Bu makale bir devamıdır ekipman kurulumunun özelliklerine adanmış Palo Alto Networks . Burada kurulum hakkında konuşmak istiyoruz IPSec Siteden Siteye VPN ekipman üzerinde Palo Alto Networks ve birkaç İnternet sağlayıcısını bağlamak için olası bir yapılandırma seçeneği hakkında.
Gösterim için merkez ofisi şubeye bağlamak için standart bir şema kullanılacaktır. Hataya dayanıklı bir İnternet bağlantısı sağlamak için merkez ofis iki sağlayıcının eşzamanlı bağlantısını kullanır: ISP-1 ve ISP-2. Şubenin yalnızca tek bir sağlayıcıya, ISP-3'e bağlantısı vardır. PA-1 ve PA-2 güvenlik duvarları arasında iki tünel inşa edilmiştir. Tüneller bu modda çalışır Aktif Bekleme,Tünel-1 aktiftir, Tünel-2 arızalandığında Tünel-1 trafik aktarımına başlayacaktır. Tünel-1, ISP-1'e bağlantı kullanır, Tünel-2, ISP-2'ye bağlantı kullanır. Tüm IP adresleri gösteri amacıyla rastgele oluşturulur ve gerçekle hiçbir ilgisi yoktur.
Siteden Siteye VPN oluşturmak için kullanılacak IPSec — IP aracılığıyla iletilen verilerin korunmasını sağlayan bir dizi protokol. IPSec bir güvenlik protokolü kullanarak çalışacak ESP (Kapsüllenen Güvenlik Yükü), iletilen verilerin şifrelenmesini sağlayacaktır.
В IPSec входит IKE (İnternet Anahtar Değişimi), iletilen verileri korumak için kullanılan güvenlik parametreleri olan SA (güvenlik ilişkileri) ile anlaşmaktan sorumlu bir protokoldür. PAN güvenlik duvarları desteği IKEv1 и IKEv2.
В IKEv1 Bir VPN bağlantısı iki aşamada oluşturulur: IKEv1 Aşama 1 (IKE tüneli) ve IKEv1 Aşama 2 (IPSec tüneli) böylece biri güvenlik duvarları arasında servis bilgisi alışverişi için, ikincisi trafik iletimi için kullanılan iki tünel oluşturulur. İÇİNDE IKEv1 Aşama 1 İki çalışma modu vardır - ana mod ve agresif mod. Agresif mod daha az mesaj kullanır ve daha hızlıdır ancak Eş Kimlik Korumasını desteklemez.
IKEv2 yerine geldi IKEv1ve karşılaştırıldı IKEv1 temel avantajı daha düşük bant genişliği gereksinimleri ve daha hızlı SA anlaşmasıdır. İÇİNDE IKEv2 Daha az hizmet mesajı kullanılır (toplamda 4), EAP ve MOBIKE protokolleri desteklenir ve tünelin oluşturulduğu eşin kullanılabilirliğini kontrol etmek için bir mekanizma eklenmiştir - Canlılık KontrolüIKEv1'deki Ölü Eş Tespiti'nin yerini alıyor. Denetim başarısız olursa, o zaman IKEv2 Tüneli sıfırlayabilir ve ardından ilk fırsatta otomatik olarak geri yükleyebilir. Farklılıklar hakkında daha fazla bilgi edinebilirsiniz .
Farklı üreticilerin güvenlik duvarları arasında bir tünel inşa edilmişse uygulamada hatalar olabilir. IKEv2ve bu tür ekipmanlarla uyumluluk için şunu kullanmak mümkündür: IKEv1. Diğer durumlarda kullanmak daha iyidir IKEv2.
