Denne artikkelen er en fortsettelse dedikert til detaljene ved oppsett av utstyr Palo Alto Networks . Her ønsker vi å snakke om oppsettet IPSec Site-to-Site VPN på utstyr Palo Alto Networks og om et mulig konfigurasjonsalternativ for å koble sammen flere Internett-leverandører.
Til demonstrasjonen vil det bli benyttet en standardordning for tilknytning av hovedkontoret til filialen. For å gi en feiltolerant Internett-tilkobling bruker hovedkontoret en samtidig tilkobling av to tilbydere: ISP-1 og ISP-2. Filialen har tilknytning til kun én leverandør, ISP-3. Det bygges to tunneler mellom brannmurene PA-1 og PA-2. Tunnelene opererer i modusen Aktiv standby,Tunnel-1 er aktiv, Tunnel-2 vil begynne å overføre trafikk når Tunnel-1 svikter. Tunnel-1 bruker en tilkobling til ISP-1, Tunnel-2 bruker en tilkobling til ISP-2. Alle IP-adresser er tilfeldig generert for demonstrasjonsformål og har ingen relasjon til virkeligheten.
For å bygge en Site-to-Site VPN vil bli brukt IPSec — et sett med protokoller for å sikre beskyttelse av data som overføres via IP. IPSec vil fungere ved hjelp av en sikkerhetsprotokoll ESP (Encapsulating Security Payload), som vil sikre kryptering av overførte data.
В IPSec inkluderer IKE (Internet Key Exchange) er en protokoll som er ansvarlig for å forhandle SA (sikkerhetsforeninger), sikkerhetsparametere som brukes til å beskytte overførte data. Støtte for PAN-brannmurer IKEv1 и IKEv2.
В IKEv1 En VPN-tilkobling er bygget i to trinn: IKEv1 fase 1 (IKE-tunnel) og IKEv1 fase 2 (IPSec-tunnel), dermed opprettes to tunneler, hvorav den ene brukes til utveksling av tjenesteinformasjon mellom brannmurer, den andre for trafikkoverføring. I IKEv1 fase 1 Det er to driftsmoduser - hovedmodus og aggressiv modus. Aggressiv modus bruker færre meldinger og er raskere, men støtter ikke Peer Identity Protection.
IKEv2 erstattet IKEv1, og sammenlignet med IKEv1 dens største fordel er lavere båndbreddekrav og raskere SA-forhandling. I IKEv2 Færre tjenestemeldinger brukes (4 totalt), EAP- og MOBIKE-protokoller støttes, og det er lagt til en mekanisme for å sjekke tilgjengeligheten til peeren som tunnelen er opprettet med - Liveness Check, som erstatter Dead Peer Detection i IKEv1. Hvis kontrollen mislykkes, da IKEv2 kan tilbakestille tunnelen og deretter automatisk gjenopprette den ved første anledning. Du kan lære mer om forskjellene .
Hvis det bygges en tunnel mellom brannmurer fra forskjellige produsenter, kan det være feil i implementeringen IKEv2, og for kompatibilitet med slikt utstyr er det mulig å bruke IKEv1. I andre tilfeller er det bedre å bruke IKEv2.
Konfigurasjonstrinn:
• Konfigurere to Internett-leverandører i Active Standby-modus
Det er flere måter å implementere denne funksjonen på. En av dem er å bruke mekanismen Baneovervåking, som ble tilgjengelig fra og med versjonen PAN-OS 8.0.0. Dette eksemplet bruker versjon 8.0.16. Denne funksjonen ligner på IP SLA i Cisco-rutere. Den statiske standardruteparameteren konfigurerer sending av ping-pakker til en spesifikk IP-adresse fra en spesifikk kildeadresse. I dette tilfellet pinger Ethernet1/1-grensesnittet standardgatewayen én gang per sekund. Hvis det ikke er respons på tre ping på rad, anses ruten som ødelagt og fjernet fra rutetabellen. Den samme ruten er konfigurert mot den andre Internett-leverandøren, men med en høyere beregning (det er en sikkerhetskopi). Når den første ruten er fjernet fra tabellen, vil brannmuren begynne å sende trafikk gjennom den andre ruten − Fail-Over. Når den første leverandøren begynner å svare på ping, vil ruten gå tilbake til tabellen og erstatte den andre på grunn av en bedre beregning - Fail-Back. Prosess Fail-Over tar noen sekunder avhengig av de konfigurerte intervallene, men i alle fall er prosessen ikke øyeblikkelig, og i løpet av denne tiden går trafikken tapt. Fail-Back passerer uten tap av trafikk. Det er en mulighet til å gjøre Fail-Over raskere, med BFD, dersom internettleverandøren gir en slik mulighet. BFD støttes fra modell PA-3000-serien и VM-100. Det er bedre å angi ikke leverandørens gateway som ping-adresse, men en offentlig, alltid tilgjengelig Internett-adresse.
• Opprette et tunnelgrensesnitt
Trafikk inne i tunnelen overføres gjennom spesielle virtuelle grensesnitt. Hver av dem må konfigureres med en IP-adresse fra transittnettverket. I dette eksemplet vil transformatorstasjonen 1/172.16.1.0 brukes for Tunnel-30, og transformatorstasjonen 2/172.16.2.0 vil bli brukt for Tunnel-30.
