OpenVPN je bezpochyby nejlepší způsob, jak se bezpečně připojit k síti přes internet, OpenVPN je open source zdroj VPN, který nám jako uživatelům umožňuje maskovat naše procházení, abychom se vyhnuli obětem v síti.
Toto jsou velmi důležité aspekty na úrovni zabezpečení, které musíme vzít v úvahu, a tentokrát budeme analyzovat proces Konfigurace OpenVPN v prostředí Debian 8.
PoznámkaPřed zahájením instalačního procesu je důležité splnit určité požadavky, kterými jsou:
- Kořenový uživatel.
- Droplet Debian 8, aktuálně máme Debian 8.1
1. Jak nainstalovat OpenVPN
První krok, který uděláme, je aktualizovat všechny balíčky v prostředí pomocí příkazu:
apt-get aktualizace
Jakmile jsou balíčky staženy a aktualizovány nainstalujme OpenVPN pomocí easy-RSA pro problémy se šifrováním. Spustíme následující příkaz:
apt-get install openvpn easy-rsa
Pak musíme nakonfigurovat náš OpenVPN, konfigurační soubory OpenVPN jsou uloženy na následující cestě: / etc / openvpn a musíme je přidat do naší konfigurace, použijeme následující příkaz:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.confJakmile tyto soubory extrahujeme do vybrané cesty, chystáme se je otevřít pomocí nano editoru, provedeme následující příkaz:
nano /etc/openvpn/server.confUvidíme následující okno:
Jakmile jsme tam musíme v souboru provést nějaké úpravy, tyto změny jsou v podstatě:
- Zabezpečení serveru šifrováním na vysoké úrovni
- Povolit webový provoz do cíle
- Zabraňte filtrování požadavků DNS mimo připojení VPN
- Instalační oprávnění
Budeme dvojnásobek délky klíče RSA který se používá při generování klíčů serveru i klienta, prohledáme v souboru následující hodnoty a upravíme hodnotu dh1024.pem o hodnotu dh2048.pem:
# Parametry Diffie Hellmana. # Vytvořte si vlastní pomocí: # openssl dhparam -out dh1024.pem 1024 # Nahraďte 2048 za 1024, pokud používáte # 2048 bitové klíče. dh dh1024.pem
Nyní pojďme ujistěte se, že je provoz správně přesměrován na místo určení, odkomentujme push "redirect-gateway def1 bypass-dhcp" odstraněním; na jeho začátku. v souboru server.conf:
# Pokud je tato směrnice povolena, nakonfiguruje # všechny klienty, aby přesměrovali svou výchozí # síťovou bránu přes VPN, což způsobí, že # veškerý provoz IP, jako je procházení webu a # a vyhledávání DNS, bude procházet přes VPN # (Serverový server OpenVPN může potřebovat NAT # nebo přemostění rozhraní TUN / TAP na internet # v *****, aby to fungovalo správně).; stiskněte "redirect-gateway def1 bypass-dhcp"
Další krok bude řekněte serveru, aby pro překlad názvů DNS používal OpenDNS Dokud je to možné, tímto způsobem se vyhneme tomu, aby požadavky DNS byly mimo připojení VPN, musíme v našem souboru vyhledat následující text:
# Některá síťová nastavení specifická pro Windows # lze přenášet na klienty, například adresy DNS # nebo WINS. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Níže uvedené adresy odkazují na veřejné # servery DNS poskytované serverem opendns.com.; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"Tam musíme zrušit zaškrtnutí push "dhcp-option DNS 208.67.222.222" a zatlačit "dhcp-option DNS 208.67.220.220" komentáře odstraněním; od začátku.
Nakonec budeme definovat oprávnění Do stejného souboru, na kterém pracujeme, umístíme následující text:
# Můžete to odkomentovat na # systémech mimo Windows.; uživatel nikdo; skupina nogroupPokračujeme k odškrtnutí odstranění značky; od začátku textů uživatel nikdo Y skupina nogroup.
Jak víme, OpenVPN běží ve výchozím nastavení jako uživatel root, který umožňuje upravit libovolný parametr, s poslední změnou jej z bezpečnostních důvodů omezíme na uživatele nikdo a skupinu nogroup.
