Como fazer monitoramento do OpenVPN?

Monitoramento OpenVPN

VPN

A sigla VPN significa Virtual Private Network ou Rede Virtual Privada. Ela é formada por um grupo de computadores que se conectam usando uma rede pública: a internet. Algumas empresas usam VPNs para conectar centros de dados distantes. Funcionários podem se conectar a VPNs para acessar a rede local da empresa sem estar fisicamente lá. Também é uma excelente maneira de proteger e criptografar sua comunicação com a internet em redes públicas não confiáveis, como redes WiFi de aeroportos.

Ou seja, basicamente, uma VPN permite acesso remoto a recursos de uma rede local, ainda que você não esteja fisicamente conectado nessa rede. Também serve para garantir proteção durante a troca de informações pela internet em redes públicas. Quando você se conecta a uma VPN, geralmente executa algum cliente em seu computador ou clica num link especial em um site, faz login com suas credenciais e cada máquina em cada ponta verifica a autenticidade da outra.
Quando ocorre a confirmação, sua comunicação com a internet é criptografada e protegida de interceptação. Este é o principal detalhe de uma VPN: a segurança que ela proporciona para sua navegação na internet, evitando que seus dados fiquem visíveis para pessoas não autorizadas.

 

Por que usar, uma VPN

Uma VPN por si só é apenas uma maneira de melhorar sua segurança e acessar recursos numa rede na qual você não está fisicamente conectado. Porém, dependendo do uso, ela pode fazer milagres acontecerem.

Em geral, usuários de VPN se encaixam nas seguintes categorias:

 

  • Funcionário: aquele que tem responsabilidades a cumprir e usa uma VPN fornecida por sua empresa para acessar recursos nessas redes mesmo quando está em casa ou viajando. Caso não confie na rede em que está conectado, pode ativar a VPN e impedir que interceptem a conexão.

 

  • Downloads: independente de estar baixando conteúdo legal ou ilegal, esse tipo de usuário não quer que alguma empresa coloque-o na lista negra só por estar usando torrents. Usar uma VPN é a única maneira de se manter seguro enquanto usa essas redes peer to peer. Para ele, é melhor prevenir do que acabar num tribunal ou pagando uma multa altíssima por algo que pode ou não ter feito.

 

  • Privacidade: independente de estar num ambiente totalmente livre e aberto ou em um com alto nível de monitoramento, este perfil usa uma VPN para manter sua comunicação segura e criptografada, longe de olhos curiosos, seja em casa ou numa viagem. Para ele, conexões inseguras significam que sempre tem alguém lendo o que dizem.

 

  • Viajante: você está fora do país e quer ver os seus programas de TV favoritos no momento em que vão ao ar. Você quer escutar estações de rádio via internet que possuem filtro de país ou deseja usar um novo serviço/aplicativo que parece ótimo, mas está limitado a um determinado país ou região.

 

Como exemplos podemos usar aqueles momentos em que abrimos nosso notebook numa cafeteria ou lemos nossos e-mails no WiFi aberto do aeroporto. São situações com considerável risco de ter o tráfego interceptado.

(Fonte: Site Canaltech).

 

Agora iremos abordar serviço de VPN.

 

OpenVPN

OpenVPN é um software livre e open-source para criar redes privadas virtuais do tipo ponto-a-ponto ou server-to-multiclient através de túneis criptografados entre computadores. Ele é capaz de estabelecer conexões diretas entre computadores mesmo que estes estejam atrás de Nat Firewalls sem necessidade de reconfiguração da sua rede. Ele foi escrito por James Yonan e publicado sob licença GNU General Pulic Licence (GPL).

 

Introdução

O OpenVPN permite autenticação ponto-a-ponto através de chaves secretas compartilhadas, certificados digitais ou autenticação com usuário e senha. Quando utilizado em modo multiclient-server ele permite que cada cliente utilize a autenticação pública com certificados digitais, fazendo isto através de assinaturas digitais e certificados de autoridade. Ele utiliza extensivamente a criptografia OpenSSL. Usa também os protocolos SSLv3/TLSv1. Esta disponível para Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, e Windows 2000/XP/Vista/7/8. Ele contém muitos recursos de controle de segurança. Ele não é um cliente VPN baseado em web, não é compatível com IPsec ou qualquer outro tipo de pacote VPN. Todo pacote do OpenVPN consiste em apenas um binário tanto para conexões do lado do cliente quanto para conexões do lado do servidor, você vai encontrar mais alguns arquivos e chaves dependendo do tipo e método de autenticação utilizado. Eventualmente é utilizado por gamers como uma maneira de acessar jogos LAN fora da intranet pela internet.

