Terowong selamat VPN yang boleh dipercayai dan boleh diskalakan

DIPOS oleh Zevenet | 18 Mac 2020

Gambaran Keseluruhan

Apabila anda menyambung ke internet melalui mana-mana pembekal Internet, anda tidak ragu bahawa penyedia ini akan mempertimbangkan semua untuk memastikan bahawa sambungan anda selamat, tetapi bagaimana jika anda ingin menyambung ke perkhidmatan peribadi? Bagaimana untuk memastikan bahawa dari pelanggan ke pelayan di infrastruktur awam lalu lintas selamat? Di sini bila VPN perkhidmatan atau Rangkaian Persendirian Maya teknologi diperlukan. Sambungan selamat terjalin di antara kedua-dua nod memastikan bahawa tidak ada ejen luaran yang memintas lalu lintas mendapatkan maklumat yang masuk akal.

VPN perkhidmatan memberikan beberapa kebolehan seperti:

Kerahsiaan: menghalang sesiapa membaca data anda. Ini dilaksanakan dengan penyulitan.
Pengesahan: Mengesahkan bahawa ahli yang membuat point-to-point adalah peranti yang sah.
Integriti: mengesahkan bahawa paket VPN tidak diubah entah bagaimana semasa transit.
Anti-ulangan: mencegah seseorang menangkap lalu lintas dan mengirimnya kembali, berusaha untuk muncul sebagai alat / pengguna yang sah.

Terdapat pelbagai jenis pelaksanaan di pasaran berdasarkan standard privatif dan terbuka, kami akan memfokuskan artikel ini kepada penyelesaian terbuka, lihat di bawah yang paling relevan.

IPSEC: Ini telah menjadi standard de facto untuk pemasangan VPN di Internet, ia menerapkan sebilangan besar algoritma kriptografi dan belum mengetahui kelemahan utama.
OpenVPN: Sangat popular tetapi tidak berdasarkan piawaian, ia menggunakan protokol keselamatan tersuai, menyokong TLS / SSL dengan Openssl dan sebilangan besar algoritma kriptografi.
L2TP: Ini adalah lanjutan dari PPTP, dapat menggunakan IPSec sebagai lapisan keamanan, yang kebanyakannya digunakan pada masa lalu oleh ISP. Pada masa ini, terdapat pilihan yang lebih baik dengan prestasi yang lebih baik.
Pengawal Wire: Ini adalah VPN yang sangat cepat, dan sangat mudah untuk memasangnya, ia menggunakan algoritma kriptografi yang sudah termasuk dalam Kernel Linux, ia menggunakan UDP dan dapat dikonfigurasi di port mana pun.

Persekitaran VPN yang boleh diskalakan

Matlamat artikel ini adalah untuk menerangkan bagaimana membuat perkhidmatan seimbang dengan penyediaan ketersediaan tinggi untuk VPN perkhidmatan dengan Pengimbang Beban ZEVENET. Kami memfokuskan artikel ini di Pengawal Wire, yang menggunakan port 51820 UDP, tetapi dapat diperluas ke penyelesaian lain yang serupa dengan protokol dan port lain.

Dalam artikel ini, konfigurasi dari VPN pelayan dihilangkan tetapi perkara berikut harus diambil kira untuk skala VPN dalam ketersediaan tinggi berjaya:

. Fail konfigurasi pelayan VPN perlu ditiru dalam semua VPN pelayan yang akan seimbang.
Pelanggan VPN lalu lintas perlu dihidupkan di pelayan VPN hanya untuk memastikan bahawa semua sambungan masuk dan keluar dari klien APN melalui pelayan VPN yang sama di kolam renang.

Gambar rajah berikut menerangkan seni bina berskala untuk dicapai.

