Tento článok je pokračovaním venovaný špecifikám nastavovania zariadení Palo Alto Networks . Tu chceme hovoriť o nastavení IPSec Site-to-Site VPN na zariadení Palo Alto Networks a o možnej možnosti konfigurácie pripojenia viacerých poskytovateľov internetu.
Pre demonštráciu bude použitá štandardná schéma prepojenia centrály s pobočkou. Aby bolo zabezpečené internetové pripojenie odolné voči chybám, centrála využíva súčasné pripojenie dvoch poskytovateľov: ISP-1 a ISP-2. Pobočka má pripojenie iba k jednému poskytovateľovi, ISP-3. Medzi firewallmi PA-1 a PA-2 sú vybudované dva tunely. Tunely fungujú v režime Aktívny pohotovostný režim,Tunel-1 je aktívny, Tunnel-2 začne vysielať prevádzku, keď zlyhá Tunel-1. Tunnel-1 používa pripojenie k ISP-1, Tunnel-2 používa pripojenie k ISP-2. Všetky IP adresy sú náhodne generované na demonštračné účely a nemajú žiadny vzťah k realite.
Na vytvorenie siete VPN typu Site-to-Site sa použije IPSec — súbor protokolov na zabezpečenie ochrany údajov prenášaných prostredníctvom IP. IPSec bude fungovať pomocou bezpečnostného protokolu ESP (Encapsulating Security Payload), ktorý zabezpečí šifrovanie prenášaných dát.
В IPSec je v cene IKE (Internet Key Exchange) je protokol zodpovedný za vyjednávanie SA (bezpečnostných asociácií), bezpečnostných parametrov, ktoré sa používajú na ochranu prenášaných dát. Podpora firewallov PAN IKEv1 и IKEv2.
В IKEv1 Pripojenie VPN sa vytvára v dvoch fázach: IKEv1 Fáza 1 (IKE tunel) a IKEv1 Fáza 2 (IPSec tunel), tak sa vytvoria dva tunely, z ktorých jeden slúži na výmenu servisných informácií medzi firewallmi, druhý na prenos prevádzky. IN IKEv1 Fáza 1 Existujú dva prevádzkové režimy - hlavný režim a agresívny režim. Agresívny režim používa menej správ a je rýchlejší, ale nepodporuje Peer Identity Protection.
IKEv2 prišiel vymeniť IKEv1a v porovnaní s IKEv1 jeho hlavnou výhodou sú nižšie nároky na šírku pásma a rýchlejšie vyjednávanie SA. IN IKEv2 Používa sa menej servisných správ (celkovo 4), sú podporované protokoly EAP a MOBIKE a bol pridaný mechanizmus na kontrolu dostupnosti partnera, s ktorým je tunel vytvorený - Kontrola živosti, ktorá nahrádza detekciu mŕtvych rovnocenných používateľov v IKEv1. Ak kontrola zlyhá, potom IKEv2 môže resetovať tunel a potom ho pri prvej príležitosti automaticky obnoviť. Môžete sa dozvedieť viac o rozdieloch .
Ak je medzi firewallmi od rôznych výrobcov vybudovaný tunel, môžu sa vyskytnúť chyby v implementácii IKEv2, a pre kompatibilitu s takýmto zariadením je možné použiť IKEv1. V iných prípadoch je lepšie použiť IKEv2.
Kroky nastavenia:
• Konfigurácia dvoch poskytovateľov internetu v režime ActiveStandby
Existuje niekoľko spôsobov, ako túto funkciu implementovať. Jedným z nich je použitie mechanizmu Monitorovanie cesty, ktorá bola k dispozícii od verzie PAN-OS 8.0.0. Tento príklad používa verziu 8.0.16. Táto funkcia je podobná IP SLA v smerovačoch Cisco. Parameter statickej predvolenej trasy konfiguruje odosielanie paketov ping na konkrétnu adresu IP zo špecifickej zdrojovej adresy. V tomto prípade rozhranie ethernet1/1 pingne predvolenú bránu raz za sekundu. Ak nedôjde k žiadnej odozve na tri pingy za sebou, trasa sa považuje za prerušenú a odstráni sa zo smerovacej tabuľky. Rovnaká trasa je nakonfigurovaná smerom k druhému poskytovateľovi internetu, ale s vyššou metrikou (je to záložná). Akonáhle je prvá cesta odstránená z tabuľky, firewall začne posielať prevádzku cez druhú cestu − Fail-Over. Keď prvý poskytovateľ začne reagovať na ping, jeho trasa sa vráti do tabuľky a nahradí druhého z dôvodu lepšej metriky - Fail-Back... Proces Fail-Over trvá niekoľko sekúnd v závislosti od nakonfigurovaných intervalov, ale v každom prípade proces nie je okamžitý a počas tohto času sa stratí prevádzka. Fail-Back prejde bez straty premávky. Je tu príležitosť urobiť Fail-Over rýchlejšie, s BFD, ak poskytovateľ internetu takúto možnosť poskytuje. BFD podporované od modelu Séria PA-3000 и VM-100. Ako ping adresu je lepšie zadať nie bránu poskytovateľa, ale verejnú, vždy prístupnú internetovú adresu.
