építeni alagutak
Amikor dolgozik felhő szolgáltatások is fontos, nem csak a sebesség az adatok feldolgozását és továbbítását - az első helyen felhozott garantált biztonsági szintet. Tárolt adatok egy külső forrás, semmiképpen ne kerülhessenek illetéktelen kezekbe. C másrészt, folyamatosan vannak olyan jelentések kísérletet állít semmit, zár. Talán éppen ezért a közelmúltban megnövekedett érdeklődés VPN-megoldások, és ezzel együtt a már hagyományos IPsec / XFRM és OpenVPN Linux már aktívan fejlődő számos projektben. Ma, ha várnak négy érdekes példány: SoftEther VPN, WireGuard, FreeLAN és GoVPN.
SoftEther VPN
Ez nagyfokú termelékenység és az arány a vegyület 1 Gb / s anélkül, hogy jelentős korlátozása a RAM mennyiségétől és a minimális terhelés a processzort. Ezért a szerver oldali követelmények nagyon alacsony. A tesztek SoftEther VPN megkerüli ugyanazon a hardveren, mint az eredeti döntést. Támogatja titkosítás AES-256 és az RSA-4096, IPv4 / IPv6 forgalom naplózása és események. helyi felhasználói hitelesítést, RADIUS, és a Windows tartományba.
Fiókkezelés és biztonsági beállítások konfigurálhatók távolról a GUI Server Manager (lokalizáció csak angol, japán és kínai), amely fel van szerelve Win- rendszergazda vagy MacOS-számítógép vagy használja vpncmd parancssori segédprogramot. Meg lehet telepíteni a Windows, Linux, MacOS, FreeBSD és Solaris. A forráskód elérhető, és archiválja a lefordított alkalmazás. Annak beállításához, hogy választania kellene az OS platform és alkatrészek (szerver, kliens, bridge ...). Hivatalosan által támogatott Linux-kernel 2.4 / 2.6 / 3.x, de működik gond nélkül, és a modern Linux kernel 4.x A Linux, kicsomagolni az archív és futtatni .install.sh fájlt, majd háromszor, hogy elfogadja a licencszerződést, és a végén a kiszolgáló elindításához:
Továbbá, válaszol a kérdésekre vpncmd (vagy használja a Server Manager), a kapcsolat paramétereinek beállításához.
VPN-kapcsolat inicializált (handshake) kicserélésével nyilvános kulcsokat és hasonlít megközelítése SSH. Minden más kezeli átlátható WireGuard, nem kell aggódnia, kulcsok, routing, állapotfelügyeletet és így tovább, mindezt gondoskodás WireGuard. Használhatja szimmetrikus titkosítást, de ehhez szükséges egy kicsit több lehetőséget. Routing végzi a titkosító kulcsok az egyes hálózati interfész kapcsolódik privát kulcsot. Ha frissíteni kulcs kézfogás előfordul egy bizonyos idő után, vagy egy jelet, hogy a kulcsok elavult. A legfontosabb megállapodás és a kapcsolat helyett saját démon a felhasználói térben, a mechanizmus a Noise_IK zaj jegyzőkönyv keret hasonló karbantartási authorized_keys SSH, komplikációk nélkül formájában támogatást x509 és ASN.1.
Alkalmazni titkosítás rejtjelfolyam ChaCha20 és az üzenethitelesítés algoritmus (MAC) Poly1305. Hogy létrehoz egy közös titkos kulcsot - protokoll Diffie - Hellman elliptikus görbe végrehajtásában Curve25519, Denielom Bernshteynom javasolt. Használt tördeljük BLAKE2s (RFC 7693) és SipHash-2-4. Kerüljük visszajátszás támadás lehetővé időbélyeg TAI64N, csomagok, kisebb időbélyeg eldobjuk.
A telepítés után a rendszer, van egy új hálózati interfész wg0, amelyet be lehet állítani a rendszeres eszközök ipconfig / IP-címet és az útvonal / ip-útvonalon. Különleges wg segédprogram lehetővé teszi, hogy hozzanak létre a titkos kulcsot az eszköz, és egy listát a szövetségek az ügyfelek (a nyilvános kulcs, engedélyezett IP).
A telepítéshez szükséges eloszlás Linux kernelt> 4.1. A csomag megtalálható letéteményesei nagyobb disztribúció. Ubuntu 16.04 van PPA.
