Marché #

Lorsque vous vous connectez à Internet via un fournisseur d'accès Internet, vous ne doutez pas que ce fournisseur prendra tout en considération pour garantir la sécurité de votre connexion, mais que faire si vous souhaitez vous connecter à un service privé? Comment s'assurer que du client au serveur dans l'infrastructure publique le trafic est sécurisé? C'est ici quand VPN services ou Virtual Private Network technologies est nécessaire. Une connexion sécurisée est établie entre les deux nœuds garantissant qu'aucun agent externe n'interceptera le trafic obtenant des informations sensibles.

VPN les services offrent plusieurs capacités telles que:

Confidentialité: empêcher quiconque de lire vos données. Ceci est implémenté avec le cryptage.
Authentification: Vérification que les membres qui créent le point à point sont des appareils légitimes.
Intégrité: vérification que le paquet VPN n'a pas été modifié d'une manière ou d'une autre pendant le transit.
Anti-relecture: empêcher quelqu'un de capturer du trafic et de le renvoyer, en essayant d'apparaître comme un appareil / utilisateur légitime.

Il existe différents types de mise en œuvre sur le marché en normes privatives et ouvertes, nous concentrerons cet article sur les solutions ouvertes, voir ci-dessous les plus pertinentes.

IPSEC: Il est devenu de facto la norme pour les installations VPN sur Internet, il implémente un grand nombre d'algorithmes cryptographiques et il n'a pas connu de vulnérabilités majeures.
OpenVPN: Très populaire mais non basé sur des standards, il utilise des protocoles de sécurité personnalisés, il supporte TLS / SSL avec Openssl et un grand nombre d'algorithmes cryptographiques.
L2TP: Il s'agit d'une extension de PPTP, il peut utiliser IPSec comme couche de sécurité, principalement utilisée par le passé par les FAI. Actuellement, il existe de meilleures options avec de meilleures performances.
Wireguard: C'est un VPN extrêmement rapide, et extrêmement facile à installer, il utilise les algorithmes cryptographiques déjà inclus dans le noyau Linux, il utilise UDP et peut être configuré dans n'importe quel port.

Environnement VPN évolutif #

Le but de cet article est de décrire comment créer un service à charge équilibrée avec une configuration haute disponibilité pour VPN services avec Équilibreur de charge Relianoid. Nous concentrons cet article sur Wireguard, qui utilise le port 51820 UDP, mais il peut être étendu à une autre solution similaire avec un ou plusieurs autres protocoles et ports.

Dans cet article, la configuration du VPN serveur est omis mais les points suivants doivent être pris en considération pour VPN en haute disponibilité avec succès:

Le Les fichiers de configuration du serveur VPN doivent être répliqués dans tous les VPN serveurs qui seront équilibrés.
Clients VPN le trafic doit être NATé dans le serveur VPN uniquement pour garantir que toutes les connexions entrantes et sortantes d'un client APN passent par le même serveur VPN du pool.

Le diagramme suivant décrit l'architecture évolutive à atteindre.

1. Deux Wireguard serveurs partageant la même configuration.
2. Chaque projet récompensé par un Wireguard le serveur crée le même réseau privé 192.168.2.0/24.
3. Chaque projet récompensé par un VPN le client sera NATed avec l'IP du VPN serveur auquel il est connecté.
4. Les clients se connectent à une adresse IP publique vpn.entreprise.com via 51820 UDP, cette connexion sera transmise à Relianoïde (192.168.100.10).
5. Relianoïde va équilibrer la charge des connexions client aux ressources disponibles VPN serveurs et enfin, le tunnel sera créé contre l'un des serveurs.

Dans cet article, nous allons détailler 2 façons différentes de configurer ce service évolutif VPN avec Relianoïde: une via Web GUI et une autre via Interface de ligne de commande.

Configuration du service virtuel VPN avec Reliianoid #

Cette section explique comment atteindre la configuration appropriée avec l'interface de ligne de commande.

Tenez compte du fait que Protocoles VPN exigent Session de persistance capacités afin de garantir que le même client est connecté au même backend pendant un certain temps même si ce client ne génère aucun trafic.

Afin de créer le Service virtuel VPN, une nouvelle ferme appelée VPNLB au Profil l4xnat écouter 51820 UDP lié à la IP virtuelle VPN 192.168.100.10 et SNAT mode, où le pare-feu sera les connexions NAT des clients avec la commande suivante:

ferme zcli créer -nom de la ferme VPNLB -vip 192.168.100.10 -vport 51820 -profile l4xnat

ou via une interface graphique Web:

Modifier la Paramètres globaux de la ferme afin d'utiliser UDP protocole, puis configurer Session de persistance by IP source et un simple Algorithme d'équilibrage de charge by Poids.

ferme zcli définie VPNLB -protocole udp -nattype nat -persistence srcip -ttl 1800 -poids de l'algorithme

ou via une interface graphique Web:

Ajoutez deux Serveurs principaux 192.168.100.11 et 192.168.100.12 à la ferme déjà créée pour la VPN service d'équilibrage de charge. Port n'est pas nécessaire d'être configuré comme l4xnat va utiliser le même que dans le Port virtuel configuré.