• Vytvorenie tunelového rozhrania
Prevádzka vo vnútri tunela sa prenáša cez špeciálne virtuálne rozhrania. Každý z nich musí byť nakonfigurovaný s IP adresou z tranzitnej siete. V tomto príklade sa rozvodňa 1/172.16.1.0 použije pre Tunnel-30 a rozvodňa 2/172.16.2.0 sa použije pre Tunnel-30.
V sekcii je vytvorené rozhranie tunela Sieť -> Rozhrania -> Tunel. Musíte zadať virtuálny smerovač a bezpečnostnú zónu, ako aj IP adresu z príslušnej transportnej siete. Číslo rozhrania môže byť čokoľvek.
V sekcii pokročilý možno špecifikovať Manažérsky profilktorý umožní ping na danom rozhraní, to môže byť užitočné pri testovaní.
• Nastavenie profilu IKE
Profil IKE je zodpovedný za prvú fázu vytvorenia pripojenia VPN, tu sú špecifikované parametre tunela IKE fáza 1. Profil sa vytvorí v sekcii Sieť -> Profily siete -> IKE Crypto. Je potrebné špecifikovať šifrovací algoritmus, hashovací algoritmus, skupinu Diffie-Hellman a životnosť kľúča. Vo všeobecnosti platí, že čím zložitejšie algoritmy, tým horší výkon, mali by sa vyberať na základe špecifických bezpečnostných požiadaviek. Na ochranu citlivých informácií sa však prísne neodporúča používať skupinu Diffie-Hellman do 14 rokov. Je to spôsobené zraniteľnosťou protokolu, ktorú možno zmierniť iba použitím modulov s veľkosťou 2048 bitov a viac, alebo algoritmami eliptickej kryptografie, ktoré sa používajú v skupinách 19, 20, 21, 24. Tieto algoritmy majú vyšší výkon v porovnaní s tradičná kryptografia. , a .
• Nastavenie profilu IPSec
Druhou fázou vytvorenia pripojenia VPN je tunel IPSec. Parametre SA preň sú konfigurované v Network -> Network Profiles -> IPSec Crypto Profile. Tu musíte zadať protokol IPSec - AH alebo ESP, ako aj parametre SA — hashovacie algoritmy, šifrovanie, skupiny Diffie-Hellman a životnosť kľúča. Parametre SA v IKE Crypto Profile a IPSec Crypto Profile nemusia byť rovnaké.
• Konfigurácia brány IKE
Brána IKE - toto je objekt, ktorý označuje smerovač alebo firewall, s ktorým je vytvorený tunel VPN. Pre každý tunel musíte vytvoriť svoj vlastný Brána IKE. V tomto prípade sa vytvoria dva tunely, jeden cez každého poskytovateľa internetu. Je uvedené zodpovedajúce odchádzajúce rozhranie a jeho IP adresa, peer IP adresa a zdieľaný kľúč. Certifikáty možno použiť ako alternatívu k zdieľanému kľúču.
Tu je uvedený predtým vytvorený Krypto profil IKE. Parametre druhého objektu Brána IKE podobne, okrem IP adries. Ak je brána firewall Palo Alto Networks umiestnená za smerovačom NAT, musíte mechanizmus povoliť NAT Traversal.
• Nastavenie IPSec tunela
Tunel IPSec je objekt, ktorý špecifikuje parametre tunela IPSec, ako naznačuje názov. Tu musíte zadať rozhranie tunela a predtým vytvorené objekty Brána IKE, Krypto profil IPSec. Ak chcete zabezpečiť automatické prepínanie smerovania do záložného tunela, musíte ho povoliť Monitor tunela. Toto je mechanizmus, ktorý kontroluje, či je partner nažive pomocou prevádzky ICMP. Ako cieľovú adresu musíte zadať IP adresu rozhrania tunela partnera, s ktorým sa tunel vytvára. Profil špecifikuje časovače a čo robiť v prípade straty spojenia. Počkajte na obnovenie - počkajte, kým sa spojenie neobnoví, Fail Over — poslať premávku po inej trase, ak je k dispozícii. Nastavenie druhého tunela je úplne podobné, špecifikuje sa rozhranie druhého tunela a brána IKE.
• Nastavenie smerovania
Tento príklad používa statické smerovanie. Na firewalle PA-1 musíte okrem dvoch predvolených trás zadať dve cesty do podsiete 10.10.10.0/24 vo vetve. Jedna trasa využíva tunel-1, druhá tunel-2. Trasa cez Tunnel-1 je hlavná, pretože má nižšiu metriku. Mechanizmus Monitorovanie cesty nepoužívané pre tieto trasy. Zodpovedný za prepínanie Monitor tunela.
Na PA-192.168.30.0 je potrebné nakonfigurovať rovnaké trasy pre podsieť 24/2.
• Nastavenie pravidiel siete
Aby tunel fungoval, sú potrebné tri pravidlá:
- Pracovať Monitor cesty Povoliť ICMP na externých rozhraniach.
- pre IPSec povoliť aplikácie ike и ipsec na externých rozhraniach.
- Povoliť prenos medzi internými podsieťami a rozhraniami tunelov.
Záver
Tento článok pojednáva o možnosti nastavenia internetového pripojenia odolného voči chybám a VPN typu Site-to-Site. Dúfame, že informácie boli užitočné a čitateľ získal predstavu o použitých technológiách Palo Alto Networks. Ak máte otázky týkajúce sa nastavenia a návrhy na témy pre budúce články, napíšte ich do komentárov, radi odpovieme.
Zdroj: hab.com