OpenVPN, şüphesiz internet üzerinden bir ağa güvenli bir şekilde katılmanın en iyi yoludur. OpenVPN, ağda kurban olmaktan kaçınmak için kullanıcılar olarak göz atmamızı maskelememize izin veren açık kaynaklı bir VPN kaynağıdır..
Bunlar, güvenlik düzeyinde dikkate almamız gereken çok önemli hususlardır ve bu sefer OpenVPN yapılandırması bir ortamda Debian 8.
NotKurulum işlemine başlamadan önce belirli gereksinimlerin karşılanması önemlidir, bunlar şunlardır:
- Kök kullanıcı.
- Damlacık Debian 8, şu anda Debian 8.1'e sahibiz
1. OpenVPN nasıl kurulur
atacağımız ilk adım ortamdaki tüm paketleri güncelle komutu kullanarak:
apt-get güncellemesi
Paketler indirilip güncellendikten sonra easy-RSA kullanarak OpenVPN'i kuralım şifreleme sorunları için. Aşağıdaki komutu uygulayacağız:
apt-get install openvpn easy-rsa
Sonra OpenVPN'imizi yapılandırmalıyız, OpenVPN konfigürasyon dosyaları şu yolda saklanır: / etc / openvpn ve bunları konfigürasyonumuza eklemeliyiz, aşağıdaki komutu kullanacağız:
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz> /etc/openvpn/server.confBu dosyaları seçilen yola çıkardıktan sonra nano düzenleyiciyi kullanarak açacağız, aşağıdaki komutu uygulayacağız:
nano /etc/openvpn/server.confAşağıdaki pencereyi göreceğiz:
Bir kez biz oradayız dosyada bazı değişiklikler yapmalıyız, bu değişiklikler temel olarak:
- Sunucuyu üst düzey şifreleme ile güvence altına alma
- Hedefe web trafiğine izin ver
- DNS isteklerinin VPN bağlantısı dışında filtrelenmesini önleyin
- Kurulum izinleri
Gidiyoruz RSA anahtarının uzunluğunu iki katına çıkarın hem sunucunun hem de istemcinin anahtarları oluşturulduğunda kullanılan, bunun için dosyada aşağıdaki değerleri arayacağız ve dh1024.pem değerini dh2048.pem değeriyle değiştireceğiz:
# Diffie hellman parametreleri. # Şununla kendinizinkini oluşturun: # openssl dhparam -out dh1024.pem 1024 # # 2048 bit anahtar kullanıyorsanız, 1024 yerine 2048 yazın. dh dh1024.pem
Şimdi hadi trafiğin hedefe doğru şekilde yönlendirildiğinden emin olun, server.conf dosyasında başındaki;'yi kaldırarak "redirect-gateway def1 bypass-dhcp" push komutunu kaldıralım:
# Etkinleştirilirse, bu yönerge # tüm istemcileri varsayılan # ağ geçidini VPN üzerinden yeniden yönlendirmek üzere yapılandıracak ve bu da web'de gezinme ve # ve DNS aramaları gibi tüm IP trafiğinin # VPN üzerinden geçmesine neden olacaktır # (OpenVPN sunucu makinesinin NAT # veya bunun düzgün çalışması için ***** içindeki TUN / TAP arayüzünü internete # köprüleyin).; "yönlendirme ağ geçidi def1 baypas-dhcp" seçeneğine basın
Bir sonraki adım sunucuya DNS ad çözümlemesi için OpenDNS kullanmasını söyleyin Mümkün olduğu sürece, bu şekilde DNS isteklerinin VPN bağlantısı dışında olmasını önlemiş oluyoruz, dosyamızda aşağıdaki metni bulmalıyız:
# Windows'a özgü belirli ağ ayarları #, DNS # veya WINS sunucu adresleri gibi istemcilere iletilebilir. DİKKAT: # http://openvpn.net/faq.html#dhcpcaveats # Aşağıdaki adresler opendns.com tarafından sağlanan genel # DNS sunucularına atıfta bulunur.; "dhcp seçeneği DNS 208.67.222.222" seçeneğine basın; "dhcp seçeneği DNS 208.67.220.220" seçeneğine basınOrada "dhcp-option DNS 208.67.222.222" seçeneğinin işaretini kaldırmalı ve "dhcp-option DNS 208.67.220.220" yorumlarını kaldırarak; başlangıçtan beri.
