Dit artikel is een vervolg gewijd aan de details van het opzetten van apparatuur Palo Alto Networks . Hier willen we het hebben over de opstelling IPSec site-naar-site VPN op apparatuur Palo Alto Networks en over een mogelijke configuratiemogelijkheid voor het verbinden van meerdere internetproviders.
Voor de demonstratie wordt gebruik gemaakt van een standaardschema voor de aansluiting van het hoofdkantoor op het filiaal. Om een fouttolerante internetverbinding te kunnen bieden, maakt het hoofdkantoor gebruik van een gelijktijdige verbinding van twee providers: ISP-1 en ISP-2. Het filiaal heeft slechts een aansluiting op één provider, ISP-3. Er zijn twee tunnels gebouwd tussen de firewalls PA-1 en PA-2. De tunnels werken in de modus Actief-Standby,Tunnel-1 is actief, Tunnel-2 zal beginnen met het verzenden van verkeer wanneer Tunnel-1 uitvalt. Tunnel-1 maakt gebruik van een verbinding met ISP-1, Tunnel-2 gebruikt een verbinding met ISP-2. Alle IP-adressen worden willekeurig gegenereerd voor demonstratiedoeleinden en hebben geen relatie met de werkelijkheid.
Voor het bouwen van een Site-to-Site VPN zal worden gebruikt IPSec — een reeks protocollen om de bescherming van gegevens die via IP worden verzonden te garanderen. IPSec werkt met behulp van een beveiligingsprotocol ESP (Encapsulated Security Payload), dat zorgt voor de codering van verzonden gegevens.
В IPSec omvat IKE (Internet Key Exchange) is een protocol dat verantwoordelijk is voor het onderhandelen over SA (beveiligingsassociaties), beveiligingsparameters die worden gebruikt om verzonden gegevens te beschermen. Ondersteuning voor PAN-firewalls IKEv1 и IKEv2.
В IKEv1 Een VPN-verbinding wordt in twee fasen opgebouwd: IKEv1 Fase 1 (IKE-tunnel) en IKEv1 Fase 2 (IPSec-tunnel), waardoor er twee tunnels worden gecreëerd, waarvan er één wordt gebruikt voor de uitwisseling van service-informatie tussen firewalls, en de tweede voor verkeersoverdracht. IN IKEv1 Fase 1 Er zijn twee bedrijfsmodi: hoofdmodus en agressieve modus. De agressieve modus gebruikt minder berichten en is sneller, maar ondersteunt geen Peer Identity Protection.
IKEv2 kwam vervangen IKEv1, en vergeleken met IKEv1 het belangrijkste voordeel is de lagere bandbreedtevereisten en snellere SA-onderhandeling. IN IKEv2 Er worden minder serviceberichten gebruikt (4 in totaal), EAP- en MOBIKE-protocollen worden ondersteund en er is een mechanisme toegevoegd om de beschikbaarheid te controleren van de peer waarmee de tunnel is gemaakt - Levendigheidscontrole, ter vervanging van Dead Peer Detection in IKEv1. Als de controle mislukt, dan IKEv2 kan de tunnel resetten en vervolgens bij de eerste gelegenheid automatisch herstellen. U kunt meer te weten komen over de verschillen .
Als er een tunnel wordt gebouwd tussen firewalls van verschillende fabrikanten, kunnen er bugs in de implementatie zitten IKEv2, en voor compatibiliteit met dergelijke apparatuur is het mogelijk om te gebruiken IKEv1. In andere gevallen is het beter om te gebruiken IKEv2.
Installatiestappen:
• Twee internetproviders configureren in ActiveStandby-modus
Er zijn verschillende manieren om deze functie te implementeren. Eén daarvan is het gebruik van het mechanisme Padbewaking, die beschikbaar kwam vanaf versie PAN-OS 8.0.0. In dit voorbeeld wordt versie 8.0.16 gebruikt. Deze functie is vergelijkbaar met IP SLA in Cisco-routers. De statische standaard routeparameter configureert het verzenden van ping-pakketten naar een specifiek IP-adres vanaf een specifiek bronadres. In dit geval pingt de ethernet1/1-interface één keer per seconde naar de standaardgateway. Als er geen reactie is op drie pings op rij, wordt de route als verbroken beschouwd en uit de routeringstabel verwijderd. Dezelfde route wordt geconfigureerd naar de tweede internetprovider, maar met een hogere statistiek (het is een back-uproute). Zodra de eerste route uit de tabel is verwijderd, begint de firewall verkeer via de tweede route te sturen Failover. Wanneer de eerste provider begint te reageren op pings, keert zijn route terug naar de tabel en vervangt de tweede vanwege een betere statistiek: Failback. Proces Failover duurt een paar seconden, afhankelijk van de geconfigureerde intervallen, maar het proces vindt in ieder geval niet onmiddellijk plaats en gedurende deze tijd gaat er verkeer verloren. Failback passeert zonder verlies van verkeer. Er is een mogelijkheid om te doen Failover sneller, met BFD, als de internetprovider een dergelijke mogelijkheid biedt. BFD ondersteund vanaf model PA-3000-serie и VM-100. Het is beter om niet de gateway van de provider als ping-adres op te geven, maar een openbaar, altijd toegankelijk internetadres.
• Het creëren van een tunnelinterface
Verkeer in de tunnel wordt verzonden via speciale virtuele interfaces. Elk van hen moet worden geconfigureerd met een IP-adres van het transitnetwerk. In dit voorbeeld wordt onderstation 1/172.16.1.0 gebruikt voor Tunnel-30 en onderstation 2/172.16.2.0 voor Tunnel-30.