Egységet a forráskód is egyszerű. Mi fel a felületet, hogy létrehoz egy kulcspárt (pl tartani privatekey és publickey fájl):
Megkapjuk a nyilvános kulcsot a kliens és a kapcsolat létrehozásához.
Használhatja PresharedKey (generált wg genpsk csapat), ami egy újabb réteget a meglévő szimmetrikus titkosító nyilvános kulcsú titkosítás. Az ünnepre, megadhatja PersistentKeepalive, amely lehetővé teszi, hogy fenntartsák a kapcsolatot, mert a NAT és tűzfal. Emeljük fel a felületet:
Az egyszerűség kedvéért jobb, ha előre kidolgozzák egy konfigurációs fájl, amely tartalmazza azt a részt a felület és a szakértői listájában. A formátum látható megadásával wg showconf.
Továbbá, mivel a kisebb késések WireGuard csak jobban néz ki, mint a teljesítmény IPsec (256 bites ChaCha20 + Poly1305 és az AES-256-GCM-128), de a beállítások sokkal könnyebb.
Míg WireGuard csak Linuxra vizsgálat után várhatóan port más operációs rendszerek. A kód a GNU GPLv2 licenc.
Beállítás WireGuard
Watch konfiguráció WireGuard
Ez támogatja a Win, Linux, MacOS, Raspberry Pi. Csomagfájlok van nagy disztribúciók, így a telepítés nem okoz nehézséget. Valójában a program egy bináris egyik, hogy úgy hozza létre a hálózat nagyon egyszerű.
Emelje fel a szerver FreeLAN
Ez biztosítja három üzemmódja van:
- Normál (alapértelmezett), amikor a hálózat egyszerűen titkosított csomagokat;
- zaj (zaj), amikor a csomagokat kiegészülnek zaj állandó hosszúságú;
- CPR (állandó sebesség) - amellett, hogy a zaj csomagokat küld szigorúan egy bizonyos időszakban, ha nincs hasznos információt küld a zaj csomagot.
Az elmúlt két mód miatt a termelés az állandó forgalom zajától lehetséges, hogy elrejtse a hossza üzenetek és az a tény, transzfer rakományt. Nulla titoktartási a vagyon, amely nem lehet offline szótár támadás, ellenáll a replay-támadások használata révén egyetlen üzenet hitelesítési kódot (üzenet hitelesítési kódot) és az idő szinkronizálás (választható). Előírja, hogy a forgatás munkamenetkulcsok és küldése szívverés munkájának támogatása révén NAT vagy tűzfal. részt Balloon (felszabadulás 6.0) tördelő a jelmondat. A kiadás 5,0 volt Argon2d, még korábban PBKDF2. Ezért a verziók nem kompatibilisek.
Vannak kódolatlan módban is biztosítja a titoktartás és az adatok hitelessége miatt dörzsölődést szeleiésébői technológia. Ez lehetővé teszi, hogy megkerülje a használatára vonatkozó korlátozásokat kriptográfiai eszközök bizonyos országokban. Ehelyett a titkosítási algoritmusokat használnak hitelesítés és továbbítására több redundáns csomagok (a kedvezményezett egyszerűen válassza ki azokat, amelyek illik rá). Ez azonban növeli minden egyes csomag 4128 bájt, ezért a rendszert, és igényes a processzor és a felesleges adási forgalom.
Kompatibilis az IPv4 és IPv6. Lehet csatlakoztatni egy külső HTTP-proxy, a kliens is van egy beépített HTTP-proxy módot, hogy lehet használni, hogy a szerver eléréséhez. Mert statisztikák kapcsolatban álló ügyfelek valós időben a JSON formátumú beágyazott HTTP-kiszolgáló. Úgy működik, a GNU / Linux és FreeBSD. A kiszolgáló konfigurálása a YAML-fájlt.
Ready csomag kialakítása nem az ajánlat csak a forráskódot a szerelvény kell csomagokat UML-segédprogramok és golang. Bár nem hivatalos portok jelentek meg néhány disztribúció. Distribution folyamatosan fejlődik, és néhány beállításával kapcsolatban már nem érvényes.
Konfigurálása ügyfél GoVPN
következtetés
Mind a bemutatott megoldások megvannak a maga előnyei, érdemes közelebbről, és válasszuk ki a megfelelő szerint a tervezett feladatokat.