מנהור מאובטח וניתן להרחבה של VPN

פורסם על ידי זאבנט | 18 במרץ, 2020

סקירה כללית

כשאתה מתחבר לאינטרנט דרך ספק אינטרנט כלשהו אתה לא מטיל ספק בכך שספק זה ייקח את כל שיקול הדעת להבטיח שהחיבור שלך מאובטח, אך מה אם ברצונך להתחבר לשירות פרטי? כיצד להבטיח שמלקוח לשרת בתשתית ציבורית התנועה מאובטחת? זה כאן מתי VPN שירותים או רשת וירטואלית פרטית נדרש טכנולוגיות. נוצר חיבור מאובטח בין שני הצמתים שמבטיח ששום סוכן חיצוני לא ירט את התנועה שתשיג מידע הגיוני.

VPN השירותים מספקים מספר יכולות כגון:

סודיות: מונע מאף אחד לקרוא את הנתונים שלך. זה מיושם באמצעות הצפנה.
אימות: אימות שחברים שיוצרים את הנקודה לנקודה הם מכשירים לגיטימיים.
שלמות: לוודא שחבילת ה- VPN לא השתנתה איכשהו במהלך המעבר.
נגד משחק חוזר: מונע ממישהו לתפוס תנועה ולשלוח אותה מחדש, לנסות להופיע כמכשיר / משתמש לגיטימי.

ישנם סוגים שונים של יישום בשוק המבוססים על סטנדרטים פרטיים ופתוחים, אנו נתמקד במאמר זה לפתרונות הפתוחים, ראה להלן הרלוונטי ביותר.

IPSEC: זה הפך להיות דה-פקטו הסטנדרטי עבור התקנות ה- VPN באינטרנט, הוא מיישם מספר גדול של אלגוריתמים קריפטוגרפיים והוא לא הכיר פגיעויות עיקריות.
OpenVPN: פופולרי מאוד אך אינו מבוסס על תקנים, הוא משתמש בפרוטוקולי אבטחה בהתאמה אישית, הוא תומך ב- TLS / SSL עם Opensl ובמספר גדול של אלגוריתמים קריפטוגרפיים.
L2TP: זוהי הרחבה של PPTP, היא יכולה להשתמש ב- IPSec כשכבת האבטחה, ששימשה בעיקר בעבר על ידי ספקי האינטרנט. נכון לעכשיו, יש אפשרויות טובות יותר עם ביצועים טובים יותר.
מגן: זהו VPN מהיר במיוחד, וקל מאוד להתקנה, הוא משתמש באלגוריתמים הקריפטוגרפיים שכבר כלולים בליבת הלינוקס, הוא משתמש ב- UDP וניתן להגדיר אותו בכל יציאה.

סביבת VPN ניתנת להרחבה

מטרת מאמר זה היא לתאר כיצד ליצור שירות מאוזן עומס עם הגדרת זמינות גבוהה עבור VPN שירותים עם איזון עומסים ZEVENET. אנו ממקדים מאמר זה ב מגן, המשתמש בפורט 51820 PDU, אך ניתן להרחיבו לפתרונות דומים אחרים עם פרוטוקולים (ים) אחרים (יציאות).

במאמר זה, תצורת ה- VPN השרת מושמט, אך יש לקחת בחשבון את הסעיפים הבאים VPN בזמינות גבוהה בהצלחה:

אל האני יש לשכפל קבצי תצורת שרת VPN בכל VPN שרתים שיהיו מאוזנים.
לקוחות VPN התנועה צריכה להיות NATed בשרת VPN רק כדי להבטיח שכל החיבורים הנכנסים והיוצאים מלקוח APN עוברים את אותו שרת VPN בבריכה.

התרשים הבא מתאר את הארכיטקטורה הניתנת להרחבה שאליה ניתן להגיע.

