Pålidelig og skalerbar VPN sikker tunneling

SENDT AF Zevenet | 18. marts, 2020

Oversigt

Når du opretter forbindelse til internettet via en hvilken som helst internetudbyder, tvivler du ikke på, at denne udbyder vil tage alt i betragtning for at sikre, at din forbindelse er sikker, men hvad hvis du vil oprette forbindelse til en privat tjeneste? Hvordan kan man sikre, at trafikken er sikker fra klient til server i offentlig infrastruktur? Det er her hvornår VPN tjenester eller Virtual Private Network teknologier er påkrævet. Der etableres en sikker forbindelse mellem begge knudepunkter, der sikrer, at ingen ekstern agent vil opfange trafikken, der får fornuftig information.

VPN tjenester giver flere evner, såsom:

Fortrolighed: forhindrer nogen i at læse dine data. Dette implementeres med kryptering.
Godkendelse: Bekræftelse af, at medlemmer, der opretter et punkt til punkt, er legitime enheder.
Integritet: at verificere, at VPN-pakken ikke blev ændret på en eller anden måde under transit.
Anti-afspilning: forhindrer nogen i at fange trafik og sende den igen og forsøge at fremstå som en legitim enhed / bruger.

Der er forskellige former for implementering i det markedsbaserede i private og åbne standarder, vi vil fokusere denne artikel på de åbne løsninger, se nedenfor de mest relevante.

IPSEC: Det er blevet standard de facto for VPN-installationer på Internettet, det implementerer et stort antal kryptografiske algoritmer, og det har ikke kendt større sårbarheder.
OpenVPN: Meget populær, men ikke baseret på standarder, den bruger brugerdefinerede sikkerhedsprotokoller, den understøtter TLS / SSL med Openssl og et stort antal kryptografiske algoritmer.
L2TP: Det er en udvidelse af PPTP, den kan bruge IPSec som sikkerhedslag, oftest brugt i fortiden af ​​internetudbydere. I øjeblikket er der bedre muligheder med bedre ydelse.
Trådbeskyttelse: Det er en ekstremt hurtig VPN, og ekstremt let at installere den, den bruger de kryptografiske algoritmer, der allerede er inkluderet i Linux Kernel, den bruger UDP og kan konfigureres i enhver port.

Skalerbart VPN-miljø

Målet med denne artikel er at beskrive, hvordan man opretter en belastningsafbalanceret service med opsætning af høj tilgængelighed for VPN tjenester med ZEVENET Load Balancer. Vi fokuserer denne artikel i Trådbeskyttelse, der bruger port 51820 UDP, men det kan udvides til anden lignende løsning med en anden protokol (er) og port (er).

I denne artikel konfigurationen af VPN server er udeladt, men de følgende punkter skal tages i betragtning til skalaen VPN i høj tilgængelighed med succes:

VPN-serverkonfigurationsfiler skal replikeres i alle VPN servere, der vil være afbalanceret.
VPN-klienter trafik skal NATES på VPN-serveren bare for at sikre, at alle indgående og udgående forbindelser fra en APN-klient går gennem den samme VPN-server i puljen.

Følgende diagram beskriver den skalerbare arkitektur, der skal nås.

VPN Wireguard-arkitektur

1. to Trådbeskyttelse servere, der deler den samme konfiguration.
2. Hver Trådbeskyttelse server opretter det samme private netværk 192.168.2.0 / 24.
3. Hver VPN klient vil blive NATed med IP af IP VPN server, hvor den er tilsluttet.
4. Klienterne opretter forbindelse til en offentlig IP vpn.comfirma.com via 51820 UDP, denne forbindelse vil blive videresendt til ZEVENET (192.168.100.10).
5. ZEVENET vil indlæse balance mellem klientforbindelserne til det tilgængelige VPN servere og til sidst oprettes tunnelen mod en af ​​serverne.

I denne artikel vil vi detaljerede 2 forskellige måder at konfigurere denne VPN-skalerbare tjeneste med ZEVENET: en via Web GUI og en anden via Command Line Interface.

VPN-virtuel servicekonfiguration med ZEVENET

Dette afsnit forklarer, hvordan man når den korrekte konfiguration med kommandolinjegrænsefladen.

Tag det i betragtning VPN-protokoller kræver Persistens session evner for at sikre, at den samme klient er tilsluttet den samme Bagende i en periode, selvom denne klient ikke genererer nogen trafik.

