AnyConnect é uma solução de acesso remoto desenvolvida pela Cisco. Conhecido por sua portabilidade e estabilidade, especialmente sua capacidade DTLS, o AnyConnect é usado por muitas empresas. Vamos usar uma versão de código aberto ocservcompatível com o protocolo.
Também vamos implantar a verificação de certificado. O servidor identificará os clientes, verificando se o certificado do cliente é emitido pela CA configurada. Isso simplifica bastante a configuração dos clientes, pois precisamos apenas importar o certificado no cliente (na maioria das vezes um arquivo pkcs12 ( .pfxou .p12)) e nenhuma senha é necessária. Isso também é mais seguro, já que nenhuma senha viaja pela Internet.
Vamos começar.
Notas:
Embora seja possível (e bastante conveniente) fazer tudo no servidor, o processo de implantação consiste em gerar chaves privadas usadas para assinatura e devido a questões de segurança, esse processo deve ser feito no seu próprio computador.
Devido a problemas de licenciamento, não fornecerei links para baixar o software cliente. Encontrá-los para o seu cliente é bastante fácil. O AnyConnect é um aplicativo nas App Stores nas principais plataformas móveis (iOS, Android, BlackBerry OS (v10 ou superior), UWP), respectivamente, e uma simples pesquisa os levará até você. Para plataformas de PC, alguns usuários do Google apresentam o software adequado.
As máquinas CentOS 7 do Vultr são configuradas com o repositório EPEL. Acabamos de instalar ocservcom yum:
yum update
yum install ocserv
Precisamos de um certificado de servidor para que as coisas funcionem. Se você tiver um nome de domínio, o Let's Encrypt será a escolha mais fácil.
yum install certbot
certbot certonly
Escolha "ativar um servidor da Web temporário" para autenticar com a ACME CA. Se você não possui um domínio, um certificado autoassinado será emitido posteriormente.
A PKI tradicional é bastante inconveniente de usar, portanto, usaremos o easyrsautilitário do projeto OpenVPN. Instale o git na sua máquina de trabalho e clone o repositório:
git clone https://github.com/OpenVPN/easy-rsa
cd easy-rsa/easyrsa3
Criaremos a CA e emitiremos certificados. Faça o seguinte e escreva a senha do PEM que você definiu em algum lugar:
./easyrsa init-pki
./easyrsa build-ca
Mantenha em pki/private/ca.keyalgum lugar seguro. Vazamentos que tornarão toda a sua infraestrutura inútil.
Se você optar por usar um certificado de servidor autoassinado, faça o seguinte:
./easyrsa gen-req server
E insira o endereço IP do seu servidor como o nome comum.
./easyrsa sign-req server server
Isso assinará um certificado para o servidor. Transfira pki/issued/server.crte pki/ca.crtpara /etc/ssl/certse pki/private/server.keypara o /etc/ssl/privateseu servidor.
Em seguida, criaremos certificados de cliente. Faça o seguinte:
./easyrsa gen-req client_01
./easyrsa sign-req client client_01
Escolha um nome do cliente e preencha-o no campo de nome comum. Lembre-se da frase secreta!
Em seguida, exportaremos o certificado no formato pkcs12 para uso em plataformas móveis. Faz:
./easyrsa export-p12 client_01
Escolha uma senha de exportação que você será solicitado a digitar ao importar o certificado no telefone. Transfira pki/private/client_01.p12para o seu telefone e importe-o.
Nós preencheremos as informações do certificado.
vim /etc/ocserv/ocserv.conf
Localize a server-certseção e preencha o seguinte:
# If you use Let's Encrypt
server-cert = /etc/letsencrypt/live/example.com/fullchain.pem
server-key = /etc/letsencrypt/live/example.com/privkey.pem
# If you use self-signed server certificate
server-cert = /etc/ssl/certs/server.crt
server-key = /etc/ssl/private/server.key
ca-cert = /etc/ssl/certs/ca.crt
Observe que, se você estiver usando um certificado autoassinado, lembre-se de remover a frase secreta primeiro openssl rsa -in server.key -out server-new.keypara que ocservpossa usar a chave privada.
Localize a authseção. Ative esta linha:
auth = "certificate"
E comente todas as outras authlinhas.
Remova o comentário desta linha:
cert-user-oid = 2.5.4.3
Localize ipv6-networke preencha o bloco ipv6 do seu servidor. Esse é o bloco do qual o servidor concederá concessões.
ipv6-network = 2001:0db8:0123:4567::/64
ipv6-subnet-prefix = 124
Defina servidores DNS.
dns = 8.8.8.8
dns = 8.8.4.4
Habilite a compatibilidade com clientes Cisco.
cisco-client-compat = true
Abrir as portas definidas no tcp-porte udp-porte permitir mascarada tanto para IPv4 e IPv6 em firewalld.
Inicie o servidor.
systemctl enable ocserv
systemctl start ocserv
O servidor foi configurado com sucesso. Crie uma conexão no seu cliente e conecte-se. Se tudo der errado, use este comando para depurar:
journalctl -fu ocserv
Além disso, o IPv6 deve funcionar no lado do cliente, se o software do cliente suportar o ipv6, mesmo que a rede do cliente não forneça um endereço. Vá para este site para testar.
Tudo pronto! Aproveite o seu novo servidor VPN compatível com AnyConnect!
Os ataques de ransomware estão aumentando, mas a IA pode ajudar a lidar com os vírus de computador mais recentes? AI é a resposta? Leia aqui para saber se é AI boone ou bane
ReactOS, um sistema operacional de código aberto e gratuito está aqui com a versão mais recente. Será que ela pode atender às necessidades dos usuários modernos do Windows e derrubar a Microsoft? Vamos descobrir mais sobre esse estilo antigo, mas uma experiência de sistema operacional mais recente.
O Whatsapp finalmente lançou o aplicativo Desktop para usuários de Mac e Windows. Agora você pode acessar o Whatsapp do Windows ou Mac facilmente. Disponível para Windows 8+ e Mac OS 10.9+
Leia isto para saber como a Inteligência Artificial está se tornando popular entre as empresas de pequena escala e como está aumentando as probabilidades de fazê-las crescer e dar vantagem a seus concorrentes.
Recentemente, a Apple lançou o macOS Catalina 10.15.4, uma atualização suplementar para corrigir problemas, mas parece que a atualização está causando mais problemas, levando ao bloqueio de máquinas mac. Leia este artigo para saber mais
13 Ferramentas de Extração de Dados Comerciais de Big Data
Nosso computador armazena todos os dados de uma maneira organizada conhecida como sistema de arquivos Journaling. É um método eficiente que permite ao computador pesquisar e exibir arquivos assim que você clicar em search.https: //wethegeek.com/? P = 94116 & preview = true
À medida que a ciência evolui em um ritmo rápido, assumindo muitos de nossos esforços, os riscos de nos sujeitarmos a uma singularidade inexplicável também aumentam. Leia, o que a singularidade pode significar para nós.
Uma visão sobre 26 técnicas analíticas de Big Data: Parte 1
A IA na área da saúde deu grandes saltos nas últimas décadas. Portanto, o futuro da IA na área da saúde ainda está crescendo dia a dia.
