ОпенВПН је несумњиво најбољи начин да се безбедно придружите мрежи путем интернета, ОпенВПН је отворени извор ВПН извора који нам као корисницима омогућава да маскирамо своје прегледавање како бисмо избегли да будемо жртве на мрежи.
Ово су веома важни аспекти на нивоу безбедности које морамо узети у обзир и овог пута ћемо анализирати процес Конфигурација ОпенВПН у окружењу Дебиан 8.
БелешкаПре започињања процеса инсталације важно је испунити одређене захтеве, а то су:
- Роот корисник.
- Дроплет Дебиан 8, тренутно имамо Дебиан 8.1
1. Како инсталирати ОпенВПН
Први корак који ћемо предузети је ажурирајте све пакете у окружењу помоћу команде:
апт-гет упдате
Када се пакети преузму и ажурирају хајде да инсталирамо ОпенВПН користећи еаси-РСА за проблеме са шифровањем. Извршићемо следећу команду:
апт-гет инсталл опенвпн еаси-рса
Онда морамо да конфигуришемо наш ОпенВПН, конфигурационе датотеке ОпенВПН се чувају на следећој путањи: / етц / опенвпн и морамо их додати у нашу конфигурацију, користићемо следећу команду:
гунзип -ц /уср/схаре/доц/опенвпн/екамплес/сампле-цонфиг-филес/сервер.цонф.гз> /етц/опенвпн/сервер.цонфНакон што смо издвојили ове датотеке на изабраној путањи, отворићемо их помоћу нано уређивача, извршићемо следећу команду:
нано /етц/опенвпн/сервер.цонфВидећемо следећи прозор:
Кад смо већ тамо морамо унети неке измене у датотеку, ове промене су у основи:
- Заштита сервера шифровањем на високом нивоу
- Дозволите веб саобраћај до одредишта
- Спречите филтрирање ДНС захтева изван ВПН везе
- Дозволе за инсталацију
Ми идемо на удвостручите дужину РСА кључа који се користи када се генеришу кључеви и сервера и клијента, за ово ћемо претражити датотеку за следеће вредности и променићемо вредност дх1024.пем за вредност дх2048.пем:
# Диффие хеллман параметри. # Генеришите своје помоћу: # опенссл дхпарам -оут дх1024.пем 1024 # Замените 2048 за 1024 ако користите # 2048 битне кључеве. дх дх1024.пем
Хајде сада уверите се да је саобраћај правилно преусмерен на одредиште, хајде да откоментирамо и притиснемо „редирецт-гатеваи деф1 бипасс-дхцп“ уклањањем; на почетку. у датотеци сервер.цонф:
# Ако је омогућено, ова директива ће конфигурисати # све клијенте да преусмере свој подразумевани # мрежни пролаз кроз ВПН, узрокујући да # сав ИП саобраћај, попут прегледавања веба и # и тражења ДНС -а, прође кроз ВПН # (машина ОпенВПН сервера ће можда морати НАТ # или пребаците ТУН / ТАП интерфејс на интернет # у ***** да би ово исправно радило). ; притисните "редирецт-гатеваи деф1 бипасс-дхцп"
Следећи корак ће бити реците серверу да користи ОпенДНС за решавање имена ДНС -а Све док је то могуће, на овај начин избегавамо да ДНС захтеви буду изван ВПН везе, морамо да лоцирамо следећи текст у нашој датотеци:
# Одређена мрежна подешавања специфична за Виндовс # могу се проследити клијентима, као што су ДНС # или ВИНС адресе сервера. ЦАВЕАТ: # хттп://опенвпн.нет/фак.хтмл#дхцпцавеатс # Доле наведене адресе се односе на јавне # ДНС сервере које пружа опенднс.цом. ; пусх "дхцп-оптион ДНС 208.67.222.222"; пусх "дхцп-оптион ДНС 208.67.220.220"Тамо морамо поништити ознаку пусх "дхцп-оптион ДНС 208.67.222.222" и притиснути "дхцп-оптион ДНС 208.67.220.220" коментаре уклањањем; Од почетка.
Коначно хоћемо дефинишу дозволе У исту датотеку на којој радимо стављамо следећи текст:
# Ово можете коментарисати на # системима који нису Виндовс. ; усер нободи; гроуп ногроупНастављамо да уклањамо ознаку за уклањање знака; од почетка текстова корисник нико И група ногроуп.