Změny uložíme pomocí kombinace kláves:
Ctrl + O
A editor opustíme pomocí:
Ctrl + X
Nyní se chystáme povolit přesměrování paketů do externí sítěZa tímto účelem provedeme následující příkaz:
echo 1> / proc / sys / net / ipv4 / ip_forwardTuto změnu musíme učinit trvalou, ne že bychom to museli dělat pokaždé, když spustíme Systém, abychom byli kontinuální, zadáme soubor systcl pomocí nano editoru, proto provedeme následující:
nano /etc/sysctl.confZobrazí se následující okno:
Vyhledáme následující řádek:
# Odkomentováním dalšího řádku povolte přesměrování paketů pro IPv4 # net.ipv4.ip_forward = 1PoznámkaPřipomeňme, že můžeme použít vyhledávání editoru pomocí kombinace kláves:
Ctrl + W
Tam komentář zrušíme net.ipv4.ip_forward = 1 odstranění symbolu #.
Další krok, který musíme udělat, je konfigurovat UFW. UFW je konfigurace brány firewall pro tabulky IP, proto provedeme některé úpravy, abychom změnili zabezpečení UFW. Jako první krok nainstalujeme balíčky UFW pomocí následujícího příkazu:
apt-get install ufw
Jakmile budou staženy a nainstalovány potřebné balíčky UFW, chystáme se konfigurovat UFW tak, aby umožňoval připojení SSH, a proto provedeme následující:
ufw povolit ssh
V našem případě pracujeme na portu 1194 UDP, musíme tento port nakonfigurovat, aby komunikace byla uspokojivá, zadáme následující:
ufw povolit 1194 / udpPoznámkaPorty naší konzoly vidíme pomocí příkazu lsof -iUDP
Dále upravíme konfigurační soubor UFW, který zadáme pomocí nano editoru na následující cestě:
nano / etc / default / ufwOtevře se následující okno:
Tam provedeme nějaké změny, vyhledáme následující řádek, kde změníme DROP na ACCEPT.
DEFAULT_FORWARD_POLICY = "DROP"Dalším krokem je přidat do UFW nějaká pravidla pro překlad síťových adres a správné maskování IP adres uživatelů, kteří se připojují. Otevřeme následující soubor pomocí nano editoru:
nano /etc/ufw/before.rulesUvidíme, že se zobrazí následující okno:
Přidáme následující text:
# SPUŠTĚNÍ PRAVIDEL OPENVPN # Pravidla tabulky NAT * nat: POSTROUTING ACCEPT [0: 0] # Povolit provoz z klienta OpenVPN na eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES
Jakmile provedeme tyto změny, budeme pokračovat povolit UFW pomocí následujícího příkazu:
ufw povolit
Na zkontrolujte pravidla brány firewallPoužiji následující příkaz:
stav ufw
2. Vytvořte certifikát autority OpenVPN
Dalším krokem v našem procesu je vytvořte certifikát autority pro přihlášení přes OpenVPNPamatujme, že OpenVPN používá tyto certifikáty k šifrování provozu. OpenVPN podporuje obousměrnou certifikaci, to znamená, že klient musí ověřit certifikát serveru a naopak.
Zkopírujeme skripty přes easy-RSA pomocí následujícího příkazu:
cp -r / usr / share / easy -rsa / / etc / openvpnBudeme vytvořte adresář pro uložení klíčů, použijeme následující příkaz:
mkdir / etc / openvpn / easy-rsa / klíčeDalším krokem je upravit parametry certifikátu, použijeme následující příkaz:
nano / etc / openvpn / easy-rsa / varsZobrazí se následující okno:
Podle našich požadavků upravíme následující parametry:
export KEY_COUNTRY = "CO" export KEY_PROVINCE = "BO" export KEY_CITY = "Bogota" export KEY_ORG = "Solvetic" export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"
Ve stejném souboru budeme upravovat následující řádek:
# X509 Export pole předmětu KEY_NAME = "EasyRSA"Budeme změňte hodnotu EasyRSA na název požadovaného serveru, budeme používat název Solvetic.
