Acest articol este o continuare dedicat specificului montajului echipamentelor Palo Alto Networks . Aici vrem să vorbim despre configurație VPN IPSec site-to-site pe echipamente Palo Alto Networks și despre o posibilă opțiune de configurare pentru conectarea mai multor furnizori de internet.
Pentru demonstrație se va folosi o schemă standard de conectare a sediului central la sucursală. Pentru a oferi o conexiune la Internet tolerantă la erori, sediul central utilizează o conexiune simultană a doi furnizori: ISP-1 și ISP-2. Sucursala are o conexiune la un singur furnizor, ISP-3. Două tuneluri sunt construite între firewall-urile PA-1 și PA-2. Tunelurile funcționează în modul Active-Standby,Tunnel-1 este activ, Tunnel-2 va începe să transmită trafic când Tunnel-1 eșuează. Tunnel-1 folosește o conexiune la ISP-1, Tunnel-2 folosește o conexiune la ISP-2. Toate adresele IP sunt generate aleatoriu în scopuri demonstrative și nu au nicio legătură cu realitatea.
Pentru a construi un VPN Site-to-Site va fi folosit IPsec — un set de protocoale pentru a asigura protecția datelor transmise prin IP. IPsec va funcționa folosind un protocol de securitate ESP (Encapsulating Security Payload), care va asigura criptarea datelor transmise.
В IPsec este inclus IKE (Internet Key Exchange) este un protocol responsabil de negocierea SA (asociații de securitate), parametri de securitate care sunt utilizați pentru a proteja datele transmise. Suport pentru firewall-uri PAN IKEv1 и IKEv2.
В IKEv1 O conexiune VPN este construită în două etape: IKEv1 Faza 1 (tunelul IKE) și IKEv1 Faza 2 (tunnel IPSec), astfel, sunt create două tuneluri, dintre care unul este folosit pentru schimbul de informații de serviciu între firewall-uri, al doilea pentru transmiterea traficului. ÎN IKEv1 Faza 1 Există două moduri de funcționare - modul principal și modul agresiv. Modul agresiv utilizează mai puține mesaje și este mai rapid, dar nu acceptă Peer Identity Protection.
IKEv2 înlocuit IKEv1, și în comparație cu IKEv1 principalul său avantaj este cerințele mai mici de lățime de bandă și negocierea SA mai rapidă. ÎN IKEv2 Sunt utilizate mai puține mesaje de serviciu (4 în total), protocoalele EAP și MOBIKE sunt acceptate și a fost adăugat un mecanism pentru a verifica disponibilitatea peer-ului cu care este creat tunelul - Verificarea vieții, înlocuind Dead Peer Detection în IKEv1. Dacă verificarea eșuează, atunci IKEv2 poate reseta tunelul și apoi îl restabili automat cu prima ocazie. Puteți afla mai multe despre diferențe .
Dacă este construit un tunel între firewall-uri de la diferiți producători, atunci pot exista erori în implementare IKEv2, iar pentru compatibilitate cu astfel de echipamente este posibil să se utilizeze IKEv1. În alte cazuri, este mai bine să utilizați IKEv2.
Pași de configurare:
• Configurarea a doi furnizori de Internet în modul ActiveStandby
Există mai multe moduri de a implementa această funcție. Una dintre ele este utilizarea mecanismului Monitorizarea traseului, care a devenit disponibil începând cu versiunea PAN-OS 8.0.0. Acest exemplu folosește versiunea 8.0.16. Această caracteristică este similară cu IP SLA din routerele Cisco. Parametrul de rută implicit static configurează trimiterea de pachete ping la o anumită adresă IP de la o anumită adresă sursă. În acest caz, interfața ethernet1/1 trimite ping la gateway-ul implicit o dată pe secundă. Dacă nu există niciun răspuns la trei ping-uri la rând, ruta este considerată întreruptă și eliminată din tabelul de rutare. Aceeași rută este configurată către al doilea furnizor de internet, dar cu o metrică mai mare (este una de rezervă). Odată ce prima rută este eliminată din tabel, firewall-ul va începe să trimită trafic prin a doua rută - Fail-over. Când primul furnizor începe să răspundă la ping-uri, traseul său va reveni la tabel și îl va înlocui pe al doilea datorită unei valori mai bune - Fail-Back. Proces Fail-over durează câteva secunde în funcție de intervalele configurate, dar, în orice caz, procesul nu este instantaneu, iar în acest timp traficul se pierde. Fail-Back trece fără pierderi de trafic. Există o oportunitate de a face Fail-over mai repede, cu BFD, dacă furnizorul de internet oferă o astfel de oportunitate. BFD suportat pornind de la model Seria PA-3000 и VM-100. Este mai bine să specificați nu gateway-ul furnizorului ca adresă ping, ci o adresă de Internet publică, întotdeauna accesibilă.
• Crearea unei interfeţe tunel
Traficul din interiorul tunelului este transmis prin interfețe virtuale speciale. Fiecare dintre ele trebuie configurat cu o adresă IP din rețeaua de tranzit. În acest exemplu, substația 1/172.16.1.0 va fi folosită pentru tunelul-30, iar substația 2/172.16.2.0 va fi folosită pentru tunelul-30.