Sonunda yapacağız izinleri tanımla Üzerinde çalıştığımız aynı dosyaya aşağıdaki metni yerleştiriyoruz:
# Windows olmayan # sistemde bunu yorumdan kaldırabilirsiniz.; kullanıcı kimse; grup nogroupİşareti kaldır işaretini kaldırmaya devam ediyoruz; metinlerin başından itibaren kullanıcı kimse Y grup nogroup.
OpenVPN'in varsayılan olarak herhangi bir parametreyi düzenlemeye izin veren kök kullanıcı olarak çalıştığını bildiğimiz gibi, son değişiklikle güvenlik nedenleriyle onu kimse kullanıcı ve grupsuz grupla sınırlayacağız.
Tuş kombinasyonunu kullanarak değişiklikleri kaydederiz:
Ctrl + O
Ve editörden şunu kullanarak çıkıyoruz:
Ctrl + X
şimdi gidiyoruz harici ağa paket iletmeyi etkinleştir, bunun için aşağıdaki komutu uygulayacağız:
yankı 1> / proc / sys / net / ipv4 / ip_forwardBu değişikliği kalıcı hale getirmeliyiz, Sistemi her başlatışımızda yapmak zorunda olduğumuzdan değil, sürekli hale getirmek için nano düzenleyiciyi kullanarak systcl dosyasına gireceğiz, bunun için aşağıdakileri uygulayacağız:
nano /etc/sysctl.confAşağıdaki pencere görüntülenecektir:
Aşağıdaki satırı bulacağız:
# IPv4 için paket iletmeyi etkinleştirmek için sonraki satırın yorumunu kaldırın # net.ipv4.ip_forward = 1NotTuş kombinasyonunu kullanarak editör aramasını kullanabileceğimizi hatırlayın:
Ctrl + W
Orada yorumun işaretini kaldıracağız net.ipv4.ip_forward = 1 # sembolü kaldırılıyor.
Atmamız gereken bir sonraki adım, UFW'yi yapılandır. UFW, ip tabloları için bir güvenlik duvarı yapılandırmasıdır, bu nedenle UFW güvenliğini değiştirmek için bazı ayarlamalar yapacağız. İlk adım olarak aşağıdaki komutu kullanarak UFW paketlerini kuracağız:
apt-get install ufw
Gerekli UFW paketleri indirilip kurulduktan sonra, UFW'yi SSH bağlantılarına izin verecek şekilde yapılandıracağız, bunun için aşağıdakileri uygulayacağız:
ufw ssh'ye izin ver
Bizim durumumuzda UDP'nin 1194 numaralı bağlantı noktası üzerinde çalışıyoruz, bu bağlantı noktasını iletişimin tatmin edici olması için yapılandırmalıyız, aşağıdakileri gireceğiz:
ufw 1194 / udp'ye izin verirNotlsof -iUDP komutunu kullanarak konsolumuzun portlarını görebiliriz.
Daha sonra bunun için UFW yapılandırma dosyasını düzenleyeceğiz, nano düzenleyici ile aşağıdaki yoldan gireceğiz:
nano / etc / varsayılan / ufwAşağıdaki pencere açılacaktır:
Orada bazı değişiklikler yapacağız, aşağıdaki satırı bulacağız, nerede DROP'u KABUL olarak değiştireceğiz.
