Para empezar: VPN

Para empezar: VPN

95830
Created On 09/25/18 18:59 PM - Last Modified 06/13/23 13:50 PM


Resolution


¿Qué más puede hacer mi Firewall? ¡ Redes privadas virtuales!

 

Hemos llegado un largo camino desde primero desempacar ese cortafuegos impresionante. Ahora está listo para configurar redes privadas virtuales (VPNs). ¿Por dónde empiezas? Tom ha preparado no sólo los procedimientos paso a paso para la instalación, sino también una lista de verificación para tu trabajo. Echemos un vistazo más de cerca a las redes privadas virtuales y cómo configurarlas en el cortafuegos de Palo Alto Networks. Resaltaremos un par de diferencias que le ayudarán a configurar un túnel encriptado con pares VPN basados en la ruta o basados en políticas, y le mostrará algunos trucos para solucionar problemas que le permitirán ponerse en funcionamiento rápidamente.

 

Una VPN es una tecnología que crea una conexión de red segura a través de una red tradicional encriptando toda la comunicación entre dos hosts. Vamos a echar un vistazo a cómo configurar un túnel de sitio a sitio que utiliza un fuerte cifrado IPSec.

 

Cuando se prepare para una configuración VPN de sitio a sitio, muchas veces necesitará tener una conversación con el administrador remoto, que puede ser un compañero de trabajo o un completo desconocido. Primero necesitará negociar cómo será escenario hasta el túnel, que los protocolos a utilizar, y así sucesivamente. Para facilitar este proceso, es una buena idea preparar una pequeña lista de comprobación:

 

  • ¿El interlocutor remoto tiene una dirección IP estática o una dinámica?
  • ¿Qué es la subred remota?
  • IKEv1 o IKEv2?
  • ¿Autenticación de certificado o clave previamente compartida?
  • ¿Se requiere NAT Traversal (es uno de los pares ubicados detrás de otro Gateway que realiza NAT)?
  • ¿Está basado en la ruta o en la Directiva?

y 2 conjuntos de los atributos siguientes, uno para la configuración IKE y otro para IPSec.

 

  • ¿Qué algoritmo de autenticación se usará (SHA1, SHA256,...)?
  • Qué algoritmo de encapsulación se usará (3DES, AES,... )?
  • Qué tan fuerte debe ser la clave en el intercambio de claves (Diffie-Hellman Group 1, 20,.. )?
  • ¿Cuál será la vida clave?

 

Conocer los detalles hará que la configuración sea mucho más fácil. Voy a destacar lo que algunas de estas implicaciones pueden tener en los ejemplos de configuración siguientes:

 

Una de las primeras cosas que puedes hacer después de negociar con tu contraparte, o de haber decidido por ti mismo si eres capaz de gestionar ambos puntos, es preparar los perfiles criptográficos.

Vaya a la ficha red y añada un nuevo perfil en los perfiles criptográficos Crypto y IKE de IPSec:

IKE Crypto

IPSec Crypto

 

A continuación, deberá crear el objeto peer que representa la puerta de enlace remota y las propiedades IKE compartidas con esta puerta de enlace para permitir que se negocie IPSec. Vaya a los perfiles de los gateways IKE en la ficha red y cree un nuevo objeto de Gateway IKE.

 

En la ficha General, puede seleccionar qué versión de IKE desea elegir. Si no está claro qué versión utiliza el interlocutor remoto, puede optar por establecer IKEv2 como se prefiera, lo que permite que IKEv1 de reserva si el par remoto no admite IKEv2.

 

Una opción importante para elegir es el tipo IP del mismo nivel: un par estático tiene una dirección IP estática y permite la configuración más simple. UN par dinámico, por ejemplo, el interlocutor tiene una IP DHCP, no tendrá la opción de establecer una dirección IP. Un interlocutor dinámico requiere alguna otra forma de identificación para asegurar que el Gateway está negociando con el host correcto.

 

En este caso, seleccione el método de identificación de pares alternativo que se utiliza seleccionando una de las opciones del menú desplegable y estableciendo el valor en el campo junto a él. Si el interlocutor remoto requiere una identificación adicional entre pares o si el host tiene una dirección IP dinámica, también puede establecer el identificador de par local.

 

El método de autenticación se puede establecer en una clave pre-compartida que se utilizará en ambos pares para iniciar la negociación, o se puede importar un certificado para autenticar el apretón de mano.

