GH GambleHub

MSN թունելներ և IPsec

1) Ինչու՞ IPsec-ը և երբ այն տեղին է,

IPSEC-ն ապահովում է L3 կոդավորումը կայքերի/ամպերի/CODAMI-ի և հեռավոր մուտքի միջև։ Օգտագործումները

Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.

Client DRN 'admin հասանելիություն, jump-host, break-glass։

Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).

IPSEC-ն տեղին է, երբ անհրաժեշտ է ստանդարտ, ինտերպրեպրոբլյային հոսք, ապարատային արագացում (AES-NI/DPDK/ASIC), խիստ կրիպտոֆիլիկա և ցանցային երկաթի հետ համատեղելիություն։

2) Հիմնական հասկացությունները (արագ dronest)

IKEv2 (Ph381) - 240/վավերացում (RFC/ECDPS/PSK), IKE SA-ի ստեղծումը։

IPsec ESP (Ph.12) - կոդավորումը, Child SA (SA հատուկ նախածանցների/ինտերֆեյսների համար)։

PMS-ը ephemerality-Hellman group-ն է յուրաքանչյուր Child SA-ի համար։

NAT-T (UDP/4500) - ESP-ի ինկապուլացիա, եթե կա NAT ճանապարհին։

DPD-ը Dead Peer Detair-ն է, կոտրված SA-ի փոխարինումը։

Rekey/Reauth-ը մոդուլի նորարարությունն է մինչև 108 (lifetime/bytes)։

Չարտոնված կրիպտոնաստներ

IKE: "AES-256-GCM" կամ "AES-256-CBC + SHA-256", DH 'group 14/19/20 "(2048-բիթ MODP կամ ECP)։

ESP: «AES-GCM-256» (AEAD), PSA նույն խմբերով։

Lifetimes: IKE 8-24 ժամ, Child 30-60 րոպե կամ ծավալի ծավալով (օրինակ, 1-4 GB)։

3) Տեղաբանություններ և թունելների տեսակներ

3. 1 Roault-based (1934)

Վիրտուալ ինտերֆեյսը (VTI) յուրաքանչյուր կողմում։ երթուղիները/դինամիկ արձանագրությունները (BGP/OSPF) կրում են նախածանց։ Ավելի հեշտ է մեծացնել և բաժանել, ավելի լավ է overlapping CIDR-ի համար (NAT քաղաքական գործիչների հետ)։

3. 2 Policy-based (սելեկտորներ)

Ցուցակները «աղբյուրը նշանակումը» SA-ում։ Հարմար է պարզ S2S-ի համար առանց դինամիկ ուղղման։ ավելի բարդ է շատ նախածանցներով։

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

L3/L2 ինկապուլացիան ծածկագրված ջրանցքի վերևում 'բազմապրոկոլ, հարմար է BGP-ի համար (կրում են keepalive) և այն դեպքերի համար, որտեղ անհրաժեշտ է անիմաստ/ESMR-ը underlay-ում։

4) Հատվածներ, միկրոօրգանիզմներ և անկայունություն

BGP-ը VTI/GRE-ի վերևում 'նախածանցների փոխանակում, MED/MedalDraff/communities գերակայությունների համար, max-winfix պաշտպանություն։

ECTS/Active-Action: մի քանի թունելներ զուգահեռ (տարբեր պրովայդերներ/ROR)։

Active-Passive: պահուստային թունելը ավելի բարձր AD/MedalConff, DPD արագացնում է անցումը։

Split-tunnel: միայն CPN-ի միջոցով կորպորատիվ նախածանց; ինտերնետը տեղական է (ուշացումների/արժեքի նվազում)։

Անցնելով CIDR: NAT քաղաքականությունները ծայրերում կամ ենթահամակարգերում, հնարավորության դեպքում 'հասցեների ռեդիզինը։

5) MTU, MSS և արտադրողականությունը

IPSEC/NAT-T overhead: 108-60 բայթ փաթեթին։ Տեղադրեք MTU 1436-1460 VTI/թունելների համար։

