Å is raksts ir turpinÄjums
DemonstrÄcijai tiks izmantota standarta shÄma galvenÄ biroja savienoÅ”anai ar filiÄli. Lai nodroÅ”inÄtu kļūmju izturÄ«gu interneta pieslÄgumu, galvenais birojs izmanto vienlaicÄ«gu divu pakalpojumu sniedzÄju savienojumu: ISP-1 un ISP-2. FiliÄlei ir savienojums tikai ar vienu pakalpojumu sniedzÄju, ISP-3. Starp ugunsmÅ«riem PA-1 un PA-2 ir izbÅ«vÄti divi tuneļi. Tuneļi darbojas režīmÄ AktÄ«vais gaidÄ«Å”anas režīms,Tunnel-1 ir aktÄ«vs, Tunnel-2 sÄks pÄrraidÄ«t trafiku, kad Tunelis-1 neizdosies. Tunnel-1 izmanto savienojumu ar ISP-1, Tunnel-2 izmanto savienojumu ar ISP-2. Visas IP adreses tiek nejauÅ”i Ä£enerÄtas demonstrÄcijas nolÅ«kos, un tÄm nav nekÄdas saistÄ«bas ar realitÄti.
Lai izveidotu vietni uz vietni, tiks izmantots VPN IPsec ā protokolu kopums, lai nodroÅ”inÄtu ar IP pÄrraidÄ«to datu aizsardzÄ«bu. IPsec darbosies, izmantojot droŔības protokolu ESP (Encapsulating Security Payload), kas nodroÅ”inÄs pÄrsÅ«tÄ«to datu Å”ifrÄÅ”anu.
Š IPsec ienÄk IKE (Internet Key Exchange) ir protokols, kas atbild par SA (droŔības asociÄciju) sarunÄm, droŔības parametriem, kas tiek izmantoti pÄrsÅ«tÄ«to datu aizsardzÄ«bai. PAN ugunsmÅ«ru atbalsts IKEv1 Šø IKEv2.
Š IKEv1 VPN savienojums tiek izveidots divos posmos: IKEv1 1. fÄze (IKE tunelis) un IKEv1 2. fÄze (IPSec tunelis), lÄ«dz ar to tiek izveidoti divi tuneļi, no kuriem viens tiek izmantots dienesta informÄcijas apmaiÅai starp ugunsmÅ«riem, otrs ā satiksmes pÄrraidei. IN IKEv1 1. fÄze Ir divi darbÄ«bas režīmi - galvenais režīms un agresÄ«vais režīms. AgresÄ«vais režīms izmanto mazÄk ziÅojumu un ir ÄtrÄks, taÄu neatbalsta vienaudžu identitÄtes aizsardzÄ«bu.
IKEv2 aizstÄts IKEv1, un salÄ«dzinot ar IKEv1 tÄ galvenÄ priekÅ”rocÄ«ba ir zemÄkas joslas platuma prasÄ«bas un ÄtrÄkas SA sarunas. IN IKEv2 Tiek izmantots mazÄk pakalpojumu ziÅojumu (kopÄ 4), tiek atbalstÄ«ti EAP un MOBIKE protokoli, kÄ arÄ« ir pievienots mehÄnisms, lai pÄrbaudÄ«tu, vai ir pieejams vienÄdrangs, ar kuru tiek izveidots tunelis - DzÄ«vÄ«bas pÄrbaude, aizstÄjot Dead Peer Detection IKEv1. Ja pÄrbaude neizdodas, tad IKEv2 var atiestatÄ«t tuneli un pÄc tam automÄtiski atjaunot to pie pirmÄs iespÄjas. Varat uzzinÄt vairÄk par atŔķirÄ«bÄm
Ja starp dažÄdu ražotÄju ugunsmÅ«riem ir izveidots tunelis, tad var bÅ«t kļūdas ievieÅ”anÄ IKEv2, un saderÄ«bai ar Å”Ädu aprÄ«kojumu ir iespÄjams izmantot IKEv1. Citos gadÄ«jumos labÄk izmantot IKEv2.
IestatīŔanas darbības:
ā¢ Divu interneta pakalpojumu sniedzÄju konfigurÄÅ”ana ActiveStandby režīmÄ
Ir vairÄki veidi, kÄ Ä«stenot Å”o funkciju. Viens no tiem ir mehÄnisma izmantoÅ”ana Ceļa uzraudzÄ«ba, kas kļuva pieejams sÄkot no versijas PAN-OS 8.0.0. Å ajÄ piemÄrÄ tiek izmantota versija 8.0.16. Å Ä« funkcija ir lÄ«dzÄ«ga IP SLA Cisco marÅ”rutÄtÄjos. Statiskais noklusÄjuma marÅ”ruta parametrs konfigurÄ ping pakeÅ”u sÅ«tÄ«Å”anu uz noteiktu IP adresi no noteiktas avota adreses. Å ajÄ gadÄ«jumÄ Ethernet1/1 interfeiss vienu reizi sekundÄ nosÅ«ta noklusÄjuma vÄrteju ping. Ja nav atbildes uz trim ping pÄc kÄrtas, marÅ”ruts tiek uzskatÄ«ts par bojÄtu un noÅemts no marÅ”rutÄÅ”anas tabulas. Tas pats marÅ”ruts ir konfigurÄts uz otru interneta pakalpojumu sniedzÄju, taÄu ar augstÄku metriku (tas ir rezerves marÅ”ruts). Kad pirmais marÅ”ruts ir noÅemts no tabulas, ugunsmÅ«ris sÄks sÅ«tÄ«t trafiku pa otro marÅ”rutu Fail-Over. Kad pirmais pakalpojumu sniedzÄjs sÄk atbildÄt uz ehotestiem, tÄ marÅ”ruts atgriezÄ«sies tabulÄ un aizstÄs otro, jo ir labÄka metrika. Fail-Back. Process Fail-Over aizÅem dažas sekundes atkarÄ«bÄ no konfigurÄtajiem intervÄliem, taÄu jebkurÄ gadÄ«jumÄ process nenotiek acumirklÄ«, un Å”ajÄ laikÄ tiek zaudÄta satiksme. Fail-Back iet cauri, nezaudÄjot satiksmi. Ir iespÄja darÄ«t Fail-Over ÄtrÄk, ar BFD, ja interneta pakalpojumu sniedzÄjs nodroÅ”ina Å”Ädu iespÄju. BFD atbalstÄ«ts sÄkot no modeļa PA-3000 sÄrija Šø VM-100. LabÄk ir norÄdÄ«t nevis pakalpojumu sniedzÄja vÄrteju kÄ ping adresi, bet gan publisku, vienmÄr pieejamu interneta adresi.
ā¢ Tuneļa saskarnes izveide
Satiksme tuneļa iekÅ”pusÄ tiek pÄrraidÄ«ta, izmantojot Ä«paÅ”as virtuÄlÄs saskarnes. Katrs no tiem ir jÄkonfigurÄ ar IP adresi no tranzÄ«ta tÄ«kla. Å ajÄ piemÄrÄ apakÅ”stacija 1/172.16.1.0 tiks izmantota tunelim-30, un apakÅ”stacija 2/172.16.2.0 tiks izmantota tunelim-30.
SadaÄ¼Ä tiek izveidots tuneļa interfeiss TÄ«kls -> Interfeisi -> Tunelis. JÄnorÄda virtuÄlais marÅ”rutÄtÄjs un droŔības zona, kÄ arÄ« IP adrese no atbilstoÅ”Ä transporta tÄ«kla. Interfeisa numurs var bÅ«t jebkas.
IedaÄ¼Ä uzlabots var norÄdÄ«t PÄrvaldÄ«bas profilskas ļaus ping norÄdÄ«tajÄ interfeisÄ, tas var bÅ«t noderÄ«gi testÄÅ”anai.
ā¢ IKE profila iestatÄ«Å”ana
IKE profils ir atbildÄ«gs par VPN savienojuma izveides pirmo posmu; Å”eit ir norÄdÄ«ti tuneļa parametri IKE 1. fÄze. Profils tiek izveidots sadaÄ¼Ä TÄ«kls -> TÄ«kla profili -> IKE Crypto. Ir nepiecieÅ”ams norÄdÄ«t Å”ifrÄÅ”anas algoritmu, jaukÅ”anas algoritmu, Difija-Helmana grupu un atslÄgas kalpoÅ”anas laiku. KopumÄ, jo sarežģītÄki ir algoritmi, jo sliktÄka ir veiktspÄja; tie jÄizvÄlas, pamatojoties uz Ä«paÅ”Äm droŔības prasÄ«bÄm. TomÄr, lai aizsargÄtu sensitÄ«vu informÄciju, stingri nav ieteicams izmantot Diffie-Hellman grupu, kas jaunÄka par 14 gadiem. Tas ir saistÄ«ts ar protokola ievainojamÄ«bu, ko var mazinÄt, tikai izmantojot moduļu izmÄrus 2048 bitus un lielÄkus, vai eliptiskÄs kriptogrÄfijas algoritmus, kas tiek izmantoti grupÄs 19, 20, 21, 24. Å iem algoritmiem ir lielÄka veiktspÄja, salÄ«dzinot ar tradicionÄlÄ kriptogrÄfija.
ā¢ IPSec profila iestatÄ«Å”ana
VPN savienojuma izveides otrais posms ir IPSec tunelis. SA parametri tam ir konfigurÄti TÄ«kls -> TÄ«kla profili -> IPSec kriptoprofils. Å eit jums jÄnorÄda IPSec protokols - AH vai ESP, kÄ arÄ« parametrus SA ā jaukÅ”anas algoritmi, Å”ifrÄÅ”ana, Difija-Helmana grupas un atslÄgas kalpoÅ”anas laiks. SA parametri IKE kriptoprofilÄ un IPSec kriptoprofilÄ var nebÅ«t vienÄdi.
