GH GambleHub

VPN tunelləri və kanal şifrələmə

Qısa xülasə

VPN (Virtual Private Network) - təhlükəsiz olmayan şəbəkə (adətən İnternet) üzərində təhlükəsiz kanal yaratmağa imkan verən texnologiyalar toplusudur. Əsas məqsədlər: məxfilik (şifrələmə), bütövlük (mesajların identifikasiyası), orijinallıq (qovşaqların/istifadəçilərin qarşılıqlı identifikasiyası) və əlçatanlıq (uğursuzluqlara və kilidlərə davamlılıq). Korporativ infrastrukturda VPN site-to-site, uzaqdan giriş, buludlararası əlaqə və xidmət-k-xidməti (machine-to-machine) ssenarilərini bağlayır. Müasir təcrübə - «düz» L3 şəbəkələrini minimuma endirmək və seqmentləşdirmə, ən kiçik imtiyazlar prinsipi və tədricən Zero Trust-a keçid tətbiq etmək.

Əsas anlayışlar

Tunelləşdirmə - şəxsi ünvan planını və siyasətləri ictimai şəbəkə vasitəsilə «daşımağa» imkan verən bir protokolun paketlərinin digərinə (məsələn, UDP daxilində IP) daxil edilməsi.
Şifrələmə - trafikin məzmununun qorunması (AES-GCM, ChaCha20-Poly1305).
Autentifikasiya - qovşaqların/istifadəçilərin orijinallığının təsdiqi (X.509, PSK, SSH-açar sertifikatları).
Bütövlük - saxtakarlıqdan qorunma (HMAC, AEAD).
PFS (Perfect Forward Secrecy) - sessiya açarları uzunmüddətli açarlardan çıxarılmır; uzunmüddətli açarın güzəşti keçmiş sessiyaları açıqlamır.

Tipik ssenarilər

1. Site-to-Site (L3): ofis, məlumat mərkəzi/bulud; adətən IPsec/IKEv2, statik və ya dinamik router.
2. Remote Access (User-to-Site): noutbuk/mobil işçilər; OpenVPN/WireGuard/IKEv2, MFA, split/full-tunnel.
3. Hub-and-Spoke: bütün filiallar mərkəzi hub (on-prem və ya Cloud Transit).
4. Mesh: filialların/mikrodatasentlərin tam şəbəkəsi (dinamik marşrut + IPsec).
5. Cloud-to-Cloud: buludlararası kanallar (IPsec-tunellər, Cloud VPN/Transit Gateway, SD-WAN).
6. Service-to-Service: klaster/neyspeys (CNI/SD-WAN-da WireGuard, IPsec, xidmət səviyyəsində mTLS) arasında maşın əlaqələri.

VPN protokolları və harada güclü

IPsec (ESP/IKEv2) - «qızıl standart» Site-to-Site

Laylar: IKEv2 (açar mübadiləsi), ESP (trafikin şifrələnməsi/identifikasiyası).
Rejimlər: tunel (adətən), nəqliyyat (nadir hallarda, host-host).
Üstünlüklər: aparat offloadları, yetkinlik, vendorlararası uyğunluq, magistral yollar və bulud şlüzləri üçün idealdır.
Dezavantajları: konfiqurasiya mürəkkəbliyi, NAT həssaslığı (NAT-T/UDP-4500 həll olunur), siyasətləri razılaşdırarkən daha çox «rituallar».
İstifadə: filiallar, məlumat mərkəzləri, buludlar, yüksək performans tələbləri.

OpenVPN (TLS 1. 2/1. 3)

Laylar: L4/L7, UDP/TCP üzərindən trafik; UDP ilə tez-tez DTLS oxşar sxem.
Üstünlüklər: çevik, NAT və DPI (tcp/443), zəngin ekosistem ilə yaxşı keçir.
Dezavantajları: IPsec/WireGuard-dan daha yüksək əlavə xərclər; düzgün kriptokonfiqurasiya lazımdır.
Istifadə: uzaqdan giriş, şəbəkənin «deşilməsi» vacib olduqda qarışıq mühit.

WireGuard (NoiseIK)

Laylar: UDP üzərində L3; minimalist kod bazası, müasir kriptoprimitivlər (Curve25519, ChaCha20-Poly1305).
Üstünlüklər: yüksək performans (xüsusilə mobil telefonlar/ARM), konfiqurasiya asanlığı, sürətli rouminq.
Mənfi cəhətləri: heç bir daxili PKI; açar/şəxsiyyət idarəetmə ətrafında prosesləri tələb edir.
Istifadə: uzaqdan giriş, klasterlərarası əlaqə, müasir yığında S2S, DevOps.