Kurulum adımları:
• ActiveStandby modunda iki İnternet sağlayıcısını yapılandırma
Bu işlevi uygulamanın birkaç yolu vardır. Bunlardan biri mekanizmayı kullanmaktır. Yol İzlemesürümünden itibaren kullanıma sunulan PAN-OS 8.0.0. Bu örnekte 8.0.16 sürümü kullanılmaktadır. Bu özellik Cisco yönlendiricilerindeki IP SLA'ya benzer. Statik varsayılan rota parametresi, ping paketlerinin belirli bir kaynak adresinden belirli bir IP adresine gönderilmesini yapılandırır. Bu durumda ethernet1/1 arayüzü varsayılan ağ geçidine saniyede bir kez ping gönderir. Art arda üç ping'e yanıt alınmazsa rotanın bozuk olduğu kabul edilir ve yönlendirme tablosundan kaldırılır. Aynı rota ikinci İnternet sağlayıcısına doğru yapılandırılmıştır, ancak daha yüksek bir ölçümle (bu bir yedek rotadır). İlk rota tablodan kaldırıldığında, güvenlik duvarı trafiği ikinci rota üzerinden göndermeye başlayacaktır. Yük Devretme. İlk sağlayıcı ping'lere yanıt vermeye başladığında, rotası tabloya geri dönecek ve daha iyi bir ölçüm nedeniyle ikinci sağlayıcının yerini alacaktır. Geri Dönme. İşlem Yük Devretme yapılandırılan aralıklara bağlı olarak birkaç saniye sürer, ancak her durumda işlem anlık değildir ve bu süre zarfında trafik kaybolur. Geri Dönme trafik kaybı olmadan geçer. Yapma fırsatı var Yük Devretme ile daha hızlı BFDİnternet sağlayıcısı böyle bir fırsat sağlıyorsa. BFD modelden başlayarak desteklenir PA-3000 Serisi и VM-100. Ping adresi olarak sağlayıcının ağ geçidini değil, halka açık, her zaman erişilebilir bir İnternet adresini belirtmek daha iyidir.
• Tünel arayüzü oluşturma
Tünel içindeki trafik özel sanal arayüzler aracılığıyla iletilmektedir. Her birinin toplu taşıma ağından bir IP adresiyle yapılandırılması gerekir. Bu örnekte Tünel-1 için 172.16.1.0/30 trafo merkezi, Tünel-2 için 172.16.2.0/30 trafo merkezi kullanılacaktır.
Tünel arayüzü bölümde oluşturulur Ağ -> Arayüzler -> Tünel. Bir sanal yönlendirici ve güvenlik bölgesinin yanı sıra ilgili aktarım ağından bir IP adresi belirtmeniz gerekir. Arayüz numarası herhangi bir şey olabilir.
Bölümünde gelişmiş belirtilebilir Yönetim Profiliverilen arayüzde ping yapılmasına izin verecek, bu test için yararlı olabilir.
• IKE Profilini Ayarlama
IKE Profili VPN bağlantısı oluşturmanın ilk aşamasından sorumludur; tünel parametreleri burada belirtilir IKE Aşama 1. Profil bölümde oluşturulur Ağ -> Ağ Profilleri -> IKE Kripto. Şifreleme algoritmasını, karma algoritmasını, Diffie-Hellman grubunu ve anahtar ömrünü belirtmek gerekir. Genel olarak algoritmalar ne kadar karmaşıksa performans da o kadar kötü olur; bunlar belirli güvenlik gereksinimlerine göre seçilmelidir. Ancak hassas bilgilerin korunması açısından 14'ün altındaki Diffie-Hellman grubunun kullanılması kesinlikle önerilmez. Bunun nedeni, yalnızca 2048 bit ve üzeri modül boyutları veya 19, 20, 21, 24 numaralı gruplarda kullanılan eliptik şifreleme algoritmaları kullanılarak azaltılabilen protokolün güvenlik açığıdır. Bu algoritmalar, diğerleriyle karşılaştırıldığında daha yüksek performansa sahiptir. geleneksel kriptografi. . Ve .
• IPSec Profilini Ayarlama
VPN bağlantısı oluşturmanın ikinci aşaması IPSec tünelidir. Bunun için SA parametreleri şurada yapılandırılmıştır: Ağ -> Ağ Profilleri -> IPSec Kripto Profili. Burada IPSec protokolünü belirtmeniz gerekir - AH veya ESPve ayrıca parametreler SA — karma algoritmaları, şifreleme, Diffie-Hellman grupları ve anahtar ömrü. IKE Şifreleme Profili ve IPSec Şifreleme Profilindeki SA parametreleri aynı olmayabilir.
