विश्वसनीय और स्केलेबल वीपीएन सुरक्षित सुरंग

द्वारा प्रकाशित किया गया था Zevenet | 18 मार्च, 2020

अवलोकन

जब आप किसी भी इंटरनेट प्रदाता के माध्यम से इंटरनेट से जुड़ते हैं, तो आपको संदेह नहीं है कि यह प्रदाता यह सुनिश्चित करने के लिए सभी को ध्यान में रखेगा कि आपका कनेक्शन सुरक्षित है, लेकिन क्या होगा यदि आप एक निजी सेवा से कनेक्ट करना चाहते हैं? कैसे सुनिश्चित करें कि सार्वजनिक बुनियादी ढांचे में क्लाइंट से सर्वर तक ट्रैफिक सुरक्षित है? यह यहाँ है जब वीपीएन सेवाओं या आभासी निजी संजाल प्रौद्योगिकियों की आवश्यकता है। दोनों नोड्स के बीच एक सुरक्षित कनेक्शन स्थापित किया गया है ताकि यह सुनिश्चित हो सके कि कोई भी बाहरी एजेंट समझदार जानकारी प्राप्त करने वाले ट्रैफ़िक को बाधित नहीं करेगा।

वीपीएन सेवाएं कई क्षमताएं प्रदान करती हैं जैसे:

गोपनीयता: किसी को भी अपना डेटा पढ़ने से रोकना। इसे एन्क्रिप्शन के साथ लागू किया गया है।
प्रमाणीकरण: सत्यापित करना कि सदस्य जो बिंदु-से-बिंदु बनाते हैं, वे वैध उपकरण हैं।
अखंडता: यह सत्यापित करते हुए कि वीपीएन पैकेट को पारगमन के दौरान किसी तरह नहीं बदला गया था।
विरोधी पुनरावृत्ति: किसी को ट्रैफ़िक कैप्चर करने से रोकना और उसका बचाव करना, एक वैध उपकरण / उपयोगकर्ता के रूप में प्रदर्शित होने का प्रयास करना।

बाजार आधारित निजी और खुले मानकों में कार्यान्वयन के विभिन्न प्रकार हैं, हम इस लेख को खुले समाधानों पर ध्यान केंद्रित करेंगे, सबसे प्रासंगिक नीचे देखें।

आईपीएसईसी: यह इंटरनेट पर वीपीएन इंस्टॉलेशन के लिए मानक डी फैक्टो बन गया है, यह बड़ी संख्या में क्रिप्टोग्राफिक एल्गोरिदम को लागू करता है और इसे बड़ी कमजोरियों के बारे में नहीं पता है।
OpenVPN: बहुत लोकप्रिय है, लेकिन मानकों में आधारित नहीं है, यह कस्टम सुरक्षा प्रोटोकॉल का उपयोग करता है, यह टीएलएस / एसएसएल का समर्थन करता है ओप्सन्सल के साथ और बड़ी संख्या में क्रिप्टोग्राफिक एल्गोरिदम।
L2TP: यह PPTP का विस्तार है, यह IPSec को सुरक्षा परत के रूप में उपयोग कर सकता है, जिसका उपयोग ज्यादातर ISPs अतीत में करते हैं। वर्तमान में, बेहतर प्रदर्शन के साथ बेहतर विकल्प हैं।
वायरगार्ड: यह एक बहुत तेज़ वीपीएन है, और इसे स्थापित करना बेहद आसान है, यह लिनक्स कर्नेल में पहले से ही शामिल क्रिप्टोग्राफ़िक एल्गोरिदम का उपयोग करता है, यह यूडीपी का उपयोग करता है और इसे किसी भी पोर्ट में कॉन्फ़िगर किया जा सकता है।

स्केलेबल वीपीएन वातावरण

इस लेख का लक्ष्य यह वर्णन करना है कि उच्च उपलब्धता सेटअप के साथ लोड संतुलित सेवा कैसे बनाई जाए वीपीएन सेवाओं के साथ ZEVENET लोड बैलेंसर। हम इस लेख में ध्यान केंद्रित करते हैं वायरगार्ड, जो पोर्ट का उपयोग करता है 51820 यूडीपी, लेकिन इसे अन्य प्रोटोकॉल (एस) और पोर्ट (एस) के साथ अन्य समान समाधान तक बढ़ाया जा सकता है।