DEFAULT_FORWARD_POLICY = "DROP"sonraki adım ağ adreslerinin çevirisi ve IP adreslerinin doğru maskelenmesi için UFW'ye bazı kurallar ekleyin bağlanan kullanıcıların sayısı. Nano düzenleyiciyi kullanarak aşağıdaki dosyayı açalım:
nano /etc/ufw/before.rulesAşağıdaki pencerenin görüntülendiğini göreceğiz:
Aşağıdaki metni ekleyeceğiz:
# OPENVPN KURALLARINI BAŞLAT # NAT tablo kuralları * nat: POSTROUTING KABUL [0: 0] # OpenVPN istemcisinden eth0'a trafiğe izin ver -A POSTROUTING -s 10.8.0.0/8 -o eth0 -j MASKERADE TAMAMLAMA # OPENVPN KURALLARINI BİTİR
Bu değişiklikleri yaptıktan sonra devam edeceğiz UFW'yi etkinleştir aşağıdaki komutu kullanarak:
ufw etkinleştir
NS güvenlik duvarı kurallarını kontrol etAşağıdaki komutu kullanıyorum:
ufw durumu
2. OpenVPN yetki sertifikası oluşturun
Sürecimizdeki bir sonraki adım, OpenVPN üzerinden oturum açmak için yetki sertifikası oluşturunOpenVPN'in trafiği şifrelemek için bu sertifikaları kullandığını hatırlayalım. OpenVPN çift yönlü sertifikayı destekler, yani istemcinin sunucu sertifikasının kimliğini doğrulaması gerekir ve bunun tersi de geçerlidir.
Aşağıdaki komutu kullanarak scriptleri easy-RSA üzerinden kopyalayacağız:
cp -r / usr / paylaşım / kolay-rsa / / etc / openvpnGidiyoruz anahtarları saklamak için bir dizin oluşturun, aşağıdaki komutu kullanacağız:
mkdir / etc / openvpn / kolay-rsa / tuşlarsonraki adım sertifika parametrelerini düzenle, aşağıdaki komutu kullanacağız:
nano / etc / openvpn / kolay-rsa / değişkenlerAşağıdaki pencere görüntülenecektir:
Aşağıdaki parametreleri gereksinimlerimize göre değiştireceğiz:
dışa aktar KEY_COUNTRY = "CO" dışa aktar KEY_PROVINCE = "BO" dışa aktar KEY_CITY = "Bogota" dışa aktar KEY_ORG = "Solvetik" dışa aktar KEY_EMAIL = "[email protected]" dışa aktar KEY_OU = "Solvetik"
Aynı dosyada aşağıdaki satırı düzenleyeceğiz:
# X509 Konu Alanı dışa aktarma KEY_NAME = "EasyRSA"Gidiyoruz EasyRSA değerini istediğiniz sunucunun adıyla değiştirin, Solvetic adını kullanacağız.
şimdi gidiyoruz Diffie-Helman parametrelerini yapılandır dhparam adı verilen OpenSSL ile entegre olarak gelen bir araç kullanarak. Aşağıdaki komutu girip uygulayacağız:
openssl dhparam -out /etc/openvpn/dh2048.pem 2048
Sertifika oluşturulduktan sonra easy-RSA dizinini değiştir komutu kullanarak:
cd / etc / openvpn / kolay-rsaGidiyoruz PKI'yi başlat, şu komutu kullanacağız:
… / Vars
Gidiyoruz diğer tuşları temizle böylece şu komutu kullanarak kuruluma müdahale etmezler:
./hepsini temizleşimdi gidiyoruz sertifikayı oluştur aşağıdaki OpenSSL komutunu kullanarak:
./build-ca
Daha önce girilen bilgilerle ilgili bir dizi soru görebileceğiz, bu şekilde sertifika oluşturuldu. Ardından, bunun için OpenVPN sunucumuzu başlatacağız. / etc / openvpn / easy-rsa yolunda bulunan dosyayı düzenleyeceğiz bizim durumumuzda Solvetic daha önce belirtilen anahtar adını kullanarak. Aşağıdaki komutu uygulayacağız:
./build-key-server Solvetic
Aşağıdaki satırlarda alanı boş bırakıp Enter'a basabiliriz:
Lütfen sertifika talebinizle birlikte gönderilecek aşağıdaki 'ekstra' özellikleri girin Bir deneme şifresi []: İsteğe bağlı bir şirket adı []:Aşağıdaki iki soruyu kabul etmek için y (evet) harfini girmemiz gereken aşağıdaki pencere görüntülenecektir: Sertifikayı imzalayın ve sertifika talebinde bulunun.