For at oprette VPN virtuel service, en ny gård kaldet VPNLB med l4xnat profil lytter til 51820 UDP bundet til VPN virtuel IP 192.168.100.10 og SNAT tilstand, hvor firewall vil NAT-forbindelser fra klienter med følgende kommando:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

eller via web GUI:

Rediger Globale parametre af gården med henblik på brug UDP protokol, og konfigurer derefter Persistens session by Kilde IP og en enkel Belastningsbalanceringsalgoritme by Vægt.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

eller via web GUI:

Tilføj to Backend-servere 192.168.100.11 og 192.168.100.12 til den allerede oprettede gård til VPN belastningsbalance service. port er ikke nødvendigt for at konfigureres som l4xnat vil bruge det samme som i Virtual Port konfigureret.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

eller via web GUI:

For kun at vælge sunde backends, lad os konfigurere en simpel sundhedstjek for backends, der sikrer porten 51820 UDP er tilgængelig på bagsiden. Lav en kopi af en aktuelle generisk og forudindlæst sundhedscheck kaldet check_udp og rediger det. Vi anbefaler at ændre interval felt til 21 fordi hver sundhedstjek bruger a timeout of 10 sekunder, Så 10 sekunder * 2 backends + 1 sekund = 21 sekunder.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

eller via web GUI:

Til sidst skal du tilføje den allerede oprettede sundhedscheck kaldet check_udp_vpn til den nuværende gård VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

DDoS angreb begrænsning med IPDS modul

VPN-tjenester er normalt mål for angreb og cybersikkerhedstrusler for at drage fordel af fjernforbindelsen til at komme ind i organisationsnetværkene.

Af den grund anbefales det at færdiggøre vores skalerbare VPN service med et sikkerhedssystem for at beskytte vores organisation mod eksterne angreb. Det nuværende afsnit forklarer, hvordan man bruger ZEVENET IPDS-modul og mindske DDoS-angreb forum offentlige VPN-tjenester meget let.

To forskellige beskyttelser er detaljeret i dette afsnit, der har bedre resultater med denne form for service: IP-beskyttelse via whitelister og forbindelsesgrænser.

Tilladelse af adgang til den offentlige VPN-tjeneste fra en given hvidliste

Brugen af sortliste/whitelist kan bruges i tjenester, hvor vi kan sikre, at klientlisten er kendt, for eksempel en offentlighed VPN-tjeneste at tillade telekommunikation i en organisation i et bestemt land.

For at konfigurere en hvidliste til Tyskland og afvis trafik fra andre IP-adresser landområder, skal du anvende følgende:

1. Gå til IPDS> Sortliste og find der sortlisten geo_ES_Tyskland. Derefter Redigere denne sortliste-regel og ændre politikfeltet til Tillad skal bruges som hvidliste.
2. Gå til fanen i den samme liste Gårde og flytte gården VPNLB fra kolonnen Tilgængelige gårde til Aktivér gårde.
3. Tryk Leg ikon inkluderet i handlinger for at aktivere hvidlisten.
4. Gå til IPDS> Sortliste og find der sortlisten Alle, gå til fane Gårde og flytte gården VPNLB fra kolonne Tilgængelige gårde til Aktivér gårde.
5. Tryk Leg ikon af handlinger for at aktivere sortlisten.

Med denne konfiguration kaldes en hvidliste ved navn geo_ES_Tyskland allerede indlæst i ZEVENET med alle IP-intervaller i et sådant land føjes det til gården VPNLB og yderligere sortliste navngivet Alle som resten af ​​IP-adresser føjes til gården, så hvis klientens IP ikke matcher i noget område i Tyskland, slettes den.

Tillader adgang til den offentlige VPN-tjeneste med forbindelsesgrænser

For at anvende denne type DDoS beskyttelse anbefales fuldstændigt at vide, hvordan vores offentlige service fungerer, f.eks. Trådbeskyttelse bruger kun en UDP-forbindelse pr. klient. Så hvis vi modtager flere samtidige forbindelser fra den samme kilde IP, kan vi tro, at mere end en telearbejder opretter forbindelse bag en NAT, som maskerer trafikken, eller det kan være relateret til en UDP-oversvømmelsesangreb. Under alle omstændigheder kan vi forstå, end mere end 10 forbindelser pr. Kilde IP ikke er en legitimeret trafik.

For at konfigurere en grænse for samtidige forbindelser pr. Kilde IP til vores VPN virtuel service gør venligst følgende:

1. Gå til IPDS> DoS> Opret DoS-regel, opret en ny regel med navn limit_per_source_IP og vælg Regeltype samlet forbindelsesgrænse pr. kilde IP og tryk Opret.
2. I formularen med regeludgave skal du indtaste den ønskede grænse for samtidige forbindelser i feltet Samlet forbindelsesgrænse pr. Kilde IP, i vores tilfælde 10 og tryk Indsend.
3. Gå til fanen Gårde og flytte gården VPNLB fra kolonne Tilgængelige gårde til Aktivér gårde.

Med denne konfiguration har vi begrænset antallet af samtidige forbindelser pr. Kilde-IP til 10, vi stoler ikke på nogen klient-IP, der forsøger at etablere mere end 10 VPN-forbindelser. I tilfælde af at du kan sikre, at mere end en klient aldrig vil køre forbindelser gennem nogen offentlig NAT, så limit_per_source_IP kunne konfigureres til kun 1.

Nyd din skalerbare, meget tilgængelige og sikre VPN-service med ZEVENET!

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Relaterede artikler