zcli farm-service-backend ajoute VPNLB default_service -ip 192.168.100.11 zcli farm-service-backend ajoute VPNLB default_service -ip 192.168.100.12

ou via une interface graphique Web:

Afin de ne sélectionner que des backends sains, configurons un simple contrôle de santé pour les backends qui assurent le port 51820 UDP est disponible dans le côté backend. Faites une copie d'un bilan de santé générique et préchargé actuel appelé check_udp et éditez-le. Nous vous recommandons de modifier intervalle champ à 21 car chaque bilan de santé utilise un temps mort of 10 secondes, De sorte 10 secondes * 2 backends + 1 seconde = 21 secondes.

zcli farmguardian create -copy_from check_udp -name check_udp_vpn zcli farmguardian set check_udp_vpn -description "Vérification VPN pour UDP 51820" -intervalle 21

ou via une interface graphique Web:

Enfin, ajoutez le bilan de santé déjà créé appelé check_udp_vpn à la ferme actuelle VPNLB.

zcli farm-service-farmguardian ajoute VPNLB default_service -name check_udp_vpn

Atténuation des attaques DDoS avec le module IPDS #

Les services VPN sont généralement la cible d'attaques et de menaces de cybersécurité afin de profiter de la connectivité à distance pour accéder aux réseaux de l'organisation.

Pour cette raison, il est recommandé de compléter notre évolutif VPN service avec un système de sécurité pour protéger notre organisation contre les attaques externes. La section actuelle explique comment utiliser le Relianoïde Module IPDS et atténuer Les attaques DDoS pour services VPN publics très facilement.

Deux protections différentes sont détaillées dans cette section qui ont de meilleurs résultats avec ce type de service: Protection IP via listes blanches et limites de connexion.

Autoriser l'accès au service VPN public à partir d'une liste blanche donnée #

L'utilisation de liste noire/whitelist peut être utilisé dans des services où nous pouvons nous assurer que la liste des clients est connue, par exemple, un public Service VPN pour permettre le télétravail dans une organisation d'un certain pays.

Afin de configurer une liste blanche pour Allemagne et rejeter le trafic provenant d'autres adresses IP gammes de pays, veuillez appliquer ce qui suit:

1. Allez dans IPDS> Liste noire et y trouver la liste noire geo_ES_Allemagne. alors Modifier cette règle de liste noire et changez le champ de stratégie en Autoriser à utiliser comme liste blanche.
2. Dans la même liste, allez à l'onglet Fermes et déplacer la ferme VPNLB de la colonne Fermes disponibles à Activer les fermes.
3. Appuyez sur la touche JOUER icône incluse dans Action pour activer la liste blanche.
4. Allez dans IPDS> Liste noire et y trouver la liste noire Tous, allez dans l'onglet Fermes et déplacer la ferme VPNLB de la colonne Fermes disponibles à Activer les fermes.
5. Appuyez sur la touche JOUER icône de Action pour activer la liste noire.

Avec cette configuration, une liste blanche nommée geo_ES_Allemagne déjà préchargé Relianoïde avec toutes les plages IP dans ce pays, il est ajouté à la ferme VPNLB et une liste noire supplémentaire nommée Tous auquel le reste des adresses IP est ajouté à la batterie, donc si l'adresse IP du client ne correspond à aucune plage de l'Allemagne, elle sera supprimée.

Autoriser l'accès au service VPN public avec des limites de connexion #

Afin d'appliquer ce type de Protection DDoS est totalement recommandé de savoir comment fonctionne notre fonction publique, par exemple, Wireguard utilise seulement une connexion UDP par client. Donc, si nous recevons plusieurs connexions simultanées de la même IP source, nous pouvons croire que plus d'un télétravailleur se connecte derrière un NAT qui masque le trafic ou il pourrait être lié à un Attaque par inondation UDP. Dans tous les cas, nous pouvons comprendre que plus de 10 connexions par IP source ne sont pas un trafic légitimé.

Afin de configurer une limite de connexions simultanées par IP source pour notre Service virtuel VPN veuillez faire ce qui suit:

1. Allez dans IPDS> DoS> Créer une règle DoS, créez une nouvelle règle avec le nom limit_per_source_IP et sélectionnez le Type de règle limite de connexion totale par IP source et appuyez sur Créer.
2. Dans le formulaire d'édition des règles, entrez la limite de connexions simultanées souhaitée dans le champ Nombre total de connexions par source IP, dans notre cas 10 et appuyez sur SOUSCRIVEZ votre demande de.
3. Allez dans l'onglet Fermes et déplacer la ferme VPNLB de la colonne Fermes disponibles à Activer les fermes.

Avec cette configuration, nous avons limité le nombre de connexions simultanées par IP source à 10, nous ne faisons confiance à aucune IP client qui tente d'établir plus de 10 connexions VPN. Dans le cas où vous pouvez vous assurer que plus d'un client ne va jamais exécuter de connexions via un NAT public, le limit_per_source_IP pourrait être configuré à seulement 1.

Profitez de votre service VPN évolutif, hautement disponible et sécurisé avec Relianoïde!