OpenVPN este, fără îndoială, cel mai bun mod de a vă alătura în siguranță la o rețea prin internet, OpenVPN este o resursă VPN open source care ne permite, ca utilizatori, să ne mascăm navigarea, pentru a evita să fim victime în rețea.
Acestea sunt aspecte foarte importante la nivel de securitate pe care trebuie să le luăm în considerare și de data aceasta vom analiza procesul Configurare OpenVPN într-un mediu Debian 8.
NotăÎnainte de a începe procesul de instalare, este important să îndepliniți anumite cerințe, acestea fiind:
- Utilizator rădăcină.
- Droplet Debian 8, în prezent avem Debian 8.1
1. Cum se instalează OpenVPN
Primul pas pe care îl vom face este actualizați toate pachetele din mediu folosind comanda:
apt-get update
Odată ce pachetele au fost descărcate și actualizate să instalăm OpenVPN folosind easy-RSA pentru probleme de criptare. Vom executa următoarea comandă:
apt-get install openvpn easy-rsa
Apoi trebuie să ne configurăm OpenVPN, fișierele de configurare OpenVPN sunt stocate în următoarea cale: / etc / openvpn și trebuie să le adăugăm la configurația noastră, vom folosi următoarea comandă:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.confOdată ce am extras aceste fișiere în calea selectată, le vom deschide folosind editorul nano, vom executa următoarea comandă:
nano /etc/openvpn/server.confVom vedea următoarea fereastră:
Odată ce suntem acolo trebuie să facem unele modificări la fișier, aceste modificări sunt practic:
- Securizarea serverului cu criptare la nivel înalt
- Permiteți traficul web către destinație
- Împiedicați filtrarea solicitărilor DNS în afara conexiunii VPN
- Permisiuni de instalare
Noi mergem spre dubla lungimea tastei RSA care este utilizat atunci când sunt generate atât cheile serverului, cât și ale clientului, pentru aceasta vom căuta în fișier următoarele valori și vom modifica valoarea dh1024.pem cu valoarea dh2048.pem:
# Parametrii Diffie Hellman. # Generează-ți propriul cu: # openssl dhparam -out dh1024.pem 1024 # Înlocuiește 2048 cu 1024 dacă folosești # 2048 taste de biți. dh dh1024.pem
Acum hai să asigurați-vă că traficul este redirecționat corect către destinație, să decomentăm împingeți "redirect-gateway def1 bypass-dhcp" eliminând; la începutul acestuia. în fișierul server.conf:
# Dacă este activată, această directivă va configura # toți clienții să-și redirecționeze # gateway-ul de rețea implicit prin VPN, provocând # tot traficul IP, cum ar fi navigarea pe web și căutările # și DNS, să treacă prin VPN # (Mașina server OpenVPN ar putea avea nevoie să NAT # sau conectați interfața TUN / TAP la internet # în ***** pentru ca acest lucru să funcționeze corect).; apăsați "redirect-gateway def1 bypass-dhcp"
Următorul pas va fi spuneți serverului să utilizeze OpenDNS pentru rezoluția numelui DNS Atâta timp cât este posibil, evităm astfel că solicitările DNS sunt în afara conexiunii VPN, trebuie să localizăm următorul text în fișierul nostru:
# Anumite setări de rețea specifice Windows # pot fi trimise către clienți, cum ar fi DNS # sau adrese de server WINS. CAVEAT: # http://openvpn.net/faq.html#dhcpcaveats # Adresele de mai jos se referă la # serverele DNS publice furnizate de opendns.com.; apăsați "opțiunea dhcp DNS 208.67.222.222"; apăsați "opțiunea dhcp DNS 208.67.220.220"Acolo trebuie să debifăm comentariile push "dhcp-option DNS 208.67.222.222" și push "opțiunea dhcp DNS 208.67.220.220", eliminând; de la inceput.
În cele din urmă o vom face definiți permisiunile În același fișier la care lucrăm, plasăm următorul text:
# Puteți descomenta acest lucru pe # sisteme non-Windows.; utilizator nimeni; grup nogrupContinuăm să debifăm eliminarea semnului; de la începutul textelor utilizator nimeni Da grup nogrup.
