Was kann meine Firewall noch tun? Virtuelle private Netzwerke!

Wir haben einen langen Weg gekommen, seit das erste Auspacken dieser tollen Firewall. Jetzt sind Sie bereit, virtuelle private Netzwerke (VPNs) einzurichten. Wo fangen Sie an? Tom es hat nicht nur die Schritt-für-Schritt-Prozeduren für die Einrichtung vorbereitet, sondern auch eine Checkliste für Ihre Vorarbeit. Werfen wir einen genaueren Blick auf virtuelle private Netzwerke und wie wir Sie auf Ihrer Palo Alto Networks Firewall konfigurieren. Wir werden ein paar Unterschiede hervorheben, die Ihnen helfen werden, einen verschlüsselten Tunnel mit Routen basierten oder politikbasierten VPN-Kollegen einzurichten und Ihnen ein paar Fehler Behebungs Tricks zu zeigen, um Sie schnell in Betrieb zu bringen.

EIN VPN ist eine Technologie, die eine gesicherte Netzwerkverbindung über ein traditionelles Netzwerk schafft, indem Sie die Kommunikation zwischen zwei Hosts verschlüsselt. Wir werden einen Blick darauf werfen, wie wir einen Site-to-Site-Tunnel einrichten, der eine starke IPSec-Verschlüsselung verwendet.

Wenn Sie sich auf eine VPN-Konfiguration vor Ort vorbereiten, müssen Sie oft ein Gespräch mit dem entfernten Administrator führen, der ein Mitarbeiter oder ein völlig fremder sein kann. Sie müssen zuerst zu verhandeln, wie Sie Einstellung Ihre Tunnel, die Protokolle um zu verwenden, und so weiter. Um diesen Prozess zu erleichtern, ist es eine gute Idee, eine kleine Checkliste vorzubereiten:

• Hat der entfernte Peer eine statische IP-Adresse oder eine dynamische?
• Was ist das Remote Subnet?
• IKEv1 oder IKEv2?
• Vorab geteilte Schlüssel-oder Zertifikats Authentifizierung?
• Ist NAT Überschreitung erforderlich (ist einer der Peers, der sich hinter einem anderen Gateway befindet, das NAT ausführt)?
• Ist die entfernte Peer-Route-basierte oder politikbasierte?

und 2 Sätze der folgenden Attribute, eine für die IKE-Konfiguration und eine für die IPSec.

• Welcher Authentifizierungsalgorithmus wird verwendet (SHA1, SHA256,...)?
• Welcher verkapselungs Algorithmus verwendet wird (3DES, AES,... )?
• Wie stark muss der Schlüssel in der Schlüssel Börse sein (Diffie-Hellman Gruppe 1, 20,.. )?
• Was wird die Schlüsselzeit sein?

Das Wissen um die Details wird die Konfiguration viel einfacher machen. Ich möchte hervorheben, welche Auswirkungen einige davon in den folgenden Konfigurations Beispielen haben können:

Eines der ersten Dinge, die Sie nach Verhandlungen mit Ihrem gegenüber tun können, oder sich selbst entschieden haben, ob Sie in der Lage sind, beide Punkte zu verwalten, ist die Vorbereitung der Krypto-Profile.

Gehen Sie zum Netzwerk-Tab und fügen Sie ein neues Profil in den IPSec Crypto und IKE Krypto-Profilen hinzu:

Als nächstes müssen Sie das Peer-Objekt erstellen, das das entfernte Gateway und die IKE-Eigenschaften darstellt, die mit diesem Gateway geteilt werden, damit IPSec verhandelt werden kann. Gehen Sie zu IKE-Gateways-Profilen auf der Registerkarte Netzwerk und erstellen Sie ein neues IKE-Gateway-Objekt.

