Este artigo é uma continuação dedicado às especificidades da configuração do equipamento Palo Alto Networks . Aqui queremos falar sobre a configuração VPN site a site IPSec no equipamento Palo Alto Networks e sobre uma possível opção de configuração para conexão de vários provedores de Internet.
Para a demonstração será utilizado um esquema padrão de ligação da sede à filial. Para fornecer uma conexão à Internet tolerante a falhas, a sede utiliza uma conexão simultânea de dois provedores: ISP-1 e ISP-2. A filial possui conexão com apenas um provedor, o ISP-3. Dois túneis são construídos entre os firewalls PA-1 e PA-2. Os túneis operam no modo Ativo-Espera,O Túnel-1 está ativo, o Túnel-2 começará a transmitir tráfego quando o Túnel-1 falhar. O Tunnel-1 usa uma conexão com o ISP-1, o Tunnel-2 usa uma conexão com o ISP-2. Todos os endereços IP são gerados aleatoriamente para fins de demonstração e não têm relação com a realidade.
Para construir uma VPN Site-to-Site será usado IPSec — um conjunto de protocolos para garantir a proteção dos dados transmitidos via IP. IPSec funcionará usando um protocolo de segurança ESP (Encapsulating Security Payload), que garantirá a criptografia dos dados transmitidos.
В IPSec entra IKE (Internet Key Exchange) é um protocolo responsável por negociar SA (associações de segurança), parâmetros de segurança que são utilizados para proteger os dados transmitidos. Suporte a firewalls PAN IKEv1 и IKEv2.
В IKEv1 Uma conexão VPN é construída em dois estágios: IKEv1 Fase 1 (túnel IKE) e IKEv1 Fase 2 (túnel IPSec), assim, são criados dois túneis, um dos quais é utilizado para troca de informações de serviço entre firewalls, o segundo para transmissão de tráfego. EM IKEv1 Fase 1 Existem dois modos de operação - modo principal e modo agressivo. O modo agressivo usa menos mensagens e é mais rápido, mas não oferece suporte à Proteção de Identidade de Pares.
IKEv2 substituído IKEv1, e comparado com IKEv1 sua principal vantagem são os requisitos de largura de banda mais baixos e a negociação SA mais rápida. EM IKEv2 São utilizadas menos mensagens de serviço (4 no total), os protocolos EAP e MOBIKE são suportados e foi adicionado um mecanismo para verificar a disponibilidade do par com o qual o túnel é criado - Verificação de vivacidade, substituindo Dead Peer Detection em IKEv1. Se a verificação falhar, então IKEv2 pode redefinir o túnel e restaurá-lo automaticamente na primeira oportunidade. Você pode aprender mais sobre as diferenças .
Se um túnel for construído entre firewalls de fabricantes diferentes, pode haver erros na implementação IKEv2, e para compatibilidade com tais equipamentos é possível usar IKEv1. Em outros casos é melhor usar IKEv2.
Etapas de configuração:
• Configurando dois provedores de Internet no modo ActiveStandby
Existem várias maneiras de implementar esta função. Uma delas é usar o mecanismo Monitoramento de caminho, que ficou disponível a partir da versão PAN-OS 8.0.0. Este exemplo usa a versão 8.0.16. Este recurso é semelhante ao IP SLA em roteadores Cisco. O parâmetro de rota padrão estático configura o envio de pacotes de ping para um endereço IP específico a partir de um endereço de origem específico. Nesse caso, a interface ethernet1/1 executa ping no gateway padrão uma vez por segundo. Se não houver resposta a três pings seguidos, a rota é considerada quebrada e removida da tabela de roteamento. A mesma rota é configurada para o segundo provedor de Internet, mas com uma métrica superior (é de backup). Assim que a primeira rota for removida da tabela, o firewall começará a enviar tráfego pela segunda rota - Failover. Quando o primeiro provedor começar a responder aos pings, sua rota retornará à tabela e substituirá a segunda devido a uma métrica melhor - Failback. Processo Failover demora alguns segundos dependendo dos intervalos configurados, mas, em qualquer caso, o processo não é instantâneo e durante esse tempo o tráfego é perdido. Failback passa sem perda de tráfego. Existe uma oportunidade de fazer Failover mais rápido, com BFD, se o provedor de Internet oferecer essa oportunidade. BFD suportado a partir do modelo Série PA-3000 и VM-100. É melhor especificar não o gateway do provedor como endereço de ping, mas um endereço de Internet público e sempre acessível.
• Criando uma interface de túnel
O tráfego dentro do túnel é transmitido através de interfaces virtuais especiais. Cada um deles deve ser configurado com um endereço IP da rede de trânsito. Neste exemplo, a subestação 1/172.16.1.0 será utilizada para o Túnel-30 e a subestação 2/172.16.2.0 será utilizada para o Túnel-30.