SYS-clamp: TCP-ի համար տեղադրեք «DRS = 1350-1380» (կախված է underlay), որպեսզի բացառեք հատվածները։

Միացրեք PMTUD-ը և տրամաբանեք ICTS «Fragmentation Needed» -ը։

Ապարատային syload/fox-path (DPK, AES-NI, ASIC) զգալիորեն նվազեցնում են CPU-ի բեռը։

6) Մոսկվան և անվտանգությունը։

PSA-ն պարտական է; Rekey-ը մինչև 70-80 տոկոսը lifetime-ն է։

Վավերացում 'հնարավորության դեպքում ECDPS հավաստագրերը CA (կամ cloud-CA), PSK-ը միայն ժամանակավորապես և բարձր էնտրոպիայի հետ։

CRL/OCERT-ը կամ հավաստագրերի կարճ տևողությունը։

Ամսագրերը և ալերտները կրկնվող անհաջող IKE-ում։

7) Ամպերը և պրովայդերների առանձնահատկությունները

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. Պերֆոմանսի/մասշտաբի համար - Connect + IPsec որպես bakap։

GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.

Azure: WINN Gateway (Policy/Roult-based), VNet-to-VNet, Europe-ը L2/L3 մասնիկների համար։

Private Endpoin.ru/Privatelink: PaaS-ը ավելի լավ է NAT egress-ի փոխարեն մասնավոր ինտերֆեյսների միջոցով։

8) Kubernetes-ը և ծառայության-մեշը

Nody K8s-ը մասնավոր ցանցերի ներսում։ Pod CIDR-ը չպետք է «դուրս գա» հեռավոր կայքերում, ուղղեք Node CIDR-ը և հավաքեք ծառայությունները ingress/egress-դարպասի միջոցով։

Istio/Linkerd mTSA-ը IPsec-ի վերևում վստահության առանձին օրինակներ են։

Egress-վերահսկումը 'pod-ից ինտերնետում (NetworkPolicy) ուղղակի դուրս գալու արգելքը, թույլտվությունը VTI/MSN-ում։

9) Մոսկվան և ամսագրերը

Թունել-SLA: latency, jitter, packet loss, up/down SA վիճակը։

BGP 'հարևանները, նախածանցները, flap-հաշվիչները։

IKE/ESP լոգները 'վավերականություն, rekey, DPD իրադարձություններ։

Էքսպորտը Prometheus-ում (բանաձևով _ exporter/telegraf), churn SA-ում և RTT/PLR-ի դեգրադացիան։

Դիմումների թրեյսները/կարգախոսները տեղադրեք «site = onprem 'cloud», «www.n = tunnel-X» հարաբերակցության համար։

10) Trablshuting (chek թերթ)

1. Ֆայերվոլները ՝ UDP/500, UDP/4500, ճանապարհի 50 (ESP) արձանագրություն (կամ միայն 4500 NAT-T-ում)։

2. Ժամացույցը/NTP սինխրոն է, հակառակ դեպքում IKE-ն ընկնում է թայմինգների/հավաստագրերի պատճառով։

3. IKE/ESP պարամետրերը համընկնում են ՝ ծածկագրեր, DH, lifetimes, ընտրողներ։

4. NAT-T-ն ներառված է, եթե կա NAT-ը։

5. DPD և rekey: Ոչ այնքան ագրեսիվ, այլ նաև ծույլ (DPD 10-15s, rekey 2470 տոկոսը lifetime)։

6. MTU/MSS: Սեղմեք MSS, wwww.ICS «need fragmentation»։

7. BGP: Ֆիլտրեր/communities/AS-path, արդյոք «blackhole» չկա world next-hop պատճառով։

8. Լոգի 'IKE SA established? Child SA created? SPI-ն փոխվում է։ Կա՞ արդյոք replay սխալներ։

