ProHoster > Blog > Uprava > Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Ta članek je nadaljevanje prejšnje gradivoposvečen posebnostim namestitve opreme Palo Alto Networks . Tukaj želimo govoriti o postavitvi IPSec Site-to-Site VPN na opremi Palo Alto Networks ter o možni konfiguracijski možnosti povezovanja več internetnih ponudnikov.

Za demonstracijo bo uporabljena standardna shema povezave sedeža s poslovalnico. Za zagotavljanje brezhibne internetne povezave centrala uporablja hkratno povezavo dveh ponudnikov: ISP-1 in ISP-2. Poslovalnica ima povezavo samo z enim ponudnikom ISP-3. Med požarnimi zidovi PA-1 in PA-2 sta zgrajena dva tunela. Predori delujejo v načinu Aktivna pripravljenost,Tunnel-1 je aktiven, Tunel-2 bo začel prenašati promet, ko Tunel-1 odpove. Tunel-1 uporablja povezavo z ISP-1, Tunnel-2 uporablja povezavo z ISP-2. Vsi naslovi IP so naključno ustvarjeni za demonstracijske namene in nimajo nobene povezave z realnostjo.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Za izgradnjo Site-to-Site VPN bo uporabljen IPsec — nabor protokolov za zagotavljanje zaščite podatkov, ki se prenašajo prek IP. IPsec bo deloval z uporabo varnostnega protokola ESP (Encapsulating Security Payload), ki bo zagotovila šifriranje prenesenih podatkov.

В IPsec je vključeno IKE (Internet Key Exchange) je protokol, odgovoren za pogajanja o SA (varnostnih povezavah), varnostnih parametrih, ki se uporabljajo za zaščito prenesenih podatkov. Podpora za požarne zidove PAN IKEv1 и IKEv2.

В IKEv1 Povezava VPN je zgrajena v dveh fazah: IKEv1 1. faza (tunel IKE) in IKEv1 2. faza (IPSec tunel), tako nastaneta dva tunela, od katerih se eden uporablja za izmenjavo servisnih informacij med požarnimi zidovi, drugi pa za prenos prometa. IN IKEv1 1. faza Obstajata dva načina delovanja - glavni način in agresivni način. Agresivni način uporablja manj sporočil in je hitrejši, vendar ne podpira Peer Identity Protection.

IKEv2 prišel zamenjat IKEv1, in v primerjavi z IKEv1 njegova glavna prednost so nižje zahteve glede pasovne širine in hitrejše pogajanje SA. IN IKEv2 Uporabljenih je manj servisnih sporočil (skupaj 4), podprta sta protokola EAP in MOBIKE, dodan je mehanizem za preverjanje razpoložljivosti vrstnika, s katerim je ustvarjen tunel - Preverjanje živahnosti, ki nadomešča Dead Peer Detection v IKEv1. Če preverjanje ne uspe, potem IKEv2 lahko ponastavi tunel in ga nato samodejno obnovi ob prvi priložnosti. Izvedete lahko več o razlikah preberite tukaj.

Če je tunel zgrajen med požarnimi zidovi različnih proizvajalcev, lahko pride do napak v implementaciji IKEv2, in za združljivost s takšno opremo je mogoče uporabiti IKEv1. V drugih primerih je bolje uporabiti IKEv2.

Koraki nastavitve:

• Konfiguracija dveh internetnih ponudnikov v načinu ActiveStandby

Obstaja več načinov za izvajanje te funkcije. Eden od njih je uporaba mehanizma Spremljanje poti, ki je bil na voljo od različice naprej PAN-OS 8.0.0. Ta primer uporablja različico 8.0.16. Ta funkcija je podobna IP SLA v usmerjevalnikih Cisco. Parameter statične privzete poti konfigurira pošiljanje paketov ping na določen naslov IP z določenega izvornega naslova. V tem primeru vmesnik ethernet1/1 pinga privzeti prehod enkrat na sekundo. Če ni odgovora na tri zaporedne pinge, se pot šteje za prekinjeno in odstranjena iz usmerjevalne tabele. Ista pot je konfigurirana proti drugemu internetnemu ponudniku, vendar z višjo metriko (je rezervna). Ko je prva pot odstranjena iz tabele, bo požarni zid začel pošiljati promet po drugi poti − Fail-Over. Ko se prvi ponudnik začne odzivati ​​na pinge, se bo njegova pot vrnila v tabelo in nadomestila drugega zaradi boljše metrike - Fail-Back. Proces Fail-Over traja nekaj sekund, odvisno od konfiguriranih intervalov, vendar v vsakem primeru postopek ni takojšen in v tem času se izgubi promet. Fail-Back poteka brez izgube prometa. Obstaja priložnost za to Fail-Over hitreje, z BFD, če internetni ponudnik ponuja takšno možnost. BFD podprto od modela naprej Serija PA-3000 и VM-100. Bolje je, da kot naslov ping ne navedete ponudnikovega prehoda, temveč javni, vedno dostopen internetni naslov.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Izdelava tunelskega vmesnika

