نظرة عامة #
عندما تتصل بالإنترنت من خلال أي مزود خدمة إنترنت فلا شك أن هذا المزود سيأخذ كل الاعتبارات لضمان أمان اتصالك، ولكن ماذا لو كنت تريد الاتصال بخدمة خاصة؟ كيف يمكن التأكد من أن حركة المرور من العميل إلى الخادم في البنية التحتية العامة آمنة؟ إنه هنا عندما VPN الخدمات أو شبكة خاصة افتراضية التقنيات مطلوبة. يتم إنشاء اتصال آمن بين كلا العقدتين لضمان عدم قيام أي وكيل خارجي باعتراض حركة المرور للحصول على معلومات معقولة.
VPN توفر الخدمات عدة قدرات مثل:
الإقناع: منع أي شخص من قراءة بياناتك. ويتم تنفيذ ذلك مع التشفير.
التحقّق من المُستخدم : التحقق من أن الأعضاء الذين يقومون بإنشاء نقطة إلى نقطة هم أجهزة شرعية.
النزاهة: التحقق من عدم تغيير حزمة VPN بطريقة أو بأخرى أثناء النقل.
مكافحة الاعادة: منع شخص ما من التقاط حركة المرور وإعادة إرسالها، ومحاولة الظهور كجهاز/مستخدم شرعي.
هناك أنواع مختلفة من التنفيذ في السوق تعتمد على المعايير الخاصة والمفتوحة، وسوف نركز هذه المقالة على الحلول المفتوحة، انظر أدناه الأكثر صلة.
IPsec: لقد أصبح المعيار الفعلي لعمليات تثبيت VPN على الإنترنت، فهو يطبق عددًا كبيرًا من خوارزميات التشفير ولم يعرف أي ثغرات أمنية كبيرة.
المسنجر: يحظى بشعبية كبيرة ولكنه لا يعتمد على المعايير، فهو يستخدم بروتوكولات أمان مخصصة، ويدعم TLS/SSL مع Openssl وعدد كبير من خوارزميات التشفير.
L2TP: هو امتداد لـ PPTP، ويمكنه استخدام IPSec كطبقة أمان، وكان يستخدم في الغالب من قبل مزودي خدمة الإنترنت. حاليًا، هناك خيارات أفضل بأداء أفضل.
Wireguard: إنها شبكة VPN سريعة للغاية، وسهلة التثبيت للغاية، وتستخدم خوارزميات التشفير المضمنة بالفعل في Linux Kernel، وتستخدم UDP ويمكن تهيئتها في أي منفذ.
بيئة VPN قابلة للتطوير #
الهدف من هذه المقالة هو وصف كيفية إنشاء خدمة متوازنة التحميل مع إعداد عالي التوفر VPN الخدمات مع ريليانويد موازن التحميل. نركز هذه المقالة في Wireguard، والذي يستخدم المنفذ 51820 بروتوكول UDP، ولكن يمكن توسيعه ليشمل حلًا مشابهًا آخر باستخدام بروتوكول (بروتوكولات) ومنفذ (منافذ) أخرى.
في هذه المقالة تكوين VPN تم حذف الخادم ولكن يجب أن تؤخذ النقاط التالية بعين الاعتبار لتوسيع نطاق العمل VPN في حالة التوفر العالي بنجاح:
استخدم يجب نسخ ملفات تكوين خادم VPN في كل VPN الخوادم التي سوف تكون متوازنة.
عملاء VPN يجب أن تكون حركة المرور NATed في خادم VPN فقط للتأكد من أن جميع الاتصالات الواردة والصادرة من عميل APN تمر عبر نفس خادم VPN في المجمع.
يصف الرسم البياني التالي البنية القابلة للتطوير للوصول إليها.
1. أنظمة Wireguard خوادم تتقاسم نفس التكوين.
2. كل Wireguard يقوم الخادم بإنشاء نفس الشبكة الخاصة 192.168.2.0/24.
3. كل VPN سيتم NATed العميل مع IP الخاص بـ VPN الخادم حيث كان متصلا.
4. يتصل العملاء بـ IP عام واحد vpn.company.com بواسطة 51820 بروتوكول UDP، سيتم إعادة توجيه هذا الاتصال إلى ريليانيويد (192.168.100.10).
5. ريليانيويد سيتم تحميل موازنة اتصالات العميل المتاحة VPN الخوادم وأخيرًا، سيتم إنشاء النفق مقابل أحد الخوادم.
