Ky artikull është një vazhdim kushtuar specifikave të vendosjes së pajisjeve Palo Alto Networks . Këtu duam të flasim për konfigurimin IPSec VPN nga faqja në sajt në pajisje Palo Alto Networks dhe rreth një opsioni të mundshëm konfigurimi për lidhjen e disa ofruesve të internetit.
Për demonstrim do të përdoret një skemë standarde për lidhjen e zyrës qendrore me degën. Për të siguruar një lidhje interneti tolerante ndaj gabimeve, zyra qendrore përdor një lidhje të njëkohshme të dy ofruesve: ISP-1 dhe ISP-2. Dega ka lidhje vetëm me një ofrues, ISP-3. Ndërtohen dy tunele midis mureve të zjarrit PA-1 dhe PA-2. Tunelet funksionojnë në modalitet Active-Standby,Tuneli-1 është aktiv, Tuneli-2 do të fillojë të transmetojë trafikun kur Tuneli-1 dështon. Tuneli-1 përdor një lidhje me ISP-1, Tunnel-2 përdor një lidhje me ISP-2. Të gjitha adresat IP krijohen rastësisht për qëllime demonstrimi dhe nuk kanë asnjë lidhje me realitetin.
Për të ndërtuar një VPN Site-në-Sit do të përdoret IPsec — një grup protokollesh për të siguruar mbrojtjen e të dhënave të transmetuara nëpërmjet IP. IPsec do të funksionojë duke përdorur një protokoll sigurie ESP (Encapsulating Security Payload), i cili do të sigurojë enkriptimin e të dhënave të transmetuara.
В IPsec входит IKE (Internet Key Exchange) është një protokoll përgjegjës për negocimin e SA (shoqatat e sigurisë), parametrat e sigurisë që përdoren për të mbrojtur të dhënat e transmetuara. Mbështetja e mureve të zjarrit PAN IKEv1 и IKEv2.
В IKEv1 Një lidhje VPN ndërtohet në dy faza: IKEv1 Faza 1 (Tuneli IKE) dhe IKEv1 Faza 2 (tuneli IPSec), pra krijohen dy tunele, njëri prej të cilëve përdoret për shkëmbimin e informacionit të shërbimit ndërmjet mureve të zjarrit, i dyti për transmetimin e trafikut. NË IKEv1 Faza 1 Ekzistojnë dy mënyra funksionimi - mënyra kryesore dhe mënyra agresive. Modaliteti agresiv përdor më pak mesazhe dhe është më i shpejtë, por nuk mbështet mbrojtjen e identitetit të kolegëve.
IKEv2 zëvendësohet IKEv1, dhe krahasuar me IKEv1 avantazhi i tij kryesor është kërkesa më e ulët e gjerësisë së brezit dhe negocimi më i shpejtë i SA. NË IKEv2 Përdoren më pak mesazhe shërbimi (gjithsej 4), mbështeten protokollet EAP dhe MOBIKE dhe është shtuar një mekanizëm për të kontrolluar disponueshmërinë e kolegut me të cilin është krijuar tuneli - Kontrolli i gjallërisë, duke zëvendësuar Dead Peer Detection në IKEv1. Nëse kontrolli dështon, atëherë IKEv2 mund të rivendosë tunelin dhe më pas ta rivendosë automatikisht atë në rastin e parë. Mund të mësoni më shumë rreth dallimeve .
Nëse ndërtohet një tunel midis mureve të zjarrit nga prodhues të ndryshëm, atëherë mund të ketë gabime në zbatim IKEv2, dhe për pajtueshmërinë me pajisje të tilla është e mundur të përdoret IKEv1. Në raste të tjera është më mirë të përdoret IKEv2.
