Ten artykuł jest kontynuacją poświęcone specyfice konfiguracji sprzętu Palo Alto Networks . Tutaj chcemy porozmawiać o konfiguracji VPN typu site-to-site IPSec na sprzęcie Palo Alto Networks oraz o możliwej opcji konfiguracji podłączenia kilku dostawców Internetu.
Do demonstracji zostanie wykorzystany standardowy schemat połączenia centrali z oddziałem. Aby zapewnić odporne na awarie łącze internetowe, centrala korzysta z jednoczesnego połączenia dwóch dostawców: ISP-1 i ISP-2. Oddział ma połączenie tylko z jednym dostawcą, ISP-3. Pomiędzy zaporami ogniowymi PA-1 i PA-2 zbudowane są dwa tunele. Tunele działają w trybie Aktywny tryb gotowości,Tunel-1 jest aktywny, Tunel-2 rozpocznie transmisję ruchu w przypadku awarii Tunelu-1. Tunel-1 korzysta z połączenia z ISP-1, Tunel-2 korzysta z połączenia z ISP-2. Wszystkie adresy IP są generowane losowo w celach demonstracyjnych i nie mają żadnego związku z rzeczywistością.
Do zbudowania VPN typu Site-to-Site zostanie wykorzystana IPSec — zestaw protokołów zapewniających ochronę danych przesyłanych za pomocą protokołu IP. IPSec będzie działać przy użyciu protokołu bezpieczeństwa ESP (Encapsulated Security Payload), który zapewni szyfrowanie przesyłanych danych.
В IPSec wchodzi IKE (Internet Key Exchange) to protokół odpowiedzialny za negocjowanie SA (stowarzyszeń bezpieczeństwa), parametrów bezpieczeństwa, które służą do ochrony przesyłanych danych. Obsługa zapór sieciowych PAN IKEv1 и IKEv2.
В IKEv1 Połączenie VPN składa się z dwóch etapów: IKEv1 Faza 1 (tunel IKE) i IKEv1 Faza 2 (tunel IPSec) powstają w ten sposób dwa tunele, z których jeden służy do wymiany informacji serwisowych pomiędzy firewallami, drugi do transmisji ruchu. W IKEv1 Faza 1 Istnieją dwa tryby pracy - tryb główny i tryb agresywny. Tryb agresywny zużywa mniej wiadomości i jest szybszy, ale nie obsługuje ochrony tożsamości równorzędnej.
IKEv2 przyszedł zastąpić IKEv1i w porównaniu do IKEv1 jego główną zaletą są mniejsze wymagania dotyczące przepustowości i szybsza negocjacja SA. W IKEv2 Wykorzystywanych jest mniej komunikatów serwisowych (w sumie 4), obsługiwane są protokoły EAP i MOBIKE oraz dodano mechanizm sprawdzający dostępność peera, z którym tworzony jest tunel - Kontrola żywotności, zastępując funkcję Dead Peer Detection w IKEv1. Jeśli kontrola się nie powiedzie, to IKEv2 może zresetować tunel, a następnie automatycznie go przywrócić przy pierwszej okazji. Możesz dowiedzieć się więcej o różnicach .
Jeśli pomiędzy zaporami sieciowymi różnych producentów zostanie zbudowany tunel, mogą wystąpić błędy w implementacji IKEv2, a dla kompatybilności z takim sprzętem można go używać IKEv1. W innych przypadkach lepiej jest użyć IKEv2.
Kroki konfiguracji:
• Konfiguracja dwóch dostawców Internetu w trybie ActiveStandby
Istnieje kilka sposobów wdrożenia tej funkcji. Jednym z nich jest użycie mechanizmu Monitorowanie ścieżki, który stał się dostępny począwszy od wersji PAN-OS 8.0.0. W tym przykładzie użyto wersji 8.0.16. Ta funkcja jest podobna do IP SLA w routerach Cisco. Statyczny parametr trasy domyślnej konfiguruje wysyłanie pakietów ping na określony adres IP z określonego adresu źródłowego. W tym przypadku interfejs Ethernet1/1 wysyła polecenie ping do bramy domyślnej raz na sekundę. Jeśli nie ma odpowiedzi na trzy pingi z rzędu, trasa jest uważana za uszkodzoną i usuwana z tablicy routingu. Ta sama trasa jest skonfigurowana do drugiego dostawcy Internetu, ale z wyższą metryką (jest to trasa zapasowa). Po usunięciu pierwszej trasy z tabeli zapora sieciowa zacznie wysyłać ruch drugą trasą − Przełączanie awaryjne. Kiedy pierwszy dostawca zacznie odpowiadać na pingi, jego trasa powróci do tabeli i zastąpi drugiego ze względu na lepszą metrykę - Powrót po awarii. Proces Przełączanie awaryjne trwa kilka sekund w zależności od skonfigurowanych interwałów, ale w każdym przypadku proces nie jest natychmiastowy i w tym czasie następuje utrata ruchu. Powrót po awarii przejeżdża bez utraty ruchu. Jest szansa to zrobić Przełączanie awaryjne szybciej, z BFD, jeżeli dostawca Internetu zapewnia taką możliwość. BFD obsługiwane począwszy od modelu Seria PA-3000 и VM-100. Lepiej jest podawać jako adres ping nie bramę dostawcy, ale publiczny, zawsze dostępny adres internetowy.
• Tworzenie interfejsu tunelowego
Ruch wewnątrz tunelu transmitowany jest poprzez specjalne wirtualne interfejsy. W każdym z nich należy skonfigurować adres IP z sieci tranzytowej. W tym przykładzie podstacja 1/172.16.1.0 zostanie użyta w Tunelu-30, a podstacja 2/172.16.2.0 zostanie użyta w Tunelu-30.