Senibina VPN Wireguard

1. Dua Pengawal Wire pelayan yang berkongsi konfigurasi yang sama.
2. setiap Pengawal Wire pelayan membuat rangkaian peribadi yang sama 192.168.2.0 / 24.
3. setiap VPN pelanggan akan diberi NAT dengan IP VPN pelayan di mana ia disambungkan.
4. Pelanggan menyambung ke satu IP awam vpn.company.com melalui 51820 UDP, sambungan ini akan diteruskan ke ZEVENET (192.168.100.10).
5. ZEVENET akan memuatkan keseimbangan hubungan pelanggan dengan yang ada VPN pelayan dan akhirnya, terowong akan dibuat terhadap salah satu pelayan.

Dalam artikel ini, kami akan memperincikan 2 cara berbeza untuk mengkonfigurasi perkhidmatan VPN yang dapat diskalakan ini ZEVENET: satu melalui GUI Web dan lain melalui Antara muka Barisan Perintah.

Konfigurasi perkhidmatan maya VPN dengan ZEVENET

Bahagian ini menerangkan cara mencapai konfigurasi yang betul dengan antara muka baris perintah.

Pertimbangkan bahawa Protokol VPN memerlukan Sesi Kegigihan kebolehan untuk memastikan bahawa pelanggan yang sama dihubungkan dengan yang sama Backend dalam jangka masa walaupun pelanggan ini tidak menghasilkan lalu lintas.

Untuk mewujudkan Perkhidmatan maya VPN, ladang baru yang dipanggil VPNLB dengan profil l4xnat mendengar 51820 UDP terikat kepada IP maya VPN 192.168.100.10 dan sNAT mod, di mana firewall akan menghubungkan NAT dari klien dengan arahan berikut:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

atau melalui GUI web:

Ubah suai Parameter Global ladang untuk digunakan UDP protokol, kemudian konfigurasikan Sesi Kegigihan by IP sumber dan sederhana Algoritma Pengimbangan Beban by Berat.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

atau melalui GUI web:

Tambah dua Pelayan Backend 192.168.100.11 dan 192.168.100.12 ke ladang yang telah dibuat untuk VPN perkhidmatan imbangan beban. Port tidak perlu dikonfigurasi sebagai l4xnat akan menggunakan yang sama seperti di Port Maya dikonfigurasikan.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

atau melalui GUI web:

Untuk memilih hanya backend yang sihat, mari konfigurasikan pemeriksaan kesihatan sederhana untuk backend yang memastikan port 51820 UDP terdapat di bahagian belakang. Buat salinan pemeriksaan kesihatan generik dan pra-muat yang dipanggil check_udp dan edit. Kami mengesyorkan untuk menukar selang bidang ke 21 kerana setiap pemeriksaan kesihatan menggunakan a timeout of 10 saat, Jadi 10 saat * 2 backend + 1 saat = 21 saat.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

atau melalui GUI web:

Akhirnya, tambahkan pemeriksaan kesihatan yang telah dibuat semak_udp_vpn ke ladang semasa VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

Pengurangan serangan DDoS dengan modul IPDS

Perkhidmatan VPN biasanya menjadi sasaran serangan dan ancaman keselamatan siber untuk memanfaatkan sambungan jarak jauh untuk memasuki rangkaian organisasi.

Untuk itu, disyorkan untuk melengkapkan skala kami VPN perkhidmatan dengan sistem keselamatan untuk melindungi organisasi kita daripada serangan luaran. Bahagian semasa menerangkan cara menggunakan ZEVENET Modul IPDS dan mengurangkan Serangan DDoS untuk Perkhidmatan VPN awam sangat mudah.

Dua perlindungan berbeza diperincikan di bahagian ini yang mempunyai hasil yang lebih baik dengan perkhidmatan seperti ini: Perlindungan IP melalui senarai putih dan had sambungan.

Membolehkan akses ke perkhidmatan VPN awam dari senarai putih tertentu

Penggunaan menyenaraihitamkan/senarai putih boleh digunakan dalam perkhidmatan di mana kita dapat memastikan bahawa senarai pelanggan dikenali, misalnya, orang ramai Perkhidmatan VPN untuk membenarkan telecommute dalam organisasi negara tertentu.