Као што знамо, ОпенВПН се подразумевано покреће као роот корисник који дозвољава уређивање било ког параметра, а последњом променом ћемо га ограничити на никога корисника и групу без групе из безбедносних разлога.
Спремамо промене помоћу комбинације тастера:
Цтрл + О.
Уредник остављамо користећи:
Цтрл + Кс
Сада ћемо омогућити прослеђивање пакета на спољну мрежу, за ово ћемо извршити следећу команду:
ецхо 1> / проц / сис / нет / ипв4 / ип_форвардМорамо ову промену учинити трајном, а не да то морамо чинити сваки пут када покренемо систем, да бисмо га учинили непрекидним, ми ћемо унијети датотеку систцл помоћу нано уређивача, за то ћемо извршити сљедеће:
нано /етц/сисцтл.цонфПриказаће се следећи прозор:
Пронаћи ћемо следећу линију:
# Декоментирајте следећи ред да бисте омогућили прослеђивање пакета за ИПв4 # нет.ипв4.ип_форвард = 1БелешкаПодсјетимо се да можемо користити уређивачку претрагу комбинацијом тастера:
Цтрл + В
Тамо ћемо скинути ознаку са коментара нет.ипв4.ип_форвард = 1 уклањање симбола #.
Следећи корак који морамо да предузмемо је конфигуришите УФВ. УФВ је конфигурација заштитног зида за ип таблице, стога ћемо направити нека прилагођавања како бисмо промијенили сигурност УФВ -а. Као први корак инсталираћемо УФВ пакете помоћу следеће команде:
апт-гет инсталл уфв
Након што се потребни УФВ пакети преузму и инсталирају, конфигурисаћемо УФВ да дозволи ССХ везе, за то ћемо извршити следеће:
уфв дозволити ссх
У нашем случају радимо на порту 1194 УДП -а, морамо конфигурирати овај порт да би комуникација била задовољавајућа, унијет ћемо сљедеће:
уфв дозволити 1194 / удпБелешкаПортове наше конзоле можемо видети помоћу команде лсоф -иУДП
Затим ћемо уредити УФВ конфигурацијску датотеку за коју ћемо унети са нано уређивачем на следећој путањи:
нано / етц / дефаулт / уфвОтвориће се следећи прозор:
Ту ћемо направити неке промене, лоцираћемо следећи ред, где променићемо ДРОП у АЦЦЕПТ.
ДЕФАУЛТ_ФОРВАРД_ПОЛИЦИ = "ДРОП"Следећи корак је додајте нека правила у УФВ за превод мрежних адреса и исправно маскирање ИП адреса корисника који се повезују. Отворимо следећу датотеку помоћу нано уређивача:
нано /етц/уфв/бефоре.рулесВидећемо да се приказује следећи прозор:
Додаћемо следећи текст:
# СТАРТ ОПЕНВПН ПРАВИЛА # НАТ табеларна правила * нат: ПОСТРОУТИНГ АЦЦЕПТ [0: 0] # Дозволи саобраћај са ОпенВПН клијента на етх0 -А ПОСТРОУТИНГ -с 10.8.0.0/8 -о етх0 -ј МАСКУЕРАДЕ ЦОММИТ # ЕНД ОПЕНВПН ПРАВИЛА
Након што унесемо ове измене, наставићемо омогућити УФВ помоћу следеће команде:
уфв енабле
До проверите правила ватрогасацаКористим следећу команду:
статус уфв
2. Креирајте ОпенВПН овлашћење
Следећи корак у нашем процесу је креирајте сертификат овлашћења за пријављивање путем ОпенВПН -аСјетимо се да ОпенВПН користи ове цертификате за шифрирање промета. ОпенВПН подржава двосмерну сертификацију, односно клијент мора да потврди аутентичност сертификата сервера и обрнуто.
Копираћемо скрипте преко еаси-РСА-а помоћу следеће команде:
цп -р / уср / схаре / еаси -рса / / етц / опенвпнМи идемо на направите директоријум за чување кључева, користићемо следећу команду:
мкдир / етц / опенвпн / еаси-рса / кеисСледећи корак је уредите параметре сертификата, користићемо следећу команду:
нано / етц / опенвпн / еаси-рса / варсПриказаће се следећи прозор:
Изменићемо следеће параметре према нашим захтевима:
екпорт КЕИ_ЦОУНТРИ = "ЦО" извоз КЕИ_ПРОВИНЦЕ = "БО" извоз КЕИ_ЦИТИ = "Богота" извоз КЕИ_ОРГ = "Солветиц" извоз КЕИ_ЕМАИЛ = "јохнмариодукуе@хотмаил.цом" извоз КЕИ_ОУ = "Солветиц"
У истој датотеци ћемо уредити следећи ред:
# Кс509 Извоз поља поља КЕИ_НАМЕ = "ЕасиРСА"Ми идемо на промените вредност ЕасиРСА у назив сервера који желите, користићемо назив Солветиц.
