การตั้งค่า IPSec Site-to-Site VPN บนอุปกรณ์ Palo Alto Networks

บทความนี้เป็นบทความต่อเนื่อง วัสดุก่อนหน้าทุ่มเทให้กับการตั้งค่าอุปกรณ์โดยเฉพาะ พาโลอัลโตเครือข่าย . ที่นี่เราต้องการพูดคุยเกี่ยวกับการตั้งค่า IPSec Site-to-Site VPN บนอุปกรณ์ พาโลอัลโตเครือข่าย และเกี่ยวกับตัวเลือกการกำหนดค่าที่เป็นไปได้สำหรับการเชื่อมต่อผู้ให้บริการอินเทอร์เน็ตหลายราย

ในการสาธิตจะใช้รูปแบบมาตรฐานในการเชื่อมต่อสำนักงานใหญ่กับสาขา เพื่อให้การเชื่อมต่ออินเทอร์เน็ตทนทานต่อข้อผิดพลาด สำนักงานใหญ่จะใช้การเชื่อมต่อพร้อมกันของผู้ให้บริการสองราย: ISP-1 และ ISP-2 สาขามีการเชื่อมต่อกับผู้ให้บริการเพียงรายเดียวคือ ISP-3 มีการสร้างอุโมงค์สองแห่งระหว่างไฟร์วอลล์ PA-1 และ PA-2 อุโมงค์ทำงานในโหมด เปิดใช้งานสแตนด์บาย,Tunnel-1 ทำงานอยู่, Tunnel-2 จะเริ่มส่งข้อมูลเมื่อ Tunnel-1 ล้มเหลว Tunnel-1 ใช้การเชื่อมต่อกับ ISP-1, Tunnel-2 ใช้การเชื่อมต่อกับ ISP-2 ที่อยู่ IP ทั้งหมดถูกสร้างขึ้นแบบสุ่มเพื่อวัตถุประสงค์ในการสาธิตและไม่มีความสัมพันธ์กับความเป็นจริง

ในการสร้าง Site-to-Site VPN จะใช้ IPSec — ชุดโปรโตคอลเพื่อให้แน่ใจว่ามีการปกป้องข้อมูลที่ส่งผ่าน IP IPSec จะทำงานโดยใช้โปรโตคอลความปลอดภัย ESP (Encapsulating Security Payload) ซึ่งจะรับรองการเข้ารหัสข้อมูลที่ส่ง

В IPSec รวมอยู่ด้วย IKE (การแลกเปลี่ยนคีย์อินเทอร์เน็ต) เป็นโปรโตคอลที่รับผิดชอบในการเจรจา SA (สมาคมความปลอดภัย) พารามิเตอร์ความปลอดภัยที่ใช้เพื่อปกป้องข้อมูลที่ส่ง รองรับไฟร์วอลล์ PAN IKEv1 и IKEv2.

В IKEv1 การเชื่อมต่อ VPN ถูกสร้างขึ้นในสองขั้นตอน: IKEv1 เฟส 1 (อุโมงค์ไอเค) และ IKEv1 เฟส 2 (ช่องสัญญาณ IPSec) จึงมีการสร้างช่องสัญญาณสองช่อง ช่องหนึ่งใช้สำหรับการแลกเปลี่ยนข้อมูลบริการระหว่างไฟร์วอลล์ ช่องที่สองสำหรับการรับส่งข้อมูล ใน IKEv1 เฟส 1 มีโหมดการทำงานสองโหมด - โหมดหลักและโหมดก้าวร้าว โหมดก้าวร้าวใช้ข้อความน้อยลงและเร็วกว่า แต่ไม่รองรับ Peer Identity Protection

IKEv2 มาแทนที่ IKEv1และเปรียบเทียบกับ IKEv1 ข้อได้เปรียบหลักคือความต้องการแบนด์วิธที่ต่ำกว่าและการเจรจา SA ที่เร็วขึ้น ใน IKEv2 ใช้ข้อความบริการน้อยลง (ทั้งหมด 4 รายการ) รองรับโปรโตคอล EAP และ MOBIKE และมีการเพิ่มกลไกเพื่อตรวจสอบความพร้อมใช้งานของเพียร์ที่สร้างทันเนล - การตรวจสอบความมีชีวิตชีวาแทนที่ Dead Peer Detection ใน IKEv1 หากการตรวจสอบล้มเหลวแล้ว IKEv2 สามารถรีเซ็ตทันเนลแล้วกู้คืนโดยอัตโนมัติในโอกาสแรก คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับความแตกต่างได้ อ่านที่นี่.