După cum știm, OpenVPN rulează în mod implicit ca utilizator root, permițând editarea oricărui parametru, cu ultima modificare o vom limita la utilizatorul nimeni și la grupul de grupuri din motive de securitate.
Salvăm modificările folosind combinația de taste:
Ctrl + O
Și lăsăm editorul folosind:
Ctrl + X
Acum mergem la activați redirecționarea pachetelor către rețeaua externă, pentru aceasta vom executa următoarea comandă:
echo 1> / proc / sys / net / ipv4 / ip_forwardTrebuie să facem această schimbare permanentă, nu că trebuie să o facem de fiecare dată când pornim sistemul, pentru ao face continuu, vom introduce fișierul systcl folosind editorul nano, pentru aceasta vom executa următoarele:
nano /etc/sysctl.confVa fi afișată următoarea fereastră:
Urmează să localizăm următoarea linie:
# Decomentați următoarea linie pentru a activa redirecționarea pachetelor pentru IPv4 # net.ipv4.ip_forward = 1NotăReamintim că putem utiliza căutarea editorului folosind combinația de taste:
Ctrl + W
Acolo vom desemna comentariul net.ipv4.ip_forward = 1 eliminarea simbolului #.
Următorul pas pe care trebuie să-l facem este configurați UFW. UFW este o configurație firewall pentru tabelele IP, prin urmare vom face unele ajustări pentru a schimba securitatea UFW. Ca prim pas, vom instala pachetele UFW folosind următoarea comandă:
apt-get install ufw
Odată ce pachetele UFW necesare au fost descărcate și instalate, vom configura UFW pentru a permite conexiunile SSH, pentru aceasta vom executa următoarele:
ufw permit ssh
În cazul nostru lucrăm la portul 1194 al UDP, trebuie să configurăm acest port pentru ca comunicarea să fie satisfăcătoare, vom introduce următoarele:
ufw permit 1194 / udpNotăPutem vedea porturile consolei noastre folosind comanda lsof -iUDP
În continuare vom edita fișierul de configurare UFW pentru aceasta, vom introduce cu editorul nano în următoarea cale:
nano / etc / default / ufwSe va deschide următoarea fereastră:
Acolo vom face unele modificări, vom localiza următoarea linie, unde vom schimba DROP în ACCEPT.
DEFAULT_FORWARD_POLICY = "DROP"Următorul pas este adăugați câteva reguli în UFW pentru traducerea adreselor de rețea și mascarea corectă a adreselor IP de utilizatori care se conectează. Să deschidem următorul fișier folosind editorul nano:
nano /etc/ufw/before.rulesVom vedea că este afișată următoarea fereastră:
Vom adăuga următorul text:
# START REGULI OPENVPN # Regulile tabelului NAT * nat: POSTROUTING ACCEPT [0: 0] # Permiteți traficul de la clientul OpenVPN către eth0 -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASQUERADE COMMIT # END OPENVPN RULES
Odată ce am făcut aceste modificări vom trece la activați UFW folosind următoarea comandă:
ufw activate
La verifica regulile firewalFolosesc următoarea comandă:
starea ufw
2. Creați certificat de autoritate OpenVPN
Următorul pas al procesului nostru este creați certificatul de autorizare pentru autentificare prin OpenVPNSă ne amintim că OpenVPN folosește aceste certificate pentru a cripta traficul. OpenVPN acceptă certificarea bidirecțională, adică clientul trebuie să autentifice certificatul serverului și invers.
Vom copia scripturile prin easy-RSA folosind următoarea comandă:
cp -r / usr / share / easy-rsa / / etc / openvpnNoi mergem spre creați un director pentru a stoca cheile, vom folosi următoarea comandă:
mkdir / etc / openvpn / easy-rsa / keysUrmătorul pas este editați parametrii certificatului, vom folosi următoarea comandă:
nano / etc / openvpn / easy-rsa / varsVa fi afișată următoarea fereastră:
Vom modifica următorii parametri în funcție de cerințele noastre:
export KEY_COUNTRY = "CO" export KEY_PROVINCE = "BO" export KEY_CITY = "Bogota" export KEY_ORG = "Solvetic" export KEY_EMAIL = "[email protected]" export KEY_OU = "Solvetic"
În același fișier vom edita următoarea linie:
# X509 Export câmp subiect KEY_NAME = "EasyRSA"Noi mergem spre schimbați valoarea EasyRSA la numele serverului dorit, vom folosi numele Solvetic.