SSH-tunellər (L7)

Типы: Local/Remote/Dynamic (SOCKS).
Üstünlüklər: nöqtəli giriş/admink üçün «cib» aləti.
Dezavantajları: korpus VPN kimi miqyaslı deyil, açar idarəetmə və audit daha mürəkkəbdir.
Istifadə: xidmətlərə nöqtəli giriş, qapalı şəbəkəyə «periskop», jump-host.

GRE/L2TP/… (şifrələmə olmadan kapsula)

Təyinat: L2/L3 tuneli yaradır, lakin şifrələmir. Adətən IPsec (L2TP over IPsec/GRE over IPsec) ilə birləşdirilir.
Istifadə: L2 kanalının xarakterinə ehtiyacınız olduqda nadir hallar (köhnə protokollar/L3 üzərində izolyasiya edilmiş VLAN).

Kriptoqrafiya və parametrlər

Şifrələr: AES-GCM-128/256 (hardware acceleration, AES-NI), ChaCha20-Poly1305 (mobil/AES-NI olmadan).
CEH/qrupları: ECDH (Curve25519, secp256r1), DH ≥ 2048 qrupları; PFS daxil edin.
İmzalar/PKI: ECDSA/Ed25519 üstünlük verilir; buraxılış/rotasiyanı avtomatlaşdırın, OCSP/CRL istifadə edin.
Açarların ömrü: qısa IKE SA/Child SA, müntəzəm rekey (məsələn, 8-24 saat, trafik/vaxt).
MFA: xüsusi VPN üçün - TOTP/WebAuthn/Push.

Performans və etibarlılıq

MTU/MSS: düzgün PMTU konfiqurasiya (adətən UDP tunellər üçün 1380-1420); Sərhəd qovşaqlarında MSS-clamp.
DPD/MOBIKE/Keepalive: «ölmüş» pirlərin operativ aşkarlanması, fasiləsiz rouminq (IKEv2 MOBIKE, WireGuard PersistentKeepalive).
Marşrutlaşdırma: ECMP/Multipath, BGP dinamika üçün tunellər üzərində.
Offload: avadanlıq kriptovalyutaları, SmartNIC/DPU, Linux nüvəsi (xfrm, WireGuard kernel).
Kilidlərin qırılması: limanların/nəqliyyatın dəyişdirilməsi, əl sıxma (harada qanuni icazə verilir).
QoS: Trafik təsnifatı və prioriteti, real vaxt axınları üçün jitter nəzarəti.

Topologiyalar və dizayn

Full-tunnel vs Split-tunnel:
  • Full: VPN vasitəsilə bütün trafik (nəzarət/təhlükəsizlik daha yüksək, yük daha çox).
  • Split: yalnız lazımi alt şəbəkələr (qənaət, daha az gecikmə, «dolama» kanalların qorunması üçün artan tələblər).
  • Seqmentasiya: ayrı-ayrı tunellər/VRF/mühit siyasətləri (Prod/Stage), məlumat domenləri (PII/financial), təchizatçılar.
  • Buludlar: Cloud VPN/Transit Gateways (AWS/GCP/Azure), IPsec S2S, mərkəzləşdirilmiş tranzit hub vasitəsilə marşrut.
  • SD-WAN/SASE: avtomatik kanal seçimi, daxili telemetriya və təhlükəsizlik siyasəti ilə overlay.

Kanal və mühit təhlükəsizliyi

Firewall/ACL: portlar/alt şəbəkələr üzrə açıq allow-lists, default deny.
DNS təhlükəsizliyi: tunel vasitəsilə məcburi korporativ DNS, sızma qorunması (IPv6, WebRTC).
Müştəri siyasəti: kill-switch (tunel düşdükdə trafik bloku), uyğunluq tələb edildikdə split-DNS qadağası.
Qeydlər və audit: əl sıxma, autentifikasiya, rekey, rədd edilmiş SA jurnallarını mərkəzləşdirin.
Secrets: HSM/satıcı KMS, rotasiya, PSK minimallaşdırılması (tercihen sertifikatlar və ya WG açarları).
Qurğular: uyğunluq testi (OS, yamalar, disk şifrələmə, EDR), NAC/MDM.