في هذه المقالة، سنقوم بتفصيل طريقتين مختلفتين لتكوين خدمة VPN القابلة للتطوير ريليانيويد: عبر واحد واجهة المستخدم الرسومية الويب وأخرى عبر واجهة خط الأوامر.
تكوين خدمة VPN الافتراضية مع Relianoid #
يشرح هذا القسم كيفية الوصول إلى التكوين المناسب باستخدام واجهة سطر الأوامر.
تأخذ في الاعتبار ذلك بروتوكولات VPN تطلب جلسة الثبات القدرات من أجل التأكد من أن نفس العميل متصل بنفسه الخلفية خلال فترة من الوقت حتى لو لم يقم هذا العميل بإنشاء أي حركة مرور.
من أجل إنشاء خدمة VPN الافتراضية، مزرعة جديدة تسمى VPNLB مع الملف الشخصي لـl4xnat الاستماع 51820 بروتوكول UDP ملزمة ل VPN الظاهري IP 192.168.100.10 و sNAT الوضع، حيث سيقوم جدار الحماية بإجراء اتصالات NAT من العملاء باستخدام الأمر التالي:
إنشاء مزرعة zcli -اسم المزرعة VPNLB -vip 192.168.100.10 -vport 51820 -الملف الشخصي l4xnat
أو عبر واجهة المستخدم الرسومية على الويب:
تعديل المعلمات العالمية من المزرعة من أجل الاستخدام UDP البروتوكول، ثم تكوين جلسة الثبات by IP المصدر وبسيطة خوارزمية موازنة التحميل by الوزن.
مجموعة مزرعة zcli VPNLB -بروتوكول udp -nattype nat -ثبات srcip -ttl 1800 -وزن الخوارزمية
أو عبر واجهة المستخدم الرسومية على الويب:
أضف اثنين خوادم الواجهة الخلفية 192.168.100.11 و 192.168.100.12 إلى المزرعة التي تم إنشاؤها بالفعل لـ VPN خدمة موازنة التحميل. ميناء ليس من الضروري تكوينه كـ l4xnat سوف يستخدم نفس الشيء كما في المنفذ الظاهري تكوين.
الواجهة الخلفية لخدمة المزرعة zcli إضافة VPNLB default_service -ip 192.168.100.11 الواجهة الخلفية لخدمة المزرعة zcli إضافة VPNLB default_service -ip 192.168.100.12
أو عبر واجهة المستخدم الرسومية على الويب:
من أجل تحديد الواجهات الخلفية السليمة فقط، فلنقم بتكوين فحص صحي بسيط للواجهات الخلفية التي تضمن المنفذ 51820 بروتوكول UDP متاح في الجانب الخلفي. قم بعمل نسخة من الفحص الصحي العام الحالي والمحمل مسبقًا والذي يسمى check_udp وتحريره. نوصي بتغيير الفاصلة الحقل إلى 21 لأن كل فحص صحي يستخدم مهلة of 10 ثانية، وبالتالي 10 ثوانٍ * 2 خلفية + ثانية واحدة = 1 ثانية.
zcli Farmguardian create -copy_from check_udp -name check_udp_vpn zcli Farmguardian set check_udp_vpn -description "VPN check for UDP 51820" -الفاصل 21
أو عبر واجهة المستخدم الرسومية على الويب:
أخيرًا، قم بإضافة الفحص الصحي الذي تم إنشاؤه بالفعل والذي يسمى check_udp_vpn إلى المزرعة الحالية VPNLB.
zcli Farm-service-farmguardian إضافة VPNLB default_service -name check_udp_vpn
تخفيف هجمات DDoS باستخدام وحدة IPDS #
عادةً ما تكون خدمات VPN أهدافًا للهجمات وتهديدات الأمن السيبراني من أجل الاستفادة من الاتصال عن بعد للدخول إلى شبكات المؤسسة.
لهذا السبب، من المستحسن إكمال أعمالنا القابلة للتطوير VPN الخدمة مع نظام أمني لحماية مؤسستنا من الهجمات الخارجية. يشرح القسم الحالي كيفية استخدام ريليانيويد وحدة اي بي دي اس والتخفيف هجمات DDoS لـ خدمات VPN العامة سهل جدا.
تم تفصيل نوعين من الحماية المختلفة في هذا القسم ولهما نتائج أفضل مع هذا النوع من الخدمة: حماية IP عبر قوائم بيضاء و حدود الاتصال.
