同様の解決策は数多くありますが、もう1つやることの意味は何ですか? すべてが非常に簡単です-ネットワークの専門家によって同様の決定が行われました。 このソリューションは、ネットワークセキュリティの専門家とデジタル証明書によって実装されます。 非常に大規模な金融会社との仕事の経験が使用され、情報セキュリティの分野の企業技術が詳細に研究されました。
この知識は考えを促しました-もし私たちが企業部門からベストを取り、一般ユーザー向けにそれを実装しようとしたらどうでしょうか? 特に、新しいサービスを展開するときに企業VPNテクノロジーを使用できます。
その結果、このようなソリューションのすべての利点を得ることができます。
- デバイスでの自動VPNセットアップ、
- デジタル証明書に基づく承認、
- デバイスのネットワークアクティビティに対する自動VPN接続(VPN-on-Demand)。
秘密鍵が生成されてデバイスに直接保存され、VPNパラメーターを含むプロファイルが暗号化され、証明書はSCEPプロトコルを使用して発行されます。 モバイルデバイスの接続のセキュリティを真剣に考えているユーザーにとって理想的なソリューションです。
これらすべての利点の価格は非常に高いです。 ソリューションのネットワークコンポーネント、つまり承認モジュールを備えたVPNサーバーに加えて、本格的な公開キー基盤(PKI)を展開する必要がありました。 これには、ルートのプロファイルの作成と、サーバー証明書とクライアント証明書の証明機関の発行が含まれます。 証明機関の展開 OCSPの構成と失効シート(CRL)の発行 APIを介して発行元CAに接続します。
Apple iOSを実行しているデバイスにプロファイルを自動的に配信するために、https経由のXMLを介してデバイスと対話する特別なアプリケーションサーバーが開発されました。
使用済みのソフトウェアおよびハードウェアソリューション
その結果、次のコンポーネントを使用してかなり大きなソリューションが得られました。
-フロントエンドとしてのNginx、
-PostgreSQL DBMS
-認証サーバーFreeRadius、
-EJBCA認証局、
-IPSec VPNサーバーStrongSWAN、
-全文スフィンクス検索。
-仮想化はProxmoxクラスターに基づいています。
-アプリケーションサーバーはJavaで記述されているため、
-Scalaが開発したWebサーバー。
さらに設定されたメールサーバー、DNS、これらはすべてZabbix監視システムを使用して制御されます。
オペレーティングシステム:Debian 6.0およびFreeBSD 9.0。
現代のスタートアップ向けの典型的なソフトウェアの選択。
第5世代のHP Proliant DL360およびDL380サーバーは、最大構成で使用されます。 すべてのシスコネットワーク機器。 クラスターには100%のハードウェア冗長性があり、仮想マシンはiLOフェンシングを使用して高可用性モードで構成されます。
-フロントエンドとしてのNginx、
-PostgreSQL DBMS
-認証サーバーFreeRadius、
-EJBCA認証局、
-IPSec VPNサーバーStrongSWAN、
-全文スフィンクス検索。
-仮想化はProxmoxクラスターに基づいています。
-アプリケーションサーバーはJavaで記述されているため、
-Scalaが開発したWebサーバー。
さらに設定されたメールサーバー、DNS、これらはすべてZabbix監視システムを使用して制御されます。
オペレーティングシステム:Debian 6.0およびFreeBSD 9.0。
現代のスタートアップ向けの典型的なソフトウェアの選択。
第5世代のHP Proliant DL360およびDL380サーバーは、最大構成で使用されます。 すべてのシスコネットワーク機器。 クラスターには100%のハードウェア冗長性があり、仮想マシンはiLOフェンシングを使用して高可用性モードで構成されます。
私は目がそれに耐えられないように働かなければならなかった、そして私の頭はぶんぶんうなるようになった。 計画、開発、実装にはほぼ半年かかりました。 私はすぐに答えます-プロジェクトには投資家がいなかったので、すべてを個人的に行うか、私たち自身の費用で注文する必要がありました。 プロジェクトは給与から給与に移行しました。 私も現在の仕事で働かなければならなかったので、開発はほとんど夜になりました。 それは難しいですが、耐えられます。 自分の仕事の結果を感じることは価値があります。 最後に、ruVPNと呼ばれる何かが起こりました。 それがロシアのVPNです。 これは、セキュリティのためだけに、インターネット上の検閲、不条理な禁止およびリストに対するものです。
プロジェクトの第1段階のプラットフォームとして、Apple iOSベースのデバイスが選択されました。これらはiPhone、iPad、iPod touchです。 プロファイルのダウンロードとVPNの自動接続のテクノロジーを完全にサポートしています。
記事の冒頭で書いたように、1週間前にサービスの機能テストが発表されました。 最初の10分間で、30の無料招待状がすべて使用されました。 すべてのテスト参加者のおかげで、いくつかの小さなエラーが見つかり、修正されました。 今、私たちは再びコミュニティの助けを必要としています。 サービスの負荷テストが読み込まれています。 これは、重い負荷に耐えるソリューションの能力をテストする必要があることを意味します。 クラシックHabraffectが必要です !
iPhone、iPadのすべての所有者に参加するようお願いします。 リンクをたどって、システムに登録します。 VPNプロファイルは、VPN-on-Demand構成でデバイスにインストールされます。 その後、モバイルデバイスを通常どおり使用できますが、すべてのトラフィックは安全なチャネルを介してノルウェーのサーバーに送信され、次に要求されたリソースに送信されます。 テスト中、SMSによるプロファイル配信は無効になり、リンクは電子メールでのみ取得できます。 プロファイルへのリンクは24時間有効で、Safariブラウザーで開く必要があります。そうしないと、システムはプロファイルを含むファイルを取得しません。
5月27日月曜日までVPNを切断しないこと、チャンネルを完全に使用すること、ビデオを見ることをお勧めします。 月曜日の夜に、プロファイルはモバイルデバイスから自動的に削除されます。
VPNを一時的に無効にする必要がある場合は、設定—一般— VPN — ruVPN IPSecに移動し、オンデマンドスライダーをオフの位置に移動します。
この招待コード( HabrHLtest )の登録数は500に制限されています。 参加者は誰でも、最大10人の友人を個人アカウントからテストに招待できます。
テストに参加してください!