หากมีการสร้างทันเนลระหว่างไฟร์วอลล์จากผู้ผลิตหลายราย อาจมีข้อบกพร่องในการใช้งาน IKEv2และเพื่อให้เข้ากันได้กับอุปกรณ์ดังกล่าวจึงสามารถใช้งานได้ IKEv1. ในกรณีอื่นควรใช้ดีกว่า IKEv2.

ขั้นตอนการตั้งค่า:

• การกำหนดค่าผู้ให้บริการอินเทอร์เน็ตสองรายในโหมด ActiveStandby

มีหลายวิธีในการใช้ฟังก์ชันนี้ หนึ่งในนั้นคือการใช้กลไก การตรวจสอบเส้นทางซึ่งเริ่มให้บริการตั้งแต่เวอร์ชัน แพน-โอเอส 8.0.0. ตัวอย่างนี้ใช้เวอร์ชัน 8.0.16 คุณลักษณะนี้คล้ายกับ IP SLA ในเราเตอร์ Cisco พารามิเตอร์เส้นทางเริ่มต้นแบบคงที่กำหนดค่าการส่งแพ็กเก็ต Ping ไปยังที่อยู่ IP เฉพาะจากที่อยู่ต้นทางเฉพาะ ในกรณีนี้ อินเทอร์เฟซ ethernet1/1 จะส่ง Ping เกตเวย์เริ่มต้นหนึ่งครั้งต่อวินาที หากไม่มีการตอบสนองต่อการปิงสามครั้งติดต่อกัน เส้นทางจะถือว่าใช้งานไม่ได้และถูกลบออกจากตารางเส้นทาง เส้นทางเดียวกันได้รับการกำหนดค่าไปยังผู้ให้บริการอินเทอร์เน็ตรายที่สอง แต่มีตัวชี้วัดที่สูงกว่า (เป็นเส้นทางสำรอง) เมื่อเส้นทางแรกถูกลบออกจากตาราง ไฟร์วอลล์จะเริ่มส่งการรับส่งข้อมูลผ่านเส้นทางที่สอง - ล้มเหลวมากกว่า. เมื่อผู้ให้บริการรายแรกเริ่มตอบสนองต่อการ Ping เส้นทางจะกลับไปที่ตารางและแทนที่ผู้ให้บริการรายที่สองเนื่องจากมีการวัดที่ดีกว่า - ล้มเหลว-กลับ. กระบวนการ ล้มเหลวมากกว่า ใช้เวลาไม่กี่วินาทีขึ้นอยู่กับช่วงเวลาที่กำหนดค่า แต่ในกรณีใด ๆ กระบวนการจะไม่เกิดขึ้นในทันที และในช่วงเวลานี้การรับส่งข้อมูลจะหายไป ล้มเหลว-กลับ ผ่านโดยไม่สูญเสียการจราจร มีโอกาสได้ทำ ล้มเหลวมากกว่า เร็วขึ้นด้วย BFDหากผู้ให้บริการอินเทอร์เน็ตให้โอกาสดังกล่าว BFD รองรับตั้งแต่รุ่น PA-3000 ซีรีส์ и VM-100. เป็นการดีกว่าที่จะไม่ระบุเกตเวย์ของผู้ให้บริการเป็นที่อยู่ ping แต่เป็นที่อยู่อินเทอร์เน็ตสาธารณะที่สามารถเข้าถึงได้ตลอดเวลา

• การสร้างส่วนต่อประสานทันเนล

การจราจรภายในอุโมงค์จะถูกส่งผ่านอินเทอร์เฟซเสมือนพิเศษ แต่ละรายการจะต้องได้รับการกำหนดค่าด้วยที่อยู่ IP จากเครือข่ายการขนส่ง ในตัวอย่างนี้ สถานีย่อย 1/172.16.1.0 จะถูกใช้สำหรับ Tunnel-30 และสถานีย่อย 2/172.16.2.0 จะถูกใช้สำหรับ Tunnel-30
อินเทอร์เฟซทันเนลถูกสร้างขึ้นในส่วน เครือข่าย -> อินเทอร์เฟซ -> อุโมงค์. คุณต้องระบุเราเตอร์เสมือนและโซนความปลอดภัย รวมถึงที่อยู่ IP จากเครือข่ายการรับส่งข้อมูลที่เกี่ยวข้อง หมายเลขอินเทอร์เฟซสามารถเป็นอะไรก็ได้