Acum mergem la configurați parametrii Diffie-Helman folosind un instrument care vine integrat cu OpenSSL care se numește dhparam. Vom introduce și vom executa următoarea comandă:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Odată generat certificatul, vom face schimba directorul easy-RSA folosind comanda:
cd / etc / openvpn / easy-rsaNoi mergem spre inițializați PKI, vom folosi comanda:
… / Vars
Noi mergem spre ștergeți celelalte taste deci nu interferează cu instalarea folosind comanda:
./curata totAcum mergem la construiți certificatul folosind următoarea comandă OpenSSL:
./build-ca
Vom putea vedea o serie de întrebări care sunt legate de informațiile introduse anterior, în acest fel a fost generat certificatul. În continuare vom lansa serverul nostru OpenVPN, pentru aceasta Vom edita fișierul situat în calea / etc / openvpn / easy-rsa folosind numele cheii specificate anterior, în cazul nostru Solvetic. Vom executa următoarea comandă:
./build-key-server Solvetic
În rândurile de mai jos putem lăsa spațiul necompletat și putem apăsa Enter.
Vă rugăm să introduceți următoarele atribute „suplimentare” pentru a fi trimise împreună cu cererea dvs. de certificat O parolă de provocare []: Un nume de companie opțional []:Va fi afișată următoarea fereastră unde trebuie să introducem litera y (da) pentru a accepta următoarele două întrebări: Semnați certificatul și solicitați certificate.
Acum hai să mutați atât certificatele, cât și cheile pe calea / etc / openvpn, vom executa următoarea comandă:
cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} / etc / openvpnOdată ce acest proces este finalizat, vom face porniți serviciul OpenVPN folosind comanda:
service openvpn startLa vezi starea vom folosi comanda:
statutul de serviciu oopenvpn
Următorul nostru pas va fi să creăm certificate și chei pentru clienții care doresc să se conecteze la VPN. În mod ideal, pentru securitate, fiecare client care se conectează la server are propriul certificat și cheie, nu îl partajați niciodată, implicit OpenVPN nu permite conexiuni simultane cu același certificat și cheie. Vom crea cheia pentru clientul nostru, pentru aceasta vom introduce următoarea comandă:
./build-key Client_Name, în exemplul nostru vom folosi următoarea comandă: ./build-key Tests
Completăm câmpurile obligatorii și apoi o vom face copiați cheia generată în directorul easy-RSA.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.Acum hai să descărcați gratuit instrumentul Winscp din linkul de mai jos. Acest instrument ne va permite să ne conectăm prin SFTP sau FTP la mașina noastră Debian pentru a verifica dacă fișierele sunt create corect. Odată ce l-am descărcat și executat, aceasta va fi fereastra pe care o putem vedea:
Acolo introducem adresa IP a mașinii Debian amintiți-vă că IP-ul poate fi validat folosind comanda ifconfig, introducem acreditările și odată ce facem clic pe Conectare putem vedea următoarele:
MARI
Acolo putem vedea în partea dreaptă fișierele respective ale tastelor și tastelor. Pentru a accesa prin OpenVPN vom descărca instrumentul de pe următorul link OpenVPN versiunea 2.3.11. Odată ce l-am descărcat, trebuie să luăm în considerare efectuarea unor modificări în instrumentul menționat, primul lucru pe care îl vom face este să copiem fișierele cheie și cheile din calea în care este instalat în mod obișnuit OpenVPN:
C: \ Program Files \ OpenVPN \ configMai târziu vom crea un fișier în notepad sau în editorul de text pe care îl avem cu următoarele informații:
client dev tun proto udp remote 192.168.0.12 1194 key client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo verb 3NotăIP-ul este cel al mașinii noastre Debian și portul, așa cum am văzut anterior, este UDP 1194.
Acest fișier trebuie salvat cu extensia .ovpn.