Interfejs tunelu jest tworzony w sekcji Sieć -> Interfejsy -> Tunel. Musisz określić router wirtualny i strefę bezpieczeństwa, a także adres IP z odpowiedniej sieci transportowej. Numer interfejsu może być dowolny.
W sekcji Zaawansowane można określić Profile Managementco pozwoli na pingowanie na danym interfejsie, może to być przydatne do testowania.
• Konfigurowanie profilu IKE
Profil IKE odpowiada za pierwszy etap tworzenia połączenia VPN, tutaj określone są parametry tunelu IKE Faza 1. Profil zostanie utworzony w sekcji Sieć -> Profile sieciowe -> IKE Crypto. Konieczne jest określenie algorytmu szyfrowania, algorytmu haszującego, grupy Diffiego-Hellmana i czasu życia klucza. Ogólnie rzecz biorąc, im bardziej złożone algorytmy, tym gorsza wydajność; należy je wybierać w oparciu o określone wymagania bezpieczeństwa. Jednakże zdecydowanie nie zaleca się stosowania grupy Diffiego-Hellmana poniżej 14 w celu ochrony poufnych informacji. Wynika to z podatności protokołu, którą można złagodzić jedynie poprzez zastosowanie modułów o rozmiarach modułów 2048 bitów i większych lub algorytmów kryptografii eliptycznej, które są stosowane w grupach 19, 20, 21, 24. Algorytmy te charakteryzują się większą wydajnością w porównaniu do tradycyjna kryptografia. . I .
• Konfigurowanie profilu IPSec
Drugim etapem tworzenia połączenia VPN jest tunel IPSec. Parametry SA dla niego są konfigurowane w Sieć -> Profile sieciowe -> Profil kryptograficzny IPSec. Tutaj musisz określić protokół IPSec - AH lub ESP, a także parametry SA — algorytmy mieszające, szyfrowanie, grupy Diffiego-Hellmana i czas życia klucza. Parametry SA w profilu IKE Crypto Profile i IPSec Crypto Profile mogą nie być takie same.
• Konfigurowanie bramy IKE
Brama IKE - jest to obiekt wyznaczający router lub firewall, za pomocą którego budowany jest tunel VPN. Dla każdego tunelu musisz stworzyć własny Brama IKE. W tym przypadku tworzone są dwa tunele, po jednym przez każdego dostawcę Internetu. Wskazany jest odpowiedni interfejs wychodzący i jego adres IP, adres IP partnera i klucz współdzielony. Certyfikaty mogą być używane jako alternatywa dla klucza współdzielonego.
Tutaj wskazany jest wcześniej utworzony Profil kryptograficzny IKE. Parametry drugiego obiektu Brama IKE podobne, z wyjątkiem adresów IP. Jeżeli zapora sieciowa Palo Alto Networks znajduje się za routerem NAT, należy włączyć ten mechanizm Przechodzenie przez NAT.
• Konfigurowanie tunelu IPSec
Tunel IPSec to obiekt określający parametry tunelu IPSec, jak sama nazwa wskazuje. Tutaj musisz określić interfejs tunelu i wcześniej utworzone obiekty Brama IKE, Profil kryptograficzny IPSec. Aby zapewnić automatyczne przełączanie routingu do tunelu zapasowego, musisz włączyć Monitor tunelu. Jest to mechanizm sprawdzający, czy peer żyje, korzystając z ruchu ICMP. Jako adres docelowy należy podać adres IP interfejsu tunelu peera, z którym budowany jest tunel. Profil określa liczniki czasu i działanie w przypadku utraty połączenia. Poczekaj, wyzdrowiej – poczekać, aż połączenie zostanie przywrócone, Przełączanie awaryjne — kieruj ruch inną trasą, jeśli jest dostępna. Konfigurowanie drugiego tunelu przebiega całkowicie podobnie; określono interfejs drugiego tunelu i bramę IKE.
• Konfigurowanie routingu
W tym przykładzie zastosowano routing statyczny. Na zaporze PA-1 oprócz dwóch tras domyślnych należy określić dwie trasy do podsieci 10.10.10.0/24 w oddziale. Jedna trasa korzysta z tunelu-1, druga z tunelu-2. Trasa przez Tunel-1 jest trasą główną, ponieważ ma niższą metrykę. Mechanizm Monitorowanie ścieżki nieużywane na tych trasach. Odpowiedzialny za przełączanie Monitor tunelu.
Te same trasy dla podsieci 192.168.30.0/24 należy skonfigurować na PA-2.
• Konfigurowanie reguł sieciowych
Aby tunel zadziałał potrzebne są trzy zasady:
- Do pracy Monitor ścieżki Zezwalaj na ICMP na interfejsach zewnętrznych.
- dla IPSec zezwól na aplikacje ike и ipsek na interfejsach zewnętrznych.
- Zezwalaj na ruch między podsieciami wewnętrznymi i interfejsami tuneli.
wniosek
W tym artykule omówiono możliwość skonfigurowania odpornego na awarie połączenia internetowego i VPN typu lokacja-lokacja. Mamy nadzieję, że informacje były przydatne, a czytelnik zyskał pojęcie o technologiach stosowanych w Palo Alto Networks. Jeśli masz pytania dotyczące konfiguracji i sugestie dotyczące tematów przyszłych artykułów, napisz je w komentarzach, chętnie odpowiemy.
Źródło: www.habr.com