფიგურაციაზე IPSec Site-to-Site VPN აღჭურვილობაზე Palo Alto ქსელი და რამდენიმე ინტერნეტ პროვაიდერის დასაკავშირებლად შესაძლო კონფიგურაციის ვარიანტის შესახებ.

დემონსტრაციისთვის გამოყენებული იქნება სათაო ოფისის ფილიალთან დამაკავშირებელი სტანდარტული სქემა. შეცდომის ტოლერანტული ინტერნეტ კავშირის უზრუნველსაყოფად, სათაო ოფისი იყენებს ორი პროვაიდერის ერთდროულ კავშირს: ISP-1 და ISP-2. ფილიალს აქვს კავშირი მხოლოდ ერთ პროვაიდერთან, ISP-3-თან. PA-1 და PA-2 ფარებს შორის აგებულია ორი გვირაბი. გვირაბები მუშაობს რეჟიმში აქტიური-ლოდინის რეჟიმში, გვირაბი-1 აქტიურია, გვირაბი-2 დაიწყებს ტრაფიკის გადაცემას, როდესაც გვირაბი-1 ვერ მოხერხდება. Tunnel-1 იყენებს კავშირს ISP-1-თან, Tunnel-2 იყენებს კავშირს ISP-2-თან. ყველა IP მისამართი შემთხვევით გენერირდება საჩვენებელი მიზნებისთვის და არ აქვს კავშირი რეალობასთან.

Site-to-Site VPN-ის შესაქმნელად გამოყენებული იქნება IPsec — პროტოკოლების ნაკრები IP-ით გადაცემული მონაცემების დაცვის უზრუნველსაყოფად. IPsec იმუშავებს უსაფრთხოების პროტოკოლის გამოყენებით ESP (Encapsulating Security Payload), რომელიც უზრუნველყოფს გადაცემული მონაცემების დაშიფვრას.

В IPsec входит IKE (ინტერნეტ გასაღების გაცვლა) არის პროტოკოლი, რომელიც პასუხისმგებელია SA (უსაფრთხოების ასოციაციები) მოლაპარაკებაზე, უსაფრთხოების პარამეტრებზე, რომლებიც გამოიყენება გადაცემული მონაცემების დასაცავად. PAN firewalls-ის მხარდაჭერა IKEV1 и IKEV2.

В IKEV1 VPN კავშირი აგებულია ორ ეტაპად: IKEv1 ფაზა 1 (IKE გვირაბი) და IKEv1 ფაზა 2 (IPSec გვირაბი), ამდენად, იქმნება ორი გვირაბი, რომელთაგან ერთი გამოიყენება სამსახურებრივი ინფორმაციის გაცვლისთვის ფაირვოლებს შორის, მეორე კი მოძრაობის გადაცემისთვის. IN IKEv1 ფაზა 1 არსებობს ორი ოპერაციული რეჟიმი - ძირითადი რეჟიმი და აგრესიული რეჟიმი. აგრესიული რეჟიმი იყენებს ნაკლებ შეტყობინებას და უფრო სწრაფია, მაგრამ არ უჭერს მხარს თანატოლთა იდენტობის დაცვას.

IKEV2 შეცვალა IKEV1, და შედარებით IKEV1 მისი მთავარი უპირატესობა არის დაბალი გამტარუნარიანობის მოთხოვნები და უფრო სწრაფი SA მოლაპარაკება. IN IKEV2 გამოყენებულია ნაკლები სერვისის შეტყობინება (სულ 4), მხარდაჭერილია EAP და MOBIKE პროტოკოლები და დამატებულია მექანიზმი, რომ შეამოწმოს თანატოლის ხელმისაწვდომობა, რომლითაც იქმნება გვირაბი - სიცოცხლისუნარიანობის შემოწმება, ჩაანაცვლა მკვდარი თანატოლების ამოცნობა IKEv1-ში. თუ შემოწმება ვერ მოხერხდა, მაშინ IKEV2 შეუძლია გვირაბის გადატვირთვა და შემდეგ ავტომატურად აღდგენა პირველივე შესაძლებლობის შემთხვევაში. თქვენ შეგიძლიათ გაიგოთ მეტი განსხვავებების შესახებ წაიკითხეთ აქ.