Hapat e instalimit:
• Konfigurimi i dy ofruesve të internetit në modalitetin ActiveStandby
Ka disa mënyra për të zbatuar këtë funksion. Një prej tyre është përdorimi i mekanizmit Monitorimi i Rrugës, i cili u bë i disponueshëm duke filluar nga versioni PAN-OS 8.0.0. Ky shembull përdor versionin 8.0.16. Ky funksion është i ngjashëm me IP SLA në ruterat Cisco. Parametri statik i paracaktuar i rrugës konfiguron dërgimin e paketave ping në një adresë IP specifike nga një adresë burimi specifike. Në këtë rast, ndërfaqja ethernet1/1 bën ping në portën e paracaktuar një herë në sekondë. Nëse nuk ka përgjigje për tre ping me radhë, rruga konsiderohet e prishur dhe hiqet nga tabela e rrugëzimit. E njëjta rrugë është konfiguruar drejt ofruesit të dytë të internetit, por me një metrikë më të lartë (është një rezervë). Pasi të hiqet rruga e parë nga tabela, muri i zjarrit do të fillojë të dërgojë trafikun përmes rrugës së dytë − Përfundimi i dështimit. Kur ofruesi i parë fillon t'u përgjigjet ping-ve, rruga e tij do të kthehet në tabelë dhe do të zëvendësojë të dytin për shkak të një metrike më të mirë - Fail-Back. Proces Përfundimi i dështimit zgjat disa sekonda në varësi të intervaleve të konfiguruara, por, në çdo rast, procesi nuk është i menjëhershëm dhe gjatë kësaj kohe trafiku humbet. Fail-Back kalon pa humbje trafiku. Ekziston një mundësi për të bërë Përfundimi i dështimit më shpejt, me B.F.D., nëse ofruesi i internetit ofron një mundësi të tillë. B.F.D. i mbështetur duke filluar nga modeli Seria PA-3000 и VM-100. Është më mirë të specifikoni jo portën e ofruesit si adresë ping, por një adresë publike, gjithmonë të aksesueshme në internet.
• Krijimi i një ndërfaqe tuneli
Trafiku brenda tunelit transmetohet përmes ndërfaqeve të veçanta virtuale. Secila prej tyre duhet të konfigurohet me një adresë IP nga rrjeti i tranzitit. Në këtë shembull, nënstacioni 1/172.16.1.0 do të përdoret për Tunelin-30, dhe nënstacioni 2/172.16.2.0 do të përdoret për Tunelin-30.
Ndërfaqja e tunelit krijohet në seksion Rrjeti -> Ndërfaqet -> Tuneli. Duhet të specifikoni një ruter virtual dhe një zonë sigurie, si dhe një adresë IP nga rrjeti përkatës i transportit. Numri i ndërfaqes mund të jetë çdo gjë.
Në seksionin Avancuar mund të указать Profili i Menaxhimiti cili do të lejojë ping në ndërfaqen e dhënë, kjo mund të jetë e dobishme për testim.
• Vendosja e Profilit IKE
Profili IKE është përgjegjës për fazën e parë të krijimit të një lidhjeje VPN; parametrat e tunelit janë specifikuar këtu IKE Faza 1. Profili krijohet në seksion Rrjeti -> Profilet e rrjetit -> IKE Crypto. Është e nevojshme të specifikoni algoritmin e kriptimit, algoritmin e hashimit, grupin Diffie-Hellman dhe jetëgjatësinë e çelësit. Në përgjithësi, sa më komplekse të jenë algoritmet, aq më e keqe është performanca; ato duhet të zgjidhen bazuar në kërkesat specifike të sigurisë. Megjithatë, nuk rekomandohet rreptësisht përdorimi i një grupi Diffie-Hellman nën 14 për të mbrojtur informacionin e ndjeshëm. Kjo është për shkak të cenueshmërisë së protokollit, i cili mund të zbutet vetëm duke përdorur përmasat e moduleve prej 2048 bit dhe më të lartë, ose algoritme të kriptografisë eliptike, të cilat përdoren në grupet 19, 20, 21, 24. Këto algoritme kanë performancë më të madhe në krahasim me kriptografia tradicionale. ... DHE .