Tunnelgrensesnittet lages i seksjonen Nettverk -> Grensesnitt -> Tunnel. Du må spesifisere en virtuell ruter og sikkerhetssone, samt en IP-adresse fra det tilsvarende transportnettverket. Grensesnittnummeret kan være hva som helst.
I avsnitt Avansert kan spesifiseres Ledelsesprofilsom vil tillate ping på det gitte grensesnittet, kan dette være nyttig for testing.
• Sette opp IKE-profil
IKE-profil er ansvarlig for det første trinnet med å opprette en VPN-tilkobling; tunnelparametere er spesifisert her IKE fase 1. Profilen opprettes i seksjonen Nettverk -> Nettverksprofiler -> IKE Crypto. Det er nødvendig å spesifisere krypteringsalgoritmen, hashingalgoritmen, Diffie-Hellman-gruppen og nøkkelens levetid. Generelt, jo mer komplekse algoritmene er, desto dårligere ytelse; de bør velges basert på spesifikke sikkerhetskrav. Det er imidlertid strengt tatt ikke anbefalt å bruke en Diffie-Hellman-gruppe under 14 for å beskytte sensitiv informasjon. Dette skyldes sårbarheten til protokollen, som kun kan reduseres ved å bruke modulstørrelser på 2048 biter og høyere, eller elliptiske kryptografialgoritmer, som brukes i gruppe 19, 20, 21, 24. Disse algoritmene har større ytelse sammenlignet med tradisjonell kryptografi. . og .
• Sette opp IPSec-profil
Den andre fasen av å opprette en VPN-tilkobling er en IPSec-tunnel. SA-parametere for den er konfigurert i Nettverk -> Nettverksprofiler -> IPSec-krypteringsprofil. Her må du spesifisere IPSec-protokollen - AH eller ESP, samt parametere SA — hashing-algoritmer, kryptering, Diffie-Hellman-grupper og nøkkellevetid. SA-parametrene i IKE Crypto Profile og IPSec Crypto Profile er kanskje ikke de samme.
• Konfigurere IKE Gateway
IKE Gateway - dette er et objekt som angir en ruter eller brannmur som en VPN-tunnel er bygget med. For hver tunnel må du lage din egen IKE Gateway. I dette tilfellet opprettes to tunneler, en gjennom hver Internett-leverandør. Det korresponderende utgående grensesnittet og dets IP-adresse, peer-IP-adresse og delte nøkkel er angitt. Sertifikater kan brukes som et alternativ til en delt nøkkel.
Den tidligere opprettede er angitt her IKE Krypto-profil. Parametre for det andre objektet IKE Gateway lignende, bortsett fra IP-adresser. Hvis Palo Alto Networks brannmur er plassert bak en NAT-ruter, må du aktivere mekanismen NAT Traversal.
• Sette opp IPSec Tunnel
IPSec-tunnel er et objekt som spesifiserer IPSec-tunnelparameterne, som navnet antyder. Her må du spesifisere tunnelgrensesnittet og tidligere opprettede objekter IKE Gateway, IPSec Krypto-profil. For å sikre automatisk veksling av ruting til backup-tunnelen, må du aktivere Tunnelmonitor. Dette er en mekanisme som sjekker om en peer er i live ved å bruke ICMP-trafikk. Som destinasjonsadresse må du spesifisere IP-adressen til tunnelgrensesnittet til peeren som tunnelen bygges med. Profilen spesifiserer tidtakere og hva du skal gjøre hvis forbindelsen blir brutt. Vent Gjenopprett – vent til tilkoblingen er gjenopprettet, Mislykkes over — send trafikk langs en annen rute, hvis tilgjengelig. Å sette opp den andre tunnelen er helt lik; det andre tunnelgrensesnittet og IKE Gateway er spesifisert.
• Sette opp ruting
Dette eksemplet bruker statisk ruting. På PA-1-brannmuren, i tillegg til de to standardrutene, må du spesifisere to ruter til 10.10.10.0/24-undernettet i grenen. Den ene ruten bruker Tunnel-1, den andre Tunnel-2. Ruten gjennom Tunnel-1 er den viktigste fordi den har en lavere metrikk. Mekanisme Baneovervåking ikke brukt til disse rutene. Ansvarlig for bytte Tunnelmonitor.
De samme rutene for undernettet 192.168.30.0/24 må konfigureres på PA-2.
• Sette opp nettverksregler
For at tunnelen skal fungere, trengs tre regler:
- Å jobbe Path Monitor Tillat ICMP på eksterne grensesnitt.
- For IPSec tillate apper ike и ipsec på eksterne grensesnitt.
- Tillat trafikk mellom interne undernett og tunnelgrensesnitt.
Konklusjon
Denne artikkelen diskuterer muligheten for å sette opp en feiltolerant Internett-tilkobling og Nettsted-til-nettsted-VPN. Vi håper informasjonen var nyttig og at leseren fikk en ide om teknologiene som ble brukt i Palo Alto Networks. Hvis du har spørsmål om oppsett og forslag til emner for fremtidige artikler, skriv dem i kommentarfeltet, vi svarer gjerne.
Kilde: www.habr.com