GH GambleHub

VPN გვირაბები და IPsec

1) რატომ არის IPsec და როდის არის შესაფერისი

IPsec უზრუნველყოფს L3 დაშიფვრას საიტებს/ღრუბლებს/მონაცემთა ცენტრებს შორის და დისტანციური წვდომისთვის. პროგრამები:
  • Site-to-Site: on-prem ↔ cloud, cloud ↔ cloud, DC ↔ DC.
  • Client VPN: admin წვდომა, jump-host, break-glass.
  • Backhaul/Transit: хабы и spoke-VPC/VNet (hub-and-spoke).
  • IPsec მიზანშეწონილია, როდესაც საჭიროა სტანდარტული, ინტეგრირებული დასტის, აპარატურის აჩქარება (AES-NI/DPDK/ASIC), მკაცრი კრიპტოპოლიტიკა და ქსელის რკინის თავსებადობა.

2) ძირითადი ცნებები (სწრაფი დაიჯესტი)

IKEv2 (Phase 1) - პარამეტრების/ავთენტიფიკაციის კოორდინაცია (RSA/ECDSA/PSK), IKE SA- ს შექმნა.
IPsec ESP (Phase 2) - ტრაფიკის დაშიფვრა, Child SA (SA კონკრეტული პრეფიქსი/ინტერფეისებისთვის).
PFS - ეპემერალიზმი (Diffie-Hellman ჯგუფი) თითოეული Child SA- სთვის.
NAT-T (UDP/4500) არის ESP ინკაფსაცია, თუ გზაზე არის NAT.
DPD - Dead Peer Detection, შეცვალა გატეხილი SA.
Rekey/Reauth - კლავიშების განახლება გასვლამდე (lifetime/bytes).

რეკომენდებული კრიპტოვალუტის შენობები:
  • IKE: 'AES-256-GCM' ან 'AES-256-CBC + SHA-256', DH 'group 14/19/20' (2048 bit MODP ან ECP).
  • ESP: 'AES-GCM-256' (AEAD), PFS იმავე ჯგუფებში.
  • Lifetimes: IKE 8-24 საათი, ბავშვი 30-60 წუთი ან ტრაფიკის თვალსაზრისით (მაგალითად, 1-4 GB).

3) ტოპოლოგია და გვირაბების ტიპები

3. 1 მარშრუტი (სასურველია)

ვირტუალური ინტერფეისი (VTI) თითოეულ მხარეს; მარშრუტები/დინამიური ოქმები (BGP/OSPF) ატარებს პრეფიქსებს. უფრო ადვილია მასშტაბის და სეგმენტის გაკეთება, უმჯობესია overlapping CIDR- სთვის (NAT პოლიტიკოსებთან).

3. 2 Policy-based (ტრეფიკის სელექტორები)

სიები „წყარო - დანიშვნა“ SA- ში. შესაფერისია მარტივი S2S- სთვის დინამიური მარშრუტიზაციის გარეშე; უფრო რთულია მრავალი პრეფიქსი.

3. 3 GRE-over-IPsec / VXLAN-over-IPsec

დაშიფრული არხის თავზე L3/L2 ინკაფსაცია: მულტიპროტოკოლი მოსახერხებელია BGP- სთვის (ატარებენ კეპალურს) და იმ შემთხვევებისთვის, სადაც საჭიროა მულტიკასტერი/ESMR underlay.

4) სეგმენტი, მარშრუტიზაცია და უკმარისობა

BGP VTI/GRE თავზე: პრეფიქსი გაცვლა, MED/LocalPref/communities პრიორიტეტებისთვის, max-prefix დაცვა.
ECMP/Active-Active: პარალელურად რამდენიმე გვირაბი (სხვადასხვა პროვაიდერები/ROR).
Active-Passive: სარეზერვო გვირაბი უფრო მაღალი AD/LocalPref, DPD აჩქარებს გადართვას.
Split-tunnel: მხოლოდ კორპორატიული პრეფიქსი VPN- ის საშუალებით; ინტერნეტი ადგილობრივად (შეფერხებების/ღირებულების შემცირება).
CIDR კვეთა: NAT პოლიტიკოსები კიდეებზე ან მარიონეტულ ქვესახეობებზე, თუ ეს შესაძლებელია - მისამართის რედიზაინი.

5) MTU, MSS და პროდუქტიულობა

IPsec/NAT-T overhead: ~ 60-80 ბაიტი თითო პაკეტზე. დააყენეთ MTU 1436-1460 VTI/გვირაბებისთვის.
MSS კლამპი: TCP- სთვის გამოიფინეთ 'MSS = 1350-1380' (დამოკიდებულია underlay- ზე) ფრაგმენტაციის აღმოსაფხვრელად.
ჩართეთ PMTUD და მოაწყეთ ICMP „Fragmentation Needed“.
აპარატურა offload/fast-path (DPDK, AES-NI, ASIC) მნიშვნელოვნად ამცირებს დატვირთვას CPU- ზე.

