ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
контакт-центра
 онтакт - центр как канал продаж и маркетинговой коммуникации ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопастность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

10 минут чтени€

¬ этой статье произведем настройку туннел€ IPSec между Palo Alto и Cisco ASA Firewall. ƒалее будет использован брандмауэр Palo Alto с прошивкой PANOS 8.1.10. ’от€, конфигураци€ почти така€ же и в других верси€х PANOS. ƒл€ понимани€ этой статьи вам необходимы базовые знани€ по IPSec VPN. ƒл€ настройки этой конфигурации вам не нужна дополнительна€ лицензи€ на обоих устройствах. ƒл€ настройки туннел€ IPSec необходимо иметь статический маршрутизируемый IP- адрес. »так, давайте начнем настройку!

 ак настроить IPSec VPN между Cisco ASA и брандмауэром Palo Alto

 ак настроить IPSec VPN между Cisco ASA и брандмауэром Palo Alto

„то нужно сделать - настроить туннель IPSec между Cisco ASA и брандмауэром Palo Alto

 ак выше говорилось, вам понадобитьс€ статический маршрутизируемый IP-адрес как в Palo Alto, так и в брандмауэре Cisco ASA. ¬ этом примере € использую два маршрутизируемых IP- адреса на обоих брандмауэрах Palo Alto и Cisco ASA (между ними настроена св€зь, и они доступны друг другу). IP-адрес 1.1.1.1 настроен на брандмауэре Cisco ASA и 2.2.2.2 настроен на брандмауэре Palo Alto как показано ниже:

—хема

 ак вы заметили, подсеть LAN 192.168.1.0/24 св€зана с Cisco ASA, а с другой стороны, подсеть LAN 192.168.2.0/24 св€зана с брандмауэром Palo Alto. ѕрежде чем перейти к части конфигурации, просто проверьте доступность обоих устройств с помощью утилиты ping.

admin@PA-220> ping host 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data
64 bytes from 1.1.1.1: icmp_seq1 ttl=64 time=0.177 ms
64 bytes from 1.1.1.1: icmp_seq2 ttl=64 time=0.157 ms

Ўаги по настройке туннел€ IPSec на брандмауэре Palo Alto

¬о-первых, мы настроим туннель IPSec на брандмауэре Palo Alto. ƒл€ настройки фазы 1 и фазы 2 туннел€ IPSec в Palo Alto необходимо выполнить следующие действи€.

—оздание зоны безопасности на брандмауэре Palo Alto

¬о-первых, нам нужно создать отдельную зону безопасности на брандмауэре Palo Alto. ƒл€ того чтобы настроить зону безопасности, вам нужно перейти Network >> Zones>> Add. «десь вам нужно указать название зоны безопасности. ¬ы можете ввести любое удобное им€.

—оздание зоны безопасности

—оздание туннельного интерфейса на брандмауэре Palo Alto

¬ам необходимо определить отдельный виртуальный туннельный интерфейс дл€ туннел€ IPSec. „тобы определить интерфейс туннел€, перейдите в раздел Network >> Interfaces>> Tunnel. ¬ыберите виртуальный маршрутизатор, который в моем случае используетс€ по умолчанию.  роме того, в файле зоны безопасности необходимо выбрать зону безопасности, определенную на Ўаге 1. ’от€ дл€ этого интерфейса вам не нужно указывать IP-адрес IPv4 или IPv6.  роме того, вы можете прикрепить профиль управлени€ на вкладке Advanced, если вам это нужно.

—оздание туннельного интерфейса

ќпределение IKE Crypto Profile [‘аза 1 туннел€ IPSec]

“еперь вам нужно определить фазу 1 туннел€ IPSec. ¬ам нужно зайти Network >> Network Profiles >> IKE Crypto >> Add. «десь вам нужно дать дружественное им€ дл€ IKE Crypto profile. «атем определите DH группу, метод шифровани€ и аутентификации. ѕо умолчанию срок службы ключа составл€ет 8 часов. ¬ы можете изменить его в соответствии с вашим требованием.