ในส่วน ระดับสูง สามารถระบุได้ โปรไฟล์การจัดการซึ่งจะอนุญาตให้มีการ ping บนอินเทอร์เฟซที่กำหนดซึ่งอาจเป็นประโยชน์สำหรับการทดสอบ

• การตั้งค่าโปรไฟล์ IKE

โปรไฟล์ IKE รับผิดชอบขั้นตอนแรกของการสร้างการเชื่อมต่อ VPN โดยระบุพารามิเตอร์ช่องสัญญาณไว้ที่นี่ ไอเค เฟส 1. โปรไฟล์ถูกสร้างขึ้นในส่วน เครือข่าย -> โปรไฟล์เครือข่าย -> IKE Crypto. จำเป็นต้องระบุอัลกอริธึมการเข้ารหัส อัลกอริธึมแฮช กลุ่ม Diffie-Hellman และอายุการใช้งานคีย์ โดยทั่วไป ยิ่งอัลกอริธึมซับซ้อนเท่าใด ประสิทธิภาพก็ยิ่งแย่ลงเท่านั้น ควรเลือกตามข้อกำหนดด้านความปลอดภัยเฉพาะ อย่างไรก็ตาม ไม่แนะนำให้ใช้กลุ่ม Diffie-Hellman ที่อายุต่ำกว่า 14 ปีอย่างเคร่งครัดเพื่อปกป้องข้อมูลที่ละเอียดอ่อน นี่เป็นเพราะช่องโหว่ของโปรโตคอลซึ่งสามารถบรรเทาได้โดยใช้ขนาดโมดูล 2048 บิตขึ้นไปหรืออัลกอริธึมการเข้ารหัสแบบวงรีซึ่งใช้ในกลุ่ม 19, 20, 21, 24 เท่านั้น อัลกอริธึมเหล่านี้มีประสิทธิภาพมากกว่าเมื่อเทียบกับ การเข้ารหัสแบบดั้งเดิม อ่านเพิ่มเติมได้ที่นี่. และ ที่นี่.

• การตั้งค่าโปรไฟล์ IPSec

ขั้นตอนที่สองของการสร้างการเชื่อมต่อ VPN คืออุโมงค์ IPSec พารามิเตอร์ SA ได้รับการกำหนดค่าไว้ เครือข่าย -> โปรไฟล์เครือข่าย -> โปรไฟล์ IPSec Crypto. ที่นี่คุณต้องระบุโปรโตคอล IPSec - AH หรือ ESPตลอดจนพารามิเตอร์ SA — อัลกอริธึมการแฮช, การเข้ารหัส, กลุ่ม Diffie-Hellman และอายุการใช้งานของคีย์ พารามิเตอร์ SA ใน IKE Crypto Profile และ IPSec Crypto Profile อาจไม่เหมือนกัน

• การกำหนดค่าเกตเวย์ IKE

ไอเค เกตเวย์ - นี่คือวัตถุที่กำหนดเราเตอร์หรือไฟร์วอลล์ที่สร้างอุโมงค์ VPN สำหรับแต่ละอุโมงค์คุณต้องสร้างอุโมงค์ของคุณเอง ไอเค เกตเวย์. ในกรณีนี้ จะมีการสร้างช่องสัญญาณสองช่อง ช่องหนึ่งผ่านผู้ให้บริการอินเทอร์เน็ตแต่ละราย อินเทอร์เฟซขาออกที่เกี่ยวข้องและที่อยู่ IP, ที่อยู่ IP เพียร์ และคีย์ที่ใช้ร่วมกันจะถูกระบุ ใบรับรองสามารถใช้เป็นทางเลือกแทนคีย์ที่ใช้ร่วมกันได้

อันที่สร้างไว้ก่อนหน้านี้จะระบุไว้ที่นี่ โปรไฟล์ IKE Crypto. พารามิเตอร์ของวัตถุที่สอง ไอเค เกตเวย์ คล้ายกัน ยกเว้นที่อยู่ IP หากไฟร์วอลล์ Palo Alto Networks ตั้งอยู่ด้านหลังเราเตอร์ NAT คุณจะต้องเปิดใช้งานกลไกนี้ การข้ามผ่านของ NAT.