6) საიმედოობა და უსაფრთხოება

PFS სავალდებულოა; Rekey 70-80% ცხოვრების გასვლამდე.
ავთენტიფიკაცია: თუ ეს შესაძლებელია, ECDSA სერთიფიკატები კორპორატიული CA (ან cloud-CA), PSK - მხოლოდ დროებით და მაღალი ენტროპიით.
CRL/OCSP ან სერთიფიკატების მოკლე ვადა.
ავტორიზაციის ჟურნალები და ალერტები განმეორებით წარუმატებელ IKE- ში.

7) ღრუბლები და პროვაიდერების თვისებები

AWS: AWS Managed VPN (policy-based/route-based), TGW (Transit Gateway), VGW/CGW. სპექტაკლის/მასშტაბისთვის - Direct Connect + IPsec, როგორც ზურგჩანთა.
GCP: Cloud VPN (Classic/HA), Cloud Router (BGP); для throughput — Interconnect.
Azure: VPN Gateway (პოლიტიკა/მარშრუტი), VNet-to-VNet, Exproute for L2/L3 პრივატიზებისთვის.
პირადი Endpoints/Privatelink: PaaS- ის ტრაფიკი უმჯობესია NAT- ის ნაცვლად პირადი ინტერფეისების საშუალებით.

8) Kubernetes და mesh

Noda K8s კერძო ქსელების შიგნით; Pod CIDR არ უნდა „გაიყვანოს“ დისტანციურ ადგილებში - დაუკავშირდით Node CIDR- ს და შეამოწმეთ სერვისები ingress/egress კარიბჭეების საშუალებით.
Istio/Linkerd mTLS IPsec- ზე არის ცალკეული ნდობის დომენები.
Egress კონტროლი: pod- დან ინტერნეტით პირდაპირ გასვლის აკრძალვა, ნებართვა - VTI/VPN- სთვის.

9) მონიტორინგი და ჟურნალები

გვირაბი-SLA: latence, jitter, packet loss, up/down სახელმწიფო SA.
BGP: სამეზობლოები, პრეფიქსი, flap მრიცხველები.
Logs IKE/ESP: ავთენტური, rekey, DPD მოვლენები.
ექსპორტი Prometheus- ში (snmp _ exporter/telegraf- ის საშუალებით), ალერტები churn SA- ზე და RTT/PLR- ის დეგრადაცია.
პროგრამის trais/logs ჩასვით 'site = onprem' cloud ',' vpn = tunnel-X 'კორელაციისთვის.

10) ტრაბლშუტინგი (შემოწმების სია)

1. Firevols: ნებადართულია UDP/500, UDP/4500, 50 პროტოკოლი (ESP) გზაზე (ან მხოლოდ 4500 NAT-T- ით).
2. საათი/NTP სინქრონულია - წინააღმდეგ შემთხვევაში IKE ეცემა ტაიმინგის/სერთიფიკატების გამო.
3. IKE/ESP პარამეტრები ემთხვევა: შიფრები, DH, lifetimes, სელექტორები.
4. NAT-T შედის, თუ არსებობს NAT.
5. DPD და rekey: არა ძალიან აგრესიული, არამედ არა ზარმაცი (DPD 10-15s, rekey ~ 70% lifetime).
6. MTU/MSS: განათება MSS, შეამოწმეთ ICMP „ფრაგმენტაცია“.
7. BGP: ფილტრები/კომუნიკაციები/AS-path, არის თუ არა „blackhole“ wrong next-hop- ის გამო.
8. Logs: IKE SA established? Child SA created? SPI იცვლება? არსებობს replay შეცდომები?

11) კონფისკაციები (შემცირებული რეფერენდუმები)

11. 1 strongSwan (route-based VTI + IKEv2)

ini
/etc/ipsec. conf conn s2s keyexchange=ikev2 auto=start left=%defaultroute leftid=@onprem. example leftsubnet=0. 0. 0. 0/0 leftauth=pubkey leftcert=onprem. crt right=203. 0. 113. 10 rightid=@cloud. example rightsubnet=0. 0. 0. 0/0 rightauth=pubkey ike=aes256gcm16-prfsha256-ecp256!
esp=aes256gcm16-ecp256!
dpdaction=restart dpddelay=15s ikelifetime=12h lifetime=45m installpolicy=no      # route-based через VTI
VTI (Linux): 
bash ip tunnel add vti0 local 198. 51. 100. 10 remote 203. 0. 113. 10 mode vti ip link set vti0 up mtu 1436 ip addr add 169. 254. 10. 1/30 dev vti0 ip route add 10. 20. 0. 0/16 dev vti0

11. 2 VyOS (BGP VTI- ზე, MSS clamp)

bash set interfaces vti vti0 address '169. 254. 10. 1/30'
set interfaces vti vti0 mtu '1436'
set protocols bgp 65010 neighbor 169. 254. 10. 2 remote-as '65020'
set protocols bgp 65010 neighbor 169. 254. 10. 2 timers holdtime '9'
set firewall options mss-clamp interface-type 'all'
set firewall options mss-clamp mss '1360'