Сада ћемо конфигуришите Диффие-Хелманове параметре помоћу алата интегрисаног са ОпенССЛ -ом који се зове дхпарам. Унећемо и извршити следећу команду:
опенссл дхпарам -оут /етц/опенвпн/дх2048.пем 2048
Када се сертификат генерише, ми ћемо промените директоријум еаси-РСА помоћу команде:
цд / етц / опенвпн / еаси-рсаМи идемо на иницијализујте ПКИ, користићемо команду:
… / Варс
Ми идемо на обришите остале тастере тако да не ометају инсталацију помоћу наредбе:
./цлеан-аллСада ћемо изградити сертификат помоћу следеће ОпенССЛ команде:
./буилд-ца
Моћи ћемо да видимо низ питања која се односе на претходно унете податке, на овај начин је генерисан сертификат. Затим ћемо за ово покренути наш ОпенВПН сервер Изменићемо датотеку која се налази на путањи / етц / опенвпн / еаси-рса користећи претходно наведено име кључа, у нашем случају Солветиц. Извршићемо следећу команду:
./буилд-кеи-сервер Солветиц
У доњим редовима можемо оставити празан простор и притиснути Ентер:
Молимо унесите следеће „додатне“ атрибуте које ћете послати са захтевом за сертификат. Лозинка за изазов []: Опционални назив компаније []:Приказаће се следећи прозор где морамо да унесемо слово и (да) да бисмо прихватили следећа два питања: Потпишите сертификат и затражите сертификате.
Хајде сада преместите сертификате и кључеве на / етц / опенвпн путању, извршићемо следећу команду:
цп /етц/опенвпн/еаси-рса/кеис/[Солветиц.црт,Солветиц.кеи,ца.црт}/етц/опенвпнКада се овај процес заврши, ми ћемо покрените услугу ОпенВПН помоћу команде:
сервис опенвпн стартДо погледајте статус користићемо команду:
статус оопенвпн статус
Наш следећи корак биће креирање сертификата и кључева за клијенте који се желе повезати на ВПН. Идеално, ради безбедности, сваки клијент који се повеже са сервером има свој сертификат и кључ, никада га не делите, подразумевано ОпенВПН не дозвољава истовремене везе са истим сертификатом и кључем. Креираћемо кључ за нашег клијента, за то ћемо унети следећу команду:
./буилд-кеи Цлиент_Наме, у нашем примеру ћемо користити следећу команду: ./буилд-кеи Тестови
Попуњавамо обавезна поља и онда ћемо копирајте генерисани кључ у директоријум еаси-РСА.
цп /уср/схаре/доц/опенвпн/екамплес/сампле-цонфиг-филес/цлиент.цонф /етц/опенвпн/еаси-рса/кеис/цлиент.овпн.Хајде сада бесплатно преузмите алат Винсцп са доње везе. Овај алат ће нам омогућити да се преко СФТП -а или ФТП -а повежемо са нашом Дебиан машином како бисмо проверили да ли су датотеке правилно креиране. Када га преузмемо и извршимо, ово ће бити прозор који можемо видети:
Тамо уносимо ИП адресу Дебиан машине. Упамтите да се ИП може потврдити помоћу команде ифцонфиг, уносимо акредитиве и када кликнемо на дугме Повежи, можемо видети следеће:
ЕНЛАРГЕ
Тамо са десне стране можемо видети одговарајуће датотеке кључева и кључева. За приступ путем ОпенВПН -а преузећемо алат са следеће везе ОпенВПН верзија 2.3.11. Након што га преузмемо, морамо узети у обзир неке промјене у наведеном алату, прва ствар коју ћемо учинити је копирати кључне датотеке и кључеве на путању на којој је ОпенВПН обично инсталиран:
Ц: \ Програм Филес \ ОпенВПН \ цонфигКасније ћемо креирати датотеку у бележници или уређивачу текста коју имамо са следећим подацима:
цлиент дев тун протокол удп ремоте 192.168.0.12 1194 кључ цлиент.кеи церт цлиент.црт ца ца.црт аутх-усер-пасс персист-кеи персист-тун цомп-лзо глагол 3БелешкаИП је адреса наше Дебиан машине, а порт је, као што смо раније видели, УДП 1194.