Şimdi hadi hem sertifikaları hem de anahtarları / etc / openvpn yoluna taşı, aşağıdaki komutu uygulayacağız:
cp /etc/openvpn/easy-rsa/keys/[Solvetic.crt,Solvetic.key,ca.crt} / etc / openvpnBu işlem tamamlandıktan sonra OpenVPN hizmetini başlatın komutu kullanarak:
servis openvpn başlangıcıNS durumu gör şu komutu kullanacağız:
hizmet oopenvpn durumu
Bir sonraki adımımız, VPN'ye bağlanmak isteyen istemciler için sertifika ve anahtarları oluşturmak olacaktır. İdeal olarak, güvenlik için sunucuya bağlanan her istemcinin kendi sertifikası ve anahtarı vardır., asla paylaşmayın, varsayılan olarak OpenVPN aynı sertifika ve anahtarla eşzamanlı bağlantılara izin vermez. Müşterimiz için key oluşturacağız, bunun için aşağıdaki komutu gireceğiz:
./build-key Client_Name, örneğimizde şu komutu kullanacağız: ./build-key Tests
Gerekli alanları dolduruyoruz ve ardından oluşturulan anahtarı easy-RSA dizinine kopyalayın.
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/client.ovpn.Şimdi hadi Winscp aracını ücretsiz indirin aşağıdaki bağlantıdan. Bu araç, dosyaların doğru şekilde oluşturulduğunu doğrulamak için SFTP veya FTP aracılığıyla Debian makinemize bağlanmamızı sağlayacaktır. İndirip çalıştırdıktan sonra, görebileceğimiz pencere bu olacaktır:
Buraya Debian makinesinin IP adresini giriyoruz, unutmayın ki ifconfig komutu kullanılarak IP doğrulanabilir, kimlik bilgilerini giriyoruz ve Bağlan'a tıkladığımızda aşağıdakileri görebiliyoruz:
BÜYÜT
Orada sağ tarafta tuşların ve tuşların ilgili dosyalarını görebiliriz. OpenVPN üzerinden erişmek için aracı aşağıdaki bağlantıdan indireceğiz OpenVPN sürüm 2.3.11. İndirdikten sonra, söz konusu araçta bazı değişiklikler yapmayı hesaba katmalıyız, yapacağımız ilk şey anahtar dosyaları ve anahtarları OpenVPN'in yaygın olarak kurulduğu yola kopyalamak:
C: \ Program Dosyaları \ OpenVPN \ yapılandırmaDaha sonra not defterinde veya sahip olduğumuz metin düzenleyicide aşağıdaki bilgilerle bir dosya oluşturacağız:
istemci geliştirme tun proto udp uzak 192.168.0.12 1194 anahtar client.key cert client.crt ca ca.crt auth-user-pass persist-key persist-tun comp-lzo fiil 3NotIP, Debian makinemizinki ve bağlantı noktası, daha önce gördüğümüz gibi, UDP 1194'tür.
Bu dosya .ovpn uzantısıyla kaydedilmelidir.
3. OpenVPN istemci erişim testi
OPEnVPN'i çalıştıralım ve bu kendimizi bulacağımız ortam olacaktır:
Kullanıcının kimlik bilgilerini giriyoruz bağlanmak ve üzerine tıklayın Tamam ve aşağıdakileri görebiliriz
NotBu bağlantıyı bir Windows 7 bilgisayarından yapıyoruz.
Artık bağlantının başarılı olduğunu bildirim çubuğunda görebiliriz ve yeni IP adresini görebiliriz.
Araca sağ tıklarsak (bildirim çubuğundaki simge) aşağıdaki seçeneklere sahibiz:
Buradan gerekli gördüğümüz görevleri yerine getirebiliriz. Örneğin, evet Durumu Göster'i seçiyoruz şunları göreceğiz:
4. OpenVPN güvenlik araçları']
Hiç şüphe yok ki, İnternette gezinme güvenlik sorunlarına yol açabilir virüsler, bilgi hırsızlığı, casus yazılımlar vb. gibi, bu nedenle makinemizde güvenliği artırmak için uygulayabileceğimiz bazı araçlar vardır. OpenVPN.