Promet znotraj predora se prenaša prek posebnih virtualnih vmesnikov. Vsak od njih mora biti konfiguriran z naslovom IP iz tranzitnega omrežja. V tem primeru bo transformatorska postaja 1/172.16.1.0 uporabljena za Tunel-30, transformatorska postaja 2/172.16.2.0 pa za Tunel-30.
V razdelku je ustvarjen vmesnik tunela Omrežje -> Vmesniki -> Tunel. Določiti morate navidezni usmerjevalnik in varnostno območje ter naslov IP iz ustreznega transportnega omrežja. Številka vmesnika je lahko katera koli.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

V oddelku Napredno je mogoče določiti Vodstveni profilki bo omogočil ping na danem vmesniku, je to lahko koristno za testiranje.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Nastavitev IKE profila

Profil IKE je odgovoren za prvo fazo ustvarjanja povezave VPN, tukaj so določeni parametri tunela IKE faza 1. Profil se ustvari v razdelku Omrežje -> Omrežni profili -> IKE Crypto. Določiti je treba algoritem šifriranja, algoritem zgoščevanja, skupino Diffie-Hellman in življenjsko dobo ključa. Na splošno velja, da bolj ko so algoritmi zapleteni, slabša je zmogljivost; izbrati jih je treba na podlagi posebnih varnostnih zahtev. Vendar pa za zaščito občutljivih podatkov strogo ni priporočljivo uporabljati Diffie-Hellmanove skupine pod 14. To je posledica ranljivosti protokola, ki jo je mogoče ublažiti le z uporabo velikosti modulov 2048 bitov in več, ali eliptičnih kriptografskih algoritmov, ki se uporabljajo v skupinah 19, 20, 21, 24. Ti algoritmi imajo večjo zmogljivost v primerjavi z tradicionalno kriptografijo. Več si preberite tukaj.. In tukaj.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Nastavitev profila IPSec

Druga stopnja ustvarjanja povezave VPN je tunel IPSec. Parametri SA zanj so konfigurirani v Omrežje -> Omrežni profili -> Kripto profil IPSec. Tukaj morate določiti protokol IPSec - AH ali ESP, kot tudi parametre SA — algoritmi zgoščevanja, šifriranje, Diffie-Hellmanove skupine in življenjska doba ključa. Parametri SA v kripto profilu IKE in kripto profilu IPSec morda niso enaki.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Konfiguriranje prehoda IKE

Prehod IKE - to je objekt, ki označuje usmerjevalnik ali požarni zid, s katerim je zgrajen VPN tunel. Za vsak tunel morate ustvariti svojega Prehod IKE. V tem primeru se ustvarita dva tunela, eden skozi vsakega internetnega ponudnika. Navedeni so ustrezni odhodni vmesnik in njegov naslov IP, naslov IP enakovrednega uporabnika in ključ v skupni rabi. Potrdila lahko uporabite kot alternativo skupnemu ključu.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Prej ustvarjena je navedena tukaj Kripto profil IKE. Parametri drugega predmeta Prehod IKE podobno, razen naslovov IP. Če se požarni zid Palo Alto Networks nahaja za usmerjevalnikom NAT, morate omogočiti mehanizem Prehod NAT.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Nastavitev tunela IPSec

Tunel IPSec je objekt, ki določa parametre tunela IPSec, kot pove že ime. Tukaj morate določiti vmesnik tunela in predhodno ustvarjene objekte Prehod IKE, Kripto profil IPSec. Če želite zagotoviti samodejno preklapljanje usmerjanja v rezervni tunel, morate omogočiti Monitor tunela. To je mehanizem, ki s prometom ICMP preverja, ali je vrstnik živ. Kot ciljni naslov morate podati naslov IP vmesnika tunela vrstnika, s katerim se gradi tunel. Profil določa časovnike in kaj storiti, če se povezava prekine. Počakajte Obnovi – počakajte, da se povezava ponovno vzpostavi, Fail Over — pošiljanje prometa po drugi poti, če je na voljo. Nastavitev drugega tunela je popolnoma podobna, določena sta vmesnik drugega tunela in prehod IKE.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Nastavitev usmerjanja

Ta primer uporablja statično usmerjanje. Na požarnem zidu PA-1 morate poleg dveh privzetih poti določiti dve poti do podomrežja 10.10.10.0/24 v veji. Ena pot uporablja predor 1, druga pa predor 2. Pot skozi Tunel-1 je glavna, ker ima nižjo metriko. Mehanizem Spremljanje poti ne uporabljajo za te poti. Odgovoren za preklop Monitor tunela.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Enake poti za podomrežje 192.168.30.0/24 je treba konfigurirati na PA-2.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

• Nastavitev omrežnih pravil

Za delovanje tunela so potrebna tri pravila:

  1. Delati Monitor poti Dovoli ICMP na zunanjih vmesnikih.
  2. Za IPsec dovoli aplikacije Ike и ipsec na zunanjih vmesnikih.
  3. Dovoli promet med notranjimi podomrežji in vmesniki predorov.

Nastavitev IPSec Site-to-Site VPN na opremi Palo Alto Networks

Zaključek

Ta članek obravnava možnost nastavitve internetne povezave, odporne na napake, in VPN med spletnimi mesti. Upamo, da so bile informacije koristne in je bralec dobil predstavo o tehnologijah, ki se uporabljajo v Palo Alto Networks. Če imate vprašanja o nastavitvah in predloge o temah za prihodnje članke, jih napišite v komentarje, z veseljem vam bomo odgovorili.

Vir: www.habr.com

Dodaj komentar