თუ გვირაბი აშენდა სხვადასხვა მწარმოებლის ფეიერვალებს შორის, მაშინ შეიძლება იყოს შეცდომები განხორციელებაში IKEV2, და ასეთ აღჭურვილობასთან თავსებადობისთვის შესაძლებელია მისი გამოყენება IKEV1. სხვა შემთხვევებში უმჯობესია გამოიყენოთ IKEV2.

დაყენების ნაბიჯები:

• ორი ინტერნეტ პროვაიდერის კონფიგურაცია ActiveStandby რეჟიმში

ამ ფუნქციის განხორციელების რამდენიმე გზა არსებობს. ერთ-ერთი მათგანია მექანიზმის გამოყენება ბილიკის მონიტორინგი, რომელიც ხელმისაწვდომი გახდა ვერსიიდან Pan-OS 8.0.0. ეს მაგალითი იყენებს 8.0.16 ვერსიას. ეს ფუნქცია მსგავსია IP SLA-ს Cisco როუტერებში. სტატიკური ნაგულისხმევი მარშრუტის პარამეტრი აკონფიგურირებს პინგ-პაკეტების გაგზავნას კონკრეტულ IP მისამართზე კონკრეტული წყაროს მისამართიდან. ამ შემთხვევაში, ethernet1/1 ინტერფეისი აწვდის ნაგულისხმევ კარიბჭეს წამში ერთხელ. თუ ზედიზედ სამ პინგზე პასუხი არ არის, მარშრუტი ჩაითვლება გატეხილი და ამოღებულია მარშრუტიზაციის ცხრილიდან. იგივე მარშრუტი კონფიგურირებულია მეორე ინტერნეტ პროვაიდერისკენ, მაგრამ უფრო მაღალი მეტრიკით (ეს არის სარეზერვო). მას შემდეგ რაც პირველი მარშრუტი წაიშლება ცხრილიდან, firewall დაიწყებს ტრაფიკის გაგზავნას მეორე მარშრუტით − Fail-Over. როდესაც პირველი პროვაიდერი იწყებს პინგებზე რეაგირებას, მისი მარშრუტი დაუბრუნდება მაგიდას და შეცვლის მეორეს უკეთესი მეტრიკის გამო - Fail-Back. პროცესი Fail-Over კონფიგურირებული ინტერვალებიდან გამომდინარე იღებს რამდენიმე წამს, მაგრამ, ნებისმიერ შემთხვევაში, პროცესი არ არის მყისიერი და ამ დროის განმავლობაში ტრაფიკი იკარგება. Fail-Back გადის მოძრაობის დაკარგვის გარეშე. ამის შესაძლებლობა არსებობს Fail-Over უფრო სწრაფად, თან B.F.D., თუ ინტერნეტ პროვაიდერი იძლევა ასეთ შესაძლებლობას. B.F.D. მხარდაჭერილი მოდელიდან დაწყებული PA-3000 სერია и VM-100. უმჯობესია მიუთითოთ არა პროვაიდერის კარიბჭე, როგორც პინგ მისამართი, არამედ საჯარო, ყოველთვის ხელმისაწვდომი ინტერნეტ მისამართი.

• გვირაბის ინტერფეისის შექმნა

გვირაბის შიგნით ტრაფიკი გადადის სპეციალური ვირტუალური ინტერფეისით. თითოეული მათგანი უნდა იყოს კონფიგურირებული IP მისამართით სატრანზიტო ქსელიდან. ამ მაგალითში, ქვესადგური 1/172.16.1.0 გამოყენებული იქნება გვირაბი-30-ისთვის, ხოლო ქვესადგური 2/172.16.2.0 გამოყენებული იქნება გვირაბი-30-ისთვის.
გვირაბის ინტერფეისი იქმნება განყოფილებაში ქსელი -> ინტერფეისები -> გვირაბი. თქვენ უნდა მიუთითოთ ვირტუალური როუტერი და უსაფრთხოების ზონა, ასევე IP მისამართი შესაბამისი სატრანსპორტო ქსელიდან. ინტერფეისის ნომერი შეიძლება იყოს ნებისმიერი.