السماح بالوصول إلى خدمة VPN العامة من القائمة البيضاء المحددة #
استخدام القائمة السوداء/القائمة البيضاء يمكن استخدامها في الخدمات حيث يمكننا التأكد من أن قائمة العملاء معروفة، على سبيل المثال، عامة خدمة فين للسماح بالعمل عن بعد في منظمة تابعة لبلد معين.
من أجل تكوين القائمة البيضاء ل ألمانيا ورفض حركة المرور من الآخرين عناوين الانترنت بروتوكول نطاقات البلدان، يرجى تطبيق ما يلي:
1. انتقل إلى IPDS > القائمة السوداء وتجد هناك القائمة السوداء Geo_ES_ألمانيا. ثم تعديل قاعدة القائمة السوداء هذه وقم بتغيير حقل السياسة إلى السماح لاستخدامها في القائمة البيضاء.
2. في نفس القائمة انتقل إلى علامة التبويب المزارع وتحريك المزرعة VPNLB من العمود المزارع المتوفرة إلى تمكين المزارع.
3. اضغط على بلايستشن أيقونة المدرجة في الإجراءات لتمكين القائمة البيضاء.
4. انتقل إلى البرنامج المساعد في التأليف IPDS> القائمة السوداء وتجد هناك القائمة السوداء الكل، انتقل إلى علامة التبويب المزارع وتحريك المزرعة VPNLB من العمود المزارع المتوفرة إلى تمكين المزارع.
5. اضغط على بلايستشن أيقونة الإجراءات لتمكين القائمة السوداء.
مع هذا التكوين، تم تسمية قائمة بيضاء واحدة Geo_ES_ألمانيا تم تحميلها مسبقًا بالفعل ريليانيويد مع كافة نطاقات IP في هذا البلد تتم إضافتها إلى المزرعة VPNLB والقائمة السوداء الإضافية المسماة الكل والتي تتم إضافة بقية عناوين IP إلى المزرعة، لذلك إذا لم يتطابق عنوان IP الخاص بالعميل في أي نطاق من ألمانيا، فسيتم إسقاطه.
السماح بالوصول إلى خدمة VPN العامة مع حدود الاتصال #
من أجل تطبيق هذا النوع من حماية DDoS يوصى تمامًا بمعرفة كيفية عمل خدمتنا العامة، على سبيل المثال، Wireguard يستخدم فقط اتصال UDP واحد لكل عميل. لذا، إذا تلقينا عدة اتصالات متزامنة من نفس عنوان IP المصدر، فيمكننا الاعتقاد أن أكثر من عامل عن بعد متصل خلف NAT الذي يتنكر لحركة المرور أو قد يكون مرتبطًا بـ هجوم الفيضانات UDP. على أية حال، يمكننا أن نفهم أن أكثر من 10 اتصالات لكل عنوان IP مصدر لا يعد حركة مرور مشروعة.
من أجل تكوين حد من الاتصالات المتزامنة لكل عنوان IP مصدر لدينا خدمة VPN الافتراضية يرجى القيام بما يلي:
1. انتقل إلى البرنامج المساعد في التأليف IPDS > DoS > إنشاء قاعدة DoS، قم بإنشاء قاعدة جديدة بالاسم Limit_per_source_IP وحدد نوع القاعدة إجمالي حد الاتصال لكل عنوان IP مصدر والصحافة إنشاء.
2. في نموذج إصدار القاعدة، أدخل حد الاتصالات المتزامنة المطلوب في الحقل حد إجمالي الاتصالات لكل عنوان IP مصدر، في حالتنا هذه 10 والصحافة إرسال.
3. انتقل إلى علامة التبويب المزارع وتحريك المزرعة VPNLB من العمود المزارع المتوفرة إلى تمكين المزارع.
باستخدام هذا التكوين، قمنا بتحديد عدد الاتصالات المتزامنة لكل عنوان IP مصدر بـ 10، ولا نثق في أي عنوان IP للعميل يحاول إنشاء أكثر من 10 اتصالات VPN. في حالة أنه يمكنك التأكد من أن أكثر من عميل لن يقوم مطلقًا بتشغيل الاتصالات من خلال أي NAT عام، فعندئذٍ Limit_per_source_IP يمكن تهيئتها إلى 1 فقط.
استمتع بخدمة VPN القابلة للتطوير والمتوفرة والآمنة للغاية مع ريليانيويد!