Müşahidə, SLO/SLA və alertinq

Açar metriklər:
  • Tunelin mövcudluğu (% aptaym).
  • Əsas marşrutlar üzrə Latency, jitter, packet loss.
  • Bant genişliyi (p95/p99), CPU/IRQ kriptovalyutaları.
  • Recey/DPD hadisələrinin tezliyi, autentifikasiya uğursuzluqları.
  • Parçalanma səhvləri/PMTU.
SLO nümunələri:
  • "VPN qovşağının mövcudluğu ≥ 99. 95% aylıq"
  • «p95 DC-A və DC-B arasında gecikmələr ≤ 35 ms».
  • «< 0. 1% uğursuz IKE SA saatda".
Alarmlar:
  • Tunel Down> X san; DPD sıçrayışı; handshake səhvlərinin artması; p95> eşik deqradasiyası; CRL/OCSP səhvləri.

Əməliyyatlar və həyat dövrü

PKI/sertifikatlar: avtomatik buraxılış/yeniləmə, qısa TTL, güzəşt zamanı dərhal geri çağırın.
Açarların rotasiyası: mütəmadi, tədricən pirlərin yenidən qoşulması.
Dəyişikliklər: change planları (köhnə/yeni SA paralel), xidmət pəncərələri.
Break-glass: ehtiyat hesablar/açarlar, jump-host vasitəsilə sənədləşdirilmiş əl ilə giriş.
İnsidentlər: güzəştdən şübhələndikdə - sertifikatların geri alınması, PSK rotasiyası, fors-rekey, limanların/ünvanların dəyişdirilməsi, qeydlərin auditi.

Uyğunluq və hüquqi aspektlər

GDPR/PII: tranzitdə şifrələmə tələb olunur, girişin minimuma endirilməsi, seqmentasiya.
PCI DSS: güclü şifrələr, MFA, giriş jurnalları, cardholder zonasının seqmentasiyası.
Yerli trafik/kriptovalyuta məhdudiyyətləri: yurisdiksiya tələblərinə əməl edin (ixrac kriptovalyutası, DPI, kilid).
Jurnallar: siyasətə uyğun saxlama (retenshn, bütövlük, giriş).

Zero Trust, SDP/ZTNA vs klassik VPN

Klassik VPN: Network Access paylayın (çox vaxt geniş).
ZTNA/SDP: Kontekst yoxlamadan sonra müəyyən bir tətbiq/xidmətə giriş imkanı verir (şəxsiyyət, cihaz vəziyyəti, risk).
Hibrid model :/S2S magistralları üçün VPN buraxın, istifadəçilər üçün isə ZTNA plitələrini lazımi tətbiqlərə buraxın; tədricən «düz» dəstləri çıxarmaq.

Protokol necə seçilir (qısa matris)

Filiallar/buludlar arasında: IPsec/IKEv2.
Istifadəçilərə uzaqdan giriş: WireGuard (yüngül və sürətli müştəri lazımdır) və ya OpenVPN/IKEv2 (yetkin PKI/siyasət lazımdır).
Proxy/DPI vasitəsilə yüksək «deşilmə»: OpenVPN-TCP/443 (yüklərin şüurlu olması ilə) və ya (icazə verilən yerlərdə).
Mobil/rouminq: WireGuard və ya IKEv2 MOBIKE.
L2 L3: GRE/L2TP IPsec ilə birlikdə (şifrələmə tələb olunur).

Giriş çek siyahısı

1. Giriş domenlərini (Prod/Stage/Back-office) və minimum imtiyazların prinsipini müəyyən edin.
2. Protokol/topologiya (hub-and-spoke vs mesh) seçin, ünvanı və marşrutu planlaşdırın.
3. Kriptoprofil təsdiq (AES-GCM/ChaCha20, ECDH, PFS, qısa TTL).
4. PKI, MFA, son tarix və rəy siyasətini konfiqurasiya edin.
5. MTU/MSS, DPD/MOBIKE, keepalive.
6. Jurnallaşdırma, daşbordlar, SLO metrikləri və alertləri daxil edin.
7. Yük/feylover testini (hub düşməsi, rekey-burst, link dəyişikliyi) keçirin.
8. Break-glass və rotasiya prosedurunu sənədləşdirin.
9. Istifadəçilərin (müştərilər, siyasətçilər) təlim tanışlığını keçirmək.
10. Mütəmadi olaraq giriş və audit hesabatlarını nəzərdən keçirin.

