Tunneling sicuro VPN scalabile e affidabile

PUBBLICATO DA Zevenet | 18 marzo, 2020

Panoramica

Quando ti connetti a Internet tramite un provider Internet non dubiti che questo provider terrà in considerazione tutto per garantire che la tua connessione sia sicura, ma cosa succede se desideri connetterti a un servizio privato? Come garantire che dal client al server nell'infrastruttura pubblica il traffico sia sicuro? È qui quando VPN servizi o Virtual Private Network sono necessarie tecnologie. Viene stabilita una connessione sicura tra i due nodi garantendo che nessun agente esterno intercetti il ​​traffico ottenendo informazioni sensibili.

VPN i servizi offrono diverse capacità come:

riservatezza: impedire a chiunque di leggere i tuoi dati. Questo è implementato con la crittografia.
Autenticazione: Verifica che i membri che creano il punto-punto siano dispositivi legittimi.
Integrità: verifica che il pacchetto VPN non sia stato modificato in qualche modo durante il transito.
Anti-riproduzione: impedire a qualcuno di catturare il traffico e inviarlo di nuovo, cercando di apparire come un dispositivo / utente legittimo.

Esistono diversi tipi di implementazione nel mercato basato su standard privativi e aperti, focalizzeremo questo articolo sulle soluzioni aperte, vedi di seguito le più pertinenti.

IPSEC: È diventato di fatto lo standard di fatto per le installazioni VPN su Internet, implementa un gran numero di algoritmi crittografici e non ha conosciuto le maggiori vulnerabilità.
OpenVPN: Molto popolare ma non basato su standard, utilizza protocolli di sicurezza personalizzati, supporta TLS / SSL con Openssl e un gran numero di algoritmi crittografici.
L2TP: È un'estensione di PPTP, può utilizzare IPSec come livello di sicurezza, utilizzato principalmente in passato dagli ISP. Attualmente, ci sono opzioni migliori con prestazioni migliori.
Gabbia di protezione: È una VPN estremamente veloce ed estremamente facile da installare, utilizza gli algoritmi crittografici già inclusi nel kernel Linux, utilizza UDP e può essere configurato in qualsiasi porta.

Ambiente VPN scalabile

L'obiettivo di questo articolo è descrivere come creare un servizio con bilanciamento del carico con configurazione ad alta disponibilità per VPN servizi con Bilanciamento del carico ZEVENET. Concentriamo questo articolo in Gabbia di protezione, che utilizza la porta 51820 UDP, ma può essere esteso ad altre soluzioni simili con altri protocolli e porte.

In questo articolo, la configurazione di VPN il server viene omesso ma i seguenti punti devono essere presi in considerazione per il ridimensionamento VPN in alta disponibilità con successo:

I I file di configurazione del server VPN devono essere replicati in tutto il VPN server che saranno bilanciati.
Client VPN il traffico deve essere NAT nel server VPN solo per garantire che tutte le connessioni in entrata e in uscita da un client APN passino attraverso lo stesso server VPN nel pool.

Il diagramma seguente descrive l'architettura scalabile da raggiungere.

Architettura VPN Wireguard

1. Due Gabbia di protezione server che condividono la stessa configurazione.
2. Ogni Gabbia di protezione il server crea la stessa rete privata 192.168.2.0 / 24.
3. Ogni VPN il client sarà NAT con l'IP del VPN server in cui è connesso.
4. I client si connettono a un IP pubblico vpn.company.com via 51820 UDP, questa connessione verrà inoltrata a ZEVENET (192.168.100.10).
5. ZEVENET caricherà il bilanciamento delle connessioni client con quelle disponibili VPN server e, infine, il tunnel verrà creato su uno dei server.

In questo articolo, descriveremo in dettaglio 2 diversi modi per configurare questo servizio scalabile VPN con ZEVENET: uno via GUI Web e un altro via Interfaccia della riga di comando.

Configurazione del servizio virtuale VPN con ZEVENET

Questa sezione spiega come raggiungere la corretta configurazione con l'interfaccia della riga di comando.

Prendi in considerazione quello Protocolli VPN richiedere Sessione di persistenza capacità al fine di garantire che lo stesso client sia collegato allo stesso BACKEND durante un periodo di tempo anche se questo client non genera traffico.

Per creare il Servizio virtuale VPN, una nuova fattoria chiamata VPNLB a profilo l4xnat ascoltando 51820 UDP legato al IP virtuale VPN 192.168.100.10 che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana per poi SNAT modalità, in cui il firewall effettuerà le connessioni NAT dai client con il seguente comando:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

o tramite la GUI Web:

modificare la Parametri globali della fattoria al fine di utilizzare UDP protocollo, quindi configurare Sessione di persistenza by IP di origine e un semplice Algoritmo di bilanciamento del carico by Peso.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

o tramite la GUI Web:

Aggiungi due Server back-end 192.168.100.11 che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana per poi 192.168.100.12 alla farm già creata per il VPN servizio di bilanciamento del carico. Porto non è necessario per essere configurato come l4xnat utilizzerà lo stesso di Porta virtuale configurato.

