OpenVPN je nesumnjivo najbolji način za sigurno pridruživanje mreži putem interneta, OpenVPN je otvoreni izvor VPN izvora koji nam korisnicima omogućuje da maskiramo svoje pregledavanje kako ne bismo bili žrtve na mreži.
Ovo su vrlo važni aspekti na sigurnosnoj razini koje moramo uzeti u obzir i ovaj put ćemo analizirati proces Konfiguracija OpenVPN u okruženju Debian 8.
BilješkaPrije početka instalacijskog procesa važno je ispuniti određene zahtjeve, a to su:
- Korijenski korisnik.
- Droplet Debian 8, trenutno imamo Debian 8.1
1. Kako instalirati OpenVPN
Prvi korak koji ćemo poduzeti je ažurirati sve pakete u okruženju pomoću naredbe:
apt-get ažuriranje
Nakon što se paketi preuzmu i ažuriraju instalirajmo OpenVPN koristeći easy-RSA za probleme šifriranja. Izvršit ćemo sljedeću naredbu:
apt-get install openvpn easy-rsa
Zatim moramo konfigurirati naš OpenVPN, konfiguracijske datoteke OpenVPN pohranjene su na sljedećoj stazi: / etc / openvpn i moramo ih dodati u svoju konfiguraciju, upotrijebit ćemo sljedeću naredbu:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.confNakon što smo izdvojili ove datoteke na odabranoj putanji, otvorit ćemo ih pomoću nano uređivača, izvršit ćemo sljedeću naredbu:
nano /etc/openvpn/server.confVidjet ćemo sljedeći prozor:
Kad smo već tamo moramo unijeti neke izmjene u datoteku, te promjene su u osnovi:
- Osiguravanje poslužitelja šifriranjem na visokoj razini
- Dopusti web promet do odredišta
- Spriječite filtriranje DNS zahtjeva izvan VPN veze
- Dopuštenja za instalaciju
Mi ćemo udvostručite duljinu RSA ključa koji se koristi kada se generiraju ključevi i poslužitelja i klijenta, za to ćemo pretražiti datoteku za sljedeće vrijednosti i promijenit ćemo vrijednost dh1024.pem za vrijednost dh2048.pem:
# Diffie hellman parametri. # Generirajte vlastiti s: # openssl dhparam -out dh1024.pem 1024 # Zamijenite 2048 sa 1024 ako koristite # 2048 bitne ključeve. dh dh1024.pem
Ajmo sad provjerite je li promet ispravno preusmjeren na odredište, raskomentirajmo "redirect-gateway def1 bypass-dhcp" uklanjanjem; na početku. u datoteci server.conf:
# Ako je omogućena, ova će direktiva konfigurirati # sve klijente da preusmjere svoj zadani # mrežni pristupnik putem VPN -a, uzrokujući da # sav IP promet, poput pregledavanja weba i # i traženje DNS -a, prođe kroz VPN # (Stroj poslužitelja OpenVPN možda će morati NAT # ili prebacite TUN / TAP sučelje na internet # u ***** kako bi ovo radilo ispravno). ; pritisnite "redirect-gateway def1 bypass-dhcp"
Sljedeći korak bit će recite poslužitelju da koristi OpenDNS za rješavanje imena DNS -a Koliko god je moguće, na ovaj način izbjegavamo da DNS zahtjevi budu izvan VPN veze, moramo locirati sljedeći tekst u našoj datoteci:
# Određene mrežne postavke specifične za Windows # mogu se proslijediti klijentima, poput DNS-a # ili adresa poslužitelja WINS. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Dolje navedene adrese odnose se na javne # DNS poslužitelje koje pruža opendns.com. ; push "dhcp-option DNS 208.67.222.222"; push "dhcp-option DNS 208.67.220.220"Tamo moramo poništiti oznaku push "dhcp-option DNS 208.67.222.222" i pritisnuti "dhcp-option DNS 208.67.220.220" komentare uklanjanjem; s početka.
Konačno hoćemo definirati dopuštenja U istu datoteku na kojoj radimo stavljamo sljedeći tekst:
# Ovo možete komentirati na # sustavima koji nisu Windows. ; user nobody; group nogroupNastavljamo uklanjanje oznake Ukloni znak; s početka tekstova korisnik nitko Y grupa nogroup.
Kao što znamo, OpenVPN se prema zadanim postavkama izvodi kao root korisnik koji dopušta uređivanje bilo kojeg parametra, a posljednjom promjenom ograničit ćemo ga na nikome korisnika i grupu nogroup iz sigurnosnih razloga.