 

Criptografia

O OpenVPN utiliza a biblioteca OpenSSL para prover criptografia entre ambos os canais de controle de dados. Isto faz com que o OpenSSL faça funcionar toda a criptografia e autenticação, permitindo ao OpenVPN utilizar todas as cifras disponíveis no pacote do OpenSSL. Ele pode utilizar o pacote de autenticação HMAC para adicionar uma camada de segurança para a conexão. Ele pode também utilizar aceleração de hardware para obter uma melhor performance na criptografia.

 

Autenticação

O OpenVPN te possibilita autenticar entre os pontos de várias maneiras. O OpenVPN oferece chaves secretas compartilhadas, autenticação baseada em certificados e autenticação baseada em usuário e senha. O método de autenticação com chaves secretas compartilhadas é o mais simples, e combinando com certificados ele se torna o mais robusto e rico recurso de autenticação. A autenticação com usuário e senha é um recurso novo (disponível apenas na versão 2.0) que possibilita o uso de certificados no cliente, mas não é obrigatório (o servidor precisa de certificado). O código fonte em formato tarball inclui um exemplo de script Perl que verifica usuário e senha através do PAM e um plug-in em C chamado auth-pam-plugin.

 

Rede

O OpenVPN pode rodar sobre UDP (preferencial por padrão) ou TCP. Ele multiplexa toda a comunicação em cima de uma única porta TCP/UDP. Ele tem a habilidade de trabalhar com a maioria dos proxy servers (incluindo HTTP) e funciona muito bem trabalhando com NAT para passar por firewalls. As configurações do servidor tem a habilidade de fornecer certas configurações de rede para seus clientes, isto inclui endereços Ipv4, comandos de rotas e algumas poucas configurações de conexão. O OpenVPN oferece dois tipos de interfaces para rede via Universal TUN/TAP driver. Ele pode criar um túnel em layer-3 (TUN), ou pode criar um túnel em layer-2 baseado em ethernet TAP, o que pode carregar qualquer tipo de tráfego ethernet. O OpenVPN pode utilizar a biblioteca de compressão LZO para compactar o fluxo de dados. A porta 1194 é a numeração oficial IANA para o OpenVPN. As novas versões do OpenVPN já estão configuradas para utilizarem esta porta. Um novo recurso na versão 2.0 permite que um processo possa manipular e gerenciar vários túneis simultâneos como alternativa ao método original de um processo por túnel, o qual era uma restrição das versões 1.x.x.

O OpenVPN usa como seus protocolos comuns o TCP e UDP como uma alternativa ao IPsec em situações onde o ISP pode ter bloqueado os protocolos específicos para VPN na tentativa de forçar os clientes a assinarem serviços mais caros.

 

Segurança

O OpenVPN oferece vários recursos de segurança internos. Ele roda em userspace, ao invés de necessitar de uma ip stack operation. O OpenVPN tem a habilidade de bloquear os privilégios de acesso root, ele usa o mlockall para prevenir que dados sensíveis sejam colocados em swap no disco, e, após sua inicialização, ele roda em ambiente chroot.
O OpenVPN oferece suporte a smart card através de criptografia baseada em token PKCS#11.

(Fonte: Site Wikipédia).

 

Administração do Serviço

Não é possível saber quantos clientes estão conectados no OpenVPN, quando está no modo de autenticação de usuários. Todos os clientes conectam dentro da interface virtual, por exemplo tun0, mas é possível consultar através do management port.

Para isso, é necessário configurar o serviço:

  • Edite o arquivo: /etc/openvpn/server.conf
  • Adicione: management localhost 7505
  • Reinicie o serviço

 

Verificar usuários conectados

Para acesso ao management port:

  • Execute: telnet localhost 7505
  • Informações das conexões, execute: status
  • Resultado:

ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
172.20.21.22,user01,186.233.20.114,Thu Feb 23 10:05:55 2017
172.20.21.26,user02,179.190.28.179:65467,Thu Feb 23 09:56:15 2017
172.20.21.30,user03,187.35.96.110:9185,Thu Feb 23 10:05:48 2017

  • Sendo: IP atribuído na conexão
  • Usuário
  • IP público do usuário
  • Data da conexão

 

Existem outros comandos e você pode, por exemplo, desconectar um determinado usuário.