Tez-tez səhvlər və onlardan necə qaçmaq olar

IPsec olmadan L2TP/GRE: şifrələmə yoxdur → həmişə IPsec əlavə edin.
Səhv MTU: parçalanma/damla → MSS-clamp konfiqurasiya, PMTU yoxlayın.
PSK «əbədi»: köhnəlmiş açarlar → rotasiya, sertifikatlara keçid/Ed25519.
split tunnel geniş şəbəkələr: trafik sızması → aydın marşrutlar/siyasətlər, DNS yalnız VPN vasitəsilə.
Ehtiyat olmadan vahid «super-hub»: SPOF → aktiv, ECMP, bir neçə bölgə.
Heç bir əl sıxma monitorinqi: «səssiz» düşmə → DPD/alarms/deshboard.

Konfiqurasiya nümunələri

WireGuard (Linux) — `wg0. conf`

ini
[Interface]
Address = 10. 20. 0. 1/24
PrivateKey = <server_private_key>
ListenPort = 51820

Client 1
[Peer]
PublicKey = <client1_public_key>
AllowedIPs = 10. 20. 0. 10/32
PersistentKeepalive = 25
Müştəri: 
ini
[Interface]
Address = 10. 20. 0. 10/32
PrivateKey = <client_private_key>
DNS = 10. 20. 0. 2

[Peer]
PublicKey = <server_public_key>
Endpoint = vpn. example. com:51820
AllowedIPs = 10. 20. 0. 0/24, 10. 10. 0. 0/16
PersistentKeepalive = 25

strongSwan (IPsec/IKEv2) — `ipsec. conf`

conf config setup uniqueids=never

conn s2s keyexchange=ikev2 ike=aes256gcm16-prfsha384-ecp256!
esp=aes256gcm16-ecp256!
left=%any leftid=@siteA leftsubnet=10. 1. 0. 0/16 right=vpn. remote. example rightsubnet=10. 2. 0. 0/16 dpdaction=restart dpddelay=30s rekey=yes auto=start
`ipsec. secrets`: 
conf
: RSA siteA. key

OpenVPN (UDP, TLS 1. 3) — `server. conf`

conf port 1194 proto udp dev tun tls-version-min 1. 3 cipher AES-256-GCM data-ciphers AES-256-GCM:CHACHA20-POLY1305 auth SHA256 user nobody group nogroup topology subnet server 10. 30. 0. 0 255. 255. 255. 0 push "redirect-gateway def1"
push "dhcp-option DNS 10. 30. 0. 2"
keepalive 10 60 persist-key persist-tun verb 3

iGaming/fintech platformaları üçün təcrübə

Seqmentasiya: ödəniş inteqrasiyaları, arxa ofis, məzmun provayderləri, antifrod üçün ayrı tunellər; PII/ödəniş domenlərini təcrid edin.
Sərt giriş siyasətləri: xüsusi portlar/alt şəbəkələr (PSP, tənzimləyicilər üzrə allow-list).
Müşahidə: p95 Time-to-Wallet VPN hadisələrinə görə deqradasiya edə bilər - kritik PSP/banklara əlaqəni izləyin.
Uyğunluq: giriş və autentifikasiya qeydlərini saxlayın, MFA, müntəzəm kanal pentestlərini həyata keçirin.

FAQ

Bütün filiallar arasında full-mesh etmək mümkündürmü?
Yalnız avtomatlaşdırma və dinamik marşrutlaşdırma varsa; əks halda - çətinliyin artması. Çox vaxt hub-and-spoke + yerli istisnalar daha sərfəlidir.

Buludlar arasında «daxili» trafiki şifrələmək lazımdırmı?
Bəli. Ictimai arxa və regionlararası magistral IPsec/WireGuard və ciddi ACL tələb edir.

AES-GCM və ya ChaCha20-Poly1305?
AES-NI ilə x86 - AES-GCM; ARM/mobil telefonlarda tez-tez ChaCha20-Poly1305 qazanır.

ZTNA-ya nə vaxt keçmək olar?
VPN vasitəsilə şəbəkəyə giriş «geniş» olduqda və proqramlar kontekst autentifikasiyası və cihazların yoxlanılması ilə nöqtəli şəkildə yayımlana bilər.

Yekun

Etibarlı VPN arxitekturası yalnız «protokol və liman» deyil. Bu PFS ilə kriptoprofil, düşünülmüş seqmentasiya, sərt SLO ilə müşahidə, PKI/rotasiya intizamı və şəbəkə girişinin çox olduğu yerlərdə ZTNA-ya idarə olunan keçid. Yuxarıdakı check-list və seçim matrisini izləyərək, müasir paylanmış sistemlər üçün sabit və idarə olunan əlaqə quracaqsınız.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.