• IKE Ağ Geçidini Yapılandırma
IKE Ağ Geçidi - bu, bir VPN tünelinin oluşturulduğu yönlendiriciyi veya güvenlik duvarını belirten bir nesnedir. Her tünel için kendinizinkini oluşturmanız gerekir IKE Ağ Geçidi. Bu durumda, her İnternet sağlayıcısı üzerinden bir tane olmak üzere iki tünel oluşturulur. İlgili giden arayüz ve IP adresi, eş IP adresi ve paylaşılan anahtar belirtilir. Sertifikalar, paylaşılan anahtara alternatif olarak kullanılabilir.
Daha önce oluşturulan burada belirtilir IKE Kripto Profili. İkinci nesnenin parametreleri IKE Ağ Geçidi IP adresleri dışında benzer. Palo Alto Networks güvenlik duvarı bir NAT yönlendiricinin arkasında bulunuyorsa mekanizmayı etkinleştirmeniz gerekir. NAT Geçişi.
• IPSec Tüneli Kurulumu
IPSec Tüneli adından da anlaşılacağı gibi IPSec tüneli parametrelerini belirten bir nesnedir. Burada tünel arayüzünü ve önceden oluşturulmuş nesneleri belirtmeniz gerekir. IKE Ağ Geçidi, IPSec Kripto Profili. Yönlendirmenin yedek tünele otomatik geçişini sağlamak için etkinleştirmeniz gerekir. Tünel Monitörü. Bu, ICMP trafiğini kullanarak bir eşin canlı olup olmadığını kontrol eden bir mekanizmadır. Hedef adres olarak, tünelin inşa edildiği eşin tünel arayüzünün IP adresini belirtmeniz gerekir. Profil, zamanlayıcıları ve bağlantı kesilirse ne yapılacağını belirtir. Kurtarmayı Bekle – bağlantı yeniden sağlanana kadar bekleyin, Yük Devri — varsa trafiği farklı bir rotaya gönderin. İkinci tünelin kurulumu tamamen benzerdir; ikinci tünel arayüzü ve IKE Ağ Geçidi belirtilmiştir.
• Yönlendirmeyi ayarlama
Bu örnekte statik yönlendirme kullanılmaktadır. PA-1 güvenlik duvarında, iki varsayılan rotaya ek olarak, şubedeki 10.10.10.0/24 alt ağına giden iki rota belirtmeniz gerekir. Güzergahlardan biri Tünel-1'i, diğeri ise Tünel-2'yi kullanıyor. Tünel-1'den geçen rota daha düşük bir metriğe sahip olduğundan ana rotadır. Mekanizma Yol İzleme bu rotalar için kullanılmaz. Geçişten sorumlu Tünel Monitörü.
192.168.30.0/24 alt ağı için aynı yolların PA-2'de yapılandırılması gerekir.
• Ağ kurallarını ayarlama
Tünelin çalışması için üç kurala ihtiyaç vardır:
- Iş için Yol Monitörü Harici arayüzlerde ICMP'ye izin verin.
- için IPSec uygulamalara izin ver ike и ipsec harici arayüzlerde.
- Dahili alt ağlar ve tünel arayüzleri arasındaki trafiğe izin verin.
Sonuç
Bu makalede, hataya dayanıklı bir İnternet bağlantısı kurma seçeneği anlatılmaktadır ve Siteden Siteye VPN. Bilgilerin faydalı olduğunu ve okuyucunun kullanılan teknolojiler hakkında fikir edindiğini umuyoruz. Palo Alto Networks. Kurulumla ilgili sorularınız ve gelecekteki makaleler için konu önerileriniz varsa bunları yorumlara yazın, yanıtlamaktan memnuniyet duyarız.
Kaynak: habr.com