Para verificar a lista de comandos, basta executar: help.
Para sair, execute: exit.

 

Monitoramento

Nos ambientes corporativos é necessário o monitoramento da infraestrutura, para garantir o bom funcionamento e manter os níveis de serviços.
Neste artigo será abordado o monitoramento do serviço OpenVPN com usuários autenticados, com duas visões:

  • Quantidade de usuários conectados
    O plugin verifica a quantidade total de usuários com conexões ativas, benefícios;
    Histórico de números de conexões;
    Se o número de conexões estiver muito alto em relação a quantidade de usuários, indica que não estão sendo finalizadas as conexões.

 

  • Usuários conectados
    O plugin verifica se um usuário específico está conectado, retornando se está online ou offline;
    Ideal para serviços em que o usuário precisa ficar conectado 24×7.

 

Plugin

O plugin foi desenvolvido para utilizar junto ao Nagios. As consultas serão realizadas através do management port; caso não tenha configurado, revise o artigo para configurar.
Após copiar o plugin para o servidor, execute: /usr/lib64/nagios/plugins/check_openvpn

Como não foram passados os argumentos, irá exibir o menu de ajuda:
UNKNOWN: check_openvpn: Wrong option given. Options: -t type (count|users), -w warning, -c critical and -m minimal (optinal)
Example: check_openvpn -t count -m 2 -w 5 -c 10
check_openvpn -t users username1 username2

 

Count

Via argumento, execute a opção “count”, limites de 5 (Warning) e 10 (Critical):
/usr/lib64/nagios/plugins/check_openvpn -t count -w 5 -c 10
Resultado:
OK – Total: 3 – Users connected: user01 user02 user03
Exibe a quantidade “status” de acordo com valores de warning, critical, número total de conexões ativas e listas dos usuários conectados.

Opcional você pode utilizar opção “minimal”, quantidade mínima de usuários conectados:
/usr/lib64/nagios/plugins/check_openvpn -t count -m 1 -w 5 -c 10
No exemplo acima deve ter no mínimo 1 usuário conectado, caso contrário o status será “critical”.

 

Users

Exemplo 1:
Via argumento execute a opção “users”, passando a lista de usuários:
/usr/lib64/nagios/plugins/check_openvpn -t users user01 user02 user03 user04
CRITICAL – user01(online), user02(online), user03(online), user04(offline)
Retornou status de CRITICAL devido usuário user04 estar offline.

Exemplo 2:
/usr/lib64/nagios/plugins/check_openvpn -t users user01 user02 user03
OK – user01(online), user02(online), user03(online)
Retornou “status” de OK, pois todos os usuários especificados estão online.

 

Configuração NRPE

Adicione ao final do arquivo /etc/nagios/nrpe.cfg
# OpenVPN
command[check_openvpn_count]=/usr/lib64/nagios/plugins/check_openvpn -t count -m $ARG1$ -w $ARG2$ -c $ARG3$
command[check_openvpn_users]=/usr/lib64/nagios/plugins/check_openvpn -t users $ARG1$

 

Dicas

Você pode passar os valores via argumento ou substituir os valores das variáveis $ARG1$, $ARG2$, etc.
Na checagem check_openvpn_count, caso não deseje validar a quantidade mínima de usuários conectados, você pode utilizar valor -m “0”.

Após adicionar as linhas no arquivo de configuração é necessário reiniciar o serviço do NRPE.

 

Download do Plugin

Você pode realizar o download do Plugin de Monitoramento abaixo:

OBTER O PLUGIN >>

 

A Blue Solutions realiza o monitoramento de mais de 2.000 servidores e 40.000 serviços de seus clientes, operando em escala 24×7 através de NOC próprio. Para mais informações, entre em contato, clique aqui >>

 

Fontes: trechos dessa matéria foram retiradas dos sites Canaltech (Descubra por que usar uma VPN e veja como escolher a melhor; autor Cadu Silva) e Wikipédia (OpenVPN).

 

Sobre o autor:
Valter Terrani
Coordenador de NOC na Blue Solutions
Certificado: ITIL Foundation, VTSP 5.5, LPIC-1,
LPIC-2, LPIC-3 117-300, Oracle Linux 1Z0-100,
SUSE CLA 11, SUSE CLP 12

Read More

Blue Solutions realiza evento na fábrica da Dell EMC em Hortolândia

Na última quarta-feira, 09 de agosto, a Blue Solutions realizou mais um evento para clientes, dessa vez na fábrica da Dell EMC, em Hortolândia, interior de São Paulo.

