Usaldusväärne ja skaleeritav VPN-i turvaline tunneldamine

POSTITATUD 18. märtsil 2020

Ülevaade

Interneti-ühenduse loomisel mis tahes Interneti-teenuse pakkuja kaudu ei kahtle te, et see teenusepakkuja võtab teie ühenduse turvalisuse tagamisel kõike arvesse, kuid mis siis, kui soovite luua ühenduse erateenusega? Kuidas tagada, et avalikus infrastruktuuris oleks liiklus turvaline kliendilt serverile? See on siin, kui VPN teenused või Virtual Private Network on vaja tehnoloogiaid. Mõlema sõlme vahel on loodud turvaline ühendus, tagades, et ükski väline agent ei pea mõistliku teabe saamiseks liiklust kinni.

VPN teenused pakuvad mitmeid võimeid, näiteks:

Konfidentsiaalsus: takistab kellelgi teie andmete lugemist. Seda rakendatakse krüptimisega.
Autentimine: Kontrollimine, kas punktist punkti loovad liikmed on õigustatud seadmed.
Integrity: kontrollimine, kas VPN-paketti ei muudetud transiidi ajal.
Kordusvastane: takistab kedagi liikluse hõivamist ja selle uuesti saatmist, üritades kuvada seaduslik seade / kasutaja.

Era- ja avatud standardites on turupõhistes rakendustes erinevaid liike, keskendume selles artiklis avatud lahendustele, vt kõige olulisemaid allpool.

IPSEC: Sellest on saanud VPN-i Interneti-installide standardne de facto, see rakendab suurt hulka krüptograafilisi algoritme ja olulisi haavatavusi pole teada.
OpenVPN: Väga populaarne, kuid ei põhine standarditel, see kasutab kohandatud turvaprotokolle, see toetab TLS / SSL-i Openssl-iga ja suurt hulka krüptograafilisi algoritme.
L2TP: See on PPTP laiendus, see võib turbekihina kasutada IPSec-i, mida tavaliselt on varem kasutanud Interneti-teenuse pakkujad. Praegu on paremaid võimalusi parema jõudlusega.
Trossikaitse: See on erakordselt kiire VPN ja seda on väga lihtne installida. See kasutab juba krüptoalgoritme, mis on juba Linuxi kernelis kaasatud, kasutab UDP-d ja seda saab konfigureerida mis tahes pordis.

Skaleeritav VPN-keskkond

Selle artikli eesmärk on kirjeldada, kuidas luua kõrge käideldavuse seadistusega laadimise tasakaalustatud teenus VPN teenused koos ZEVENET koormuse tasakaalustaja. Keskendume sellele artiklile Trossikaitse, mis kasutab porti 51820 PDU, kuid seda saab laiendada muudele sarnastele lahendustele koos mõne teise protokolli (de) ja pordi (de) ga.

Selles artiklis on konfigureeritud VPN server on ära jäetud, kuid mõõtkavas tuleb arvestada järgmiste punktidega VPN suure saadavusega edukalt:

. VPN-serveri konfiguratsioonifailid tuleb korrata kõigis VPN serverid, mis on tasakaalus.
VPN-i kliendid liiklus peab olema NATED VPN-serveris ainult selleks, et tagada APN-kliendi sissetulevate ja väljaminevate ühenduste läbimine sama basseinis oleva VPN-serveriga.

Järgmine diagramm kirjeldab skaleeritavat arhitektuuri, milleni jõuda.

VPN Wireguard arhitektuur

1. Kaks Trossikaitse sama konfiguratsiooniga serverid.
2. Tk Trossikaitse server loob sama privaatvõrgu 192.168.2.0/24.
3. Tk VPN klient on NATE koos IP-ga VPN server, kus see on ühendatud.
4. Kliendid loovad ühenduse ühe avaliku IP-ga vpn.ettevõte.com kaudu 51820 PDU, edastatakse see ühendus aadressile ZEVENET (192.168.100.10).
5. ZEVENET laadib saldo kliendi ühendused saadaolevatega VPN serverid ja lõpuks luuakse tunnel ühe serveri vastu.

Selles artiklis kirjeldame kahte erinevat viisi selle VPN-i skaleeritava teenuse konfigureerimiseks ZEVENET: üks via Veebi GUI ja veel üks Käsurea liides.

VPN-i virtuaalse teenuse konfigureerimine ZEVENET-iga

Selles jaotises selgitatakse, kuidas käsuribaliidese abil õige konfiguratsioonini jõuda.

Võtke seda arvesse VPN-protokollid nõudma Püsivusistung võimeid, et tagada sama kliendi ühendamine samaga Taustaprogramm teatud aja jooksul, isegi kui see klient liiklust ei tekita.

Selleks, et luua VPN-i virtuaalne teenus, uus talu nimega VPNLB koos l4xnat profiil kuulates edasi 51820 PDU seotud VPN-i virtuaalne IP 192.168.100.10 ja sNAT režiimis, kus tulemüür loob NAT-i ühendused klientidele järgmise käsuga:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

või veebi GUI kaudu:

Muuda Globaalsed parameetrid talu kasutamiseks UDP seejärel konfigureerige Püsivusistung by Allika IP-aadress ja lihtne Koormuse tasakaalustamise algoritm by Kaal.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

või veebi GUI kaudu:

Lisage kaks Taustaprogrammi serverid 192.168.100.11 ja 192.168.100.12 juba loodud tallu VPN koormabilansi teenus. port pole vaja konfigureerida kui l4xnat kavatseb kasutada sama nagu Virtuaalne port konfigureeritud.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

või veebi GUI kaudu:

Ainult tervete taustaprogrammide valimiseks konfigureerime taustaprogrammide jaoks lihtsa tervisekontrolli, mis tagab pordi 51820 PDU on saadaval taustal. Tehke koopia praegusest üldisest ja eellaaditud tervisekontrollist, mida kutsutakse check_udp ja muutke seda. Soovitame muuta intervall väli kuni 21 sest igas tervisekontrollis kasutatakse a timeout of 10 sekunditnii 10 sekundit * 2 taustaprogrammi + 1 sekund = 21 sekundit.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

või veebi GUI kaudu:

Lõpuks lisage juba loodud tervisekontroll nimega check_udp_vpn praegusesse farmi VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

DDoS-i rünnaku leevendamine IPDS-mooduliga

VPN-teenused on tavaliselt rünnakute ja küberturvalisuse ohtude sihtmärgid, et kasutada ära kaugühendust organisatsiooni võrkudesse sisenemiseks.

Sel põhjusel on soovitatav meie skaleeritav täiendada VPN teenus koos turvasüsteemiga, et kaitsta meie organisatsiooni väliste rünnakute eest. Selles jaotises selgitatakse, kuidas kasutada ZEVENET IPDS-moodul ja leevendada DDoS rünnakud eest avalikud VPN-teenused väga lihtsalt.

Selles jaotises on üksikasjalikult kirjeldatud kahte erinevat kaitset, millel on sedalaadi teenuse puhul paremad tulemused: IP-kaitse läbi valged nimekirjad ja ühenduse piirid.

Avalikule VPN-teenusele juurdepääsu lubamine antud lubatud loendist

Kasutamine Musta Nimekirja/valgesse saab kasutada teenustes, kus saame tagada, et klientide nimekiri on teada, näiteks avalikkus VPN-teenus võimaldada kaugtööd teatud riigi organisatsioonis.

Valgloendi konfigureerimiseks domeenile Saksamaa ja keelduge teistelt liiklusteelt IP-aadressid riikide vahemikud, palun rakendage järgmist:

1. Valige IPDS> Must nimekiri ja leidke sealt must nimekiri geo_ES_Saksa. siis Edit seda musta nimekirja reeglit ja muutke poliitikaväli väärtuseks lubama kasutada valgeloendina.
2. Samas loendis minge vahekaardile Põllumajandusettevõtted ja kolida talu VPNLB veerust Saadaolevad talud et Luba talud.
3. Vajutage mängima ikoon lisatud Meetmete valge nimekirja lubamiseks.
4. Minna IPDS> must nimekiri ja leidke sealt must nimekiri Materjal: BPA ja flataatide vaba plastik, minge vahekaardile Põllumajandusettevõtted ja kolida talu VPNLB veerust Saadaolevad talud et Luba talud.
5. Vajutage mängima ikoon Meetmete musta nimekirja lubamiseks.

Selle konfiguratsiooni korral oli üks valged loendid nimega geo_ES_Saksa juba sisse laaditud ZEVENET kõigi selle riigi IP-vahemikega lisatakse see farmi VPNLB ja täiendav must nimekiri nimega Materjal: BPA ja flataatide vaba plastik mis ülejäänud IP-aadressid farmile lisatakse, nii et kui kliendi IP ei ühti Saksamaa üheski vahemikus, siis see loobutakse.

Juurdepääsu lubamine avalikele VPN-teenustele koos ühenduse piiridega

Sellise meetodi rakendamiseks DDoS kaitse on täiesti soovitatav teada, kuidas näiteks meie avalik teenus töötab, Trossikaitse kasutab ainult üks UDP-ühendus kliendi kohta. Nii et kui saame samast allikast IP-lt mitu samaaegset ühendust, siis võime uskuda, et rohkem kui üks kaugtöötaja loob ühenduse NAT-i taha, mis maskeerib liiklust, või võib see olla seotud UDP üleujutuste rünnak. Igal juhul võime aru saada, kui rohkem kui 10 ühendust ühe IP-allika kohta ei ole seadustatud liiklus.

Samaaegsete ühenduste limiidi seadistamiseks lähteallika IP kohta meie jaoks VPN-i virtuaalne teenus palun tehke järgmist:

1. Minna IPDS> DoS> Loo DoS reegel, looge uus nimega reegel limiidi_allika_IP Ja valige see Reegli tüüp ühenduse kogupiirang ühe IP-allika kohta ja vajutage Looma.
2. Reeglite väljaande vormis sisestage väljale soovitud samaaegsete ühenduste limiit Ühenduste kogu limiit allika IP kohta, meie puhul 10 ja vajutage LIITU.
3. Minge vahekaardile Põllumajandusettevõtted ja kolida talu VPNLB veerust Saadaolevad talud et Luba talud.

Selle konfiguratsiooniga oleme piiranud samaaegsete ühenduste arvu allika IP kohta 10-ni, me ei usalda ühtegi kliendi IP-d, mis üritab luua rohkem kui 10 VPN-ühendust. Juhul kui saate tagada, et rohkem kui üks klient ei hakka kunagi ühegi avaliku NATi kaudu ühendust looma, siis limiidi_allika_IP saab konfigureerida ainult 1-le.

Nautige oma skaleeritavat, väga kättesaadavat ja turvalist VPN-teenust ZEVENET!

Jaga:

Dokumentatsioon GNU Vaba Dokumentatsiooni Litsentsi tingimustel.

Kas see artikkel oli kasulik?

Jah Ei

seotud artiklid