De tunnelinterface wordt in de sectie gemaakt Netwerk -> Interfaces -> Tunnel. U moet een virtuele router en beveiligingszone opgeven, evenals een IP-adres van het bijbehorende transportnetwerk. Het interfacenummer kan van alles zijn.
In paragraaf Geavanceerd kan worden gespecificeerd Managementprofielwaarmee ping op de gegeven interface mogelijk is, dit kan handig zijn om te testen.
• IKE-profiel instellen
IKE-profiel is verantwoordelijk voor de eerste fase van het maken van een VPN-verbinding; hier worden de tunnelparameters gespecificeerd IKE-fase 1. Het profiel wordt in de sectie aangemaakt Netwerk -> Netwerkprofielen -> IKE Crypto. Het is noodzakelijk om het versleutelingsalgoritme, het hash-algoritme, de Diffie-Hellman-groep en de levensduur van de sleutel te specificeren. Over het algemeen geldt dat hoe complexer de algoritmen zijn, hoe slechter de prestaties; ze moeten worden geselecteerd op basis van specifieke beveiligingsvereisten. Het wordt echter ten strengste afgeraden om een Diffie-Hellman-groep onder de 14 jaar te gebruiken om gevoelige informatie te beschermen. Dit komt door de kwetsbaarheid van het protocol, die alleen kan worden beperkt door gebruik te maken van modulegroottes van 2048 bits en hoger, of elliptische cryptografie-algoritmen, die worden gebruikt in de groepen 19, 20, 21, 24. Deze algoritmen presteren beter vergeleken met traditionele cryptografie. . en .
• IPSec-profiel instellen
De tweede fase van het maken van een VPN-verbinding is een IPSec-tunnel. SA-parameters ervoor zijn geconfigureerd in Netwerk -> Netwerkprofielen -> IPSec Crypto-profiel. Hier moet u het IPSec-protocol opgeven - AH of ESP, evenals parameters SA – hash-algoritmen, encryptie, Diffie-Hellman-groepen en sleutellevensduur. De SA-parameters in het IKE Crypto-profiel en het IPSec Crypto-profiel zijn mogelijk niet hetzelfde.
• IKE-gateway configureren
IKE-gateway - dit is een object dat een router of firewall aanduidt waarmee een VPN-tunnel wordt gebouwd. Voor elke tunnel moet je je eigen tunnel maken IKE-gateway. In dit geval worden er twee tunnels gemaakt, één via elke internetprovider. De corresponderende uitgaande interface en het bijbehorende IP-adres, peer-IP-adres en gedeelde sleutel worden aangegeven. Certificaten kunnen worden gebruikt als alternatief voor een gedeelde sleutel.
De eerder gemaakte wordt hier aangegeven IKE Crypto-profiel. Parameters van het tweede object IKE-gateway vergelijkbaar, behalve voor IP-adressen. Als de firewall van Palo Alto Networks zich achter een NAT-router bevindt, moet u het mechanisme inschakelen NAT-traversal.
• IPSec-tunnel instellen
IPSec-tunnel is een object dat de IPSec-tunnelparameters specificeert, zoals de naam doet vermoeden. Hier moet u de tunnelinterface en eerder gemaakte objecten opgeven IKE-gateway, IPSec Crypto-profiel. Om ervoor te zorgen dat de routering automatisch naar de back-uptunnel wordt overgeschakeld, moet u dit inschakelen Tunnelmonitor. Dit is een mechanisme dat controleert of een peer leeft met behulp van ICMP-verkeer. Als bestemmingsadres moet u het IP-adres opgeven van de tunnelinterface van de peer waarmee de tunnel wordt gebouwd. Het profiel specificeert timers en actie wanneer de verbinding wordt verbroken. Wacht, herstel – wacht tot de verbinding hersteld is, Fail-over — verkeer langs een andere route sturen, indien beschikbaar. Het instellen van de tweede tunnel is volledig vergelijkbaar; de tweede tunnelinterface en IKE Gateway zijn gespecificeerd.
• Routing instellen
In dit voorbeeld wordt statische routering gebruikt. Op de PA-1-firewall moet u naast de twee standaardroutes twee routes opgeven naar het 10.10.10.0/24-subnet in de vertakking. De ene route maakt gebruik van Tunnel-1, de andere Tunnel-2. De route door Tunnel-1 is de belangrijkste omdat deze een lagere waarde heeft. Mechanisme Padbewaking niet gebruikt voor deze routes. Verantwoordelijk voor het schakelen Tunnelmonitor.
Dezelfde routes voor het subnet 192.168.30.0/24 moeten worden geconfigureerd op PA-2.
• Netwerkregels instellen
Om de tunnel te laten werken, zijn er drie regels nodig:
- Werken Padmonitor ICMP toestaan op externe interfaces.
- Voor IPSec apps toestaan ike и ipsec op externe interfaces.
- Sta verkeer tussen interne subnetten en tunnelinterfaces toe.
Conclusie
Dit artikel bespreekt de mogelijkheid om een fouttolerante internetverbinding op te zetten en Site-naar-site VPN. We hopen dat de informatie nuttig was en dat de lezer een idee heeft gekregen van de technologieën die daarin worden gebruikt Palo Alto Networks. Als je vragen hebt over de installatie en suggesties over onderwerpen voor toekomstige artikelen, schrijf ze dan in de reacties, we beantwoorden ze graag.
Bron: www.habr.com