GNU/Linux >> Tutoriels Linux >  >> Linux

Comment configurer un killswitch Linux pour les VPN

Un killswitch Linux est un must pour tout utilisateur sérieux de VPN Linux. Il protège vos données contre les fuites sur Internet en empêchant quiconque d'accéder à vos données même s'il est déconnecté du VPN. Cela garantit également que toutes les informations restent confidentielles, indépendamment de ce qui se passe entre les deux.

Pour un cybercriminel, un kill switch est un cauchemar. C'est un obstacle important qui se dresse entre eux et leur cible. Si la connexion à votre VPN s'interrompt ne serait-ce qu'une seconde parce que votre ordinateur ou votre téléphone se fige, meurt ou que vous coupez accidentellement le cordon - tant que vous avez activé un kill switch - aucune de ces données n'est accessible à quiconque.

Prérequis

Pour suivre, vous aurez besoin de :

  • Le fichier de configuration pour se connecter à votre fournisseur VPN. Cet article utilise NordVPN comme fournisseur VPN.
  • Un appareil Ubuntu avec le client OpenVPN. Les exemples utiliseront Ubuntu 20.04 et OpenVPN 2.5.3.

Installation du pare-feu simple (UFW)

Dans ce tutoriel, le killswitch Linux dépend de la configuration du pare-feu. Tout d'abord, commencez par installer le pare-feu non compliqué (UFW) sur votre appareil et configurez le pare-feu pour qu'il agisse comme un kill switch.

Avant de plonger, assurez-vous que votre distribution Linux est à jour, sinon votre pare-feu UFW pourrait ne pas fonctionner comme prévu. Par exemple, l'UFW peut ne pas charger les paramètres au démarrage ou une règle ajoutée/supprimée ne se charge pas.

1. Exécutez sudo apt install ufw -y pour installer le pare-feu.

Le pare-feu UFW est installé par défaut sur la plupart des distributions Ubuntu, vous avez donc peut-être déjà installé UFW.

2. Démarrez le service UFW avec sudo systemctl start ufw .

3. Vérifiez si l'installation d'UFW a réussi. Exécutez le sudo systemctl status ufw commande, et en cas de succès, la sortie affichera active (exited) en vert comme ci-dessous.

4. Démarrez UFW avec sudo ufw enable . Appuyez sur Y puis Entrée lorsqu'on vous demande si vous voulez Poursuivre l'opération (o|n) ?

Autoriser les protocoles d'accès à distance

Maintenant que le pare-feu est installé, vous devez configurer UFW pour autoriser tous les protocoles que vous souhaitez utiliser avec le VPN.

Commencez par vous assurer que vous n'êtes pas bloqué sur votre client :vous devrez peut-être vous connecter via SSH si quelque chose ne va pas avec votre connexion OpenVPN. Si la connexion tombe en panne et que vous ne pouvez pas vous connecter via SSH, vous devrez accéder physiquement à l'appareil pour y revenir.

1. Autoriser les connexions SSH avec le sudo ufw allow ssh commande. Le pare-feu UFW lit les ports et le protocole dans /etc/services fichier et ouvre les ports en conséquence. Vous pouvez vérifier la sortie de la commande ci-dessous.

Il est fortement recommandé d'ajouter une couche de sécurité supplémentaire en demandant à vos utilisateurs de s'authentifier avec une clé SSH lorsqu'ils se connectent via OpenVPN. Cette procédure protégera contre les attaques par force brute et les connexions non autorisées.

2. Ensuite, vous devrez ajouter des règles pour autoriser le protocole VNC en autorisant le trafic sur les ports correspondants.

Quant au protocole VNC, il est facultatif. VNC permet un accès à distance, similaire à SSH. VNC fournit une console graphique, tandis que SSH n'autorise qu'une console texte. Autoriser le trafic VNC avec sudo ufw allow 5901:5910/tcp commande.

Ces commandes donneront une sortie comme celle ci-dessous.

3. Une fois vos règles ajoutées, assurez-vous qu'elles sont appliquées avec succès. Le sudo ufw show added La commande listera toutes les règles ajoutées, comme vous pouvez le voir ci-dessous.

Configuration du kill switch VPN

Dans cette section, vous apprendrez à configurer le kill switch réel à l'aide du pare-feu UFW. Pour commencer, exécutez les deux commandes suivantes.

  • sudo ufw default deny outgoing
  • sudo ufw default deny incoming

Le ufw default deny La commande bloque tout le trafic sortant/entrant vers/depuis votre machine, à l'exception de la connexion SSH explicitement autorisée et des protocoles distants que vous avez configurés dans les sections précédentes. Vous pouvez voir le résultat des commandes dans la capture d'écran ci-dessous.

Ensuite, ajoutez une exception au jeu de règles UFW pour que votre machine puisse se connecter au serveur VPN :vous aurez besoin de votre fichier de configuration de serveur VPN. Dans ce tutoriel, les fichiers OpenVPN sont nommés, ata.ovpn et téléchargé depuis le site NordVPN.

Votre nom de fichier de configuration OpenVPN peut être différent. Ce didacticiel utilise la convention de nommage "ata", mais n'hésitez pas à nommer le vôtre comme bon vous semble !