• Vendosja e Profilit IPSec
Faza e dytë e krijimit të një lidhjeje VPN është një tunel IPSec. Parametrat SA për të janë konfiguruar në Rrjeti -> Profilet e rrjetit -> Profili kripto IPSec. Këtu duhet të specifikoni protokollin IPSec - AH ose ESP, si dhe parametrat SA — algoritmet e hashimit, enkriptimi, grupet Diffie-Hellman dhe jetëgjatësia e çelësit. Parametrat SA në profilin IKE Crypto dhe IPSec Crypto Profile mund të mos jenë të njëjtë.
• Konfigurimi IKE Gateway
IKE Gateway - ky është një objekt që përcakton një ruter ose mur zjarri me të cilin është ndërtuar një tunel VPN. Për çdo tunel ju duhet të krijoni tuajin IKE Gateway. Në këtë rast, krijohen dy tunele, një përmes secilit ofrues të internetit. Tregohet ndërfaqja përkatëse dalëse dhe adresa IP e saj, adresa IP e kolegëve dhe çelësi i përbashkët. Certifikatat mund të përdoren si një alternativë ndaj një çelësi të përbashkët.
Këtu tregohet ajo e krijuar më parë Profili IKE Crypto. Parametrat e objektit të dytë IKE Gateway të ngjashme, me përjashtim të adresave IP. Nëse muri i zjarrit i Palo Alto Networks ndodhet prapa një ruteri NAT, atëherë duhet të aktivizoni mekanizmin Kalimi NAT.
• Vendosja e tunelit IPSec
Tuneli IPSec është një objekt që specifikon parametrat e tunelit IPSec, siç sugjeron emri. Këtu ju duhet të specifikoni ndërfaqen e tunelit dhe objektet e krijuara më parë IKE Gateway, Profili IPSec Crypto. Për të siguruar kalimin automatik të rrugëzimit në tunelin rezervë, duhet të aktivizoni Monitor i tunelit. Ky është një mekanizëm që kontrollon nëse një koleg është gjallë duke përdorur trafikun ICMP. Si adresë e destinacionit, duhet të specifikoni adresën IP të ndërfaqes së tunelit të kolegut me të cilin po ndërtohet tuneli. Profili specifikon kohëmatësit dhe çfarë të bëni nëse lidhja humbet. Prisni Rikuperoni - prisni derisa lidhja të rivendoset, Dështojnë — dërgoni trafikun përgjatë një rruge tjetër, nëse është e mundur. Vendosja e tunelit të dytë është plotësisht e ngjashme; ndërfaqja e dytë e tunelit dhe IKE Gateway janë të specifikuara.
• Vendosja e rrugëzimit
Ky shembull përdor rrugëzim statik. Në murin e zjarrit PA-1, përveç dy rrugëve të paracaktuara, duhet të specifikoni dy rrugë në nënrrjetin 10.10.10.0/24 në degë. Njëra rrugë përdor Tunelin-1, tjetra Tunelin-2. Rruga përmes Tunelit-1 është ajo kryesore sepse ka një metrikë më të ulët. Mekanizmi Monitorimi i Rrugës nuk përdoret për këto rrugë. Përgjegjës për ndërrimin Monitor i tunelit.
Të njëjtat rrugë për nënrrjetin 192.168.30.0/24 duhet të konfigurohen në PA-2.
• Vendosja e rregullave të rrjetit
Që tuneli të funksionojë, nevojiten tre rregulla:
- Për të punuar Monitorimi i rrugës Lejo ICMP në ndërfaqet e jashtme.
- Për IPsec lejo aplikacionet ike и ipsec në ndërfaqet e jashtme.
- Lejo trafikun ndërmjet nënrrjeteve të brendshme dhe ndërfaqeve të tunelit.
Përfundim
Ky artikull diskuton mundësinë e konfigurimit të një lidhjeje interneti tolerante ndaj gabimeve dhe VPN nga faqja në faqe. Shpresojmë se informacioni ishte i dobishëm dhe lexuesi fitoi një ide për teknologjitë e përdorura në të Palo Alto Networks. Nëse keni pyetje në lidhje me konfigurimin dhe sugjerimet për tema për artikujt e ardhshëm, shkruajini ato në komente, ne do të jemi të lumtur t'ju përgjigjemi.
Burimi: www.habr.com