Tunneling aman VPN yang andal dan dapat diskalakan

DIPOSTING OLEH Zevenet | 18 Maret, 2020

Perusahaan

Ketika Anda terhubung ke internet melalui penyedia Internet apa pun, Anda tidak ragu bahwa penyedia ini akan mempertimbangkan semuanya untuk memastikan bahwa koneksi Anda aman, tetapi bagaimana jika Anda ingin terhubung ke layanan pribadi? Bagaimana cara memastikan bahwa dari klien ke server di infrastruktur publik lalu lintas aman? Di sinilah saat VPN layanan atau Virtual Private Network diperlukan teknologi. Koneksi aman dibuat antara kedua node memastikan bahwa tidak ada agen eksternal akan mencegat lalu lintas yang mendapatkan informasi yang masuk akal.

VPN layanan menyediakan beberapa kemampuan seperti:

Kerahasiaan: mencegah siapa pun membaca data Anda. Ini diimplementasikan dengan enkripsi.
Otentikasi: Memverifikasi bahwa anggota yang membuat titik-ke-titik adalah perangkat yang sah.
Integritas: memverifikasi bahwa paket VPN tidak berubah entah bagaimana selama transit.
Anti-putar ulang: mencegah seseorang menangkap lalu lintas dan mengirimnya kembali, mencoba tampil sebagai perangkat / pengguna yang sah.

Ada berbagai jenis implementasi di pasar berbasis standar privatif dan terbuka, kami akan memfokuskan artikel ini ke solusi terbuka, lihat di bawah ini yang paling relevan.

IPSEC: Ini telah menjadi standar de facto untuk instalasi VPN di Internet, ini mengimplementasikan sejumlah besar algoritma kriptografi dan belum diketahui kerentanan utama.
OpenVPN: Sangat populer tetapi tidak didasarkan pada standar, ia menggunakan protokol keamanan khusus, mendukung TLS / SSL dengan openssl dan sejumlah besar algoritma kriptografi.
L2TP: Ini adalah perpanjangan dari PPTP, dapat menggunakan IPSec sebagai lapisan keamanan, sebagian besar digunakan di masa lalu oleh ISP. Saat ini, ada opsi yang lebih baik dengan kinerja yang lebih baik.
Penjaga kawat: Ini adalah VPN yang sangat cepat, dan sangat mudah untuk menginstalnya, ia menggunakan algoritma kriptografi yang sudah termasuk dalam Kernel Linux, ia menggunakan UDP dan dapat dikonfigurasi di port apa saja.

Lingkungan VPN yang dapat diskalakan

Tujuan artikel ini adalah untuk mendeskripsikan cara membuat layanan yang seimbang dengan pengaturan ketersediaan tinggi VPN layanan dengan ZEVENET Penyeimbang Beban. Kami memfokuskan artikel ini pada Penjaga kawat, yang menggunakan port 51820 UDP, tetapi dapat diperluas ke solusi serupa lainnya dengan protokol dan port lain.

Pada artikel ini, konfigurasi VPN Server dihilangkan tetapi poin-poin berikut harus dipertimbangkan untuk skala VPN Berhasil dalam ketersediaan tinggi:

The File konfigurasi server VPN perlu direplikasi di semua VPN server yang akan seimbang.
Klien VPN lalu lintas harus di-NATED di server VPN hanya untuk memastikan bahwa semua koneksi inbound dan outbound dari klien APN melalui server VPN yang sama di pool.

Diagram berikut menjelaskan arsitektur yang dapat diukur untuk dijangkau.

Arsitektur VPN Wireguard

1. Dua Penjaga kawat server berbagi konfigurasi yang sama.
2. Masing-masing Penjaga kawat server membuat jaringan pribadi yang sama 192.168.2.0 / 24.
3. Masing-masing VPN klien akan disatukan dengan IP dari VPN server tempat terhubung.
4. Klien terhubung ke satu IP publik vpn.company.com melalui 51820 UDP, koneksi ini akan diteruskan ke ZEVENET (192.168.100.10).
5. ZEVENET akan memuat keseimbangan koneksi klien ke yang tersedia VPN server dan akhirnya, terowongan akan dibuat melawan salah satu server.

Pada artikel ini, kami akan merinci 2 cara berbeda untuk mengonfigurasi layanan VPN yang dapat diskalakan ini ZEVENET: satu via GUI web dan lainnya via Antarmuka Baris Perintah.

Konfigurasi layanan virtual VPN dengan ZEVENET

Bagian ini menjelaskan cara mencapai konfigurasi yang tepat dengan antarmuka baris perintah.

Pertimbangkan itu Protokol VPN membutuhkan Sesi Ketekunan kemampuan untuk memastikan bahwa klien yang sama terhubung dengan yang sama Backend selama jangka waktu tertentu meskipun klien ini tidak menghasilkan lalu lintas apa pun.