इस लेख में, का विन्यास वीपीएन सर्वर को छोड़ दिया गया है, लेकिन निम्न बिंदुओं को ध्यान में रखा जाना चाहिए वीपीएन उच्च उपलब्धता में सफलतापूर्वक:

RSI वीपीएन सर्वर कॉन्फ़िगरेशन फ़ाइलों को दोहराया जाना चाहिए सभी में वीपीएन सर्वर जो संतुलित होंगे।
वीपीएन क्लाइंट ट्रैफिक को नैटिड होना चाहिए वीपीएन सर्वर में सिर्फ यह सुनिश्चित करने के लिए कि एपीएन क्लाइंट से सभी इनबाउंड और आउटबाउंड कनेक्शन पूल में एक ही वीपीएन सर्वर से गुजरते हैं।

निम्नलिखित आरेख तक पहुंचने योग्य स्केलेबल वास्तुकला का वर्णन करता है।

वीपीएन वायरगार्ड वास्तुकला

1. दो वायरगार्ड उसी कॉन्फ़िगरेशन को साझा करने वाले सर्वर।
2. से प्रत्येक वायरगार्ड सर्वर एक ही निजी नेटवर्क बनाता है 192.168.2.0 / 24.
3. से प्रत्येक वीपीएन के आईपी के साथ ग्राहक नैट होगा वीपीएन सर्वर जहां यह जुड़ा हुआ है।
4. ग्राहक एक सार्वजनिक आईपी से जुड़ते हैं vpn.company.com के माध्यम से 51820 यूडीपी, इस संबंध को आगे भेजा जाएगा ZEVENET (192.168.100.10).
5. ZEVENET उपलब्ध ग्राहक कनेक्शन को संतुलित करेगा वीपीएन सर्वर और अंत में, सुरंग एक सर्वर के खिलाफ बनाई जाएगी।

इस लेख में, हम इस वीपीएन स्केलेबल सेवा को कॉन्फ़िगर करने के लिए 2 अलग-अलग तरीकों का विस्तार करने जा रहे हैं ZEVENET: एक के माध्यम से वेब जीयूआई और एक और के माध्यम से कमांड लाइन इंटरफेस.

ZEVENET के साथ वीपीएन वर्चुअल सर्विस कॉन्फ़िगरेशन

यह अनुभाग बताता है कि कमांड-लाइन इंटरफ़ेस के साथ उचित कॉन्फ़िगरेशन तक कैसे पहुंचें।

उस पर विचार करो वीपीएन प्रोटोकॉल की आवश्यकता होती है हठ सत्र क्षमताओं को सुनिश्चित करने के लिए कि एक ही ग्राहक उसी से जुड़ा है बैकएण्ड भले ही यह क्लाइंट किसी भी ट्रैफ़िक को उत्पन्न नहीं करता है।

बनाने के क्रम में वीपीएन आभासी सेवा, नामक एक नया खेत वीपीएलबी साथ में l4xnat प्रोफाइल सुन रहा है 51820 यूडीपी के लिए बाध्य वीपीएन वर्चुअल आईपी 192.168.100.10 और SNAT मोड, जहां फ़ायरवॉल निम्नलिखित कमांड वाले क्लाइंट से NAT कनेक्शन करेगा:

zcli farm create -farmname VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

या वेब GUI के माध्यम से:

संशोधित करें वैश्विक पैरामीटर्स खेत का उपयोग करने के लिए यूडीपी प्रोटोकॉल, फिर कॉन्फ़िगर करें हठ सत्र by स्रोत आईपी और एक सरल लोड संतुलन एल्गोरिथम by वजन.

zcli farm set VPNLB -protocol udp -nattype nat -persistence srcip -ttl 1800 -algorithm weight

या वेब GUI के माध्यम से:

दो जोड़ें बैकेंड सर्वर 192.168.100.11 और 192.168.100.12 के लिए पहले से ही बनाए गए खेत वीपीएन भार संतुलन सेवा। बंदरगाह के रूप में कॉन्फ़िगर करने की आवश्यकता नहीं है l4xnat के रूप में ही उपयोग करने जा रहा है वर्चुअल पोर्ट कॉन्फ़िगर किया गया।

zcli farm-service-backend add VPNLB default_service -ip 192.168.100.11
zcli farm-service-backend add VPNLB default_service -ip 192.168.100.12

या वेब GUI के माध्यम से:

केवल स्वस्थ बैकेंड का चयन करने के लिए, आइए पोर्ट को सुनिश्चित करने वाले बैकेंड के लिए एक सरल स्वास्थ्य जांच को कॉन्फ़िगर करें 51820 यूडीपी बैकएंड पक्ष में उपलब्ध है। वर्तमान जेनेरिक और प्री-लोडेड स्वास्थ्य जांच की एक प्रति बनाएँ check_udp और इसे संपादित करें। हम बदलने की सलाह देते हैं अंतराल फ़ील्ड को 21 क्योंकि प्रत्येक स्वास्थ्य जांच एक का उपयोग करती है मध्यांतर of 10 सेकंड, इतना 10 सेकंड * 2 बैकेंड + 1 सेकंड = 21 सेकंड.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn
zcli farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -interval 21

या वेब GUI के माध्यम से:

अंत में, पहले से निर्मित स्वास्थ्य जांच को जोड़ें check_udp_vpn वर्तमान खेत में वीपीएलबी.

zcli farm-service-farmguardian add VPNLB default_service -name check_udp_vpn

DDoS IPDS मॉड्यूल के साथ शमन को कम करता है

वीपीएन सेवाएं आम तौर पर हमलों का लक्ष्य होती हैं और संगठन नेटवर्क में प्रवेश करने के लिए रिमोट कनेक्टिविटी का लाभ उठाने के लिए साइबर सुरक्षा खतरों का खतरा होता है।

उस कारण से, यह हमारे स्केलेबल को पूरा करने के लिए अनुशंसित है वीपीएन हमारे संगठन को बाहरी हमलों से बचाने के लिए एक सुरक्षा प्रणाली के साथ सेवा। वर्तमान अनुभाग बताता है कि कैसे उपयोग करना है ZEVENET IPDS मॉड्यूल और कम करें डीडीओएस हमलों एसटी सार्वजनिक वीपीएन सेवाएं बहुत आसानी से।

इस खंड में दो अलग-अलग सुरक्षा विस्तृत हैं जिनके पास इस तरह की सेवा के साथ बेहतर परिणाम हैं: आईपी सुरक्षा श्वेतपत्रियाँ और कनेक्शन सीमा.

किसी दिए गए श्वेतसूची से सार्वजनिक वीपीएन सेवा तक पहुँच प्रदान करना

का उपयोग काला सूची में डालना/श्वेत सूची उन सेवाओं में उपयोग किया जा सकता है जहां हम यह सुनिश्चित कर सकते हैं कि ग्राहक सूची ज्ञात हो, उदाहरण के लिए, एक सार्वजनिक वीपीएन सेवा एक निश्चित देश के एक संगठन में दूरसंचार की अनुमति देने के लिए।

के लिए एक श्वेतसूची को कॉन्फ़िगर करने के लिए जर्मनी और दूसरे से ट्रैफ़िक को अस्वीकार करें आईपी ​​पतों देश की श्रेणियां, कृपया निम्नलिखित आवेदन करें:

1. IPDS> ब्लैकलिस्ट पर जाएं और वहाँ काली सूची में खोजें geo_ES_जर्मनी। तो संपादित करें यह ब्लैकलिस्ट नियम और नीति क्षेत्र को बदल देता है अनुमति देना श्वेतसूची के रूप में उपयोग किया जाना है।
2. उसी सूची में टैब पर जाएं फार्म और खेत को हिलाओ वीपीएलबी कॉलम से उपलब्ध खेतों सेवा मेरे खेतों को सक्षम करें.
3. प्रेस प्ले में शामिल आइकन क्रियाएँ श्वेतसूची को सक्षम करने के लिए।
4. करने के लिए जाओ IPDS> ब्लैकलिस्ट और वहाँ काली सूची में खोजें सब, टैब पर जाएं फार्म और खेत को हिलाओ वीपीएलबी कॉलम से उपलब्ध खेतों सेवा मेरे खेतों को सक्षम करें.
5. प्रेस प्ले का चिह्न क्रियाएँ ब्लैकलिस्ट को सक्षम करने के लिए।