Nyní se chystáme konfigurovat parametry Diffie-Helman pomocí nástroje integrovaného s OpenSSL, který se nazývá dhparam. Zadáme a spustíme následující příkaz:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Jakmile bude certifikát vygenerován, uděláme to změnit adresář easy-RSA pomocí příkazu:
cd / etc / openvpn / easy-rsaBudeme inicializovat PKI, použijeme příkaz:
… / Vars
Budeme zrušte ostatní klíče takže nezasahují do instalace pomocí příkazu:
./čisté- všeNyní se chystáme vybudovat certifikát pomocí následujícího příkazu OpenSSL:
./build-ca
Tímto způsobem budeme moci zobrazit sérii otázek, které souvisejí s dříve zadanými informacemi. Za tímto účelem spustíme náš server OpenVPN Upravíme soubor umístěný v cestě / etc / openvpn / easy-rsa pomocí dříve zadaného názvu klíče, v našem případě Solvetic. Spustíme následující příkaz:
./build-key-server Solvetic
V níže uvedených řádcích můžeme nechat mezeru prázdnou a stisknout Enter:
Zadejte prosím následující „extra“ atributy, které budou odeslány s vaší žádostí o certifikát Heslo pro výzvu []: Volitelný název společnosti []:Zobrazí se následující okno, kde musíme zadat písmeno y (ano), abychom přijali následující dvě otázky: Podepište certifikát a požádejte o certifikáty.
Nyní pojďme přesuňte certifikáty i klíče na cestu / etc / openvpn, provedeme následující příkaz:
cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpnJakmile bude tento proces hotový, uděláme to spusťte službu OpenVPN pomocí příkazu:
služba openvpn startNa viz stav použijeme příkaz:
stav služby oopenvpn
Naším dalším krokem bude vytvoření certifikátů a klíčů pro klienty, kteří se chtějí připojit k VPN. V ideálním případě má každý klient, který se připojuje k serveru, z důvodu zabezpečení svůj vlastní certifikát a klíč, nikdy jej nesdílejte, ve výchozím nastavení OpenVPN neumožňuje simultánní připojení se stejným certifikátem a klíčem. Vytvoříme klíč pro našeho klienta, proto zadáme následující příkaz:
./build-key Client_Name, v našem příkladu použijeme následující příkaz: ./build-key Tests
Vyplníme povinná pole a pak budeme zkopírujte vygenerovaný klíč do adresáře easy-RSA.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.Nyní pojďme stáhněte si zdarma nástroj Winscp z odkazu níže. Tento nástroj nám umožní připojit se přes SFTP nebo FTP k našemu počítači Debian a ověřit, zda jsou soubory vytvořeny správně. Jakmile jej stáhneme a spustíme, zobrazí se toto okno:
Zde zadáme IP adresu počítače Debian, nezapomeňte, že IP lze ověřit pomocí příkazu ifconfig, zadáme přihlašovací údaje a jakmile klikneme na Připojit, uvidíme následující:
ZVĚTŠIT
Na pravé straně vidíme příslušné soubory klíčů a klíčů. Pro přístup přes OpenVPN si nástroj stáhneme z následujícího odkazu OpenVPN verze 2.3.11. Jakmile jej stáhneme, musíme vzít v úvahu provedení některých změn v uvedeném nástroji, první věc, kterou uděláme, je zkopírování souborů klíčů a klíčů na cestě, kde je OpenVPN běžně nainstalován:
C: \ Program Files \ OpenVPN \ configPozději vytvoříme soubor v poznámkovém bloku nebo textovém editoru, který máme s následujícími informacemi:
client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3PoznámkaIP je IP našeho počítače a port, jak jsme viděli dříve, je UDP 1194.
Tento soubor musí být uložen s příponou .ovpn.
3. Test přístupu klienta OpenVPN
Pojďme spustit OPenVPN a toto bude prostředí, ve kterém se ocitneme:
Zadáme přihlašovací údaje uživatele připojit a kliknout na dobře a můžeme vidět následující
PoznámkaToto připojení provádíme z počítače se systémem Windows 7.