ნაწილში მოწინავე შეიძლება დაზუსტდეს მართვის პროფილირაც საშუალებას მისცემს მოცემულ ინტერფეისზე ping-ს, ეს შეიძლება სასარგებლო იყოს ტესტირებისთვის.

• IKE პროფილის დაყენება

IKE პროფილი პასუხისმგებელია VPN კავშირის შექმნის პირველ ეტაპზე, აქ მითითებულია გვირაბის პარამეტრები IKE ფაზა 1. პროფილი იქმნება განყოფილებაში ქსელი -> ქსელის პროფილები -> IKE Crypto. აუცილებელია მიუთითოთ დაშიფვრის ალგორითმი, ჰეშირების ალგორითმი, Diffie-Hellman ჯგუფი და გასაღების სიცოცხლის ხანგრძლივობა. ზოგადად, რაც უფრო რთულია ალგორითმები, მით უფრო ცუდია შესრულება; ისინი უნდა შეირჩეს უსაფრთხოების სპეციფიკური მოთხოვნების საფუძველზე. თუმცა, მკაცრად არ არის რეკომენდებული Diffie-Hellman ჯგუფის გამოყენება 14 წლამდე სენსიტიური ინფორმაციის დასაცავად. ეს გამოწვეულია პროტოკოლის დაუცველობით, რომლის შერბილება შესაძლებელია მხოლოდ 2048 ბიტიანი და უფრო მაღალი მოდულის ზომის ან ელიფსური კრიპტოგრაფიის ალგორითმების გამოყენებით, რომლებიც გამოიყენება 19, 20, 21, 24 ჯგუფებში. ამ ალგორითმებს უფრო მაღალი შესრულება აქვთ. ტრადიციული კრიპტოგრაფია. დაწვრილებით აქ. და აქ.

• IPSec პროფილის დაყენება

VPN კავშირის შექმნის მეორე ეტაპი არის IPSec გვირაბი. SA პარამეტრები მისთვის კონფიგურირებულია ქსელი -> ქსელის პროფილები -> IPSec კრიპტო პროფილი. აქ თქვენ უნდა მიუთითოთ IPSec პროტოკოლი - AH თუ ESP, ისევე როგორც პარამეტრები SA — ჰეშირების ალგორითმები, დაშიფვრა, Diffie-Hellman ჯგუფები და გასაღების სიცოცხლე. SA პარამეტრები IKE Crypto Profile-სა და IPSec Crypto Profile-ში შეიძლება არ იყოს იგივე.

• IKE Gateway-ის კონფიგურაცია

IKE Gateway - ეს არის ობიექტი, რომელიც განსაზღვრავს როუტერს ან ბუხარს, რომლითაც აშენებულია VPN გვირაბი. თითოეული გვირაბისთვის თქვენ უნდა შექმნათ საკუთარი IKE Gateway. ამ შემთხვევაში იქმნება ორი გვირაბი, თითო თითოეული ინტერნეტ პროვაიდერის მეშვეობით. მითითებულია შესაბამისი გამავალი ინტერფეისი და მისი IP მისამართი, შესაბამისი IP მისამართი და გაზიარებული გასაღები. სერთიფიკატები შეიძლება გამოყენებულ იქნას როგორც საერთო გასაღების ალტერნატივა.

აქ მითითებულია ადრე შექმნილი IKE კრიპტო პროფილი. მეორე ობიექტის პარამეტრები IKE Gateway მსგავსი, გარდა IP მისამართებისა. თუ Palo Alto Networks firewall მდებარეობს NAT როუტერის უკან, მაშინ თქვენ უნდა ჩართოთ მექანიზმი NAT Traversal.