Ова датотека мора бити сачувана са наставком .овпн.
3. ОпенВПН тест приступа клијенту
Покренимо ОПенВПН и ово ће бити окружење у којем ћемо се наћи:
Уносимо акредитиве корисника да бисте се повезали и кликните на Добро и можемо видети следеће
БелешкаОву везу остварујемо са рачунаром са оперативним системом Виндовс 7.
Сада на траци са обавештењима можемо видети да је веза успела и можемо видети нову ИП адресу.
Ако десним тастером миша кликнемо на алатку (икона на траци са обавештењима), имамо следеће опције:
Одавде можемо извршавати задатке које сматрамо неопходним. На пример, да бирамо Прикажи статус видећемо следеће:
4. Безбедносни алати ОпенВПН ']
Нема сумње да је Претраживање Интернета може довести до сигурносних проблема као што су вируси, крађа информација, шпијунски софтвер итд., из тог разлога постоје неки алати које можемо применити за побољшање безбедности на нашој машини када се ОпенВПН.
Хајде да разговарамо о Цламав који је моћан антивирус који ће нам помоћи да задржимо контролу над зараженим датотекама или процесима у нашем Дебиан 8.1. То је софтвер отвореног кода који нам омогућава откривање тројанаца, злонамерног софтвера и других латентних претњи на нашим рачунарима. Процес инсталације је врло једноставан, за ово ћемо извршити следећу команду:
Судо апт-гет инсталл цламав
Касније ћемо извршити фресхцлам тако да се ажурира цела база података Цламав.
Да бисмо покренули скенирање на машини, унећемо следећу синтаксу:
Шкољке -заражене -уклонити -рекурзивне / кућиНакон неког времена видећемо резиме задатка скенирања:
Још један алат који можемо користити за побољшање своје безбедности је Привоки који ради као веб прокси и укључује напредне функције за заштиту приватности, управљање колачићима, контролу приступа, уклањање огласа, између осталих. Да бисмо га инсталирали на наш систем Дебиан 8.1, извршићемо следећу команду:
Судо апт-гет инсталл привоки
Запамтите да ако смо роот корисници, судо није неопходан. Након што су сви Привоки пакети преузети и инсталирани, ми ћемо изменити неке параметре у његовој конфигурацијској датотеци, за то ћемо извршити следећу команду:
Судо нано / етц / привоки / цонфигПриказаће се следеће:
Тамо морамо лоцирати линију адреса за слушање лоцалхост: 8118 и морамо додати 2 параметра, прво додати симбол # на почетку овог реда и испод њега унети израз адреса-адреса ип_оф_ноур машине: 8118, у нашем случају то је:
адреса за слушање 192.168.0.10:8118.Када се ово уради, поново ћемо покренути услугу користећи:
судо /етц/инит.д/привоки рестарт
Затим идемо у прегледач који имамо у Дебиану и настављамо са изменом Проки параметара, морамо потврдити да је ИП тај који смо додали и да је порт 8118. У нашем примеру користимо ИцеВеасел и морамо унети:
- преференције
- Адванцед
- Нет
- Подешавање везе
- Ручна конфигурација прокија
Када смо конфигурисани, кликните на ОК. Сада можемо видети како Привоки нам помаже у безбедности:
Постоје и други алати који нам могу помоћи да побољшамо навигацију помоћу нашег ОпенВПН -а, које можемо применити:
ДнсмаскПружа нам ДНС услуге на овај начин, ми користимо само ДНС кеш меморију.
ХАВППомоћу овог алата имамо проки са антивирусом, он скенира сав промет у потрази за вирусима или неким чудним понашањем.
Као што видимо, веома је важно предузети мере које нам помажу да задржимо контролу над нашом навигацијом и бити врло јасни да је исправан рад Дебиан 8.1
Наставимо с истраживањем свих великих предности које нам нуди Дебиан 8.1 и побољшајмо наше окружење јер смо многи од нас администратори, координатори или људи задужени за ИТ област, а ови савјети нам помажу да се лакше носимо са даном и са могућношћу да у будућности неће имати критичних проблема који могу бити велика главобоља.
Инсталирајте ЛАМП на Дебиан 8