A interface do túnel é criada na seção Rede -> Interfaces -> Túnel. Você deve especificar um roteador virtual e uma zona de segurança, bem como um endereço IP da rede de transporte correspondente. O número da interface pode ser qualquer coisa.
Na seção Avançado pode ser especificado Profile Managementque permitirá o ping na interface fornecida, isso pode ser útil para testes.
• Configurando o perfil IKE
Perfil IKE é responsável pelo primeiro estágio de criação de uma conexão VPN; os parâmetros do túnel são especificados aqui IKE Fase 1. O perfil é criado na seção Rede -> Perfis de Rede -> Criptografia IKE. É necessário especificar o algoritmo de criptografia, algoritmo de hash, grupo Diffie-Hellman e tempo de vida da chave. Em geral, quanto mais complexos os algoritmos, pior o desempenho; eles devem ser selecionados com base em requisitos de segurança específicos. No entanto, não é estritamente recomendado usar um grupo Diffie-Hellman com menos de 14 anos para proteger informações confidenciais. Isso se deve à vulnerabilidade do protocolo, que só pode ser mitigada usando tamanhos de módulo de 2048 bits e superiores, ou algoritmos de criptografia elíptica, que são usados nos grupos 19, 20, 21, 24. Esses algoritmos têm maior desempenho em comparação com criptografia tradicional. . E .
• Configurando perfil IPSec
O segundo estágio na criação de uma conexão VPN é um túnel IPSec. Os parâmetros SA para ele são configurados em Rede -> Perfis de rede -> Perfil criptográfico IPSec. Aqui você precisa especificar o protocolo IPSec - AH ou ESP, bem como parâmetros SA — algoritmos de hashing, criptografia, grupos Diffie-Hellman e tempo de vida da chave. Os parâmetros SA no IKE Crypto Profile e no IPSec Crypto Profile podem não ser iguais.
• Configurando o gateway IKE
Gateway IKE - este é um objeto que designa um roteador ou firewall com o qual um túnel VPN é construído. Para cada túnel você precisa criar o seu próprio Gateway IKE. Neste caso, são criados dois túneis, um através de cada provedor de Internet. A interface de saída correspondente e seu endereço IP, endereço IP do peer e chave compartilhada são indicados. Os certificados podem ser usados como alternativa a uma chave compartilhada.
O criado anteriormente é indicado aqui Perfil criptográfico IKE. Parâmetros do segundo objeto Gateway IKE semelhante, exceto para endereços IP. Se o firewall da Palo Alto Networks estiver localizado atrás de um roteador NAT, você precisará habilitar o mecanismo Percurso NAT.
• Configurando o túnel IPSec
Túnel IPSec é um objeto que especifica os parâmetros do túnel IPSec, como o nome sugere. Aqui você precisa especificar a interface do túnel e os objetos criados anteriormente Gateway IKE, Perfil criptográfico IPSec. Para garantir a troca automática de roteamento para o túnel de backup, você deve habilitar Monitor de túnel. Este é um mecanismo que verifica se um par está ativo usando tráfego ICMP. Como endereço de destino, você precisa especificar o endereço IP da interface do túnel do peer com o qual o túnel está sendo construído. O perfil especifica temporizadores e o que fazer se a conexão for perdida. Aguarde Recuperar – espere até que a conexão seja restaurada, Failover — enviar o tráfego por uma rota diferente, se disponível. A configuração do segundo túnel é completamente semelhante; a interface do segundo túnel e o gateway IKE são especificados.
• Configurando roteamento
Este exemplo usa roteamento estático. No firewall PA-1, além das duas rotas padrão, é necessário especificar duas rotas para a sub-rede 10.10.10.0/24 na ramificação. Uma rota usa o Túnel-1, a outra o Túnel-2. O percurso pelo Túnel-1 é o principal por ter uma métrica inferior. Mecanismo Monitoramento de caminho não usado para essas rotas. Responsável pela troca Monitor de túnel.
As mesmas rotas para a sub-rede 192.168.30.0/24 precisam ser configuradas no PA-2.
• Configurando regras de rede
Para que o túnel funcione, são necessárias três regras:
- Para trabalhar Monitor de caminho Permitir ICMP em interfaces externas.
- Para IPSec permitir aplicativos Ike и ipsec em interfaces externas.
- Permitir tráfego entre sub-redes internas e interfaces de túnel.
Conclusão
Este artigo discute a opção de configurar uma conexão de Internet tolerante a falhas e VPN site a site. Esperamos que as informações tenham sido úteis e que o leitor tenha tido uma ideia das tecnologias utilizadas em Palo Alto Networks. Se você tiver dúvidas sobre configuração e sugestões de temas para artigos futuros, escreva nos comentários, teremos prazer em responder.
Fonte: habr.com