3. Test de acces client OpenVPN
Să rulăm OPenVPN și acesta va fi mediul în care ne vom găsi:
Introducem acreditările utilizatorului pentru a vă conecta și faceți clic pe Bine și putem vedea următoarele
NotăRealizăm această conexiune de pe un computer Windows 7.
Acum putem vedea în bara de notificare că conexiunea a reușit și putem vedea noua adresă IP.
Dacă facem clic dreapta pe instrument (pictograma din bara de notificare) avem următoarele opțiuni:
De aici putem îndeplini sarcinile pe care le considerăm necesare. De exemplu, da selectăm Afișare stare vom vedea următoarele:
4. Instrumente de securitate OpenVPN ']
Nu există nicio îndoială că Navigarea pe internet poate duce la probleme de securitate precum viruși, furt de informații, programe spion etc., din acest motiv există câteva instrumente pe care le putem implementa pentru a îmbunătăți securitatea pe mașina noastră odată ce OpenVPN.
Hai sa vorbim despre Clamav care este un antivirus puternic care ne va ajuta să menținem controlul asupra fișierelor sau proceselor infectate în Debian 8.1. Este un software open source care ne permite să detectăm troieni, malware și alte amenințări latente pe computerele noastre. Procesul de instalare este foarte simplu, pentru aceasta vom executa următoarea comandă:
Sudo apt-get install clamav
Mai târziu vom executa freshclam astfel încât întreaga bază de date Clamav să fie actualizată.
Pentru a rula o scanare pe aparat vom introduce următoarea sintaxă:
Clamscan -infected -remove -recursive / homeDupă un moment vom vedea un rezumat al sarcinii de scanare:
Un alt instrument pe care îl putem folosi pentru a ne îmbunătăți securitatea este Privoxy care funcționează ca un proxy web și include funcții avansate pentru protejarea confidențialității, gestionarea cookie-urilor, controlul accesului, eliminarea anunțurilor, printre altele. Pentru a-l instala pe sistemul nostru Debian 8.1 vom executa următoarea comandă:
Sudo apt-get install privoxy
Amintiți-vă că, dacă suntem ca utilizatori root, sudo nu este necesar. Odată ce toate pachetele Privoxy au fost descărcate și instalate, vom modifica unii parametri în fișierul de configurare al acestuia, pentru aceasta vom executa următoarea comandă:
Sudo nano / etc / privoxy / configVor fi afișate următoarele:
Acolo trebuie să localizăm linia ascultați-adresa localhost: 8118 și trebuie să adăugăm 2 parametri, mai întâi adăugați simbolul # la începutul acestei linii și introduceți sub acesta termenul ascultare-adresă ip_de_nour machine: 8118, în cazul nostru este:
ascultați-adresa 192.168.0.10:8118.Odată ce acest lucru este făcut, vom reporni serviciul folosind:
sudo /etc/init.d/privoxy restart
Apoi mergem la browserul pe care îl avem în Debian și continuăm să modificăm parametrii Proxy, trebuie să confirmăm că IP-ul este cel pe care l-am adăugat și portul este 8118. În exemplul nostru folosim IceWeasel și trebuie să introducem:
- preferințe
- Avansat
- Net
- Configurarea conexiunii
- Configurare proxy manuală
Odată configurat, facem clic pe OK. Acum putem vedea cum Privoxy ne ajută cu securitatea:
Există alte instrumente care ne pot ajuta să îmbunătățim navigarea folosind OpenVPN-ul nostru, pe care îl putem implementa:
DnsmasqNe oferă servicii DNS în acest fel folosim doar cache-ul DNS.
HAVPCu acest instrument avem un proxy cu antivirus, scanează tot traficul în căutarea de viruși sau a unui comportament ciudat.
După cum putem vedea, este foarte important să luăm măsuri care să ne ajute să menținem controlul asupra navigației noastre și să fim foarte clari că funcționarea corectă a Debian 8.1
Să continuăm să explorăm toate marile beneficii pe care ni le oferă Debian 8.1 și să ne îmbunătățim mediul, deoarece mulți dintre noi suntem administratori, coordonatori sau persoane responsabile de zona IT și aceste sfaturi ne ajută să facem față zilnic mai ușor și cu posibilitatea să nu aibă probleme critice în viitor care pot fi o mare durere de cap.
Instalați LAMP pe Debian 8