 

Evento Blue Solutions e Dell EMC – Fábrica Hortolândia

 

Mais uma vez tivemos o apoio da Dell EMC e os clientes puderam realizar o tour na fábrica e conhecer mais sobre os produtos lá desenvolvidos.

Em julho, a fábrica localizada em Hortolândia (SP), completou 10 anos em operação, com a conquista da marca de 12 milhões de equipamentos produzidos. Na planta, que atende todo o território nacional, são fabricados: computadores (desktops, notebooks, all-in-ones, workstations e equipamentos 2 em 1), servidores e soluções de armazenamento (storage). A Dell foi uma das primeiras fabricantes de computadores a investir em fabricação nacional (Fonte: Site Dell).

Tivemos a apresentação de Anderson Silva, Partner System Engineer da Dell EMC, sobre Hiperconvergência e Amauri Franco, Executivo de Contas da Blue Solutions, falou  sobre as soluções que a Blue oferece. Ainda estavam presentes os colaboradores da Blue Solutions, Luis Borella e Michelle Feierabend (Executivos de Contas) e Daniel Matthiensen (Diretor de Serviços).

 

Apresentação Amauri Franco – Blue Solutions

 

Apresentação Anderson Silva – Dell EMC

 

O evento foi uma ótima oportunidade para a troca de experiências e de informações sobre as soluções da Blue Solutions e da Dell EMC.

 

Participantes se preparando para realizar o tour na fábrica da Dell EMC

 

Blue Solutions realiza evento na fábrica da Dell EMC em Hortolândia

 

Veja mais fotos do evento no Facebook da Blue Solutions, clique aqui.

Também acesse nossa página de eventos e fique por dentro do próximos eventos da Blue!!

Read More

A Gartner nomeia a Veeam como Líder no Novo Quadrante Mágico 2017

Veeam como Líder no Novo Quadrante Mágico 2017 – Gartner (Fonte: Veeam)

 

Por dois anos seguidos, a Veeam é reconhecida como LÍDER, no novo Quadrante Mágico 2017 da Gartner para soluções de backup e recuperação de data centers. A Veeam continua em movimento crescente, à frente em relação a Abrangência de Visão e mais alto em Capacidade de Execução, por 4 anos seguidos!

  • A Visão da Veeam é forte e clara
  • A Capacidade Veeam de Executar e Inovar se destaca da concorrência

A Veeam agora é o 4º maior fornecedor de software de backup e recuperação para empresas(1) e obteve as mais altas pontuações de Satisfação do Cliente com base no mais recente Net Promoter Score 2017.

1. Market Share da Gartner: Software de Gerenciamento de Armazenamento, Em Todo o Mundo, 2016, abril de 2017.
*Observação: A venda da Symantec à Veritas ocorreu em 2015; A fusão da EMC com a Dell ocorreu em 2016.

Quadrante – Gartner

 

Acreditamos que esse reconhecimento do setor reforça o motivo pelo qual mais de 250.000 clientes e 70% do Fortune 500 confiam na Veeam para fornecer soluções de disponibilidade ricas em recursos, confiáveis, escaláveis e que possibilitam negócios em operação constante.

 

ACESSE O RELATÓRIO COMPLETO DE 2017 DA GARTNER AQUI »

 

GARTNER é uma marca registrada e marca de serviço da Gartner, Inc. e/ou seus afiliados nos EUA e.Todos os direitos reservados.

O gráfico acima foi publicado pela Gartner, Inc. como parte de um documento maior de pesquisa e deve ser avaliado no contexto do documento inteiro. O documento da Gartner está disponível por solicitação da Veeam. A Gartner não apoia qualquer fornecedor, produto ou serviço mencionados em suas publicações de pesquisa, nem recomenda aos usuários de tecnologia escolher somente os fornecedores com as classificações mais altas ou outras designações. As publicações de pesquisa da Gartner são compostas pelas opiniões da organização de pesquisa da Gartner e não devem ser interpretadas como declarações de fatos. A Gartner renuncia a quaisquer garantias, explícitas ou implícitas, relacionadas a essa pesquisa, incluindo quaisquer garantias de comercialização ou adequação a um propósito específico.