Auf der Registerkarte Allgemein können Sie auswählen, welche Version von IKE zur Auswahl steht. Wenn unklar ist, welche Version vom entfernten Peer verwendet wird, können Sie sich dafür entscheiden, IKEv2 als bevorzugt zu setzen, was den Fall zurück IKEv1 lässt, wenn der entfernte Peer IKEv2 nicht unterstützt.

Eine wichtige Option zur Auswahl ist der Peer-IP-Typ: ein statischer Peer hat eine statische IP-Adresse und ermöglicht die einfachste Konfiguration. EIN dynamischer Peer, zum Beispiel, der Peer hat eine DHCP-IP, wird nicht die Möglichkeit haben, eine IP-Adresse zu setzen. EIN dynamischer Peer benötigt eine andere Form der Identifikation, um sicherzustellen, dass das Gateway mit dem richtigen Host verhandelt.

Wählen Sie in diesem Fall aus, welche Alternative Peer-Identification-Methode verwendet wird, indem Sie eine der Optionen aus dem Dropdown-auswählen und den Wert im Feld daneben einstellen. Wenn der entfernte Peer eine zusätzliche Peer-Identifikation benötigt oder wenn Ihr Host eine dynamische IP-Adresse hat, können Sie auch hier die lokale Peer-ID einstellen.

Die Authentifizierungsmethode kann auf einen vorab geteilten Schlüssel eingestellt werden, der für beide Peers verwendet werden soll, um Verhandlungen zu initiieren, oder ein Zertifikat kann importiert werden, um den Handschlag zu authentifizieren.

 Auf dem IKE-Gateway können unter erweiterten Optionen mehrere Optionen gesetzt werden, um bestimmte Situationen zu berücksichtigen:

• Der passive Modus verhindert, dass dieses Gateway Outbound-Verhandlungen trifft und nur auf Verhandlungs Anfragen reagiert.
• NAT Traversal ermöglicht die UDP-Verkapselung auf IKE-Protokollen, falls mindestens einer der Gateways hinter einem NAT-Gateway steht.
• Der Exchange-Modus ist standardmäßig auf Auto, kann aber auf Main gesetzt werden, wenn beide Peers auf einer statischen IP-Adresse oder agressive sind, wenn sich entweder Peer auf einer dynamischen IP-Adresse befindet.
• IKE Crypto-Profil sollte auf das Profil gesetzt werden, das Sie zuvor erstellt haben.
• Dead Peer Detection ist ein Herzschlag, der nicht verfügbare VPN-Peers identifiziert, um Ressourcen wiederherzustellen.
• Die IKEv2-livität-Prüfung funktioniert ähnlich wie DPD, aber jedes Paket wird während der Aktivität gezählt und erst nachdem der Peer für die konfigurierte Zeit untätig war, wird ein leeres Paket gesendet, um die Lebendigkeit zu ermitteln.

Hinweis: die IKE-Gateway-Schnittstelle kann auch auf eine Loopback-Schnittstelle gesetzt werden (anstelle einer physikalischen Schnittstelle). Es wird empfohlen, diese Loopback-Schnittstelle in die gleiche Zone wie die externe Schnittstelle zu stellen. 

Als nächstes müssen Sie eine Tunnel Schnittstelle erstellen: gehen Sie zu den SchnittStellen und öffnen Sie die Registerkarte Tunnel. Erstellen Sie eine neue Schnittstelle, die als virtuelle Schnittstelle zum virtuellen privaten Netzwerk dient. Es wird empfohlen, die Tunnel Schnittstelle in der eigenen Zone zu platzieren, damit die Sicherheitsrichtlinien genutzt werden können, um den Zugang zwischen dem VPN-Tunnel und den lokalen Zonen zu kontrollieren.

Nachdem die Schnittstelle konfiguriert ist, können Sie die Phase 2 des VPN-Tunnels erstellen. Gehen Sie zum IPSec-Tunnel Menü und erstellen Sie einen neuen IPSec-Tunnel.