Promjene spremamo kombinacijom tipki:
Ctrl + O
Urednik ostavljamo koristeći:
Ctrl + X
Sada ćemo omogućiti prosljeđivanje paketa na vanjsku mrežu, za to ćemo izvršiti sljedeću naredbu:
echo 1> / proc / sys / net / ipv4 / ip_forwardOvu promjenu moramo učiniti trajnom, ne da to moramo činiti svaki put kada pokrenemo sustav, da bismo ga učinili neprekidnim, ulazit ćemo u datoteku systcl pomoću nano uređivača, za to ćemo izvršiti sljedeće:
nano /etc/sysctl.confPrikazat će se sljedeći prozor:
Pronaći ćemo sljedeći redak:
# Dekomentirajte sljedeći redak kako biste omogućili prosljeđivanje paketa za IPv4 # net.ipv4.ip_forward = 1BilješkaPodsjetimo se da možemo koristiti uređivačko pretraživanje pomoću kombinacije tipki:
Ctrl + W
Tamo ćemo skinuti oznaku s komentara net.ipv4.ip_forward = 1 uklanjanje simbola #.
Sljedeći korak koji moramo poduzeti je konfigurirati UFW. UFW je konfiguracija vatrozida za ip tablice, stoga ćemo napraviti neke prilagodbe za promjenu sigurnosti UFW -a. Kao prvi korak instalirat ćemo UFW pakete pomoću sljedeće naredbe:
apt-get install ufw
Nakon što su potrebni UFW paketi preuzeti i instalirani, konfigurirat ćemo UFW da dopušta SSH veze, za to ćemo izvršiti sljedeće:
ufw dopustiti ssh
U našem slučaju radimo na portu 1194 UDP -a, moramo konfigurirati ovaj port da bi komunikacija bila zadovoljavajuća, unijet ćemo sljedeće:
ufw dopustiti 1194 / udpBilješkaPortove naše konzole možemo vidjeti pomoću naredbe lsof -iUDP
Zatim ćemo urediti konfiguracijsku datoteku UFW za koju ćemo unijeti s nano uređivačem na sljedeći način:
nano / etc / default / ufwOtvorit će se sljedeći prozor:
Tu ćemo napraviti neke promjene, locirat ćemo sljedeći redak, gdje promijenit ćemo DROP u ACCEPT.
DEFAULT_FORWARD_POLICY = "DROP"Sljedeći korak je dodati neka pravila u UFW za prijevod mrežnih adresa i ispravno maskiranje IP adresa korisnika koji se povezuju. Otvorimo sljedeću datoteku pomoću nano uređivača:
nano /etc/ufw/before.rulesVidjet ćemo da se prikazuje sljedeći prozor:
Dodati ćemo sljedeći tekst:
# START OPENVPN RULES # NAT table rules * nat: POSTROUTING ACCEPT [0: 0] # Dopusti promet s OpenVPN klijenta na eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN PRAVILA
Nakon što unesemo ove promjene, nastavit ćemo omogućiti UFW pomoću sljedeće naredbe:
ufw omogućiti
Do provjerite pravila vatrogasacaKoristim sljedeću naredbu:
status ufw
2. Izradite certifikat ovlaštenja OpenVPN
Sljedeći korak u našem procesu je izraditi certifikat ovlaštenja za prijavu putem OpenVPN -aSjetimo se da OpenVPN koristi te certifikate za šifriranje prometa. OpenVPN podržava dvosmjerno certificiranje, odnosno klijent mora autentificirati certifikat poslužitelja i obrnuto.
Kopirat ćemo skripte preko easy-RSA-a pomoću sljedeće naredbe:
cp -r / usr / share / easy -rsa / / etc / openvpnMi ćemo stvoriti direktorij za spremanje ključeva, koristit ćemo sljedeću naredbu:
mkdir / etc / openvpn / easy-rsa / keysSljedeći korak je uredite parametre certifikata, koristit ćemo sljedeću naredbu:
nano / etc / openvpn / easy-rsa / varsPrikazat će se sljedeći prozor:
Sljedeće parametre ćemo promijeniti prema našim zahtjevima:
export KEY_COUNTRY = "CO" izvoz KEY_PROVINCE = "BO" izvoz KEY_CITY = "Bogota" izvoz KEY_ORG = "Solvetic" izvoz KEY_EMAIL = "[email protected]" izvoz KEY_OU = "Solvetic"
U istoj datoteci uredit ćemo sljedeći redak:
# X509 Izvoz polja polja KEY_NAME = "EasyRSA"Mi ćemo promijenite vrijednost EasyRSA u naziv poslužitelja koji želite, koristit ćemo naziv Solvetic.
