W ostatnim artykule na naszym blogu, opisaliśmy w jaki sposób należy zadbać o bezpieczeństwo swojej infrastruktury wirtualnej VPS, uruchomionej na przykład w naszym centrum danych. Skupiliśmy się w artykule na kwestii bezpieczeństwa oraz sposobu połączenia użytkowników końcowych do serwerów wirtualnych VPS z systemem Windows Server lub Linux, znajdujących się za zaporą sieciową, firewallem, – tzw. bramą.
W tym artykule opiszemy w jaki sposób można połączyć własną istniejącą sieć LAN, np. w biurze, poprzez bezpieczne szyfrowane połączenie przez Internet (sieć WAN) z serwerami wirtualnymi VPS zlokalizowanymi w naszym centrum danych.
Chcę połączyć swoją sieć wewnętrzną z infrastrukturą wirtualną serwerów VPS, co mam zrobić?
O ile w większości przypadków, rozwiązanie przedstawione w poprzednim artykule oparte na utworzeniu dostępów VPN SSL do serwera dla każdego użytkownika z osobna sprawdza się znakomicie w określonym scenariuszu, tak w niektórych wdrożeniach może być niewystarczające.
Jeżeli w biurze lub dowolnej innej lokalizacji znajduje się drukarka fiskalna, czytnik kodów albo inne urządzenie podłączane do sieci LAN, które musi mieć dostęp do serwera wirtualnego VPS, np. z zainstalowanym systemem ERP, a nie ma możliwości uruchomienia na takim urządzeniu połączenia VPN z wykorzystaniem certyfikatów VPN SSL, np. za pomocą serwera OpenVPN dointegrowanego do bramy OPNsense, lub inna usługa VPN została już wdrożona i nie zamierzamy dodawać kolejnej, komplikując konfigurację sieciową, istnieje możliwość utworzenia połączenia tunelowego pomiędzy swoją własną infrastrukturą (siecią LAN) a zdalną bramą OPNsense, poprzez protokół IPSec albo konfigurację serwera OpenVPN w trybie site-to-site. W zależności jaka technologia będzie preferowana lub co będzie obsługiwane przez nasze urządzenie w sieci LAN, wykorzystać można IPsec albo szyfrowany tunel site-to-site, pozostawiając niezmienioną adresację LAN.
IPSec
Protokół IPSec jest to rozwiązanie obsługiwane przez znaczącą większość urządzeń, przez co jest jednym z najpopularniejszych sposobów na zestawienie połączeń tunelowych pomiędzy dwiema lokalizacjami. Dodatkową zaletą tego rozwiązania jest możliwość szyfrowania transmisji, dzięki czemu ryzyko nieautoryzowanego dostępu jest znacząco minimalizowane lub w praktyce nieautoryzowany dostęp do sieci jest bardzo trudny do wykonania. Ponadto konfiguracja połączenia IPSec jest stosunkowo prosta, co pozwala na jego skonfigurowanie nawet niezaawansowanym użytkownikom.
Istnieje jednak możliwość, iż protokół ten mimo swojego szerokiego wdrożenia, na różnych urządzeniach może działać w inny sposób, przez co niewykluczone są problemy z jego wdrożeniem. Dodatkowo opcje szyfrowania dostępne w tym rozwiązaniu są dosyć ograniczone, przez co jest to dobre rozwiązanie dla niewrażliwych danych, bądź wdrożeń które nie wymagają mocnego szyfrowania transmisji.
Openvpn site-to-site
Rozwiązaniem, które umożliwia zestawienie połączenia Site-to-Site dostępnym w OPNsense jest serwer OpenVPN. Poza niewątpliwą zaletą, iż jest to rozwiązanie Open Source, oferuje on duży wybór algorytmów szyfrujących oraz możliwość generowania profili połączenia wykorzystujących certyfikaty SSL/TLS. Kolejną zaletą jest możliwość wybrania typu transmisji (TCP/UDP) oraz dogodnego dla nas portu na zaporze sieciowej do komunikacji a ponadto umożliwia praktycznie nieograniczoną możliwość konfiguracji. Dodatkowymi atutami są także duża baza wiedzy oraz mocne wsparcie społeczności, które pozwalają na względnie szybkie wdrożenie VPN w formie site-to-site (S2S). Dzięki takiemu zestawowi funkcjonalności, jest to rozwiązanie preferowane przez NSIX Data Center we wszystkich scenariuszach zakładających bramę SDN / Firewall na serwerze VPS oraz VPN w formie S2S.
Należy pamiętać, że z wysokim poziomem zabezpieczeń, wiąże się wysokie zużycie zasobów, głównie procesora na obliczenia związane z szyfrowaniem. Jednak takowy problem można rozwiązać dzięki możliwości skalowania serwerów wirtualnych VPS z naszej oferty G2, poprzez dodanie kolejnych rdzeni vCPU. Wystarczy skontaktować się z naszym działem wsparcia technicznego aby ustalić nowy plan oraz moment zwiększenia ilości rdzeni.
Konfiguracja
Jeżeli użytkownik jest w stanie wykonać konfigurację tunelu VPN S2S we własnym zakresie, może tego dokonać za pomocą przystępnego GUI bramy OPNsense które przeprowadzi go przez kreator konfiguracji. (Podlinkowane, tak samo jak wyżej mogę jeszcze zrobić drugi art. o samej konfiguracji VPN i dodać drugi link) Jeżeli jednak konfiguracja VPN ma zostać wykonana przez specjalistów, nasze wsparcie techniczne Premier Support obejmuje tego typu usługi Dzięki niej, nasi technicy zajmą się wdrożeniem danego rozwiązania, biorąc pod uwagę wymagania sprzętowe oraz zabezpieczenie całego środowiska serwerowego VPS.