Auf der allgemeinen Registerkarte des IPSec-Tunnel Objekts müssen Sie dieses Profil der von Ihnen erstellten Tunnel Schnittstelle, IKE Gateway und Crypto Profile zuordnen. Wenn der entfernte Peer ihn unterstützt, können Sie auch den Tunnel Monitor aktivieren, um Failover eine alternative Route zu ermöglichen, falls der Tunnel untergeht und ein Backup verfügbar ist.

Auf der Registerkarte Proxy IDs müssen Sie eventuell Proxy-IDs für alle lokalen und entfernten Subnet-Paare hinzufügen, die den Tunnel durchqueren dürfen. Dies ist in der Regel nur dann erforderlich, wenn der entfernte Peer ein Policy-basiertes VPN verwendet.

Kurzum:

• EIN Politik basierter VPN-Peer verhandelt VPN-Tunnel auf der Grundlage von Richtlinien, die typischerweise in kleineren Subnetzen liegen und den Verkehr als Ergebnis einer politischen Aktion auf einen Tunnel lenken.
• EIN Strecken basierter VPN-Peer, wie eine Palo Alto Networks Firewall, negiotisiert typischerweise ein Supernet (0.0.0.0/0) und lässt die Verantwortung für das Routing bei der Routing-Engine liegen. Der virtuelle Router kümmert sich darum, den Verkehr auf den Tunnel zu lenken, während die Sicherheitsrichtlinien auf den Zugang achten, und so weiter.

Wenn Proxy-IDs nicht verwendet werden, müssen die Routen zum virtuellen Router hinzugefügt werden, um sicherzustellen, dass der Verkehr zwischen dem lokalen und entfernten Netzwerk weitergeleitet werden kann.

Um den Verkehr zwischen beiden Standorten zu ermöglichen, muss eine SicherheitsPolitik zwischen der lokalen SicherheitsZone und der SicherheitsZone VPN-Tunnel geschaffen werden.

Nachdem der obige Prozess abgeschlossen ist, gehen Sie vor und verpflichten Sie diese Änderung und implementieren Sie die gleiche Konfiguration, mit den IP-Informationen umgekehrt, am entfernten Ende.

Wenn beide Enden konfiguriert sind, sollte der VPN-Tunnel eingerichtet werden und die Statussymbole in den IPSEc-Tunneln werden grün, um die Verbindung anzuzeigen. Erhalten Sie zusätzliche Informationen, indem Sie auf die Status Links klicken.

Das System Protokoll kann auch wichtige Informationen über die VPN-Verbindung enthalten:

Aus der Sicht der Fehlerbehebung ist es am einfachsten, wenn Ihr lokales Gerät der Initiator ist, da dies Ihnen einen Blick in die Nachrichten, die gesendet werden, und mögliche Fehlermeldungen, die vom entfernten Peer empfangen werden, ermöglichen wird, um festzustellen, ob es einen Fehler gegeben hat. EINE einfache Möglichkeit, die Verhandlung einzuleiten, ist über den Test Befehl im CLI:

für Phase1 IKE

> Test VPN IKE-SA 
+ Gateway-Test für gegebene IKE-Gateway
 | Pfeife durch einen Befehl
 <Enter>Finish input

> Test VPN IKE-SA 

initiieren IKE SA: insgesamt 1 Gateways gefunden.  </Enter>    1 IKE SA gefunden.

und Phase2 IPSec

> Test VPN IPSec-SA 
+ tunneltest für den gegebenen VPN-Tunnel
 | Pfeife durch einen Befehl
 <Enter>Finish input

> Test VPN IPSec-SA 

initiieren 1 IPSec SA.  </Enter>   

 Dies könnte dazu beitragen, häufige Fehler wie ein Missverhältnis im vorab geteilten Geheimnis zu beheben:

Oder Missstimmungen in den Krypto-Profilen

Ich hoffe, dass Sie diese Ausgabe des Getting Started mochte. Bitte hinterlassen Sie einen Kommentar oder schauen Sie sich die vorherigen Episoden der Getting Started Serie an.

Tom