Sada ćemo konfigurirati Diffie-Helmanove parametre pomoću alata integriranog s OpenSSL -om koji se naziva dhparam. Upisat ćemo i izvršiti sljedeću naredbu:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Nakon što se certifikat generira, mi ćemo promijeniti easy-RSA imenik pomoću naredbe:
cd / etc / openvpn / easy-rsaMi ćemo inicijalizirati PKI, koristit ćemo naredbu:
… / Vars
Mi ćemo izbrišite ostale ključeve tako da ne ometaju instalaciju pomoću naredbe:
./clean-allSada ćemo izgraditi certifikat pomoću sljedeće naredbe OpenSSL:
./build-ca
Moći ćemo vidjeti niz pitanja koja se odnose na prethodno unijete podatke, na ovaj način je generiran certifikat. Zatim ćemo za ovo pokrenuti naš OpenVPN poslužitelj Uredit ćemo datoteku koja se nalazi na stazi / etc / openvpn / easy-rsa koristeći prethodno navedeni naziv ključa, u našem slučaju Solvetic. Izvršit ćemo sljedeću naredbu:
./izgrađivač-ključ-poslužitelj Solvetic
U donjim redovima možemo ostaviti prazan prostor i pritisnuti Enter:
Molimo unesite sljedeće "dodatne" atribute koje ćete poslati sa zahtjevom za certifikat Lozinka za izazov []: Neobavezni naziv tvrtke []:Prikazat će se sljedeći prozor u koji moramo unijeti slovo y (da) da bismo prihvatili sljedeća dva pitanja: Potpišite certifikat i zatražite certifikate.
Ajmo sad premjestite certifikate i ključeve na / etc / openvpn putanju, izvršit ćemo sljedeću naredbu:
cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt}/etc/openvpnKad se ovaj proces završi, učinit ćemo to pokrenite uslugu OpenVPN pomoću naredbe:
usluga openvpn startDo pogledajte status koristit ćemo naredbu:
status oopenvpn status
Naš sljedeći korak bit će stvaranje certifikata i ključeva za klijente koji se žele povezati s VPN -om. Idealno, radi sigurnosti, svaki klijent koji se poveže s poslužiteljem ima svoj certifikat i ključ, nikada ga ne dijelite, prema zadanim postavkama OpenVPN ne dopušta istovremene veze s istim certifikatom i ključem. Izradit ćemo ključ za našeg klijenta, za to ćemo unijeti sljedeću naredbu:
./build-key Ime_ klijenta, u našem primjeru koristit ćemo sljedeću naredbu: ./build-key Testovi
Popunjavamo potrebna polja i tada ćemo kopirajte generirani ključ u direktorij easy-RSA.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.Ajmo sad besplatno preuzmite alat Winscp s donje poveznice. Ovaj alat će nam omogućiti povezivanje putem SFTP -a ili FTP -a na naš Debian stroj kako bismo provjerili jesu li datoteke pravilno stvorene. Nakon što ga preuzmemo i izvršimo, ovo će biti prozor koji možemo vidjeti:
Tamo unosimo IP adresu Debian stroja. Sjetite se da se IP može provjeriti pomoću naredbe ifconfig, unosimo vjerodajnice i nakon što kliknemo Poveži možemo vidjeti sljedeće:
POVEĆAJTE
Tamo s desne strane možemo vidjeti odgovarajuće datoteke ključeva i ključeva. Za pristup putem OpenVPN -a alat ćemo preuzeti sa sljedeće veze OpenVPN verzija 2.3.11. Nakon što ga preuzmemo, moramo uzeti u obzir neke promjene u spomenutom alatu, prvo što ćemo učiniti je kopirati ključne datoteke i ključeve na putu na kojem je OpenVPN obično instaliran:
C: \ Program Files \ OpenVPN \ configKasnije ćemo stvoriti datoteku u bilježnici ili uređivaču teksta sa sljedećim podacima:
client dev tun protokol udp daljinski 192.168.0.12 1194 ključ client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo glagol 3BilješkaIP je IP adresa našeg Debian stroja, a port je, kao što smo već vidjeli, UDP 1194.
Ova se datoteka mora spremiti s nastavkom .ovpn.