• การตั้งค่าอุโมงค์ IPSec

อุโมงค์ IPSec เป็นอ็อบเจ็กต์ที่ระบุพารามิเตอร์ช่องสัญญาณ IPSec ตามชื่อที่แนะนำ ที่นี่คุณจะต้องระบุอินเทอร์เฟซช่องสัญญาณและวัตถุที่สร้างไว้ก่อนหน้านี้ ไอเค เกตเวย์, โปรไฟล์ IPSec Crypto. เพื่อให้แน่ใจว่ามีการสลับเส้นทางไปยังทันเนลสำรองโดยอัตโนมัติ คุณต้องเปิดใช้งาน การตรวจสอบอุโมงค์. นี่คือกลไกที่จะตรวจสอบว่าเพียร์ยังมีชีวิตอยู่โดยใช้การรับส่งข้อมูล ICMP หรือไม่ ในฐานะที่อยู่ปลายทาง คุณต้องระบุที่อยู่ IP ของอินเทอร์เฟซทันเนลของเพียร์ที่ใช้สร้างทันเนล โปรไฟล์ระบุตัวจับเวลาและการดำเนินการเมื่อการเชื่อมต่อขาดหาย รอฟื้นตัว. – รอจนกระทั่งการเชื่อมต่อกลับคืน ล้มเหลวมากกว่า — ส่งการจราจรไปตามเส้นทางอื่น ถ้ามี การตั้งค่าช่องสัญญาณที่สองจะคล้ายกันโดยสิ้นเชิง โดยมีการระบุอินเทอร์เฟซช่องสัญญาณที่สองและ IKE Gateway

• การตั้งค่าเส้นทาง

ตัวอย่างนี้ใช้การกำหนดเส้นทางแบบคงที่ บนไฟร์วอลล์ PA-1 นอกเหนือจากสองเส้นทางเริ่มต้นแล้ว คุณต้องระบุสองเส้นทางไปยังซับเน็ต 10.10.10.0/24 ในสาขา เส้นทางหนึ่งใช้อุโมงค์-1 และอีกเส้นทางหนึ่งใช้อุโมงค์-2 เส้นทางผ่านอุโมงค์-1 เป็นเส้นทางหลักเนื่องจากมีตัวชี้วัดที่ต่ำกว่า กลไก การตรวจสอบเส้นทาง ไม่ได้ใช้สำหรับเส้นทางเหล่านี้ รับผิดชอบในการสลับ การตรวจสอบอุโมงค์.

เส้นทางเดียวกันสำหรับซับเน็ต 192.168.30.0/24 จำเป็นต้องได้รับการกำหนดค่าบน PA-2

• การตั้งค่ากฎเครือข่าย

เพื่อให้อุโมงค์ทำงานได้ จำเป็นต้องมีกฎสามข้อ:

1. สำหรับการทำงาน การตรวจสอบเส้นทาง อนุญาต ICMP บนอินเทอร์เฟซภายนอก
2. สำหรับ IPSec อนุญาตแอป Ike и ไอพีเอส บนอินเทอร์เฟซภายนอก
3. อนุญาตการรับส่งข้อมูลระหว่างซับเน็ตภายในและอินเทอร์เฟซทันเนล

ข้อสรุป

บทความนี้กล่าวถึงตัวเลือกในการตั้งค่าการเชื่อมต่ออินเทอร์เน็ตที่ทนทานต่อข้อผิดพลาดและ VPN แบบไซต์ต่อไซต์. เราหวังว่าข้อมูลจะเป็นประโยชน์และผู้อ่านได้รับแนวคิดเกี่ยวกับเทคโนโลยีที่ใช้ พาโลอัลโตเครือข่าย. หากคุณมีคำถามเกี่ยวกับการตั้งค่าและข้อเสนอแนะในหัวข้อสำหรับบทความในอนาคต โปรดเขียนไว้ในความคิดเห็น เรายินดีที่จะตอบ

ที่มา: will.com