ќпределение IKE Crypto Profile

ќпределение Crypto Profile IPSec [‘аза 2 туннел€ IPSec]

“еперь вам нужно определить фазу 2 туннел€ IPSec. ¬ам нужно перейти Network>> Network Profiles >> IPSec Crypto >> Add. «десь, вы должны дать пон€тное им€ дл€ профил€ шифровани€ по протоколу IPSec. ¬ыберите протокол IPsec в соответствии с вашими требовани€ми. ” вас есть ESP (Encapsulation Security Protocol) и AH (Authentication Header) протокол дл€ IPSec. «атем определите группу DH, метод шифровани€ и аутентификации. ѕо умолчанию срок службы ключа составл€ет 1 час. ¬ы можете изменить его в соответствии с вашим требованием.

ќпределение Crypto Profile IPSec

ќпределение профил€ шлюза IKE

“еперь вам нужно перейти Network >> Network Profiles >> IKE Gateways >> Add. Ќа вкладке ќбщие (General) необходимо определить им€ профил€ шлюза IKE. ¬ поле Interface вам нужно ввести/определить свой интернет-интерфейс, в моем случае ethernet1/1, который имеет IP-адрес 2.2.2.2. ”становите переключатель в поле Peer IP Address Type в IP. ”кажите адрес в поле Peer address, в моем случае 1.1.1.1. ¬ыберите метод аутентификации в поле Authentication, т. е. выберите или общий ключ (Pre Shared Key) или сертификат (Certificate). ¬ этом сценарии € использую предварительный общий ключ (Pre-shared Key). «атем определите предварительный общий ключ (Pre-shared Key) и запишите его, потому что он нужен дл€ определени€ в FortiGate Firewall. ¬ведите в пол€ Local Identification и Peer Identification локальный и удаленный IP-адреса.

ќпределение профил€ шлюза IKE

Ќажмите на Advanced Option, в IKEv1 выберите Ike Crypto Profile, который определ€етс€ на Ўаге 3.

Ike Crypto Profile

—оздание туннел€ IPSec

ћы определили шлюз IKE и IPSec Crypto profile дл€ нашего туннел€ IPSec. “еперь мы должны определить туннель IPSec. ѕерейдите в раздел Network >> IPSec Tunnels >> Add. ќпределите удобное им€ дл€ туннел€ IPSec. «атем выберите туннельный интерфейс, который определен в шаге 2. ¬ыберите профили дл€ Ike Gateway и IPsec Crypto Profile, которые определены в шаге 3 и шаге 5 соответственно.

—оздание туннел€ IPSec

ѕерейдите на вкладку идентификаторы (IDs) прокси-серверов и определите локальные и удаленные сети. ¬ этом сценарии € использую подсети 192.168.1.0/24 и 192.168.2.0/24 в LAN.

IDs

—оздание политики безопасности дл€ туннельного трафика IPSec

“еперь вам нужно создать профиль безопасности, который позвол€ет передавать трафик из зоны VPN в зону довери€. ¬ам нужно перейти Policies >> Security >> Add, чтобы определить новую политику.

—оздание политики безопасности

Ќастройка маршрута дл€ одноранговой частной сети

“еперь вам нужно предоставить статический маршрут дл€ частной сети. ѕросто перейдите в раздел Network >> Virtual Routers >> Default >> Static Routes >> Add. ¬ыберите им€ дл€ этого маршрута и определите целевую сеть дл€ этого маршрута, т.е. 192.168.1.0/24 в данном примере. ¬ыберите следующий переход к туннельному интерфейсу, который определен в шаге 2.

Ќастройка маршрута

ћы закончили настройку туннел€ IPSec в брандмауэре Palo Alto. “еперь мы настроим туннель IPSec в FortiGate Firewall.