Untuk mengkonfigurasi senarai putih untuk Jerman dan menolak lalu lintas dari yang lain Alamat IP negara, sila gunakan perkara berikut:

1. Pergi ke IPDS> Senarai Hitam dan cari di sana senarai hitam geo_ES_Jerman. kemudian Edit peraturan senarai hitam ini dan ubah bidang dasar menjadi Benarkan untuk digunakan sebagai senarai putih.
2. Dalam senarai yang sama pergi ke tab Farms dan bergerak ladang VPNLB dari lajur Ladang yang ada kepada Aktifkan ladang.
3. Tekan bermain ikon termasuk dalam Tindakan untuk membolehkan senarai putih.
4. Pergi ke IPDS> Senarai Hitam dan cari di sana senarai hitam Semua, pergi ke tab Farms dan bergerak ladang VPNLB dari lajur Ladang yang ada kepada Aktifkan ladang.
5. Tekan bermain ikon dari Tindakan untuk mengaktifkan senarai hitam.

Dengan konfigurasi ini, satu senarai putih dinamakan geo_ES_Jerman sudah dimuatkan dalam ZEVENET dengan semua julat IP di negara tersebut, ia ditambahkan ke ladang VPNLB dan senarai hitam tambahan yang dinamakan Semua yang mana alamat IP selebihnya ditambahkan ke ladang, jadi jika IP pelanggan tidak sesuai di mana-mana jajaran Jerman maka ia akan dijatuhkan.

Membolehkan akses ke perkhidmatan VPN awam dengan had sambungan

Untuk menggunakan jenis ini Perlindungan DDoS disarankan untuk mengetahui bagaimana perkhidmatan awam kita berfungsi, sebagai contoh, Pengawal Wire hanya menggunakan satu sambungan UDP bagi setiap pelanggan. Oleh itu, jika kita menerima beberapa sambungan serentak dari IP sumber yang sama maka kita boleh percaya bahawa lebih daripada satu pekerja telekomunikasi menghubungkan di belakang NAT yang menyamar lalu lintas atau ia mungkin berkaitan dengan Serangan banjir UDP. Walau apa pun, kita dapat memahami bahawa lebih daripada 10 sambungan setiap sumber IP bukanlah lalu lintas yang disahkan.

Untuk mengkonfigurasi had sambungan serentak per IP sumber untuk kami Perkhidmatan maya VPN sila lakukan perkara berikut:

1. Pergi ke IPDS> DoS> Buat peraturan DoS, buat peraturan baru dengan nama had_per_sumber_IP Dan pilih Jenis peraturan jumlah had sambungan setiap IP sumber dan tekan Buat.
2. Dalam borang edisi peraturan, masukkan had sambungan serentak yang diingini di lapangan Had jumlah sambungan setiap IP sumber, dalam kes kami 10 dan tekan Hantar.
3. Pergi tab Farms dan bergerak ladang VPNLB dari lajur Ladang yang ada kepada Aktifkan ladang.

Dengan konfigurasi ini, kami telah membatasi bilangan sambungan serentak per IP sumber kepada 10, kami tidak mempercayai IP klien mana pun yang cuba menjalin lebih dari 10 sambungan VPN. Sekiranya anda dapat memastikan bahawa lebih daripada satu pelanggan tidak akan pernah menjalankan sambungan melalui NAT awam mana pun maka had_per_sumber_IP boleh dikonfigurasi hanya 1.

Nikmati perkhidmatan VPN anda yang boleh diskalakan, sangat tersedia dan selamat dengan ZEVENET!

Berkongsi pada:

Dokumentasi di bawah syarat-syarat Lesen Dokumentasi Bebas GNU.

Adakah artikel ini berguna?

Artikel yang berkaitan