Untuk membuat Layanan virtual VPN, sebuah peternakan baru bernama VPNLB dengan l4xnat profil mendengarkan 51820 UDP terikat pada IP Virtual VPN 192.168.100.10 serta sNAT mode, di mana firewall akan koneksi NAT dari klien dengan perintah berikut:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

atau melalui GUI web:

Ubah Parameter Global pertanian untuk digunakan UDP protokol, lalu konfigurasikan Sesi Ketekunan by Sumber IP dan sederhana Algoritma Load Balancing by Berat.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

atau melalui GUI web:

Tambahkan dua Server Backend 192.168.100.11 serta 192.168.100.12 ke peternakan yang sudah dibuat untuk VPN layanan keseimbangan beban. pelabuhan tidak perlu dikonfigurasi sebagai l4xnat akan menggunakan yang sama dengan di Port Virtual dikonfigurasi

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

atau melalui GUI web:

Untuk memilih hanya backend yang sehat, mari kita konfigurasikan pemeriksaan kesehatan sederhana untuk backend yang memastikan port 51820 UDP tersedia di sisi backend. Buat salinan pemeriksaan kesehatan generik dan pra-muat yang dipanggil check_udp dan edit. Kami menyarankan untuk mengubah selang lapangan ke 21 karena setiap pemeriksaan kesehatan menggunakan a batas waktu of 10 detik, sehingga 10 detik * 2 backend + 1 detik = 21 detik.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

atau melalui GUI web:

Akhirnya, tambahkan cek kesehatan yang sudah dibuat yang disebut periksa_udp_vpn ke peternakan saat ini VPNLB.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

Mitigasi serangan DDoS dengan modul IPDS

Layanan VPN biasanya menjadi target serangan dan ancaman keamanan siber untuk memanfaatkan konektivitas jarak jauh untuk memasuki jaringan organisasi.

Oleh karena itu, disarankan untuk menyelesaikan skalabel kami VPN layanan dengan sistem keamanan untuk melindungi organisasi kami dari serangan eksternal. Bagian saat ini menjelaskan cara menggunakan ZEVENET Modul IPDS dan mengurangi Serangan DDoS untuk Layanan VPN publik sangat mudah.

Dua perlindungan berbeda dirinci di bagian ini yang memiliki hasil lebih baik dengan layanan seperti ini: Perlindungan IP via daftar putih serta batas koneksi.

Mengizinkan akses ke layanan VPN publik dari daftar putih yang diberikan

Penggunaan blacklist/whitelist dapat digunakan dalam layanan di mana kami dapat memastikan bahwa daftar klien diketahui, misalnya, publik Layanan VPN untuk mengizinkan telecommute dalam suatu organisasi di negara tertentu.

Untuk mengonfigurasi daftar putih untuk Jerman dan menolak lalu lintas dari yang lain Alamat IP rentang negara, harap terapkan yang berikut ini:

1. Pergi ke IPDS> Daftar Hitam dan temukan di sana daftar hitam geo_ES_Jerman. Kemudian Ubah aturan daftar hitam ini dan ubah bidang kebijakan ke mengizinkan untuk digunakan sebagai daftar putih.
2. Dalam daftar yang sama, buka tab Pertanian dan memindahkan pertanian VPNLB dari kolom Peternakan yang tersedia untuk Aktifkan peternakan.
3. Tekan Bermain ikon termasuk dalam tindakan untuk mengaktifkan daftar putih.
4. Pergi ke IPDS> Daftar Hitam dan temukan di sana daftar hitam Semua, buka tab Pertanian dan memindahkan pertanian VPNLB dari kolom Peternakan yang tersedia untuk Aktifkan peternakan.
5. Tekan Bermain ikon tindakan untuk mengaktifkan daftar hitam.

Dengan konfigurasi ini, satu daftar putih bernama geo_ES_Jerman sudah dimuat sebelumnya ZEVENET dengan semua rentang IP di negara tersebut, itu ditambahkan ke tambak VPNLB dan daftar hitam tambahan bernama Semua yang mana alamat IP lainnya ditambahkan ke tambak, jadi jika IP klien tidak cocok di semua rentang Jerman maka itu akan dihapus.

Mengizinkan akses ke layanan VPN publik dengan batas koneksi

Untuk menerapkan jenis ini Perlindungan DDoS sangat disarankan untuk mengetahui cara kerja layanan publik kami, misalnya, Penjaga kawat hanya menggunakan satu koneksi UDP per klien. Jadi jika kita menerima beberapa koneksi bersamaan dari IP sumber yang sama maka kita dapat percaya bahwa lebih dari satu teleworker terhubung di belakang NAT yang menyamar lalu lintas atau itu bisa terkait dengan Serangan banjir UDP. Dalam hal apa pun, kita dapat memahami lebih dari 10 koneksi per sumber IP bukan lalu lintas yang sah.

Untuk mengkonfigurasi batas koneksi konkuren per IP sumber untuk kami Layanan virtual VPN silakan lakukan hal berikut:

1. Pergi ke IPDS> DoS> Buat aturan DoS, buat aturan baru dengan nama limit_per_source_IP Dan pilih Jenis aturan batas koneksi total per IP sumber dan tekan membuat.
2. Dalam bentuk edisi aturan, masukkan batas koneksi konkuren yang diinginkan di bidang Batas koneksi total per IP sumber, dalam kasus kami 10 dan tekan Kirim.
3. Buka tab Pertanian dan memindahkan pertanian VPNLB dari kolom Peternakan yang tersedia untuk Aktifkan peternakan.

Dengan konfigurasi ini, kami telah membatasi jumlah koneksi bersamaan per IP sumber menjadi 10, kami tidak mempercayai IP klien mana pun yang mencoba membuat lebih dari 10 koneksi VPN. Jika Anda dapat memastikan bahwa lebih dari satu klien tidak akan pernah menjalankan koneksi melalui NAT publik apa pun maka limit_per_source_IP dapat dikonfigurasi menjadi hanya 1.

Nikmati layanan VPN yang dapat diskalakan, sangat tersedia, dan aman bersama Anda ZEVENET!

Bagikan ke:

Dokumentasi di bawah ketentuan Lisensi Dokumentasi Bebas GNU.

Apakah artikel ini berguna?

Artikel terkait