Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2
Jorge Granjal jgranjal@dei.uc.pt 1
Segurana em Sistemas de Comunicao 2013/2014
TRABALHO PRTICO #2 Sistemas VPN com IPSec (OpenSwan) e OpenVPN
1. Objectivos
Configurao de sistemas VPN no Linux utilizando o IPSec (OpenSwan) e OpenVPN. Configurao de tneis VPN utilizando o IPSec (OpenSwan). Acessos de clientes (road warriors) VPN utilizando o OpenVPN.
2. Trabalho prtico
O cenrio de testes a utilizar no trabalho prtico encontra-se representado na Figura 1. O cenrio considera uma organizao que dispe de duas Redes internas (Coimbra e Lisboa), que pretende interligar atravs da Internet de forma segura utilizando para o efeito um tnel VPN com IPSec. Por outro lado, os utilizadores da prpria organizao podem ligar-se sua rede interna atravs de tneis VPN com OpenVPN. O cenrio considera igualmente a existncia de uma Autoridade de Certificao (AC), utilizada para identificar e autenticar dispositivos e utilizadores.
Figure 1 - Cenrio do Trabalho Prtico Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2
Jorge Granjal jgranjal@dei.uc.pt 2 3. Requisitos de Configurao
3.1. Tnel VPN Lisboa/Coimbra com IPSec
As duas redes internas da organizao (Coimbra e Lisboa) devero estar ligadas de forma segura atravs da Internet, utilizando para o efeito um tnel VPN IPSec. Para ativar este tnel iremos utilizar o OpenSWAN, considerando igualmente os seguintes requisitos:
A negociao de chaves dever ser efetuada de forma automtica, utilizando o protocolo IKE (Internet Key Exchange) do IPSec.
A autenticao (e respectiva autorizao de criao de tneis IPSec) entre os gateways VPN de Coimbra e Lisboa dever utilizar certificados X.509.
Para que os certificados sejam considerados vlidos, os gateways VPN devero verificar que os mesmos foram emitidos pela AC interna da organizao e no foram entretanto revogados.
O tnel VPN dever permitir conectividade total entre as redes de Coimbra e Lisboa.
3.2. Acessos de clientes VPN com OpenVPN
Os utilizadores da organizao devero poder ligar-se remotamente atravs de VPN rede interna da organizao. Dado suportar vrios sistemas operativos, iremos utilizar o OpenVPN para este efeito, tendo em conta igualmente os seguintes requisitos:
A autenticao dos acessos (e respectiva autorizao de criao dos tneis VPN) deve recorrer igualmente a certificados X.509.
A validao de certificados deve ocorrer nos clientes VPN (road warriors) e no gateway VPN de Lisboa. Para que um certificado seja considerado vlido, dever ter sido emitido pela AC interna da organizao e no ter sido entretanto revogado.
Aps o estabelecimento do tnel VPN, os road warriors devero dispor de acesso total s redes internas da organizao (Coimbra e Lisboa).
3.3. Autoridade de Certificao privada
Tal como referido anteriormente, todas as autenticaes referentes ao estabelecimento de tneis VPN (com IPsec e com o OpenSwan) devem recorrer a certificados X.509. Neste contexto, pretende-se ativar uma AC privada, tendo em conta os seguintes objetivos:
Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2
Jorge Granjal jgranjal@dei.uc.pt 3 Utilizar o OpenSSL para ativar/criar a AC privada (representada na forma de uma certificado e chave privada).
Utilizar a AC privada para criar e gerir certificados respeitantes aos gateways VPN do cenrio e aos utilizadores da organizao.
Permitir a revogao (cancelamento) de certificados j emitidos, operao que dever ter reflexo nas autenticaes que deles dependam.
Relatrio
O relatrio a entregar dever incluir a seguinte informao:
Alteraes efectuadas a ficheiros de configurao para ativar os servios VPN anteriormente descritos.
Procedimentos para criao da AC privada e dos respetivos certificados X.509.
Descrio dos testes efectuados para comprovar o correto funcionamento dos mecanismos de segurana implementados.
Restante informao que achar relevante.
Notas importantes:
No sero aceites relatrios sem PGP.
Cada dia de atraso na entrega da Meta 1 e/ou Relatrio final equivale a uma penalizao de 20% na classificao final do trabalho.
METAS DE ENTREGA:
Meta 1: 14/11/2013 (Ficheiros de configurao base do OpenVPN e do OpenSwan, criao da AC privada com o OpenSSL).
Entrega final: 21/11/2013.
Trabalho individual ou em grupos de 2 alunos
Segurana em Sistemas de Comunicao 2013/2014 Trabalho Prtico #2
Jorge Granjal jgranjal@dei.uc.pt 4
Documentao de apoio:
SSC, Texto de Apoio #5, IPSec: VPN e Road Warriors
Gesto de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, Captulo 16: Autoridades de Certificao
Gesto de Sistemas e Redes em Linux, Jorge Granjal, FCA 2010/2013, Captulo 21: Acessos Seguros com VPN