Hadi hakkında konuşalım Clamav Bu, Debian 8.1'deki virüslü dosyalar veya işlemler üzerinde kontrolü korumamıza yardımcı olacak güçlü bir antivirüsdür. Bilgisayarlarımızdaki Truva atlarını, kötü amaçlı yazılımları ve diğer gizli tehditleri tespit etmemizi sağlayan açık kaynaklı yazılımdır. Kurulum işlemi çok basittir, bunun için aşağıdaki komutu uygulayacağız:
Sudo apt-get install clamav
Daha sonra yürüteceğiz taze midye böylece tüm Clamav veritabanı güncellenir.
Makinede bir tarama yapmak için aşağıdaki sözdizimini gireceğiz:
Clamscan -enfekte -remove -recursive / homeBir süre sonra tarama görevinin bir özetini göreceğiz:
Güvenliğimizi artırmak için kullanabileceğimiz bir diğer araç ise ayrıcalık bir web proxy'si olarak çalışır ve diğerleri arasında gizliliği korumak, çerezleri yönetmek, erişimi kontrol etmek, reklamları kaldırmak için gelişmiş işlevler içerir. Debian 8.1 sistemimize kurmak için aşağıdaki komutu uygulayacağız:
Sudo apt-get kurulum ayrıcalığı
Kök kullanıcılarıysak, sudo'nun gerekli olmadığını unutmayın. Tüm Privoxy paketleri indirilip kurulduktan sonra, konfigürasyon dosyasındaki bazı parametreleri değiştireceğiz, bunun için aşağıdaki komutu uygulayacağız:
Sudo nano / etc / privoxy / yapılandırmaAşağıdakiler görüntülenecektir:
Orada hattı bulmalıyız dinleme adresi localhost: 8118 ve 2 parametre eklemeliyiz, önce bu satırın başına # sembolünü ekleyin ve altına listen-address ip_of_nour machine: 8118 terimini girin, bizim durumumuzda:
dinleme adresi 192.168.0.10:8118.Bu yapıldıktan sonra, aşağıdakileri kullanarak hizmeti yeniden başlatacağız:
sudo /etc/init.d/privoxy yeniden başlatma
Ardından, Debian'da bulunan tarayıcımıza gidip Proxy parametrelerini değiştirmeye devam ediyoruz, eklediğimiz IP'nin ve bağlantı noktasının 8118 olduğunu onaylamamız gerekiyor. Örneğimizde IceWeasel kullanıyoruz ve şunu girmeliyiz:
- tercihler
- Gelişmiş
- Ağ
- Bağlantı kurulumu
- Manuel proxy yapılandırması
Yapılandırıldıktan sonra Tamam'a tıklıyoruz. Şimdi nasıl olduğunu görebiliriz Privoxy güvenlik konusunda bize yardımcı oluyor:
OpenVPN'imizi kullanarak gezinmeyi iyileştirmemize yardımcı olabilecek başka araçlar da var, uygulayabiliriz:
DnsmasqBize DNS hizmetleri sağlıyor, bu şekilde sadece DNS önbelleğini kullanıyoruz.
HAVPBu araçla antivirüslü bir proxy'miz var, virüs veya bazı garip davranışlar aramak için tüm trafiği tarar.
Gördüğümüz gibi, navigasyonumuz üzerinde kontrol sağlamamıza yardımcı olacak önlemler almak ve navigasyonun doğru çalışmasının çok açık olması çok önemlidir. Debian 8.1
Çoğumuz yönetici, koordinatör veya BT alanından sorumlu kişiler olduğumuz için Debian 8.1'in bize sunduğu tüm harika faydaları keşfetmeye ve ortamımızı iyileştirmeye devam edelim ve bu ipuçları günden güne daha kolay ve olasılıklarla başa çıkmamıza yardımcı olur. gelecekte büyük bir baş ağrısı olabilecek kritik problemler yaşamamak.
LAMP'yi Debian 8'e yükleyin