ארכיטקטורת Wireguard VPN

1. שני מגן שרתים החולקים אותה תצורה.
2. כל אחד מגן השרת יוצר את אותה רשת פרטית 192.168.2.0 / 24.
3. כל אחד VPN לקוח יהיה NATed עם ה- IP של ה- VPN שרת שבו הוא מחובר.
4. הלקוחות מתחברים ל- IP ציבורי אחד vpn.company.com באמצעות 51820 PDU, חיבור זה יועבר אל ZVVENET (192.168.100.10).
5. ZVVENET יטען את איזון חיבורי הלקוח לזמינים VPN שרתים ולבסוף, המנהרה תיצור כנגד אחד השרתים.

במאמר זה נפרט על 2 דרכים שונות להגדיר באמצעותו שירות מדרגי VPN זה ZVVENETאחד דרך ממשק משתמש באינטרנט ועוד דרך ממשק שורת הפקודה.

תצורת שירות וירטואלי VPN עם ZEVENET

פרק זה מסביר כיצד להגיע לתצורה המתאימה באמצעות ממשק שורת הפקודה.

קח בחשבון את זה פרוטוקולי VPN לדרוש מושב התמדה יכולות על מנת להבטיח שאותו לקוח קשור אליו קצה אחורי בפרק זמן, גם אם לקוח זה אינו מייצר תנועה כלשהי.

על מנת ליצור את שירות וירטואלי VPN, חווה חדשה בשם VPNLB עם פרופיל l4xnat מקשיב הלאה 51820 PDU מחויב ל IP וירטואלי של VPN 192.168.100.10 ו sNAT מצב, שבו חומת האש תקשר NAT מקשרים מלקוחות עם הפקודה הבאה:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

או באמצעות ממשק משתמש גרפי:

שנה את פרמטרים גלובליים של החווה על מנת להשתמש UDP פרוטוקול, ואז להגדיר מושב התמדה by מקור IP ופשוט אלגוריתם איזון עומס by מִשׁקָל.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

או באמצעות ממשק משתמש גרפי:

הוסף שניים שרתי Backend 192.168.100.11 ו 192.168.100.12 לחווה שכבר נוצרה עבור VPN שירות איזון עומס. נָמָל אין צורך להגדיר אותו כ - l4xnat מתכוון להשתמש בזה כמו ב- יציאה וירטואלית מוגדר.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

או באמצעות ממשק משתמש גרפי:

על מנת לבחור רק גיבויים בריאים, בואו להגדיר בדיקת בריאות פשוטה עבור הגבולות המבטיחים את הנמל 51820 PDU זמין בצד האחורי. הכינו עותק של בדיקת בריאות גנרית ועמוסה מראש שנקראת check_udp ולערוך אותו. אנו ממליצים לשנות את הפסקה שדה 21 מכיוון שכל בדיקת בריאות משתמשת בא פסק זמן of 10 שניות, כך 10 שניות * 2 מגבים + שנייה = 1 שניות.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

או באמצעות ממשק משתמש גרפי:

לבסוף, הוסף את בדיקת הבריאות שכבר נקראה בשם check_udp_vpn לחווה הנוכחית VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

התקנת DDoS התקפה באמצעות מודול IPDS

שירותי VPN הם בדרך כלל יעדים של התקפות ואיומי אבטחת רשת כדי לנצל את הקישוריות המרוחקת בכניסה לרשתות הארגון.

מסיבה זו, מומלץ להשלים את המדרג שלנו VPN שירות עם מערכת אבטחה כדי להגן על הארגון שלנו מפני התקפות חיצוניות. החלק הנוכחי מסביר כיצד להשתמש בסעיף ZVVENET מודול IPDS ולהקל התקפות DDoS ל שירותי VPN ציבוריים מאוד בקלות.

שתי הגנות שונות מפורטות בסעיף זה עם תוצאות טובות יותר עם שירות מסוג זה: הגנת IP באמצעות רשימת לבן ו גבולות חיבור.