Ётапы настройки туннел€ IPSec в брандмауэре Cisco ASA

“еперь мы настроим туннель IPSec в брандмауэре Cisco ASA. «десь, в этом примере, € использую программное обеспечение Cisco ASA версии 9.8 (1). ’от€ конфигураци€ туннел€ IPSec така€ же и в других верси€х.

Ќиже показаны основные шаги настройки IPSec на Cisco ASA:

  • Ќастройка фазы 1 (IKEv1)
  • ќпределение туннельной группы (Tunnel Group) и предварительного общего ключа (Pre-Shared Key)
  • Ќастройка фазы 2 (IPSec)
  • Ќастройка расширенного ACL (Extended ACL) и криптографической карты (Crypto Map)

»так, давайте начнем настройку с настройки фазы 1 Cisco ASA. ѕерейдите в режим глобальной конфигурации Cisco ASA и начните с приведенных ниже команд

Ќастройка фазы 1 (IKEv1) на Cisco ASA

ciscoasa(config)# crypto ikev1 enable outside
ciscoasa(config)# crypto ikev1 policy 10
ciscoasa(config-ikev1-policy)# authentication pre-share
ciscoasa(config-ikev1-policy)# encryption 3des
ciscoasa(config-ikev1-policy)# hash md5
ciscoasa(config-ikev1-policy)# group 2
ciscoasa(config-ikev1-policy)# lifetime 7200

“еперь давайте быстро разберемс€ в значении каждой команды.

  • Encryption: 3des Ц используетс€ дл€ шифровани€ трафика фазы 1
  • ’эш: md5 Ц это алгоритм хешировани€. ќн аутентифицирует наши данные с помощью хэша
  • Group: 2 Ц ƒиффи ’еллман группа 2
  • Authentication Ц в этом примере мы используем предварительный общий ключ в качестве аутентификации
  • Lifetime: 7200 Ц 86400 срок службы по умолчанию дл€ ‘азы 1

¬ Cisco ASA нам нужно включить криптографию IKEv1 к интерфейсу, обращенному к интернету. »так, мы можем сделать это с помощью приведенной ниже команды:

ciscoasa(config)# crypto ikev1 enable outside

Ќастройка туннельной группы и предварительного общего ключа на Cisco ASA

“еперь нам нужно определить туннельный интерфейс и предварительный общий ключ. ¬ этой статье € использую сеть GNS3 в качестве предварительного общего ключа.

ciscoasa(config)# tunnel-group 2.2.2.2 type ipsec-l2l
ciscoasa(config)# tunnel-group 2.2.2.2 ipsec-attributes
ciscoasa(config-tunnel-ipsec)# ikev1 pre-shared-key GNS3Network

Ќастройка IPSec IKEv1 (‘аза 2)

«десь нам нужно определить методы шифровани€ и аутентификации дл€ IPSec ‘азы 2

ciscoasa(config-ikev1-policy)# crypto ipsec ikev1 transform-set ESP-AES-SHA esp-3des esp-md5-hmac 
ciscoasa(config)# crypto ipsec security-association lifetime seconds 7200

ј теперь давайте быстро разберемс€ в каждой команде.

  • ESP: ESP означает инкапсулирование полезной нагрузки безопасности, и это протокол IPSec
  • 3DES: 3DES Ц это один из алгоритмов шифровани€
  • MD5: MD5 Ц это алгоритм хешировани€, который используетс€ дл€ поддержани€ целостности данных
  • 7200 секунд: срок службы ключа IPSec Phase2

Ќастройка криптографической карты (Crypto MAP) и расширенного ACL (Extended ACL) дл€ разрешени€ трафика IPSec на Cisco ASA

Ёто заключительный этап нашей конфигурации. «десь нам нужно определить расширенный ACL, чтобы разрешить трафик.  роме того, здесь нам нужно настроить криптокарту и вызвать настроенную криптокарту на внешний интерфейс. я настраиваю два адресных объекта дл€ упрощени€ списка управлени€ доступом (ACL).