11) Գեորգի (հանրաքվեներ, կրճատված)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP վերևում VTI, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) Քաղաքականություններ և համադրություններ

Կրիպտոպրոֆիլները և թույլատրված ծածկագրերի ցուցակները կենտրոնացված են (www.baseline)։

Հիշեցումների և ավտոմատիզացիայի հետ։

IKE/IPsec-ի աուդիտ-լոգները անփոփոխ պահեստում (WORM/Object Prok)։

Սեգմենտացիան ՝ VRF/VR ալգորիթմներ 2019/stage/dev և քարտային կոդերի համար (PCI DSS)։

13) iGaming/ֆինանսական առանձնահատկությունները

Euresidency: PII/հիբրիդային իրադարձությունների հետ կապված IPsec-ով միայն թույլատրված միգրացիաների շրջանակներում (VRF/metks)։

PMS/KYC: Եթե հասանելիությունը տալիս է private connectivity - օգտագործեք; հակառակ դեպքում 'egress-2019 mTSA/HMAC, allowlist FQDN։

Գործարքների ամսագրերը 'զուգահեռ ձայնագրություն (on-24m և ամպերում) IPSEC/Privatelink միջոցով։ անփոփոխ լույսեր։

SLO «փողի ճանապարհները» 'առանձին թունելներ/երթուղիներ առաջնահերթությամբ և բարձր դիտարկմամբ։

14) Անտիպատերնի

PSK-ը ընդմիշտ, մեկ «ընդհանուր» գաղտնի արտահայտություն է։

Policy-based-ը բազմաթիվ նախածանցներով '«ad admins» (ավելի լավ VTI + BGP)։

MTU/MSS-ի անտեսումը բացատրում է մի հատված, թաքնված թայմաուտներ, 3xx/5xx «առանց պատճառների»։

Մեկ թունել առանց պահուստային; մեկ պրովայդեր։

NTP/clock-winnc-ի բացակայությունը IKE-ի ինքնաբուխ անկումները։

Ծածկագրերը «լռելյայն» (հնացած խմբեր/MD5/SHA1)։

Flap SA/BGP և RTT/PLR աճ չկա։

15) Չեկ-թուղթ պատրաստակամության համար

  • IKEv2 + AES-GCM + PSA (խումբ 14/19/20), www.lifetimes, rekey 2470%։
  • VTI/GRE, BGP ֆիլտրերով/communities, ECTS կամ hot-standby։
  • NAT-T-ն միացված է (անհրաժեշտության դեպքում), բացվում է UDP/500/4500, ESP ճանապարհին։
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD ակտիվ է։
  • DPD 10-15s, Dead Peer արձագանքը և արագ փոխակերպումը SA։
  • WindSA/BGP/RTT/PLR; IKE/ESP լոգները կենտրոնացված հավաքման մեջ։
  • Սերտ/108, կարճ TTL, OCSA/CRL, ալերտներ։
  • Սեգմենացիա (VRF), split-tunnel, egress «deny-by-2019» քաղաքականությունը։
  • Ամպային գեյթվեյը (AWS/GCP/Azure) փորձարկվել է իրական բեռի վրա։
  • Փաստաթղթավորված runbook "և failover-ը և ջրանցքի ընդլայնումը։

16) TL; DR

Կառուցեք roade-based IPsec (VTI/GRE) IKEv2 + AES-GCM + PTS-ի հետ, BGP դինամիկ միկրոավտիզացիան, երկու հրթիռ և ճիշտ MTU/PS։ Միացրեք NAT-T, DPD և հիբրիդային rekey, վերահսկեք SA/BGP/RTT/PLR-ը, պահեք Loges-ը։ Ամպերում օգտագործեք www.ed և Privice Link։ Kubernetes-ում Pod CIDR-ը MSN-ի միջոցով չէ։ IGaming-ի համար պահեք իրավասություններ և երկրորդային մեկուսացված, խստացված SLO-ի և աուդիտի հետ։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։