מתן גישה לשירות ה- VPN הציבורי מרשימת לבן נתונה

השימוש לכלול ברשימה שחורה/רשימה לבנה ניתן להשתמש בשירותים שבהם אנו יכולים להבטיח שרשימת הלקוחות מוכרת, למשל, לציבור שירות VPN כדי לאפשר שיתופי פעולה בארגון של מדינה מסוימת.

על מנת לקבוע את התצורה של רשימת לבן עבור גרמניה ודוחים תנועה מאחרים כתובות IP טווחי מדינה, אנא החל את הדברים הבאים:

1. עבור אל IPDS> רשימה שחורה ומצא שם את הרשימה השחורה geo_ES_Dermany. אז ערוך כלל רשימה שחורה זו ושנה את שדה המדיניות ל - להתיר לשמש כרשימה לבנה.
2. באותה רשימה עבור לכרטיסייה חוות ולהעביר את החווה VPNLB מהטור חוות זמינות ל אפשר חוות.
3. לחץ לְשַׂחֵק סמל הכלול ב - Windows פעולות כדי לאפשר את רשימת ההיתרים.
4. תיכנס לאתר IPDS> רשימה שחורה ומצא שם את הרשימה השחורה הכול, עבור לכרטיסייה חוות ולהעביר את החווה VPNLB מהטור חוות זמינות ל אפשר חוות.
5. לחץ לְשַׂחֵק סמל של פעולות כדי לאפשר את הרשימה השחורה.

עם תצורה זו, רשימת לבן אחת בשם geo_ES_Dermany כבר טעון לפני ZVVENET עם כל טווחי ה- IP במדינה כזו זה מתווסף לחווה VPNLB ורשימה שחורה נוספת בשם הכול ששאר כתובות ה- IP מתווספות לחווה, כך שאם ה- IP של הלקוח אינו תואם בשום תחום בגרמניה, הוא יושמט.

מאפשר גישה לשירות ה- VPN הציבורי עם מגבלות חיבור

על מנת ליישם סוג זה של הגנה DDoS מומלץ לחלוטין לדעת כיצד השירות הציבורי שלנו עובד, למשל, מגן משתמש בלבד חיבור UDP אחד ללקוח. כך שאם נקבל מספר חיבורים במקביל מאותו IP מקור, אנו יכולים להאמין שיותר ממעבד טלפונים אחד מתחבר מאחורי NAT ​​שמסווה את התנועה או שזה יכול להיות קשור ל פיגוע שיטפון UDP. בכל מקרה, אנו יכולים להבין כי יותר מעשרה חיבורים לכל IP IP מקור אינם תנועה לגיטימית.

על מנת להגדיר הגבלה של חיבורים במקביל לכל IP IP המקורי עבור שלנו שירות וירטואלי VPN אנא בצע את הדברים הבאים:

1. תיכנס לאתר IPDS> DoS> צור כלל DoS, צור כלל חדש עם שם limit_per_source_IP ובחר את סוג כלל מגבלת חיבור כוללת לכל IP מקור ולחץ צור.
2. בטופס מהדורת הכלל, הזן את מגבלת החיבורים המקבילים הרצויים בשדה סך כל החיבורים למקור IP, במקרה שלנו 10 ולחץ שלח.
3. עבור לכרטיסייה חוות ולהעביר את החווה VPNLB מהטור חוות זמינות ל אפשר חוות.

עם תצורה זו, הגבלנו את מספר החיבורים המקבילים לכל מקור IP ל -10, איננו סומכים על אף IP של לקוח שמנסה ליצור יותר מ -10 חיבורי VPN. במקרה שתוכל להבטיח כי יותר מלקוח אחד לעולם לא ינהל קשרים דרך NAT ציבורי כלשהו אז limit_per_source_IP ניתן להגדיר רק 1.

תיהנו משירות ה- VPN הניתן להרחבה, זמין ומאובטח במיוחד ZVVENET!

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

מאמרים נוספים