एक हफ्ते पहले,
ruvpn.net पर नई IPSec वीपीएन-ऑन-डिमांड सेवा का कार्यात्मक बीटा परीक्षण शुरू किया गया था। मैं आपको लेख के अंत में परिणामों के बारे में बताऊंगा, लेकिन अब परियोजना के बारे में पूरी जानकारी। अब Apple iOS पर आधारित उपकरणों के लिए IPSec VPN का पहला चरण है।
कई समान समाधान हैं, एक और करने की बात क्या है? सब कुछ काफी सरल है - इसी तरह के निर्णय नेटवर्क विशेषज्ञों द्वारा किए गए थे। यह समाधान नेटवर्क सुरक्षा विशेषज्ञों और डिजिटल प्रमाणपत्रों द्वारा कार्यान्वित किया जाता है। बहुत बड़ी वित्तीय कंपनियों के साथ काम करने के अनुभव का उपयोग किया गया, सूचना सुरक्षा के क्षेत्र में कॉर्पोरेट प्रौद्योगिकियों का विस्तार से अध्ययन किया गया।
इस ज्ञान ने विचार को प्रेरित किया - क्या होगा यदि हम कॉर्पोरेट क्षेत्र से सर्वश्रेष्ठ लेते हैं और इसे सामान्य उपयोगकर्ताओं के लिए लागू करने का प्रयास करते हैं? विशेष रूप से, आप एक नई सेवा को तैनात करते समय कॉर्पोरेट वीपीएन तकनीक का उपयोग कर सकते हैं।
परिणामस्वरूप, आप इस तरह के समाधान के सभी लाभ प्राप्त कर सकते हैं:
- डिवाइस पर स्वचालित वीपीएन सेटअप,
- डिजिटल प्रमाणपत्रों पर आधारित प्राधिकरण,
- डिवाइस की किसी भी नेटवर्क गतिविधि (वीपीएन-ऑन-डिमांड) के लिए स्वचालित वीपीएन कनेक्शन।
निजी कुंजी उत्पन्न होती है और सीधे डिवाइस पर संग्रहीत की जाती है, वीपीएन मापदंडों के साथ प्रोफ़ाइल को एन्क्रिप्ट किया गया है, एससीईपी प्रोटोकॉल का उपयोग करके प्रमाण पत्र जारी किए जाते हैं। उन उपयोगकर्ताओं के लिए एक आदर्श समाधान जो अपने मोबाइल डिवाइस के कनेक्शन की सुरक्षा के बारे में गंभीर रूप से चिंतित हैं।
इन सभी फायदों की कीमत काफी अधिक है। समाधान के नेटवर्क घटक के अलावा, प्राधिकरण मॉड्यूल के साथ वीपीएन सर्वर, एक पूर्ण सार्वजनिक कुंजी बुनियादी ढांचे (पीकेआई) को तैनात करना आवश्यक था। इसमें रूट के लिए प्रोफाइल बनाना और सर्टिफिकेशन अथॉरिटीज जारी करना, सर्वर और क्लाइंट सर्टिफिकेट शामिल हैं; प्रमाणीकरण अधिकारियों की तैनाती OCSP को कॉन्फ़िगर करना और निरस्तीकरण पत्रक (CRLs) जारी करना एक एपीआई के माध्यम से जारी करने वाले सीए से कनेक्ट करें।
Apple iOS चलाने वाले उपकरणों के लिए प्रोफ़ाइल को स्वचालित रूप से वितरित करने के लिए, एक विशेष एप्लिकेशन सर्वर विकसित किया गया है जो XML पर https के माध्यम से डिवाइस के साथ इंटरैक्ट करता है।
प्रयुक्त सॉफ्टवेयर और हार्डवेयर समाधाननतीजतन, निम्नलिखित घटकों का उपयोग करके एक बड़ा ज्वालामुखी समाधान प्राप्त किया गया था:
- फ्रंट-एंड के रूप में नेग्नेक्स,
- PostgreSQL DBMS
- प्राधिकरण सर्वर FreeRadius,
- EJBCA प्रमाणन प्राधिकरण,
- IPSec वीपीएन सर्वर StrongSWAN,
- पूर्ण पाठ स्फिंक्स खोज।
- वर्चुअलाइजेशन Proxmox क्लस्टर पर आधारित है,
- एप्लिकेशन सर्वर जावा में लिखा गया है,
- स्काला द्वारा विकसित वेब सर्वर।
इसके अतिरिक्त कॉन्फ़िगर मेल सर्वर, DNS, यह सब Zabbix निगरानी प्रणाली का उपयोग करके नियंत्रित किया जाता है।
ऑपरेटिंग सिस्टम: डेबियन 6.0 और फ्रीबीएसडी 9.0।
आधुनिक स्टार्टअप के लिए विशिष्ट सॉफ्टवेयर विकल्प।