• IPSec გვირაბის დაყენება

IPSec გვირაბი არის ობიექტი, რომელიც განსაზღვრავს IPSec გვირაბის პარამეტრებს, როგორც სახელი გვთავაზობს. აქ თქვენ უნდა მიუთითოთ გვირაბის ინტერფეისი და ადრე შექმნილი ობიექტები IKE Gateway, IPSec კრიპტო პროფილი. სარეზერვო გვირაბში მარშრუტის ავტომატური გადართვის უზრუნველსაყოფად, თქვენ უნდა ჩართოთ გვირაბის მონიტორი. ეს არის მექანიზმი, რომელიც ამოწმებს არის თუ არა თანატოლი ცოცხალი ICMP ტრაფიკის გამოყენებით. როგორც დანიშნულების მისამართი, თქვენ უნდა მიუთითოთ თანატოლის გვირაბის ინტერფეისის IP მისამართი, რომლითაც შენდება გვირაბი. პროფილში მითითებულია ტაიმერები და რა უნდა გააკეთოს, თუ კავშირი დაიკარგება. დაელოდეთ აღდგენას - დაელოდეთ კავშირის აღდგენას, მარცხი დასრულდა - გაგზავნეთ მოძრაობა სხვა მარშრუტზე, თუ ეს შესაძლებელია. მეორე გვირაბის დაყენება სრულიად მსგავსია; მითითებულია მეორე გვირაბის ინტერფეისი და IKE Gateway.

• მარშრუტიზაციის დაყენება

ეს მაგალითი იყენებს სტატიკური მარშრუტიზაციას. PA-1 firewall-ზე, ორი ნაგულისხმევი მარშრუტის გარდა, ფილიალში უნდა მიუთითოთ ორი მარშრუტი 10.10.10.0/24 ქვექსელში. ერთი მარშრუტი იყენებს გვირაბს-1-ს, მეორე კი გვირაბს-2-ს. მარშრუტი გვირაბის 1-ით არის მთავარი, რადგან მას აქვს უფრო დაბალი მეტრიკა. მექანიზმი ბილიკის მონიტორინგი არ გამოიყენება ამ მარშრუტებისთვის. პასუხისმგებელია გადართვაზე გვირაბის მონიტორი.

იგივე მარშრუტები ქვექსელისთვის 192.168.30.0/24 უნდა იყოს კონფიგურირებული PA-2-ზე.

• ქსელის წესების დაყენება

გვირაბის მუშაობისთვის საჭიროა სამი წესი:

მუშაობა ბილიკის მონიტორი დაუშვით ICMP გარე ინტერფეისებზე.
იყიდება IPsec აპების დაშვება Ike и ipsec გარე ინტერფეისებზე.
დაუშვით ტრაფიკი შიდა ქვექსელებსა და გვირაბის ინტერფეისებს შორის.

დასკვნა

ეს სტატია განიხილავს შეცდომის ტოლერანტული ინტერნეტ კავშირის დაყენების ვარიანტს და საიტის საიტის VPN. ვიმედოვნებთ, რომ ინფორმაცია სასარგებლო იყო და მკითხველმა მიიღო წარმოდგენა გამოყენებული ტექნოლოგიების შესახებ Palo Alto ქსელი. თუ თქვენ გაქვთ შეკითხვები დაყენების შესახებ და წინადადებები მომავალი სტატიების თემებზე, დაწერეთ ისინი კომენტარებში, ჩვენ სიამოვნებით გიპასუხებთ.

წყარო: www.habr.com

IPSec Site-to-Site VPN-ის დაყენება Palo Alto Networks აღჭურვილობაზე

ახალი კომენტარის დამატება

IPSec Site-to-Site VPN-ის დაყენება Palo Alto Networks აღჭურვილობაზე

ახალი კომენტარის დამატება პასუხის გასაუქმებლად

ახალი კომენტარის დამატება