јдресный объект и расширенный ACL дл€ разрешени€ трафика

ciscoasa(config)# object-group network local-network
ciscoasa(config-network-object-group)# network-object 192.168.1.0 255.255.255.0
ciscoasa(config-network-object-group)# object-group network remote-network
ciscoasa(config-network-object-group)# network-object 192.168.2.0 255.255.255.0
ciscoasa(config-network-object-group)# access-list asa-paloalto-vpn extended permit ip object-group local-network object-group remote-network

Ќастройка криптографической карты

ciscoasa(config)# crypto map outside_map 10 match address asa-paloalto-vpn
ciscoasa(config)# crypto map outside_map 10 set pfs group2
ciscoasa(config)# crypto map outside_map 10 set peer 2.2.2.2
ciscoasa(config)# crypto map outside_map 10 set ikev1 transform-set ESP-ASE-SHA

¬ключение криптокарты на внешнем интерфейсе

ciscoasa(config)# crypto map outside_map interface outside

»нициирование туннел€ IPSec и проверка трафика с помощью Wireshark

Ќа этом этапе мы просто должны инициировать трафик по туннелю IPSec. ≈сли обе фазы туннел€ IPSec работают, то ваша настройка идеальна. »так, давайте получим доступ к CLI брандмауэра Palo Alto и инициируем туннель IPSec:

admin@PA-VM>test vpn ipsec-sa
admin@PA-VM>test vpn ipsec-sa

“еперь давайте получим доступ к туннел€м Device >> IPSec и проверим состо€ние только что созданного туннел€ IPSec! ≈сли оба фазовых туннел€ наход€тс€ в состо€нии UP, то они будут выгл€деть так, как показано на рисунке ниже:

—осто€ние

ј теперь давайте запустим трафик с одного из брандмауэров. я инициирую движени€ в направлении Palo Alto межсетевой экран от Cisco ASA.

ciscoasa# ping 192.168.2.1
Type escape sequence to abort
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
?!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 30/30/30 ms

ѕервый пакет отбрасываетс€ только из-за запроса и ответа ARP. Ѕольше никакой пакет не будет отброшен.

Ќеоб€зательно: если вы пытаетесь инициировать трафик от IP интерфейса Cisco ASA (т.е. в данном примере), вам нужно разрешить доступ управлени€ к подсети.

ciscoasa(config)# management-access inside

”странение неполадок в туннеле IPSec

¬ этой части этой статьи мы обсудим некоторые основные команды, которые помогут вам устранить неполадки туннел€ IPSec, настроенного между Cisco ASA и маршрутизатором Cisco.

”странение неполадок туннел€ IPSec на брандмауэре Cisco ASA

ciscoasa# show running-config ipsec
ciscoasa# show running-config crypto ikev1
ciscoasa# show running-config crypto map

”странение неполадок IPSec-туннель на брандмауэре Palo Alto

ƒавайте откроем Monitor >> System и воспользуемс€ фильтром "(subtype eq vpn)". «десь вы найдете все журналы, св€занные с VPN.

≈сли у вас возникли проблемы с туннелем IPSec, вы можете использовать следующие команды дл€ запуска туннел€ IPSec:

admin@PA-CM>test vpn ipsec-sa
admin@PA-CM>test vpn ipsec-sa

јнализ трафика IPSec через Wireshark

¬о врем€ настройки туннел€ IPSec мы определили ESP (Encapsulating Security Payload) как протокол IPsec, поэтому весь реальный трафик, который идет к одноранговому концу, будет зашифрован с помощью этого протокола. “аким образом, вы найдете только ESP- пакеты в захвате пакетов, как показано ниже


–езюме

¬ этой статье мы настраиваем туннель IPSec между брандмауэром Cisco ASA и брандмауэром следующего поколени€ Palo Alto. ћы также обсудили алгоритмы шифровани€ и аутентификации. ќднако дл€ настройки IPSec VPN между двум€ удаленными сет€ми необходимо использовать статические маршрутизируемые IP-адреса.


ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: