IPSec vietņu VPN iestatīšana Palo Alto Networks aprīkojumā

Šis raksts ir turpinājums iepriekšējais materiālsveltīta aprīkojuma uzstādīšanas specifikai Palo Alto Networks . Šeit mēs vēlamies runāt par iestatīšanu IPSec vietņu VPN uz aprīkojumu Palo Alto Networks un par iespējamo konfigurācijas opciju vairāku interneta pakalpojumu sniedzēju savienošanai.

Demonstrācijai tiks izmantota standarta shēma galvenā biroja savienošanai ar filiāli. Lai nodrošinātu kļūmju izturīgu interneta pieslēgumu, galvenais birojs izmanto vienlaicīgu divu pakalpojumu sniedzēju savienojumu: ISP-1 un ISP-2. Filiālei ir savienojums tikai ar vienu pakalpojumu sniedzēju, ISP-3. Starp ugunsmūriem PA-1 un PA-2 ir izbūvēti divi tuneļi. Tuneļi darbojas režīmā Aktīvais gaidīšanas režīms,Tunnel-1 ir aktīvs, Tunnel-2 sāks pārraidīt trafiku, kad Tunelis-1 neizdosies. Tunnel-1 izmanto savienojumu ar ISP-1, Tunnel-2 izmanto savienojumu ar ISP-2. Visas IP adreses tiek nejauši ģenerētas demonstrācijas nolūkos, un tām nav nekādas saistības ar realitāti.

Lai izveidotu vietni uz vietni, tiks izmantots VPN IPsec — protokolu kopums, lai nodrošinātu ar IP pārraidīto datu aizsardzību. IPsec darbosies, izmantojot drošības protokolu ESP (Encapsulating Security Payload), kas nodrošinās pārsūtīto datu šifrēšanu.

В IPsec ienāk IKE (Internet Key Exchange) ir protokols, kas atbild par SA (drošības asociāciju) sarunām, drošības parametriem, kas tiek izmantoti pārsūtīto datu aizsardzībai. PAN ugunsmūru atbalsts IKEv1 и IKEv2.

В IKEv1 VPN savienojums tiek izveidots divos posmos: IKEv1 1. fāze (IKE tunelis) un IKEv1 2. fāze (IPSec tunelis), līdz ar to tiek izveidoti divi tuneļi, no kuriem viens tiek izmantots dienesta informācijas apmaiņai starp ugunsmūriem, otrs – satiksmes pārraidei. IN IKEv1 1. fāze Ir divi darbības režīmi - galvenais režīms un agresīvais režīms. Agresīvais režīms izmanto mazāk ziņojumu un ir ātrāks, taču neatbalsta vienaudžu identitātes aizsardzību.

IKEv2 aizstāts IKEv1, un salīdzinot ar IKEv1 tā galvenā priekšrocība ir zemākas joslas platuma prasības un ātrākas SA sarunas. IN IKEv2 Tiek izmantots mazāk pakalpojumu ziņojumu (kopā 4), tiek atbalstīti EAP un MOBIKE protokoli, kā arī ir pievienots mehānisms, lai pārbaudītu, vai ir pieejams vienādrangs, ar kuru tiek izveidots tunelis - Dzīvības pārbaude, aizstājot Dead Peer Detection IKEv1. Ja pārbaude neizdodas, tad IKEv2 var atiestatīt tuneli un pēc tam automātiski atjaunot to pie pirmās iespējas. Varat uzzināt vairāk par atšķirībām lasīt šeit.

Ja starp dažādu ražotāju ugunsmūriem ir izveidots tunelis, tad var būt kļūdas ieviešanā IKEv2, un saderībai ar šādu aprīkojumu ir iespējams izmantot IKEv1. Citos gadījumos labāk izmantot IKEv2.

Iestatīšanas darbības:

• Divu interneta pakalpojumu sniedzēju konfigurēšana ActiveStandby režīmā

Ir vairāki veidi, kā īstenot šo funkciju. Viens no tiem ir mehānisma izmantošana Ceļa uzraudzība, kas kļuva pieejams sākot no versijas PAN-OS 8.0.0. Šajā piemērā tiek izmantota versija 8.0.16. Šī funkcija ir līdzīga IP SLA Cisco maršrutētājos. Statiskais noklusējuma maršruta parametrs konfigurē ping pakešu sūtīšanu uz noteiktu IP adresi no noteiktas avota adreses. Šajā gadījumā Ethernet1/1 interfeiss vienu reizi sekundē nosūta noklusējuma vārteju ping. Ja nav atbildes uz trim ping pēc kārtas, maršruts tiek uzskatīts par bojātu un noņemts no maršrutēšanas tabulas. Tas pats maršruts ir konfigurēts uz otru interneta pakalpojumu sniedzēju, taču ar augstāku metriku (tas ir rezerves maršruts). Kad pirmais maršruts ir noņemts no tabulas, ugunsmūris sāks sūtīt trafiku pa otro maršrutu Fail-Over. Kad pirmais pakalpojumu sniedzējs sāk atbildēt uz ehotestiem, tā maršruts atgriezīsies tabulā un aizstās otro, jo ir labāka metrika. Fail-Back. Process Fail-Over aizņem dažas sekundes atkarībā no konfigurētajiem intervāliem, taču jebkurā gadījumā process nenotiek acumirklī, un šajā laikā tiek zaudēta satiksme. Fail-Back iet cauri, nezaudējot satiksmi. Ir iespēja darīt Fail-Over ātrāk, ar BFD, ja interneta pakalpojumu sniedzējs nodrošina šādu iespēju. BFD atbalstīts sākot no modeļa PA-3000 sērija и VM-100. Labāk ir norādīt nevis pakalpojumu sniedzēja vārteju kā ping adresi, bet gan publisku, vienmēr pieejamu interneta adresi.

• Tuneļa saskarnes izveide

Satiksme tuneļa iekšpusē tiek pārraidīta, izmantojot īpašas virtuālās saskarnes. Katrs no tiem ir jākonfigurē ar IP adresi no tranzīta tīkla. Šajā piemērā apakšstacija 1/172.16.1.0 tiks izmantota tunelim-30, un apakšstacija 2/172.16.2.0 tiks izmantota tunelim-30.
Sadaļā tiek izveidots tuneļa interfeiss Tīkls -> Interfeisi -> Tunelis. Jānorāda virtuālais maršrutētājs un drošības zona, kā arī IP adrese no atbilstošā transporta tīkla. Interfeisa numurs var būt jebkas.

Iedaļā uzlabots var norādīt Pārvaldības profilskas ļaus ping norādītajā interfeisā, tas var būt noderīgi testēšanai.

• IKE profila iestatīšana

IKE profils ir atbildīgs par VPN savienojuma izveides pirmo posmu; šeit ir norādīti tuneļa parametri IKE 1. fāze. Profils tiek izveidots sadaļā Tīkls -> Tīkla profili -> IKE Crypto. Ir nepieciešams norādīt šifrēšanas algoritmu, jaukšanas algoritmu, Difija-Helmana grupu un atslēgas kalpošanas laiku. Kopumā, jo sarežģītāki ir algoritmi, jo sliktāka ir veiktspēja; tie jāizvēlas, pamatojoties uz īpašām drošības prasībām. Tomēr, lai aizsargātu sensitīvu informāciju, stingri nav ieteicams izmantot Diffie-Hellman grupu, kas jaunāka par 14 gadiem. Tas ir saistīts ar protokola ievainojamību, ko var mazināt, tikai izmantojot moduļu izmērus 2048 bitus un lielākus, vai eliptiskās kriptogrāfijas algoritmus, kas tiek izmantoti grupās 19, 20, 21, 24. Šiem algoritmiem ir lielāka veiktspēja, salīdzinot ar tradicionālā kriptogrāfija. Vairāk lasiet šeit. Un šeit.

• IPSec profila iestatīšana

VPN savienojuma izveides otrais posms ir IPSec tunelis. SA parametri tam ir konfigurēti Tīkls -> Tīkla profili -> IPSec kriptoprofils. Šeit jums jānorāda IPSec protokols - AH vai ESP, kā arī parametrus SA — jaukšanas algoritmi, šifrēšana, Difija-Helmana grupas un atslēgas kalpošanas laiks. SA parametri IKE kriptoprofilā un IPSec kriptoprofilā var nebūt vienādi.

• IKE vārtejas konfigurēšana

IKE vārteja - Šis ir objekts, kas apzīmē maršrutētāju vai ugunsmūri, ar kuru tiek izveidots VPN tunelis. Katram tunelim jums ir jāizveido savs IKE vārteja. Šajā gadījumā tiek izveidoti divi tuneļi, pa vienam caur katru interneta pakalpojumu sniedzēju. Tiek norādīta atbilstošā izejošā saskarne un tās IP adrese, vienādranga IP adrese un koplietotā atslēga. Sertifikātus var izmantot kā alternatīvu koplietotajai atslēgai.

Šeit ir norādīts iepriekš izveidotais IKE kriptoprofils. Otrā objekta parametri IKE vārteja līdzīgi, izņemot IP adreses. Ja Palo Alto Networks ugunsmūris atrodas aiz NAT maršrutētāja, jums ir jāiespējo mehānisms NAT šķērsošana.

• IPSec tuneļa iestatīšana

IPSec tunelis ir objekts, kas norāda IPSec tuneļa parametrus, kā norāda nosaukums. Šeit jānorāda tuneļa saskarne un iepriekš izveidotie objekti IKE vārteja, IPSec kriptoprofils. Lai nodrošinātu automātisku maršrutēšanas pārslēgšanu uz rezerves tuneli, tas ir jāiespējo Tuneļa monitors. Šis ir mehānisms, kas pārbauda, ​​vai līdzinieks ir dzīvs, izmantojot ICMP trafiku. Kā galamērķa adrese ir jānorāda tā vienādranga tuneļa saskarnes IP adrese, ar kuru tunelis tiek būvēts. Profils norāda taimeri un to, kā rīkoties, ja savienojums tiek zaudēts. Pagaidiet Atgūt - pagaidiet, līdz savienojums tiek atjaunots, Fail Over — nosūtīt satiksmi pa citu maršrutu, ja iespējams. Otrā tuneļa iestatīšana ir pilnīgi līdzīga; ir norādīts otrais tuneļa interfeiss un IKE vārteja.

• Maršrutēšanas iestatīšana

Šajā piemērā tiek izmantota statiskā maršrutēšana. PA-1 ugunsmūrī papildus diviem noklusējuma maršrutiem filiālē ir jānorāda divi maršruti uz apakštīklu 10.10.10.0/24. Viens maršruts izmanto tuneli-1, otru tuneli-2. Maršruts caur tuneli-1 ir galvenais, jo tam ir zemāka metrika. Mehānisms Ceļa uzraudzība netiek izmantots šajos maršrutos. Atbildīgs par maiņu Tuneļa monitors.

Tie paši maršruti apakštīklam 192.168.30.0/24 ir jākonfigurē PA-2.

• Tīkla noteikumu iestatīšana

Lai tunelis darbotos, ir nepieciešami trīs noteikumi:

1. Strādāt Ceļa monitors Atļaut ICMP ārējās saskarnēs.
2. Par IPsec atļaut lietotnes IKE и ipsec ārējās saskarnēs.
3. Atļaut trafiku starp iekšējiem apakštīkliem un tuneļa saskarnēm.

Secinājums

Šajā rakstā ir apskatīta iespēja izveidot kļūmēm izturīgu interneta savienojumu un Vietne-vietne VPN. Mēs ceram, ka informācija bija noderīga un lasītājs guva priekšstatu par izmantotajām tehnoloģijām Palo Alto Networks. Ja jums ir jautājumi par iestatīšanu un ieteikumi par turpmāko rakstu tēmām, rakstiet tos komentāros, mēs ar prieku atbildēsim.

Avots: www.habr.com