ā¢ IKE vÄrtejas konfigurÄÅ”ana
IKE vÄrteja - Å is ir objekts, kas apzÄ«mÄ marÅ”rutÄtÄju vai ugunsmÅ«ri, ar kuru tiek izveidots VPN tunelis. Katram tunelim jums ir jÄizveido savs IKE vÄrteja. Å ajÄ gadÄ«jumÄ tiek izveidoti divi tuneļi, pa vienam caur katru interneta pakalpojumu sniedzÄju. Tiek norÄdÄ«ta atbilstoÅ”Ä izejoÅ”Ä saskarne un tÄs IP adrese, vienÄdranga IP adrese un koplietotÄ atslÄga. SertifikÄtus var izmantot kÄ alternatÄ«vu koplietotajai atslÄgai.
Å eit ir norÄdÄ«ts iepriekÅ” izveidotais IKE kriptoprofils. OtrÄ objekta parametri IKE vÄrteja lÄ«dzÄ«gi, izÅemot IP adreses. Ja Palo Alto Networks ugunsmÅ«ris atrodas aiz NAT marÅ”rutÄtÄja, jums ir jÄiespÄjo mehÄnisms NAT ŔķÄrsoÅ”ana.
ā¢ IPSec tuneļa iestatÄ«Å”ana
IPSec tunelis ir objekts, kas norÄda IPSec tuneļa parametrus, kÄ norÄda nosaukums. Å eit jÄnorÄda tuneļa saskarne un iepriekÅ” izveidotie objekti IKE vÄrteja, IPSec kriptoprofils. Lai nodroÅ”inÄtu automÄtisku marÅ”rutÄÅ”anas pÄrslÄgÅ”anu uz rezerves tuneli, tas ir jÄiespÄjo Tuneļa monitors. Å is ir mehÄnisms, kas pÄrbauda, āāvai lÄ«dzinieks ir dzÄ«vs, izmantojot ICMP trafiku. KÄ galamÄrÄ·a adrese ir jÄnorÄda tÄ vienÄdranga tuneļa saskarnes IP adrese, ar kuru tunelis tiek bÅ«vÄts. Profils norÄda taimeri un to, kÄ rÄ«koties, ja savienojums tiek zaudÄts. Pagaidiet AtgÅ«t - pagaidiet, lÄ«dz savienojums tiek atjaunots, Fail Over ā nosÅ«tÄ«t satiksmi pa citu marÅ”rutu, ja iespÄjams. OtrÄ tuneļa iestatÄ«Å”ana ir pilnÄ«gi lÄ«dzÄ«ga; ir norÄdÄ«ts otrais tuneļa interfeiss un IKE vÄrteja.
ā¢ MarÅ”rutÄÅ”anas iestatÄ«Å”ana
Å ajÄ piemÄrÄ tiek izmantota statiskÄ marÅ”rutÄÅ”ana. PA-1 ugunsmÅ«rÄ« papildus diviem noklusÄjuma marÅ”rutiem filiÄlÄ ir jÄnorÄda divi marÅ”ruti uz apakÅ”tÄ«klu 10.10.10.0/24. Viens marÅ”ruts izmanto tuneli-1, otru tuneli-2. MarÅ”ruts caur tuneli-1 ir galvenais, jo tam ir zemÄka metrika. MehÄnisms Ceļa uzraudzÄ«ba netiek izmantots Å”ajos marÅ”rutos. AtbildÄ«gs par maiÅu Tuneļa monitors.
Tie paÅ”i marÅ”ruti apakÅ”tÄ«klam 192.168.30.0/24 ir jÄkonfigurÄ PA-2.
ā¢ TÄ«kla noteikumu iestatÄ«Å”ana
Lai tunelis darbotos, ir nepiecieŔami trīs noteikumi:
- StrÄdÄt Ceļa monitors Atļaut ICMP ÄrÄjÄs saskarnÄs.
- Par IPsec atļaut lietotnes IKE Šø ipsec ÄrÄjÄs saskarnÄs.
- Atļaut trafiku starp iekÅ”Äjiem apakÅ”tÄ«kliem un tuneļa saskarnÄm.
SecinÄjums
Å ajÄ rakstÄ ir apskatÄ«ta iespÄja izveidot kļūmÄm izturÄ«gu interneta savienojumu un Vietne-vietne VPN. MÄs ceram, ka informÄcija bija noderÄ«ga un lasÄ«tÄjs guva priekÅ”statu par izmantotajÄm tehnoloÄ£ijÄm Palo Alto Networks. Ja jums ir jautÄjumi par iestatÄ«Å”anu un ieteikumi par turpmÄko rakstu tÄmÄm, rakstiet tos komentÄros, mÄs ar prieku atbildÄsim.
Avots: www.habr.com