11. 3 Cisco IOS (IKEv2/IPsec profile)

cisco crypto ikev2 proposal P1 encryption aes-gcm-256 integrity null group 19
!
crypto ikev2 policy P1 proposal P1
!
crypto ikev2 keyring KR peer CLOUD address 203. 0. 113. 10 pre-shared-key very-long-psk
!
crypto ikev2 profile IKEV2-PROF match address local 198. 51. 100. 10 authentication local pre-share authentication remote pre-share keyring local KR
!
crypto ipsec transform-set ESP-GCM esp-gcm 256 mode transport
!
crypto ipsec profile IPSEC-PROF set transform-set ESP-GCM set ikev2-profile IKEV2-PROF
!
interface Tunnel10 ip address 169. 254. 10. 1 255. 255. 255. 252 tunnel source 198. 51. 100. 10 tunnel destination 203. 0. 113. 10 tunnel protection ipsec profile IPSEC-PROF ip tcp adjust-mss 1360

12) პოლიტიკა და შესაბამისობა

კრიპტოპროფილები და ნებადართული შიფრების სიები ცენტრალიზებულია (უსაფრთხოების ბასელინი).
გასაღებების/სერფების როტაცია შეხსენებებით და ავტომატიზაციით.
IKE/IPsec აუდიტის ლოგოები უცვლელი საცავში (WORM/Object Lock).
სეგმენტი: VRF/VR დომენები stage/stage/dev და კარტის წრე (PCI DSS).

13) iGaming/ფინანსების სპეციფიკა

მონაცემთა აღდგენა: ტრეფიკი PII/გადახდის მოვლენებით გადის IPsec- ით მხოლოდ ნებადართული იურისდიქციების ფარგლებში (მარშრუტიზაცია VRF/ეტიკეტებით).
PSP/KYC: თუ ისინი უზრუნველყოფენ კერძო კავშირს, გამოიყენეთ; წინააღმდეგ შემთხვევაში - egress მარიონეტული mTLS/HMAC, allowlist FQDN.
გარიგების ჟურნალები: პარალელური ჩანაწერი (on-prem და ღრუბელში) IPsec/Privatelink- ის საშუალებით; უცვლელი ლოგები.
SLO „ფულის გზები“: ცალკეული გვირაბები/პრიორიტეტული მარშრუტები და გაზრდილი მონიტორინგი.

14) ანტიპატერები

PSK სამუდამოდ, ერთი „ზოგადი“ საიდუმლო ფრაზა.
Policy-based მრავალი პრეფიქსი - „ჯოჯოხეთის ჯოჯოხეთი“ (უკეთესია VTI + BGP).
MTU/MSS- ის უგულებელყოფა - ფრაგმენტაცია, ფარული ტაიმაუტები, 3xx/5xx „მიზეზის გარეშე“.
ერთი გვირაბი ნაკრძალის გარეშე; ერთი პროვაიდერი.
NTP/clock-sync- ის არარსებობა არის IKE სპონტანური ვარდნა.
ნაგულისხმევი შიფრები (მოძველებული ჯგუფები/MD5/SHA1).
არ არსებობს ალერტები flap SA/BGP და RTT/PLR ზრდა.

15) მზადყოფნის სიის სია

  • IKEv2 + AES-GCM + PFS (ჯგუფი 14/19/20), შეთანხმდნენ lifetimes, rekey ~ 70%.
  • VTI/GRE, BGP ფილტრებით/კომუნიკაციებით, ECMP ან ცხელი სტანდარტით.
  • NAT-T შედის (საჭიროების შემთხვევაში), გახსნილია UDP/500/4500, ESP გზაზე.
  • MTU 1436-1460, MSS clamp 1350-1380, PMTUD აქტიურია.
  • DPD 10-15s, Dead Peer რეაქცია და სწრაფი SA გადაკეთება.
  • SA/BGP/RTT/PLR მონიტორინგი; Logs IKE/ESP ცენტრალიზებულ კოლექციაში.
  • Serts/გასაღებების ავტომატური როტაცია, მოკლე TTL, OCSP/CRL, ალერტები.
  • სეგმენტი (VRF), split-tunnel, egress პოლიტიკა „deny-by-default“.
  • ღრუბლოვანი გეითვეები (AWS/GCP/Azure) ტესტირებულია რეალურ დატვირთვაზე.
  • დოკუმენტირებული runbook 'და faylover და არხის გაფართოება.

16) TL; DR

აშენეთ მარშრუტირებული IPsec (VTI/GRE) IKEv2 + AES-GCM + PFS- ით, BGP დინამიური მარშრუტიზაციით, ორი დამოუკიდებელი ხაზის რეზერვით და სწორი MTU/MSS- ით. ჩართეთ NAT-T, DPD და რეგულარული rekey, დააკვირდით SA/BGP/RTT/PLR, შეინახეთ ავტორიზაციის ლოგები. ღრუბლებში გამოიყენეთ მართვადი კარიბჭეები და PrivateLink; Kubernetes- ში - არ „გადაიტანოთ“ Pod CIDR VPN- ის საშუალებით. iGaming- ისთვის შეინახეთ იურისდიქციები და გადახდის წრე იზოლირებული, გამკაცრებული SLO და აუდიტით.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.