 

Fonte: Veeam

 

A Blue Solutions é parceira Gold da Veeam!

Saiba mais sobre o Veeam Backup & Replication, clique aqui para visitar a página»

Read More

Evento de golfe é realizado pela Blue Solutions em São Paulo

Assim como nos últimos anos, a Blue Solutions desenvolveu mais um evento de golfe em São Paulo esse ano.

O evento, denominado “Golf Time Blue Solutions”, aconteceu na semana passada, 03 de agosto, no Embrase Golf Center em São Paulo.

 

Participantes – Evento Golf Time Blue Solutions

 

O Embrase Golf Center foi fundado em março de 2000, e é o centro de treinamento da Federação Paulista de Golfe, a maior entidade regional do esporte no País, com um terreno de 33 mil m² (Fonte: Site).

Esse evento ocorreu em parceria com Agência Connect2b e com a Dell EMC, como um dos eventos para marcar o Lançamento da Nova geração de servidores PowerEdge da Dell EMC, onde foram apresentadas as novidades aos clientes.

 

Adhalber Seiji (à esquerda) e Luis Borella – Evento Golf Time Blue Solutions

 

As soluções da Blue Solutions também foram apresentadas, com a presença do time: Adhalber Seiji (Diretor Comercial), Daniel Matthiensen (Diretor de Serviços), Luis Borella e Michelle Feierabend (Executivos de Contas) e Andé Bianchi e Alexandre Alves (Consultores de Soluções).

 

Adhalber Seiji apresentando soluções da Blue Solutions – Evento Golf Time Blue Solutions

 

“Tivemos um excelente evento com muita descontração. Iniciamos com uma clínica de golfe e um rápido torneio, onde foram premiados os 3 primeiros colocados. Em seguida foram apresentadas as novidades sobre a nova geração de servidores Dell 14G e que foram fantásticas, e finalizamos com um delicioso rodízio de pizzas e muito networking entre os convidados.”, diz Adhalber Seiji, Diretor Comercial da Blue Solutions.

 

Mini Torneio de Golfe – Evento Golf Time Blue Solutions

 

Local – Evento Golf Time Blue Solutions

 

Veja mais fotos do evento no Facebook da Blue Solutions, clique aqui. 

Também acesse nossa página de eventos e fique por dentro do próximos eventos da Blue!!

Read More

E-book: Como instalar o Storage Spaces Direct no Windows Server 2016

 

O Storage Spaces Direct usa servidores padrão Intel x86 com unidades de disco local, para criar um armazenamento definido por software altamente disponível e escalonável, por uma fração de custo das tradicionais soluções de SAN e NAS. Sua arquitetura convergente ou hiperconvergente simplifica radicalmente a aquisição e a implantação, enquanto os recursos como caching, camadas de armazenamento e codificação de eliminação, juntamente com as mais recentes inovações em hardware, como a rede RDMA e unidades NVMe, oferecem desempenho e eficiência incomparáveis.
O Storage Spaces Direct está incluso na versão Datacenter do Windows Server 2016.

Fonte: Microsoft

 

A Blue Solutions criou um e-book que demonstra os passos necessários para a instalação e configuração do Storage Spaces Direct, o qual você pode realizar o download ao final desta matéria.

Nesse documento você pode:

  • Verificar os requisitos necessários para a instalação
  • Instalar e configurar as Features/Roles necessárias:
    • Hyper-V
    • Failover-Clustering
    • File-Services
  • Configurar o Storage Spaces Direct
    • Habilitar Recurso no Cluster
    • Configuração do Pool
    • Configuração de Volumes
  • Validar ambiente configurado
    • Criação das VMs
    • Testes de resiliência dos Volumes
    • Recovery do ambiente

Clique abaixo para acessar o documento com o procedimento de instalação do Storage Spaces Direct:

ACESSAR O E-BOOK >>

 

Fonte da definição de Storage Spaces Direct: Microsoft (definição).

 

 

Sobre o autor:
Adalberto Gonçalves
Especialista em Redes de Computadores na Blue Solutions
Certificado LPIC-1|LPIC-2|Suse CLA 11|Suse CLP 12
ITILv3|VTSP-5|VMTSP|MCP|MCSA 2012|MCSA 2016
MS:Hyper-V|MCSE CP/I|MCSE SI|WebLogic 12c I/S

 

 

Read More