इस विन्यास के साथ, एक श्वेतसूची नाम दिया गया है geo_ES_जर्मनी पहले से लोड किया गया ZEVENET ऐसे देश में सभी IP रेंज के साथ इसे खेत में जोड़ा जाता है वीपीएलबी और अतिरिक्त ब्लैकलिस्ट नाम दिया गया सब जो बाकी आईपी पते खेत में जोड़े जाते हैं, इसलिए यदि क्लाइंट आईपी जर्मनी की किसी भी सीमा में मेल नहीं खाता है तो उसे गिरा दिया जाएगा।

कनेक्शन सीमा के साथ सार्वजनिक वीपीएन सेवा तक पहुंच की अनुमति

इस तरह से लागू करने के लिए डीडीओएस सुरक्षा यह जानने के लिए पूरी तरह से अनुशंसित है कि हमारी सार्वजनिक सेवा कैसे काम करती है, उदाहरण के लिए, वायरगार्ड ही उपयोग करता है प्रति ग्राहक एक यूडीपी कनेक्शन। इसलिए यदि हमें समान स्रोत IP से कई समवर्ती कनेक्शन प्राप्त होते हैं, तो हम यह मान सकते हैं कि एक से अधिक टेलीवर्कर एक NAT के पीछे जुड़ रहे हैं, जो यातायात को मसल रहा है या यह एक से संबंधित हो सकता है। यूडीपी बाढ़ का हमला। किसी भी स्थिति में, हम समझ सकते हैं कि प्रति स्रोत 10 से अधिक कनेक्शन आईपी एक वैध यातायात नहीं है।

हमारे लिए स्रोत आईपी प्रति समवर्ती कनेक्शन की एक सीमा को कॉन्फ़िगर करने के लिए वीपीएन आभासी सेवा कृपया निम्नलिखित करें:

1. करने के लिए जाओ IPDS> DoS> DoS नियम बनाएँनाम के साथ एक नया नियम बनाएँ सीमा_पर_स्रोत_आईपी और चयन करें नियम प्रकार स्रोत आईपी प्रति कुल कनेक्शन सीमा और प्रेस बनाएं.
2. नियम संस्करण में, क्षेत्र में वांछित समवर्ती कनेक्शन सीमा दर्ज करें स्रोत आईपी प्रति कुल कनेक्शन सीमा, हमारे मामले में 10 और प्रेस सब्मिट.
3. टैब पर जाएं फार्म और खेत को हिलाओ वीपीएलबी कॉलम से उपलब्ध खेतों सेवा मेरे खेतों को सक्षम करें.

इस कॉन्फ़िगरेशन के साथ, हमने प्रति आईपी के स्रोत के समवर्ती कनेक्शन की संख्या को 10 तक सीमित कर दिया है, हम किसी भी ग्राहक आईपी पर भरोसा नहीं करते हैं जो 10 से अधिक वीपीएन कनेक्शन स्थापित करने की कोशिश करता है। इस मामले में कि आप यह सुनिश्चित कर सकते हैं कि एक से अधिक क्लाइंट कभी भी किसी भी सार्वजनिक NAT के माध्यम से कनेक्शन नहीं चलाएंगे सीमा_पर_स्रोत_आईपी सिर्फ 1 में कॉन्फ़िगर किया जा सकता है।

अपनी स्केलेबल, अत्यधिक उपलब्ध और सुरक्षित वीपीएन सेवा का आनंद लें ZEVENET!

पर साझा करें:

GNU फ्री डॉक्यूमेंटेशन लाइसेंस की शर्तों के तहत प्रलेखन।

क्या यह लेख सहायक था?

संबंधित आलेख