IKE Gateway

 En la puerta de enlace IKE, en opciones avanzadas, se pueden establecer varias opciones para acomodar ciertas situaciones:

  • El modo pasivo impide que esta puerta de enlace haga negociaciones salientes y responda sólo a las solicitudes de negociación.
  • NAT Traversal permite la encapsulación UDP en los protocolos IKE en caso de que al menos una de las pasarelas esté detrás de una pasarela NAT.
  • El modo de cambio está en automático de forma predeterminada, pero se puede establecer en Main si ambos pares están en una dirección IP estática o agresiva si cualquiera de los dos pares está en una dirección IP dinámica.
  • El perfil de IKE Crypto debe establecerse en el perfil que ha creado anteriormente.
  • La detección de pares muertos es un latido que identifica los pares VPN no disponibles para ayudar a restaurar los recursos.
  • El trabajo de comprobación de liveness de IKEv2 es similar al DPD, pero cada paquete se cuenta durante la actividad y sólo después de que el mismo ha estado inactivo durante la cantidad de tiempo configurada se envía un paquete vacío para determinar la vida.

Nota: la interfaz IKE Gateway también se puede establecer en una interfaz de bucle invertido (en lugar de una interfaz física). Se recomienda colocar esta interfaz de bucle invertido en la misma zona que la interfaz externa. 

 

IKE Gateway Advanced

 

A continuación, deberá crear una interfaz de túnel: vaya a las interfaces y abra la ficha túnel. Crear una nueva interfaz que sirva de interfaz virtual a la red privada virtual. Se recomienda colocar la interfaz del túnel en su propia zona para que las políticas de seguridad puedan utilizarse para controlar el acceso entre el túnel VPN y las zonas locales.

interfaz del túnel

 

Después de configurar la interfaz, puede proceder a crear la fase 2 del túnel VPN. Vaya al menú túneles IPSec y cree un nuevo túnel IPSec.túnel IPSec

 

En la ficha General del objeto de túnel IPSec, deberá asignar este perfil a la interfaz de túnel, al gateway IKE y al perfil criptográfico que creó. Si el par remoto lo admite, también puede habilitar el monitor de túnel para permitir failover a una ruta alternativa en caso de que el túnel se desactive y se disponga de una copia de seguridad.

 

En la ficha IDS de proxy, es posible que necesite agregar ID de proxy para todos los pares de subred locales y remotos permitidos para atravesar el túnel. Esto normalmente se requiere sólo si el par remoto utiliza VPN basada en directivas.

 

En definitiva:

  • Un par VPN basado en políticas negocia túneles VPN basados en políticas, normalmente en subredes más pequeñas y dirige el tráfico a un túnel como resultado de una acción de directiva.
  • Un par VPN basado en rutas, como un cortafuegos de Palo Alto Networks, típicamente negiotiates un Supernet (0.0.0.0/0) y permite que la responsabilidad de enrutamiento mienta con el motor de enrutamiento. El enrutador virtual se encarga de dirigir el tráfico hacia el túnel mientras las políticas de seguridad se ocupan del acceso, etc.

 

Si no se utilizan identificadores proxy , las rutas deberán agregarse al enrutador virtual para asegurar que el tráfico se pueda reenviar entre la red local y remota.

ruta estática basada en rutas

 

Para permitir el tráfico entre ambos sitios, se deberá crear una directiva de seguridad entre la zona de seguridad local y la zona de seguridad del túnel VPN

política de seguridad

 

Una vez completado el proceso anterior, siga adelante y comprometa este cambio e implemente la misma configuración, con la información IP invertida, en el extremo remoto.

 

Cuando se han configurado ambos extremos, el túnel VPN debe establecerse y los iconos de estado de los túneles IPSEc se vuelven verdes para indicar la conexión. Obtenga información adicional haciendo clic en los vínculos de estado.

IPSec establecido

 

El registro del sistema también puede contener información clave sobre la conexión VPN:

registro de sistema VPN

 

Desde una perspectiva de solución de problemas, es más fácil si el dispositivo local es el iniciador, ya que esto le permitirá una vista en los mensajes que se envían y los mensajes de error potenciales recibidos del interlocutor remoto para ayudar a determinar si ha habido un error. UNA forma sencilla de iniciar la negociación es mediante el comando Test en la CLI:

 

para Phase1 IKE

> prueba de VPN IKE-SA 
+ prueba de Gateway para el Gateway IKE dado
 | Tubería a través de un comando
 <Enter>Finalizar entrada

> Test VPN IKE-SA 

iniciar IKE SA: total 1 gateways encontrados.  </Enter>    1 IKE SA encontrado.

y Phase2 IPSec

> prueba VPN IPSec-SA 
+ prueba de túnel para el túnel VPN dado
 | Tubería a través de un comando
 <Enter>Finalizar entrada

> prueba VPN IPSec-SA 

iniciar 1 IPSec SA.  </Enter>

 Esto podría ayudar a resolver errores comunes como un desajuste en el secreto pre-compartido:

clave pre-compartida de log de errores

 

O desajustes en los perfiles criptográficos

error en el registro de errores Crypto

 

 

Espero que les haya gustado esta edición de empezar. Por favor, no dude en dejar un comentario o ver los episodios anteriores en la serie de introducción.

 

Tom

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSYCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language