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

o tramite la GUI Web:

Per selezionare solo backend sani, configuriamo un semplice controllo di integrità per i backend che assicurano la porta 51820 UDP è disponibile nel lato back-end. Crea una copia di un controllo di integrità generico e precaricato corrente chiamato check_udp e modificalo. Si consiglia di modificare il intervallo campo 21 perché ogni controllo dello stato utilizza un timeout of 10 secondi, Così 10 secondi * 2 backend + 1 secondo = 21 secondi.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

o tramite la GUI Web:

Infine, aggiungi il controllo dello stato già creato chiamato check_udp_vpn alla fattoria attuale VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

Mitigazione degli attacchi DDoS con modulo IPDS

I servizi VPN sono di solito obiettivi di attacchi e minacce alla sicurezza informatica al fine di sfruttare la connettività remota per accedere alle reti dell'organizzazione.

Per questo motivo, è consigliabile completare il nostro scalabile VPN servizio con un sistema di sicurezza per proteggere la nostra organizzazione da attacchi esterni. La sezione corrente spiega come usare il ZEVENET Modulo IPDS e mitigare Attacchi DDoS per servizi VPN pubblici molto facilmente.

In questa sezione sono descritte due diverse protezioni che offrono risultati migliori con questo tipo di servizio: protezione IP tramite whitelist che collaborano con noi, attingono direttamente dalla storia e dalla tradizione veneziana per poi limiti di connessione.

Consentire l'accesso al servizio VPN pubblico da una determinata whitelist

L'uso di lista nera/whitelist può essere utilizzato nei servizi in cui possiamo garantire che l'elenco dei client sia noto, ad esempio, un pubblico Servizio VPN consentire il telelavoro in un'organizzazione di un determinato paese.

Per configurare una whitelist per Germania e rifiuta il traffico proveniente da altri Gli indirizzi IP intervalli di paesi, si prega di applicare quanto segue:

1. Vai su IPDS> Lista nera e trova lì la lista nera geo_ES_Germania. Poi Modifica questa regola della lista nera e modificare il campo della politica in Consentire da utilizzare come whitelist.
2. Nella stessa lista vai alla scheda Farms e spostare la fattoria VPNLB dalla colonna Aziende agricole disponibili a Abilita fattorie.
3. Premere il tasto play icona inclusa in Azioni per abilitare la whitelist.
4. Una volta collegato al sito web IPDS> Lista nera e trova lì la lista nera Tutti, vai alla scheda Farms e spostare la fattoria VPNLB dalla colonna Aziende agricole disponibili a Abilita fattorie.
5. Premere il tasto play icona di Azioni per abilitare la lista nera.

Con questa configurazione, una whitelist denominata geo_ES_Germania già precaricato in ZEVENET con tutti gli intervalli di indirizzi IP in tale paese viene aggiunto alla farm VPNLB e lista nera aggiuntiva denominata Tutti che il resto degli indirizzi IP viene aggiunto alla farm, quindi se l'IP del client non corrisponde in alcun intervallo della Germania, verrà eliminato.

Consentire l'accesso al servizio VPN pubblico con limiti di connessione

Al fine di applicare questo tipo di Protezione DDoS è assolutamente consigliato sapere come funziona il nostro servizio pubblico, ad esempio Gabbia di protezione utilizza solo una connessione UDP per client. Quindi, se riceviamo più connessioni simultanee dallo stesso IP di origine, possiamo credere che più di un telelavoratore si sta connettendo dietro un NAT che sta mascherando il traffico o che potrebbe essere correlato a un Attacco alluvione UDP. In ogni caso, possiamo comprendere che più di 10 connessioni per IP di origine non sono un traffico legittimo.

Al fine di configurare un limite di connessioni simultanee per IP sorgente per il nostro Servizio virtuale VPN si prega di fare quanto segue:

1. Una volta collegato al sito web IPDS> DoS> Crea regola DoS, crea una nuova regola con nome limit_per_source_IP e seleziona la Tipo di regola limite di connessione totale per IP sorgente e premere Creare.
2. Nel modulo di edizione delle regole, immettere il limite delle connessioni simultanee desiderate nel campo Limite totale delle connessioni per IP di origine, nel nostro caso 10 e premere Invio.
3. Vai alla scheda Farms e spostare la fattoria VPNLB dalla colonna Aziende agricole disponibili a Abilita fattorie.

Con questa configurazione, abbiamo limitato a 10 il numero di connessioni simultanee per IP di origine, non ci fidiamo di alcun IP client che tenti di stabilire più di 10 connessioni VPN. Nel caso in cui puoi assicurarti che più di un client non eseguirà mai connessioni tramite NAT pubblico, allora il file limit_per_source_IP potrebbe essere configurato a solo 1.

Goditi il ​​tuo servizio VPN scalabile, altamente disponibile e sicuro con ZEVENET!

Condividere su:

Documentazione sotto i termini della GNU Free Documentation License.

questo articolo è stato utile?

Articoli Correlati