Interfața tunel este creată în secțiune Rețea -> Interfețe -> Tunel. Trebuie să specificați un router virtual și o zonă de securitate, precum și o adresă IP din rețeaua de transport corespunzătoare. Numărul interfeței poate fi orice.
În secțiunea Avansat poate fi specificat Profil de managementcare va permite ping pe interfața dată, acest lucru poate fi util pentru testare.
• Configurarea profilului IKE
Profil IKE este responsabil pentru prima etapă a creării unei conexiuni VPN; aici sunt specificați parametrii tunelului IKE Faza 1. Profilul este creat în secțiune Rețea -> Profiluri de rețea -> IKE Crypto. Este necesar să se specifice algoritmul de criptare, algoritmul de hashing, grupul Diffie-Hellman și durata de viață a cheii. În general, cu cât algoritmii sunt mai complexi, cu atât performanța este mai slabă; aceștia trebuie selectați pe baza cerințelor specifice de securitate. Cu toate acestea, nu este strict recomandat să utilizați un grup Diffie-Hellman sub 14 pentru a proteja informațiile sensibile. Acest lucru se datorează vulnerabilității protocolului, care poate fi atenuată doar prin utilizarea dimensiunilor modulelor de 2048 de biți și mai mari, sau a algoritmilor de criptare eliptică, care sunt utilizați în grupurile 19, 20, 21, 24. Acești algoritmi au performanțe mai mari în comparație cu criptografia tradițională. . și .
• Configurarea profilului IPSec
A doua etapă a creării unei conexiuni VPN este un tunel IPSec. Parametrii SA pentru acesta sunt configurați în Rețea -> Profiluri de rețea -> Profil criptografic IPSec. Aici trebuie să specificați protocolul IPSec - AH sau ESP, precum și parametrii SA — algoritmi de hashing, criptare, grupuri Diffie-Hellman și durata de viață a cheii. Parametrii SA din IKE Crypto Profile și IPSec Crypto Profile pot să nu fie aceiași.
• Configurarea IKE Gateway
Gateway IKE - acesta este un obiect care desemnează un router sau firewall cu care este construit un tunel VPN. Pentru fiecare tunel trebuie să-l creezi pe al tău Gateway IKE. În acest caz, sunt create două tuneluri, câte unul prin fiecare furnizor de Internet. Sunt indicate interfața de ieșire corespunzătoare și adresa IP, adresa IP peer și cheia partajată. Certificatele pot fi utilizate ca alternativă la o cheie partajată.
Cel creat anterior este indicat aici Profil IKE Crypto. Parametrii celui de-al doilea obiect Gateway IKE similare, cu excepția adreselor IP. Dacă firewall-ul Palo Alto Networks este situat în spatele unui router NAT, atunci trebuie să activați mecanismul Traversarea NAT.
• Configurarea tunelului IPSec
Tunelul IPSec este un obiect care specifică parametrii tunelului IPSec, după cum sugerează și numele. Aici trebuie să specificați interfața tunelului și obiectele create anterior Gateway IKE, Profil criptografic IPSec. Pentru a asigura comutarea automată a rutare la tunelul de rezervă, trebuie să activați Monitor tunel. Acesta este un mecanism care verifică dacă un peer este în viață utilizând trafic ICMP. Ca adresă de destinație, trebuie să specificați adresa IP a interfeței tunelului peer-ului cu care este construit tunelul. Profilul specifică temporizatoarele și ce trebuie făcut dacă se pierde conexiunea. Așteptați Recuperați - așteptați până când conexiunea este restabilită, Fail Over — trimiteți traficul de-a lungul unui traseu diferit, dacă este disponibil. Configurarea celui de-al doilea tunel este complet similară; sunt specificate a doua interfață de tunel și IKE Gateway.
• Configurarea rutei
Acest exemplu folosește rutarea statică. Pe firewall-ul PA-1, pe lângă cele două rute implicite, trebuie să specificați două rute către subrețeaua 10.10.10.0/24 din ramură. O rută folosește Tunelul-1, cealaltă Tunel-2. Traseul prin Tunel-1 este cel principal deoarece are o metrică mai mică. Mecanism Monitorizarea traseului nu este folosit pentru aceste rute. Responsabil pentru comutare Monitor tunel.
Aceleași rute pentru subrețeaua 192.168.30.0/24 trebuie configurate pe PA-2.
• Configurarea regulilor de rețea
Pentru ca tunelul să funcționeze, sunt necesare trei reguli:
- Pentru a lucra Monitorul căii Permiteți ICMP pe interfețele externe.
- Pentru IPsec permiteți aplicațiile Ike и ipsec pe interfețele externe.
- Permite traficul între subrețele interne și interfețele tunelului.
Concluzie
Acest articol discută opțiunea de a configura o conexiune la Internet tolerantă la erori și VPN de la un site la altul. Sperăm că informațiile au fost utile și cititorul și-a făcut o idee despre tehnologiile utilizate în Palo Alto Networks. Dacă aveți întrebări despre configurare și sugestii cu privire la subiecte pentru articolele viitoare, scrieți-le în comentarii, vom fi bucuroși să vă răspundem.
Sursa: www.habr.com