अधिकतम कॉन्फ़िगरेशन में पांचवीं पीढ़ी के एचपी प्रोलिएंट DL360 और DL380 सर्वर का उपयोग किया जाता है। सभी सिस्को नेटवर्क उपकरण। क्लस्टर में 100% हार्डवेयर अतिरेक है, आभासी मशीनों को आईएलओ बाड़ लगाने का उपयोग करके उच्च-एवियलीबिलिटी मोड में कॉन्फ़िगर किया गया है।
मुझे काम करना था ताकि मेरी आँखें इसे बर्दाश्त न कर सकें, और मेरा सिर गुलजार था। योजना, विकास और कार्यान्वयन में लगभग आधा साल लगा। मैं तुरंत जवाब दूंगा - परियोजना में निवेशक नहीं थे, सब कुछ व्यक्तिगत रूप से किया जाना था या हमारे स्वयं के खर्च पर आदेश दिया गया था। यह परियोजना पेचेक से पेचेक तक चली गई। मुझे अपनी वर्तमान नौकरी पर भी काम करना था, इसलिए विकास ज्यादातर रात में हुआ। यह कठिन है, लेकिन सहने योग्य है। अपने काम के परिणामों को महसूस करना इसके लायक है। अंत में, कुछ हुआ, जिसे ruVPN कहा जाता है। वह रूसी वीपीएन है। यह इंटरनेट पर सेंसरशिप के खिलाफ है, सिर्फ सुरक्षा के लिए बेतुके प्रतिबंध और सूचियों के खिलाफ।
परियोजना के पहले चरण के लिए एक मंच के रूप में, Apple iOS पर आधारित उपकरणों को चुना गया था, ये iPhone, iPad, iPod टच हैं। वे प्रोफाइल डाउनलोड करने और वीपीएन के स्वचालित कनेक्शन की तकनीक का पूरी तरह से समर्थन करते हैं।
जैसा कि मैंने लेख की शुरुआत में लिखा था, एक हफ्ते पहले सेवा के कार्यात्मक परीक्षण की घोषणा की गई थी। पहले तीस मिनट में सभी तीस मुक्त निमंत्रण का उपयोग किया गया था। सभी परीक्षण प्रतिभागियों के लिए धन्यवाद, कई छोटी त्रुटियां पाई गईं और उन्हें ठीक किया गया। अब हमें फिर से समुदाय की मदद की जरूरत है। सेवा का लोड परीक्षण पढ़ा जा रहा है। इसका मतलब है कि आपको भारी भार का सामना करने के लिए समाधान की क्षमता का परीक्षण करने की आवश्यकता है। क्लासिक
Habraffect की आवश्यकता है !
मैं iPhone, iPad के सभी मालिकों से भाग लेने के लिए कहता हूं।
लिंक का पालन
करें और सिस्टम में रजिस्टर करें। वीपीएन प्रोफाइल को वीपीएन-ऑन-डिमांड कॉन्फ़िगरेशन में डिवाइस पर स्थापित किया जाएगा। उसके बाद, आप हमेशा की तरह अपने मोबाइल डिवाइस का उपयोग कर सकते हैं, जबकि सभी ट्रैफ़िक को एक सुरक्षित चैनल के माध्यम से नॉर्वे में सर्वरों में और फिर अनुरोधित संसाधन में प्रेषित किया जाएगा। परीक्षण के दौरान, एसएमएस के माध्यम से प्रोफ़ाइल वितरण अक्षम है, लिंक केवल ईमेल द्वारा प्राप्त किया जा सकता है। प्रोफाइल का लिंक वैध है 24 घंटे सफारी ब्राउज़र में खुलने चाहिए, अन्यथा सिस्टम प्रोफाइल के साथ फाइल नहीं उठाएगा।
यह सलाह दी जाती है कि सोमवार 27 मई तक वीपीएन को डिस्कनेक्ट न करें, उदाहरण के लिए, पूरी तरह से चैनल का उपयोग करने का प्रयास करें, वीडियो देखें। सोमवार की रात, प्रोफ़ाइल स्वचालित रूप से मोबाइल डिवाइस से हटा दी जाएगी।
यदि आपको वीपीएन को अस्थायी रूप से अक्षम करने की आवश्यकता है, तो सेटिंग्स - जनरल - वीपीएन - आरएवीपीएन आईपीएससी पर जाएं और ऑन-डिमांड स्लाइडर को
ऑफ स्थिति में स्थानांतरित करें।
इस निमंत्रण कोड (
HabrHLtest ) के लिए पंजीकरण की संख्या
500 तक सीमित है। कोई भी प्रतिभागी
व्यक्तिगत खाते से परीक्षा में शामिल होने के लिए अधिकतम दस दोस्तों को आमंत्रित कर सकेगा।
टेस्ट में शामिल हों!