Posts

  • Home -
  • news -
  • Хөдөлгөөнт нууцлалтай сүлжээний SSTP алхам-алхамаар гарын авлага
research
  • 06/16
  • 2020

Хөдөлгөөнт нууцлалтай сүлжээний SSTP алхам-алхамаар гарын авлага

ЗАЙНААС АЖИЛЛАХДАА БҮТЭЭМЖИЙГ НЭМЭГДҮҮЛЭХ НЬ:

Хөдөлгөөнт нууцлалтай сүлжээний sstp алхам-алхамаар гарын авлага

MikroTik нь L2TP, PPTP, OpenVPN, MPLS VPN, SSTP, IPSec, GRE, IPIP зэрэг Layer3 түвшний VPN протоколуудыг дэмждэг ба үүнээс SSTP протоколыг RouterOS v5.0 хувилбараас эхлэн дэмжиж эхэлсэн. SSTP сервер болон SSTP хэрэглэгч тал аль алинаар нь тохируулах боломжтой байдаг. Mikrotik роутерүүд хоорондоо SSTP туннель тохируулахдаа сертификатгүй байж болдог хэдий ч ихэнх тохиолдолд ажилтан Windows эсвэл MAC OS X ашиглан хөдөлгөөнт сүлжээнд холбогддог тул танд төлбөртэй SSL сертификат эсвэл OpenSSL-ээр үүсгэсэн өөрийн SSL сертификат хэрэгтэй болно. Өөрийн үүсгэсэн SSL сертификатыг Windows үйлдлийн системд хуулж баталгаажуулах нь байгууллагын энгийн ажилтны хувьд амаргүй байх тул төлбөртэй сертификат худалдан авч ашиглахыг зөвлөж байна.

1. Хамгийн хямд SSL сертификатыг та https://www.ssls.com/ -оос 4 жилээр авбал 1 жилийн 3.77$ буюу ердөө ~10`500₮ орчимоор авах боломжтой. Харин 1 жилээр дангаар нь авбал 6.88$ буюу ~19`200₮ орчим болно. SSL сертификат үүсгэхэд ашигласан private key-ийг та маш сайн хадгалах ёстой ба дараачийн алхамууд дээр роутер дээрээ сертификатаа баталгаажуулахад ашиглах юм. Хэрэв та SSL сертификат хэрхэн үүсгэхээ мэдэхгүй байгаа бол https://www.ssls.com/knowledgebase/category/csr-generation-instructions/ холбоосоор хандан дэлгэрэнгүй заавар үзээрэй.        

                                                                                 

2. SSL сертификат авсан домэйн нэрийн DNS бичлэгийг роутерийн гадаад хаягруу зааж өгөх шаардлагатай. Жишээ нь та Datacom.mn дээр домэйн хаягаа авсан бол өөрийн эрхээрээ нэвтрэн тухайн домайний удирлагын хэсэгт хандан “DNS удирдлага” цэсийг сонгоно. 

                         

Үүний дараа шинэ A record нэмнэ. Жишээ нь: 

               

Уг шинэ DNS бичлэг маань 24 цаг хүртэлх хугацаанд дэлхий даяар DNS серверүүд дээр update хийгдэж дуусах ба ихэнх тохиолдолд Датаком DNS сервер дээр хийгдсэн шинэчлэлт Монгол дотроос хандаж байгаа бол цаг орчимийн дараа та шалгах боломжтой болно. Шалгахдаа vpn.example.mn гэсэн өөрийн шинэ бичлэгрүү ping эсвэл nslookup хийн шалгаж үзэж болно.

3. Та шинээр үүсгэж авсан SSL сертификатаа роутерлүү хуулж өгнө. Роутерийн хаана ч хуулсан хамаагүй ба энгийн файл хуулдагтай ижил Windows орчинд бол сертификат файл болон .key файлыг mouse-аараа winbox програмруу чирэхэд хуулагдах болно.

4. Үүний дараа серфитикат файл болон key файлыг import хийж баталгаажуулна. Доорхи 2 коммандын CLI Terminal дээр бичээд идэвхжүүлээрэй. 

                                                                                            

 

5. Одоо SSTP серверийг асааснаар Mikrotik дээрх тохиргоо буюу сервер талын тохиргоо бэлэн болно. Доорхи 4 коммандын CLI Terminal дээр бичээд идэвхжүүлээрэй                                                                                            

6. Үүний дараа Windows 10 үйлдлийн систем дээр хэрхэн SSTP холболт үүсгэх зааврын эндээс татаж авна уу. https://drive.google.com/open?id=1CVNYfNOObgQYkT5uKSwtrsUwtvWtFlEU

Энэхүү заавраар та хамгийн энгийн тохиргоо хийж танай байгууллагын ажилтан дэлхийн хаанаас ч оффисын сүлжээнд өндөр нууцлалтайгаар холбогдох боломжтой боллоо. Харин эдгээр тохиргоог илүү баяжуулан доорхи нэмэлт тохиргоо функцүүдийг ашиглаж өөрийн байгууллага, сүлжээний орчин нөхцөлд илүү тохируулах ашиглах боломжтой юм.

- VPN холболт ашиглан зайнаас ажиллаж буй ажилтан маань ямар сүлжээ серверрүү хандах боломжтой байх. Тэр дундаа санхүү, хууль, IT зэрэг ялгаатай хэрэглэгчид ялгаатай хандалтын дүрэм (ACL) тохируулж өгөх

-SSTP серверийг бусдад нээлттэй биш буюу давхар port-knocking ашигласаны дараа SSTP сервер порт нээлттэй болох

-VPN хэрэглэгчийн нэвтрэх нэр, нууц үгийг тодорхой давтамжтай өөрчлөх буюу OTP (One-Time-Password) ашиглах (Google Authenticator г.м)

-VPN холболт нээлттэй үлдэхээс сэргийлж тодорхой хугацааны дараа автоматаар салах эсвэл зөвхөн ажилтны өөрийн зөөврийн компьютер, гар утаснаас холбогдохыг зөвшөөрөх

-VPN холболт ашигласан ажилтны ажлын үр дүнг бүртгэх, хадгалах гэх мэт

 

Нийтлэлийг бэлтгэсэн: А.Отгонхүү [MikroTIK Instructor]

 

-oOo-