Nyní můžeme v oznamovací liště vidět, že připojení proběhlo úspěšně, a můžeme vidět novou IP adresu.
Pokud na nástroj klikneme pravým tlačítkem (ikona v oznamovací liště), máme následující možnosti:
Odtud můžeme provádět úkoly, které považujeme za nutné. Například ano vybereme Zobrazit stav uvidíme následující:
4. Bezpečnostní nástroje OpenVPN ']
Není pochyb o tom, že Procházení internetu může vést k problémům se zabezpečením jako jsou viry, krádeže informací, spyware atd., z tohoto důvodu existuje několik nástrojů, které můžeme implementovat ke zlepšení zabezpečení našeho počítače, jakmile OpenVPN.
Promluvme si o Clamav což je silný antivirus, který nám pomůže udržet si kontrolu nad infikovanými soubory nebo procesy v našem Debianu 8.1. Je to software s otevřeným zdrojovým kódem, který nám umožňuje detekovat trojské koně, malware a další latentní hrozby na našich počítačích. Proces instalace je velmi jednoduchý, proto provedeme následující příkaz:
Sudo apt-get install clamav
Později provedeme freshclam aby byla aktualizována celá databáze Clamav.
Pro spuštění skenování na počítači zadáme následující syntaxi:
Clamscan -infikované -odstranit -rekurzivní / domovPo chvíli uvidíme souhrn úlohy skenování:
Další nástroj, který můžeme použít ke zlepšení zabezpečení, je Privoxy který funguje jako webový proxy a obsahuje pokročilé funkce pro ochranu soukromí, správu souborů cookie, řízení přístupu, odstraňování reklam a další. Chcete -li jej nainstalovat do našeho systému Debian 8.1, spustíme následující příkaz:
Sudo apt-get install privoxy
Pamatujte, že pokud jsme uživatelé root, sudo není nutné. Jakmile jsou staženy a nainstalovány všechny balíčky Privoxy, chystáme se upravit některé parametry v jeho konfiguračním souboru, proto provedeme následující příkaz:
Sudo nano / etc / privoxy / configZobrazí se následující:
Musíme najít linku adresa pro poslech localhost: 8118 a musíme přidat 2 parametry, nejprve přidejte symbol # na začátek tohoto řádku a pod něj zadejte výraz list-address ip_of_nour machine: 8118, v našem případě je to:
adresa pro poslech 192.168.0.10:8118.Jakmile to bude hotovo, budeme službu restartovat pomocí:
sudo /etc/init.d/privoxy restart
Dále přejdeme do prohlížeče, který máme v Debianu, a pokračujeme v úpravě parametrů Proxy, musíme potvrdit, že IP je ta, kterou jsme přidali, a port je 8118. V našem příkladu používáme IceWeasel a musíme zadat:
- preference
- Pokročilý
- Síť
- Nastavení připojení
- Ruční konfigurace proxy
Po konfiguraci klikneme na OK. Nyní vidíme, jak Privoxy nám pomáhá s bezpečností:
Existují další nástroje, které nám mohou pomoci zlepšit navigaci pomocí našeho OpenVPN, můžeme implementovat:
DnsmasqPoskytuje nám služby DNS, takže používáme pouze mezipaměť DNS.
HAVPS tímto nástrojem máme proxy s antivirem, skenuje veškerý provoz při hledání virů nebo podivného chování.
Jak vidíme, je velmi důležité přijmout opatření, která nám pomohou udržet kontrolu nad naší navigací, a být si zcela jasní, že správné fungování Debian 8.1
Pokračujme ve zkoumání všech skvělých výhod, které nám Debian 8.1 nabízí, a zlepšování našeho prostředí, protože mnozí z nás jsou správci, koordinátoři nebo lidé odpovědní za oblast IT a tyto tipy nám pomáhají snáze se každodenně vypořádat a s možností nemít v budoucnu kritické problémy, které mohou být velkou bolestí hlavy.
Nainstalujte LAMP na Debian 8