Ensuite, regardez à l'intérieur de ata.opvn Fichier de configuration OpenVPN avec la commande sudo head /etc/ata.ovpn . La sortie résultante inclut des informations telles que le port , protocole , et adresse IP du serveur VPN auquel vous vous connectez, avec NordVPN illustré dans l'exemple ci-dessous.

Pour créer la bonne commande UFW, notez le portprotocole , et adresse IP publique info sortie du fichier de configuration.

Ensuite, créez le ufw allow out commande comme suit :sudo ufw allow out to 69.28.83.134 port 1194 proto udp . Comme vous pouvez le voir, l'adresse IP et le port utilisés proviennent de la ligne de configuration commençant par remote et le protocole de la ligne commençant par proto .

Cet exemple utilise NordVPN comme fournisseur VPN. Pour NordVPN, le port UDP 1194 doit être ouvert. Si, par exemple, vous utilisez Express VPN, le port UDP 1195 doit être ouvert, pas le port 1194. Chaque fournisseur VPN peut avoir des ports UDP uniques.

Création d'une exception de pare-feu pour OpenVPN

Bien entendu, pour une utilisation optimale, vous devez autoriser OpenVPN à travers le pare-feu. Jusqu'à présent, vous avez bloqué tout le trafic entrant et sortant à l'exception de quelques ports.

Pour commencer, vous devez trouver le nom de l'interface réseau utilisée par le client OpenVPN. Exécutez le ifconfig pour répertorier tous les noms d'interface réseau configurés, comme indiqué ci-dessous.

Remarquez l'interface réseau avec le nom tun0 dans la liste résultante. Le tun0 interface est l'interface VPN par laquelle transite tout le trafic entrant et sortant et l'interface à autoriser. C'est une interface virtuelle ajoutée au démarrage, ce qui signifie simplement qu'il ne s'agit pas d'une connexion physique. Cette interface est celle par défaut dans OpenVPN.

Ajoutez une exception de pare-feu pour l'interface de tunnel VPN que vous avez trouvée avec ifconfig pour forcer tout le trafic à le traverser. Sinon, il n'y aura pas d'accès à Internet et votre kill switch échouera. Exécutez la commande ci-dessous pour ajouter une exception pour le trafic OpenVPN sur le tun0 interface.

sudo ufw allow out on tun0 from any to any

Certaines applications, telles que l'accès à une application de chat vocal tout en jouant à des jeux, nécessitent des connexions entrantes via le VPN. Pour autoriser les connexions entrantes, exécutez la commande suivante :

sudo ufw allow in on tun0 from any to any

Configuration du client OpenVPN

Dans cette dernière section, vous allez configurer le client OpenVPN pour qu'il s'exécute en tant que service en utilisant la configuration que vous avez créée précédemment.

Commencez par renommer votre texte brut ata.opvn fichier **(votre nom de fichier peut différer) à ata.conf . Pour exécuter le client OpenVPN en tant que service système d'arrière-plan, le nom de fichier doit être nommé avec l'extension de fichier *.conf. De plus, vous déplacerez également le fichier vers /etc/openvpn répertoire.

Déplacez le fichier de configuration avec sudo mv /root/ata.ovpn /etc/openvpn/ata.conf .

Maintenant, changez le répertoire en /etc/openvpn et vérifiez que le fichier est là.

cd /etc/openvpn
ls

Avec le fichier de configuration dans /etc/openvpn répertoire, démarrez le service client OpenVPN avec le systemctl commande. Pour démarrer le service, exécutez :sudo systemctl start [email protected] .

La partie "ata" du nom du client OpenVPN provient du nom du fichier de configuration utilisé. Le vôtre peut différer selon le nom du fichier.

Pour vérifier que le service OpenVPN est en cours d'exécution, utilisez le systemctl status commande comme suit.

sudo systemctl status [email protected]

Comme indiqué ci-dessous, l'élément actif (en cours d'exécution) l'état vert du service OpenVPN s'affiche.

Enfin, vous devez configurer votre appareil pour qu'il se connecte automatiquement à votre service VPN. La connexion automatique au VPN garantit qu'OpenVPN fonctionnera toujours, même si vous redémarrez votre machine.

Exécutez le sudo systemctl enable [email protected] commande, et à partir de maintenant, une fois le service OpenVPN démarré, il connectera automatiquement votre appareil au VPN.

Conclusion

Cet article vous a montré toutes les étapes nécessaires pour configurer un killswitch Linux pour votre connexion VPN. Un kill switch déconnecte la connexion réseau de votre ordinateur si la connexion tombe de manière inattendue, évitant ainsi les fuites de données et vous protégeant en ligne.


Linux

  1. Comment configurer votre imprimante sous Linux

  2. Comment configurer un pare-feu avec UFW sur Ubuntu 18.04

  3. Comment configurer un pare-feu avec UFW sur Ubuntu 16.04

  4. Comment configurer le pare-feu UFW sur Ubuntu 18.04

  5. Comment définir l'ID de processus sous Linux pour un programme spécifique

Comment définir un fond d'écran différent pour chaque moniteur sous Linux

Comment configurer un pare-feu avec GUFW sous Linux

Comment configurer le pare-feu avec UFW sur Ubuntu Linux

Comment configurer un pare-feu avec UFW sur Debian 11

Comment configurer le pare-feu UFW sous Linux

Comment configurer un pare-feu sur votre serveur Linux