3. Test pristupa klijentu OpenVPN
Pokrenimo OPenVPN i ovo će biti okruženje u kojem ćemo se naći:
Unosimo korisničke vjerodajnice za povezivanje i kliknite na u redu a možemo vidjeti sljedeće
BilješkaOvu vezu uspostavljamo s računalom sa sustavom Windows 7.
Sada možemo vidjeti na traci obavijesti da je veza bila uspješna i možemo vidjeti novu IP adresu.
Ako desnom tipkom miša kliknemo na alat (ikona na traci obavijesti), imamo sljedeće mogućnosti:
Odavde možemo izvršavati zadatke koje smatramo potrebnima. Na primjer, da odabiremo Prikaži status vidjet ćemo sljedeće:
4. Sigurnosni alati OpenVPN ']
Nema sumnje da je Pretraživanje Interneta može dovesti do sigurnosnih problema kao što su virusi, krađa informacija, špijunski softver itd., iz tog razloga postoje neki alati koje možemo implementirati za poboljšanje sigurnosti na našem računalu nakon što OpenVPN.
Pričajmo o Clamav koji je snažan antivirus koji će nam pomoći zadržati kontrolu nad zaraženim datotekama ili procesima u našem Debian 8.1. To je softver otvorenog koda koji nam omogućuje otkrivanje trojanaca, zlonamjernog softvera i drugih latentnih prijetnji na našim računalima. Postupak instalacije je vrlo jednostavan, za to ćemo izvršiti sljedeću naredbu:
Sudo apt-get install clamav
Kasnije ćemo izvršiti svježa školjka tako da se ažurira cijela baza podataka Clamav.
Za pokretanje skeniranja na stroju unijet ćemo sljedeću sintaksu:
Školjke -zaražene -otkloniti -rekurzivno / kućiNakon nekog trenutka vidjet ćemo sažetak zadatka skeniranja:
Još jedan alat koji možemo koristiti za poboljšanje svoje sigurnosti je Privoxy koji radi kao web proxy i uključuje napredne funkcije za zaštitu privatnosti, upravljanje kolačićima, kontrolu pristupa, uklanjanje oglasa, između ostalog. Da bismo ga instalirali na naš Debian 8.1 sustav, izvršit ćemo sljedeću naredbu:
Sudo apt-get install privoxy
Upamtite da ako smo root korisnici, sudo nije potreban. Nakon što su svi Privoxy paketi preuzeti i instalirani, mi ćemo izmijeniti neke parametre u njegovoj konfiguracijskoj datoteci, za to ćemo izvršiti sljedeću naredbu:
Sudo nano / etc / privoxy / configPrikazat će se sljedeće:
Tamo moramo locirati liniju adresa za slušanje localhost: 8118 i moramo dodati 2 parametra, prvo dodati simbol # na početku ovog retka i ispod njega unijeti izraz adresa-adresa ip_of_nour stroja: 8118, u našem slučaju to je:
adresa za slušanje 192.168.0.10:8118.Nakon što to učinimo, ponovno ćemo pokrenuti uslugu koristeći:
sudo /etc/init.d/privoxy ponovno pokretanje
Zatim idemo na preglednik koji imamo u Debianu i nastavljamo s promjenom Proxy parametara, moramo potvrditi da je IP onaj koji smo dodali, a port 8118. U našem primjeru koristimo IceWeasel i moramo unijeti:
- sklonosti
- Napredna
- Neto
- Postavljanje veze
- Ručna konfiguracija proxyja
Nakon što smo konfigurirali, kliknite U redu. Sada možemo vidjeti kako Privoxy nam pomaže u sigurnosti:
Postoje i drugi alati koji nam mogu pomoći u poboljšanju navigacije pomoću našeg OpenVPN -a, koje možemo implementirati:
DnsmasqPruža nam DNS usluge na ovaj način, mi koristimo samo DNS predmemoriju.
HAVPS ovim alatom imamo proxy s antivirusom, skenira sav promet u potrazi za virusima ili nekim čudnim ponašanjem.
Kao što vidimo, vrlo je važno poduzeti mjere koje nam pomažu zadržati kontrolu nad našom navigacijom i biti vrlo jasan da je ispravan rad Debian 8.1
Nastavimo s istraživanjem svih sjajnih prednosti koje nam nudi Debian 8.1 i poboljšajmo naše okruženje jer smo mnogi od nas administratori, koordinatori ili osobe zadužene za IT područje, a ovi savjeti nam pomažu da se lakše snalazimo u danu i s mogućnošću da u budućnosti nemate kritičnih problema koji mogu biti velika glavobolja.
Instalirajte LAMP na Debian 8